Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

Ipari rendszerek kiberbiztonsági statisztikái a Kaspersky Lab-tól

2016. július 12. - icscybersec

Július 11-én a Kaspesky Lab Security Intelligence csapata két PDF-et publikált. Az elsőben az ICS rendszerek rendelkezésre állási statisztikáit, a másodikban az ICS sérülékenységek statisztikáit összegezték. A mai posztban ezeket fogom röviden áttekinteni, illetve az ICS sérülékenységi adatoknál a saját, 2016-ra vonatkozó gyűjtéseimmel kiegészíteni.

A Kaspersky kutatása alapvetően a nyílt forrású adatokra (Open Source Intelligence, OSINT) és publikusan elérhető információkra (pl. ICS-CERT publikációk, különböző ICS gyártók publikációi, stb.) épített és a 2015-ös évre fókuszált.

Annak ellenére, hogy az ICS biztonság területén a mai napig alapvetésnek számít, hogy ipari eszközöket és rendszereket ne csatlakoztassunk az Internetre, a kutatók több, mint 188 ezer ICS eszközt (és ezekben több, mint 220 ezer ICS komponenst) találtak az Interneten keresve (ez egyáltalán nem tűnik nehéz feladatnak, pl. a Shodan keresőjét használva). Az Interneten elérhetó ICS eszközök a világ 170 országában üzemelnek, vagyis globálisan létező rossz gyakorlatról beszélhetünk, azonban első helyen az USA áll (a kutatás során vizsgált ~13 ezer rendszer 30,5%-a itt üzemel). Európában az első helyen Németország (13,9%-kal), a második helyen Spanyolország (5,9%-kal), a harmadik helyen pedig Franciaország (5,6%-kal) áll (Magyarország a Top20-as listán nem szerepel).

A legtöbb, Interneten elérhető ICS rendszer az alábbi 10 gyártó termékei közül kerül ki:

1. Tridium (24446)
2. Sierra Wireless (17908)
3. Beck IPC (14837)
4. Digi International (12367)
5. SMA (11904)
6. Siemens (11232)
7. Moxa (11208)
8. HMS Industrial Networks AB (7680)
9. Lantronix (7533)
10. Westermo (5908)

Az ICS rendszerek komponensei közül a legtöbb sérülékenységet az alábbi 5 kategóriában találták:

1. ICS hálózati eszközök (61355)
2. PLC-k (33080)
3. SCADA rendszerek (22624)
4. Inverterek (19530)
5. HMI-k (15549)

Szintén régóta ismert probléma, hogy a legtöbb ipari rendszerek elavult és/vagy titkosítás nélküli protokollokat használ, ami tovább növeli az egyébként sem alacsony kockázatokat. A Kaspersky kutatási eredményei is mutatják, hogy a legnagyobb számban használt, problémás protokollok között még mindig túlsúlyban vannak a nem ICS-specifikus (vagyis elvileg könnyebben biztonságosabbra cserélhető) protokollok:

1. HTTP (116900)
2. Telnet (29586)
3. Niagara Fox (20622)
4. SNMP (16752)
5. Modbus (16233)

A Kaspersky kutatásából az is nagyon jól látszik, hogy a Stuxnet 2010-es nyilvánosságra kerülése után alig másfél év kellett ahhoz, hogy az ICS rendszerekben felfedezett sérülékenységek megtízszereződjenek. Ez a szám az azóta eltelt években sem csökkent számottevően, jellemzően 150 és 190 közötti sérülékenységet találnak a gyártók és kutatók minden évben a különböző ICS rendszerekben (ebből a szempontból várhatóan a 2016-os év sem fog javulást hozni, már amennyire ezt a saját gyűjtésem alapján látom, az év első 6 hónapjában 66 különböző bejelentésben 135 ICS sérülékenység jelent meg és ennél minden bizonnyal többet fedeztek fel, csak én nem tudok mindegyikről). Tovább árnyalja a képet, hogy a 2015-ben felfedezett sérülékenységek 49%-a magas, további 42%-a közepes kockázati besorolást kapott (CVSSv2 és CVSSv3 pontozások alapján) és közel 92%-uk távolról is kihasználható - ugyanez a megoszlás a 2016. első féléves adataim alapján az idei sérülékenységek 51%-a magas, 42%-a pedig közepes kockázatú és 88%-uk volt távolról is kihasználható.

Komponensek szerint bontásban a legtöbb sérülékenységet az alábbi ICS komponensekben találták:

1. HMI-k
2. Elektromos eszközök (ebbe a kategóriába többek között gázdetektorok, szivattyúk, relévezérlők, stb. tartoznak)
3. SCADA rendszerek
4. ICS hálózati eszközök

Már hosszú évek óta nyilvánvaló tény, hogy a különböző ipari rendszerek esetén az izoláció nem elégséges biztonsági intézkedés, különösképpen nem úgy, hogy ez a fajta izoláció gyakran csak az üzemeltetők/fejlesztők/biztonsági szakemberek fejében létezik és különböző (üzleti, technológiai, stb.) indokok miatt az ICS rendszerek már régen össze lettek kapcsolva a vállalati hálózattal, sok esetben pedig az Internettel is. Ez azt eredményezte, hogy az ICS rendszerek kockázatai nagyságrendekkel megnőttek, a különböző kritikus infrastruktúrák elleni támadások pedig azt is bizonyítják, hogy ezek a rendszerek egyre inkább a támadók érdeklődésének homlokterébe kerülnek (ezt láttuk a 2015 decemberi ukrajnai incidens során is). Ezeket a kockázatokat csak az ICS rendszerek üzemeltetői és fejlesztői közötti szorosabb és sokkal aktívabb együttműködéssel lehet elfogadható mértékűre csökkenteni.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr218883916

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása