Исторически сложилось так, что подходы к обеспечению информационной безопасности промышленных объектов имеют свои особенности. Известные уязвимости в ИТ-системах зачастую не устраняются из-за нежелания вносить изменения и нарушать тем самым технологический процесс. Вместо этого основные усилия компании направляют на снижение вероятности их эксплуатации, например, путем отделения и изоляции внутренних технологических сетей от подключенных к интернету корпоративных систем . Как показывает практика тестирования на проникновение, подобная изоляция не всегда реализуется эффективно, и у нарушителя остаются возможности для атаки.
Так согласно собранной статистике, злоумышленники могут преодолеть периметр и попасть в корпоративную сеть 73% компаний промышленного сегмента. В 82% компаний возможно проникновение из корпоративной сети в технологическую, в которой функционируют компоненты АСУ ТП.
Одной из главных возможностей для получения взломщиком доступа к корпоративной сети оказались административные каналы управления. Часто администраторы промышленных систем создают для себя возможности удаленного подключения к ним — это позволяет им, например, не находиться все время на объекте, а работать из офиса.
В каждой промышленной организации, в которой исследователям Positive Technologies удалось получить доступ к технологической сети из корпоративной, были выявлены те или иные недостатки сегментации сетей или фильтрации трафика — в 64% случаев они были внесены администраторами при создании каналов удаленного управления.
Наиболее распространенными уязвимостями корпоративных сетей стали словарные пароли и устаревшее ПО — эти ошибки были обнаружены во всех исследуемых компаниях. Именно эти недостатки позволяют развить вектор атаки до получения максимальных привилегий в домене и контролировать всю корпоративную инфраструктуру. Важно отметить, что часто файлы с паролями к системам хранятся прямо на рабочих станциях сотрудников.
«Помимо сугубо технических сложностей обеспечения безопасности, есть и организационные: ресурсов специалистов ИБ в компании часто не хватает, чтобы администрировать множество объектов, которые могут быть распределены территориально, — рассказывает руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин. — Поэтому они вынуждены создавать удаленные каналы связи, часто в ущерб безопасности. Более того, за безопасность непосредственно АСУ ТП отвечают другие специалисты, и "безопасников" корпоративной сети туда не допускают, поэтому несогласованность действий может стать причиной появления ошибок конфигурации на границе между корпоративной и технологической сетью».