Киберзлоумышленники находят способы использовать уязвимые технические системы, на которые полагаются операторы объектов для управления оборудованием и процессами. Объекты должны активно укреплять защиту во взаимосвязанных сетях IT/OT. Операторы должны внедрять многоуровневую безопасность и другие передовые практики для защиты этих сред от растущих цифровых угроз.

Последние данные об угрозах не позволяют игнорировать то, как злонамеренные группы исследуют защиту инфраструктуры. Поскольку их возможности продолжают расширяться, многим объектам все еще необходимо догонять их с точки зрения безопасности. Это расхождение подвергает основные коммунальные предприятия и функции общественной безопасности значительному риску в случае использования уязвимостей. Никто не может позволить себе быть застигнутым врасплох киберинцидентами, которые могут нарушить работу основных служб.

Повышенные угрозы, направленные на инфраструктуру ОТ

Сети OT с их промышленными системами управления и системами контроля и сбора данных являются основными целями для злоумышленников. От кампаний с вымогателями до скрытых сетевых инфильтраций киберпреступники быстро совершенствуют свою тактику.

Правительственные агентства по кибербезопасности сообщают о недавнем росте атак на инфраструктуру, нацеленных на такие объекты, как электростанции и транзитные системы. По данным CISA, хакеры используют известные уязвимости безопасности как в старом оборудовании, так и в новых интеллектуальных системах, которые инфраструктурные объекты используют для управления операциями. Развертывание передовых Решения по безопасности ОТ является ключевым компонентом этой стратегии, обеспечивающим мониторинг в реальном времени, обнаружение угроз и возможности реагирования на инциденты.

Первые шаги по обеспечению безопасности OT-активов

В связи с эскалацией угроз Агентство национальной безопасности (АНБ) и Агентство по безопасности информационных технологий (CISA) разработали для операторов критической инфраструктуры план неотложных мер по защите своих ОТ-активов:

• Отключите ненужные внешние соединения, чтобы изолировать ОТ-сети
• Убедитесь, что процедуры простоя обеспечивают бесперебойную ручную работу.
• Внедрить планы обеспечения устойчивости, описывающие стратегии реагирования
• Убедитесь, что существуют резервные копии программного обеспечения для восстановления.

Эти основополагающие передовые методы снижают подверженность внешние угрозыподдержание доступности и целостности системы.

Как предотвратить целевые фишинговые атаки?

Получив первоначальный доступ, угрозы применяют различные тактики для дальнейшего проникновения в целевые сети. Индекс безопасности X-Force Threat Intelligence от IBM за 2023 год показывает, что целенаправленный фишинг остается распространенным первоначальным вектором заражения, на который приходится 21% инцидентов. Обманывая пользователей, заставляя их загружать вредоносное ПО или делиться учетными данными, злоумышленники получают возможность закрепиться в защищенных сетях.

Оказавшись внутри, злоумышленники стремятся развернуть бэкдоры и провести разведку незамеченными. Однако в отчете IBM подчеркивается, что своевременное обнаружение и реагирование предотвратили 67% попыток целевого фишинга. Это подчеркивает важность:

• Комплексное обучение по вопросам безопасности – Дайте сотрудникам возможность распознавать методы социальной инженерии
• Передовые решения для обеспечения безопасности электронной почты: обнаруживайте и фильтруйте вредоносные вложения и ссылки.
• Оперативное реагирование на инциденты – сдерживание угроз до их перерастания в более разрушительные атаки.

Усиление безопасности с помощью решений резервного копирования

Хотя раннее обнаружение на начальном этапе предотвращает многие инциденты, программы-вымогатели остаются прибыльным предприятием для киберпреступников. Опрос показал, что 17% нарушений в 2022 году были связаны с программами-вымогателями — статистика, которая не меняется в последние годы.

Средний спрос на программы-вымогатели теперь превышает $800 000, а простои для многих жертв длятся неделями. Чтобы защититься от таких изнурительных атак:

• Используйте изолированное резервное копирование — храните данные в автономном режиме, недоступном для сети.
• Разработайте планы реагирования на инциденты – установите протоколы, готовые к обнаружению
• Провести оценку киберстрахования – компенсировать финансовые последствия атаки

Благодаря надежному планированию на случай непредвиденных обстоятельств организации могут свести к минимуму сбои в работе бизнеса и восстановить системы, чтобы вернуться к операционной стабильности.

Защита ПЛК, доступных через Интернет

Программируемые логические контроллеры (ПЛК) составляют сердцевину OT-инфраструктуры, управляя физическими процессами с помощью автоматизированных процедур. Однако ПЛК, доступные через Интернет, представляют значительный риск, предоставляя злоумышленникам открытую дверь в основные системы управления.

Уязвимые ПЛК должны быть:

• Размещено за брандмауэрами – Ограничить внешнее общение.
• Изолирован от корпоративных сетей – Ограничьте горизонтальное перемещение
• Мониторинг с помощью поведенческой аналитики – обнаружение аномальных действий

Хотя полная изоляция воздушным зазором идеальна, она непрактична для многих устаревших систем. В таких случаях строгий контроль и тщательный мониторинг каналов связи имеют важное значение.

Обеспечение строгого контроля доступа

Помимо усиления внешних барьеров безопасности, следующая линия обороны заключается в обеспечении строгого контроля доступа в средах ОТ. Это подразумевает:

• Сегментация сети — разделение доменов в зависимости от потребностей подключения.
• Управление доступом на основе ролей (RBAC) — разрешайте только необходимые привилегии пользователя.
• Журнал аудита – отслеживание попыток доступа.
• Многофакторная аутентификация (MFA) — принудительное использование вторичных учетных данных для входа в систему.

Эти меры управления идентификацией и доступом создают последовательные уровни безопасности, предотвращая посягательство злоумышленников на критически важные активы.

Основы управления рисками поставщиков

Хотя стороннее программное обеспечение часто оптимизирует инфраструктуру ОТ, уязвимости в этих приложениях создают возможности для злоумышленников. Организации должны:

• Проводить проверку безопасности поставщиков – проверять целостность кода.
• Тестирование программного обеспечения перед развертыванием — выявление недостатков или бэкдоров
• Обеспечьте контроль изменений для обновлений – Управление исправлениями

Внедрение проверок безопасности в рабочие процессы закупок и развертывания сводит к минимуму риски, связанные с поставщиками.

Оценка рисков перед изменением контроля

Хотя изменения в логике и параметрах ПЛК необходимы для модернизации системы и оптимизации процесса, они изменяют среду ОТ. Перед развертыванием организации должны:

• Выполните автономное тестирование – оцените влияние в средах моделирования.
• Провести картографирование зависимостей. Определить связанные системы для оценки последующих эффектов.
• Внедрить рабочие процессы утверждения изменений – обеспечить контроль за всеми изменениями.

Такие расчетные меры снижают вероятность возникновения неправильных конфигураций или нестабильности, возникающих в результате изменений в управлении.

Подготовка к критическому воздействию системы ОТ

Несмотря на обширные меры защиты, серьезные атаки все равно могут нарушить доступность и целостность инфраструктуры. Понимание наихудших сценариев необходимо для планирования реагирования. Лидеры должны оценить:

• Потеря производительности и дохода — оцените финансовый ущерб от простоев
• Целевые показатели времени восстановления. Определите максимально допустимое время простоя.
• Непредвиденные обстоятельства, связанные с ручным управлением — предусмотрите резервные процедуры перехода

В то время как кибератаки направлены на преодоление защиты, комплексный анализ последствий и планирование мер по смягчению последствий ограничивают возможности злоумышленников наносить долгосрочный ущерб.

Обнаружение и предотвращение попыток манипуляции

Помимо потери доступности, угрозы также стремятся манипулировать физическими процессами через захваченные ОТ-системы. Тактика включает:

• Изменение уставок для срабатывания сбоев безопасности
• Манипулирование входными сигналами датчиков для маскировки проблем
• Нарушение автоматизированных последовательностей путем вмешательства в логику управления

Противодействие таким попыткам требует:

• Глубокое понимание процесса – распознавание аномальных отклонений
• Расширенный поведенческий мониторинг: используйте машинное обучение для обнаружения аномалий.
• Избыточность системы – возврат управления альтернативным активам в случае компрометации

Благодаря тщательному анализу системы злоумышленники с трудом могут нарушить работу инфраструктуры, не обнаружив ее, что сокращает окно атаки.

Комплексные упражнения по готовности к инцидентам

Способность реагировать во время кризисов зависит от подготовки. Комплексные планы реагирования должны:

• Назначьте группы реагирования на кризисы с определенными ролями.
• Опишите протоколы коммуникации между заинтересованными сторонами
• Установить процедуры быстрой изоляции для сдерживания угроз
• Интегрируйте стратегии по связям с общественностью для предоставления точных обновлений.
• Запланируйте учения по имитации инцидентов для проверки реагирования на стресс-тесты

Благодаря надежным сценариям, охватывающим обнаружение, реагирование, восстановление и внешнее взаимодействие, организации могут ориентироваться в неспокойных событиях.

Ключевые выводы: защита критически важной инфраструктуры

Защита критической инфраструктуры от развивающихся киберугроз требует постоянной бдительности с помощью следующих важных стратегий:

• Изолируйте и укрепите OT-системы, чтобы свести к минимуму возможности атак.
• Укрепить внешние периметры и обеспечить строгий внутренний контроль
• Разрабатывайте многоуровневую защиту сетей, конечных точек, идентификаторов и данных.
• Отслеживайте системы и трафик для выявления вторжений
• Подготовьте протоколы реагирования, устойчивости и восстановления.

Поскольку киберугрозы продолжают расти во всем мире, инфраструктурные компании должны сотрудничать с ведущими фирмами по обеспечению безопасности, чтобы укрепить свои сайты с помощью многоуровневой защиты. Создание устойчивой защиты сейчас помогает предотвратить будущие катастрофы.

Внедрение дублирующих мер безопасности усложняет первоначальное проникновение на сайты злоумышленникам. Это также гарантирует, что операторы смогут обнаруживать угрозы и реагировать на них до того, как небольшие проблемы перерастут в операционные сбои.

Часто задаваемые вопросы

Как организации могут реагировать на фишинговые атаки, нацеленные на ОТ-системы?

Чтобы предотвратить атаки на инфраструктуру, руководители служб безопасности должны внедрить комплексные меры защиты электронной почты, провести обучение по кибербезопасности, чтобы помочь сотрудникам выявлять угрозы, и иметь процедуры быстрого реагирования на инциденты, чтобы сдерживать вторжения до их распространения.

Каковы наилучшие методы обеспечения безопасности ПЛК с доступом через Интернет в средах OT?

Минимизация рисков, связанных с ПЛК, подключенными к Интернету, предполагает размещение их за межсетевыми экранами, изоляцию от корпоративных сетей, ограничение связи только для основных потребностей и внедрение постоянного поведенческого мониторинга для обнаружения аномалий. Полное разделение воздушного зазора идеально подходит там, где это осуществимо.

Как комплексный план реагирования на инциденты может повысить безопасность ОТ в критически важной инфраструктуре?

Наличие надежных планов реагирования на инциденты помогает организациям находить и останавливать угрозы, чинить затронутые системы, выгонять злоумышленников, возобновлять работу служб, общаться со всеми вовлеченными и затруднять будущие атаки. Они позволяют предпринимать решительные, но расчетливые действия во время бурных событий.