Ландшафт угроз для систем промышленной автоматизации. 2019 год: главное

• 2019 год: главное
• Уязвимости, обнаруженные в 2019 году
• APT-атаки на промышленные компании в 2019 году
• Вымогатели и другое вредоносное ПО: основные события второго полугодия 2019
• Статистика за второе полугодие 2019

• В 2019 году Kaspersky ICS CERT было выявлено 103 уязвимости в промышленных системах, системах IIoT/IoT и других типах решений.
  • 33 из обнаруженных уязвимостей до сих пор не исправлены производителями соответствующих продуктов, хотя они получили для этого всю необходимую информацию.
  • Эксплуатация 30,1% выявленных уязвимостей может привести к удаленному выполнению произвольного кода, 14,6% – к DoS. Эксплуатация 13,6% уязвимостей позволяет повышать привилегии или же перехватывать сессии.
  • Абсолютное большинство обнаруженных Kaspersky ICS CERT уязвимостей, для которых в 2019 году были опубликованы CVE, по шкале CVSS v.3 имеют вес не менее 7.0 и относятся к группе наиболее критичных.
  • Уязвимости возникают из-за ошибок, допущенных при разработке программного обеспечения. Самой популярной в 2019 году стала ошибка под номером CWE-787 “Out-of-bounds Write” (по классификации ошибок Common Weakness Enumeration).

• В 2019 году вредоносные объекты были заблокированы на 46,6% компьютеров АСУ. Во втором полугодии 2019 года этот показатель составил 39,2% – на 2 п.п. меньше, чем в предыдущем полугодии.
  • Процент компьютеров АСУ, на которых были заблокированы вредоносные объекты, различен в разных индустриях, например, автоматизация зданий (38%), автомобилестроение (37,6%), энергетика (36,6%), нефть и газ (36,3%) и инжиниринг и интеграторы АСУ (32,7%).
  • Состав первой пятерки стран в рейтинге по проценту компьютеров АСУ, на которых была предотвращена вредоносная активность, остается неизменным вот уже полтора года. Во втором полугодии 2019 в TOP 5 вошли Вьетнам (65,5%), Алжир (64,6%), Тунис (58,8%), Марокко (56,6%), и Египет (55,3%).
  • В число наиболее благополучных стран во втором полугодии 2019 вошли Ирландия (7,3%), Швеция (10,3%), Дания (11,6%), Нидерланды (12%) и Гонконг (13%).
  • Наиболее значительное увеличение процента компьютеров АСУ, на которых была предотвращена вредоносная активность, было отмечено в Сингапуре (на 9,2 п.п.), Белоруссии (на 7,6 п.п.) и в ЮАР (на 6,2 п.п.). Отметим, что в течение трех предыдущих полугодий в Сингапуре этот показатель снижался.
  • В России в течение второго полугодия 2019 года хотя бы один раз вредоносные объекты были заблокированы на 43,1% компьютеров АСУ, что на 1,7 п.п. меньше, чем в первом полугодии 2019 года (44,8%).
  • Во всех регионах мира основным источником угроз по-прежнему является интернет. Однако в Северной Европе (6,8%), Западной Европе (10%) и в Северной Америке (12,6%) процент компьютеров АСУ, на которых были заблокированы угрозы из интернета, значительно ниже, чем в Восточной Европе (17,2%), на Ближнем Востоке (21,2%), в Латинской Америке (24,2%), Центральной Азии (30,8%), Африке (34,6%) и Юго-Восточной Азии (35,8%).
  • В 2019 году мы наблюдали такую же сезонную динамику, как и в предыдущие годы: наибольшие показатели были отмечены весной и осенью. Поскольку абсолютное большинство вредоносных операций характеризуется высокой степенью автоматизации, мы полагаем, что такая динамика отражает сезонные изменения в присутствии сотрудников на рабочих местах и, таким образом, демонстрирует влияние человеческого фактора на кибербезопасность промышленных компаний.

• Многие типы вредоносного ПО, не будучи заблокированными на компьютерах АСУ, представляли бы серьёзную опасность для работы предприятия. Среди всех этих угроз воздействие вредоносных программ-вымогателей может быть наиболее пагубным. В 2019 году программы-вымогатели были заблокированы на 1,0% компьютеров АСУ. Во втором полугодии 2019 этот показатель составил 0,61%, в первом полугодии по уточненным данным – 0,76%.
  • Наибольший процент компьютеров АСУ, на которых были заблокированы программы-вымогатели в 2019 году, был отмечен в Юго-Восточной Азии (2,09%), самый низкий показатель по итогам года – в Северной Европе (0,19%).
  • На первом месте в рейтинге стран – жертв вредоносных программ-вымогателей в 2019 году была Бангладеш (3,13%). За ней следуют Алжир, Вьетнам, Индонезия, Египет, Китай, Чили, Белоруссия, Индия, Казахстан, Украина, Малайзия, Тунис, Италия и Тайланд.
  • Печально известная программа-вымогатель WannaCry всё ещё жива. Среди всех пользователей продуктов «Лаборатории Касперского», подвергшихся атакам троянских программ-вымогателей в 2019 году, более 23% были атакованы именно WannaCry. При этом процент атакованных этой программой компьютеров АСУ ещё выше – более 35%.
  • В некоторых случаях атаки вредносных программ-вымогателей могут стать ещё опаснее. Создатели вредоносного ПО GandCrab распространяли его через платфортму RaaS (Ransomware-as-a-Service). Однако летом 2019 года вредоносный «сервис» был закрыт. Это сделало шифровальщик ещё более опасным, поскольку зашифрованные последней версией GandCrab данные стало невозможно расшифровать – ни заплатив злоумышленникам, ни каким-либо иным способом (в последней версии GandCrab применены криптостойкие алгоритмы шифрования). В конце 2019 года мы всё ещё обнаруживали – и предотвращали – атаки вредоносного ПО GandCrab на компьютеры систем промышленной автоматизации.

| Следующая часть