Centrum wiedzy o technologiach i pracy w IT
przemyslowe-systemy-sterowania-ics-scada-cel-hakerow

Przemysłowe systemy sterowania ICS/SCADA celem hakerów

Agencje CISA, NSA, FBI i DOE ostrzegają, że celem grup hakerskich stały się przemysłowe systemy sterowania. Cyberprzestępcy wykorzystują złośliwe oprogramowanie do skanowania, zarażania i przejmowania kontroli nad urządzeniami przemysłowych systemów sterowania (ICS) oraz nadzoru nad urządzeniami do kontroli i pozyskiwania danych (SCADA).

Zobacz – Hakerzy mogą atakować zasilacze awaryjne

Przemysłowe systemy sterowania ICS/SCADA – ochrona

Agencja CISA przedstawiła listę działań, które należy podjąć w celu ochrony urządzeń ICS/SCADA. Poniżej prezentujemy zalecenia.

  • Egzekwuj uwierzytelnianie wieloskładnikowe dla wszystkich zdalnych dostępów do sieci i urządzeń ICS, gdy tylko jest to możliwe.
  • Zmieniaj wszystkie hasła do urządzeń i systemów ICS/SCADA według spójnego harmonogramu, zwłaszcza wszystkie hasła domyślne do urządzenia. Unikalne, silne hasła pozwolą ograniczyć ataki typu brute force i umożliwią systemom monitorowania wykrywania typowych ataków.
  • Wykorzystaj prawidłowo zainstalowane rozwiązanie do ciągłego monitorowania OT, aby rejestrować i ostrzegać o złośliwych działaniach.

Narażone na ataki są szczególnie takie urządzenia jak:

  • Programowalne sterowniki logiczne (PLC) Schneider Electric,
  • Sterowniki PLC OMRON Sysmac NEX,
  • Serwery Open Platform Communications Unified Architecture (OPC UA).

Hakerzy ciągle pracują nad łamaniem zabezpieczeń

Hakerzy tworzą nowe narzędzia, które umożliwiają im skanowanie systemów w poszukiwaniu luk pozwalających na dostęp do danych. Zależy im także na przejmowaniu kontroli nad komputerami, urządzeniami IoT oraz urządzeniami przemysłowymi.

Według raportu CISA nowe narzędzia są w stanie przejąć kontrolę nad urządzeniami korzystającymi z takich komponentów jak:

  • Schneider Electric MODICON i MODICON Nano PLC, w tym (ale nie tylko) TM251, TM241, M258, M238, LMC058 i LMC078;
  • OMRON Sysmac NJ i NX PLC, w tym (ale nie tylko) NEX NX1P2, NX-SL3300, NX-ECC203, NJ501-1300, S8VK i R88D-1SN10F-ECT;
  • Serwery OPC Unified Architecture (OPC UA).

Cyberprzestępcy są w stanie tworzyć automatyczne systemy, które samodzielnie mogą atakować urządzenia zawierające wymienione moduły.

Jak chronić zagrożone systemy?

DOE, CISA, NSA i FBI zalecają wszystkim organizacjom wykorzystującym przemysłowe systemy sterowania ICS/SCADA wdrożenie następujących środków łagodzących i zapobiegawczych:

  • Izoluj systemy i sieci ICS/SCADA od sieci korporacyjnych i internetowych.
  • Ograniczyć wszelką komunikację wchodzącą lub wychodzącą z obszarów ICS/SCADA.
  • W miarę możliwości wymuszaj uwierzytelnianie wieloskładnikowe dla wszystkich zdalnych dostępów do sieci i urządzeń ICS.
  • Przygotuj plan reagowania na incydenty i regularnie ćwicz go z interesariuszami z branży IT, cyberbezpieczeństwa i operacji.
  • Zmieniaj wszystkie hasła do urządzeń i systemów ICS/SCADA zgodnie ze spójnym harmonogramem, zwłaszcza wszystkie hasła domyślne, na silne hasła unikalne dla urządzeń, aby złagodzić ataki typu brute force na hasła.
  • Utrzymuj znane dobre kopie zapasowe offline, aby przyspieszyć odzyskiwanie po destrukcyjnym ataku. Przeprowadzaj kontrole haszowania i integralności plików konfiguracyjnych oprogramowania układowego i kontrolera, aby zapewnić ważność tych kopii zapasowych.
  • Ogranicz połączenia sieciowe systemów ICS/SCADA tylko do specjalnie dozwolonych stacji roboczych.
  • Solidnie chroń systemy zarządzania, konfigurując Device Guard, Credential Guard oraz integralność kodu hiperwizora (HVCI). Zainstaluj rozwiązania Endpoint Detection and Response (EDR) w tych podsieciach i upewnij się, że skonfigurowano silne ustawienia reputacji plików antywirusowych.
  • Implementuj niezawodne zbieranie i przechowywanie dzienników z systemów ICS/SCADA i podsieci zarządzania.
  • Wykorzystaj rozwiązanie do ciągłego monitorowania OT, aby ostrzegać o złośliwych działaniach.
  • Upewnij się, że wszystkie aplikacje są instalowane tylko wtedy, gdy są one konieczne do działania.
  • Egzekwuj zasadę najmniejszych przywilejów. Konta administratora należy używać tylko wtedy, gdy jest to wymagane do wykonywania zadań, takich jak instalowanie aktualizacji oprogramowania.
  • Zbadaj objawy odmowy usługi lub zerwania połączenia, które objawiają się opóźnieniami w przetwarzaniu komunikacji, utratą funkcji wymagającą ponownego uruchomienia i opóźnionymi działaniami w komentarzach operatorów jako oznaki potencjalnej złośliwej aktywności.
  • Monitoruj systemy pod kątem ładowania nietypowych sterowników, szczególnie dla płyt głównych ASRock, jeśli żaden sterownik ASRock nie jest normalnie używany w systemie.

Sprawdź – Najpopularniejsze hasła w sieci. Sprawdź czy twoje też wyciekło

Total
0
Shares
_podobne artykuły