Internet/New Media

Kaspersky Lab: atacurile cibernetice incep aproape intotdeauna cu veriga slaba din orice protectie – oamenii

30 Mar, 00:57 • Redactia DailyBusiness
În medie, două din cinci computere care au legătură cu infrastructura tehnică a companiilor din domeniul industrial au fost ținta unor atacuri cibernetice în a doua jumătate a anului 2016. Aceasta este una dintre concluziile raportului Kaspersky Lab "Amenințările în domeniul sistemelor industriale de automatizare, în a doua jumătate a anului 2016".
Kaspersky Lab: atacurile cibernetice incep aproape intotdeauna cu veriga slaba din orice protectie - oamenii


Procentul de computere industriale
atacate a crescut de la peste 17%, în iulie 2016, ajungând să depășească 24% în
decembrie 2016. Primele trei surse de infectare sunt Internetul, dispozitivele portabile
de stocare și fișierele malware atașate la e-mail, împreună cu script-urile
integrate în corpul e-mail-urilor.

Pe măsură ce rețelele companiilor industriale devin tot mai integrate,
tot mai mulți infractori cibernetici își îndreaptă atenția către acestea, ca
potențiale ținte. Exploatând vulnerabilitățile din rețelele și programele folosite
de aceste întreprinderi, atacatorii ar putea să fure informații despre procesul
de producție și chiar să oprească activitatea companiilor.

În acest context, specialiștii Kaspersky Lab ICS CERT au studiat
riscurile la care sunt expuse sistemele industriale de control (Industrial
Control Systems).
 

Cercetarea a arătat că, în a doua jumătate a anului
2016, au fost blocate descărcări de programe malware și accesul la pagini web
de phishing în peste 22% dintre computerele industriale. Acest lucru înseamnă
că fiecare al cincilea aparat s-a confruntat cu riscul de a fi infectat cu
malware și de a-i fi compromise date de autentificare, prin intermediul
Internetului.

Computerele de tip desktop ale inginerilor și angajaților
care lucrează direct cu ICS nu au, de regulă, acces direct la Internet din
cauza constrângerilor reprezentate de rețeaua în care își desfășoară
activitatea. Cu toate acestea, sunt alți utilizatori care au, simultan, acces
la Internet și la ICS.

Potrivit cercetării Kaspersky Lab, aceste computere –
probabil folosite de administratorii de rețea și de sistem, dezvoltatori și
integratori de sisteme industriale de automatizare și de contractori terți care
au nevoie de acces la rețelele tehnlogice, direct sau de la distanță – se pot
conecta fără probleme la Internet pentru că nu sunt legate doar de o rețea industrială,
cu limitările inerente.
Internetul nu e singurul lucru ce amenință securitatea cibernetică în
cazul ICS.

Dispozitivele portabile de stocare infectate sunt o altă amenințare
detectată de cercetătorii companiei. În timpul perioadei de studiu, 10,9%
dintre computerele cu programe ICS instalate (sau conectate cu cele care au
acest software) au prezentat urme de malware atunci când un dispozitiv portabil
a fost conectat la ele.

Fișierele malware trimise ca anexă la e-mail-uri și script-urile
integrate în corpul e-mail-urilor au fost blocate pe 8,1% dintre computerele
industriale, ocupând locul al treilea. În majoritatea cazurilor, atacatorii
folosesc e-mail-uri de tip phishing pentru a atrage atenția utilizatorului și a
ascunde fișiere malware.

Acestea din urmă au fost distribuite cel mai frecvent
în formatul unor documente office ca MS Office și fișiere PDF.

Folosind diferite
tehnici, infractorii s-au asigurat că programele malware erau descărcate și
instalate pe computerele organizațiilor industriale.

Conform cercetării Kaspersky Lab, programele malware, care reprezintă un
pericol semnificativ pentru companii din toată lumea, sunt la fel de periculoase
pentru cele industriale. Malware-ul include spyware, backdoors, programe de tip
keyloggers, malware financiar, ransomware și „wipers” (programe care șterg
fișiere).

Ele pot paraliza complet controlul organizației asupra sistemelor
sale ICS sau pot fi folosite pentru atacuri cu țintă precisă. Acestea din urmă
sunt posibile din cauza anumitor funcții care îi oferă unui atacator numeroase
posibilități de a obține control la distanță.

Analiza noastră
arată că încrederea oarbă în izolarea rețelelor tehnologice de Internet nu mai
funcționează”,
spune Evgeny Goncharov, Head of Critical Infrastructure
Defense Department, Kaspersky Lab.

„Creșterea
amenințărilor cibernetice asupra infrastructurii critice indică faptul că ICS
ar trebui să fie asigurate corespunzător împotriva programelor malware, atât în
interior, cât și în exteriorul sediului. Este, de asemenea, important de notat
că, potrivit observațiilor noastre, atacurile încep aproape întotdeauna cu
veriga slabă din orice protecție – oamenii.

Celelalte concluzii ale raportului Kaspersky Lab „Amenințările în domeniul sistemelor industriale de automatizare, în a doua jumătate a anului 2016” sunt:

  • Fiecare al patrulea atac cu țintă precisă detectat de Kaspersky Lab în 2016 a fost îndreptat către obiective industriale
  • Au fost descoperite aproximativ 20.000 de mostre diferite de malware în sisteme industriale de automatizare, aparținând unui număr de peste 2.000 de familii malware.
  • În 2016, Kaspersky Lab a descoperit 75 de vulnerabilități. 58 dintre ele au fost încadrate în categoria „vulnerabilități critice”
  • Primele trei țări cu computere industriale atacate: Vietnam (peste 66%), Algeria (peste 65%), Maroc (60%).

Pentru a proteja mediul ICS de potențiale atacuri cibernetice, experții Kaspersky Lab recomandă următoarele:        

Să realizeze o evaluare a securității pentru a identifica și îndepărta punctele slabe

       

Să solicite informații din surse externe: informațiile provenite de la companii recunoscute
ajută organizațiile să prevadă atacurile asupra infrastructurii industriale
       

Să facă training-uri angajaților
       

Să protejeze interiorul și exteriorul perimetrului
organizației.
O strategie
eficientă de securitate trebuie să acorde resurse semnificative detecției și
răspunsului în cazul unui atac și să îl blocheze înainte de a ajunge la
obiective de importanță critică.
       

Să evalueze metodele avansate de protecție: Un scenariu de tip Default Deny pentru
sistemele SCADA, teste de
integritate pentru sistemele de control, efectuate la intervale regulate,
monitorizarea specializată a rețelei  –
toate acestea vor reduce riscul unei breșe în securitatea companiei, chiar dacă
unele puncte vulnerabile în mod inerent nu pot fi înlăturate.