Rockwell советует отключать подключенные к Интернету устройства ICS из-за киберугроз

22 мая 2024 г.РедакционныйБезопасность/уязвимости АСУ ТП

Rockwell Automation просит своих клиентов отключить все промышленные системы управления (ICS), которые не предназначены для подключения к общедоступному Интернету, чтобы минимизировать несанкционированную или злонамеренную киберактивность.

Компания заявила, что выпускает рекомендацию из-за «повышенной геополитической напряженности и враждебной киберактивности во всем мире».

С этой целью клиентов просят принять немедленные меры, чтобы определить, есть ли у них устройства, доступные через Интернет, и, если да, отключить те, которые не предназначены для раскрытия.

«Пользователи никогда не должны настраивать свои активы для прямого подключения к общедоступному Интернету», — добавила Rockwell Automation.

«Удаление этой ссылки в качестве превентивного шага уменьшает поверхность атаки и может немедленно снизить подверженность несанкционированной и злонамеренной киберактивности со стороны внешних субъектов угроз».

Кроме того, организации должны убедиться, что они приняли необходимые меры по устранению недостатков и исправления для защиты от следующих недостатков, влияющих на их продукты:

Предупреждение также было распространено Агентством кибербезопасности и безопасности инфраструктуры США (CISA), которое также рекомендует пользователям и администраторам следовать соответствующим мерам, изложенным в руководстве, для снижения риска.

Вредоносное ПО для ПЛК, работающее через Интернет.

Сюда входит рекомендация 2020 года, выпущенная совместно CISA и Агентством национальной безопасности (АНБ), предупреждающая о злоумышленниках, использующих доступные в Интернете активы операционных технологий (OT) для ведения кибердеятельности, которая может представлять серьезную угрозу для критически важной инфраструктуры.

«Кибер-субъекты, в том числе передовые группы постоянных угроз (APT), в последние годы нацелились на системы OT/ICS для достижения политической выгоды, экономического преимущества и, возможно, достижения разрушительных последствий», — отметило АНБ в сентябре 2022 года.

Также было замечено, что злоумышленники подключались к общедоступным программируемым логическим контроллерам (ПЛК) и изменяли логику управления, вызывая нежелательное поведение.

Фактически, недавнее исследование, представленное группой ученых из Технологического института Джорджии на симпозиуме NDSS в марте 2024 года, показало, что можно провести атаку в стиле Stuxnet, скомпрометировав веб-приложение (или человеко-машинный интерфейс). размещенных на веб-серверах, встроенных в ПЛК.

Это предполагает использование веб-интерфейса ПЛК, используемого для удаленного мониторинга, программирования и настройки, с целью получения первоначального доступа, а затем использования законных интерфейсов прикладного программирования (API) для саботажа основных механизмов реального мира.

«Такие атаки включают фальсификацию показаний датчиков, отключение охранной сигнализации и манипулирование физическими триггерами», — говорят исследователи. «Появление интернет-технологий в средах промышленного управления породило новые проблемы безопасности, которых нет в сфере ИТ или потребительских устройств IoT».

Новое веб-вредоносное ПО для ПЛК имеет значительные преимущества перед существующими методами вредоносного ПО для ПЛК, такие как независимость от платформы, простота развертывания и более высокий уровень устойчивости, что позволяет злоумышленнику скрытно выполнять вредоносные действия без необходимости установки вредоносной логики управления.

Для защиты сетей OT и ICS рекомендуется ограничить раскрытие системной информации, контролировать и защищать точки удаленного доступа, ограничивать доступ к сети и контролировать инструменты и сценарии системных приложений для законных пользователей, выполнять периодические проверки безопасности и внедрять динамическую сетевую среду.