Google и hh.ru для поиска уязвимостей

Аватар пользователя cwZerro
Автор: Коржов Валерий, журнал "Connect. Мир информационных технологий"
(0)
()
Компания Positive Technologies выпустила свой отчёт по анализу уязимостей в системах SCADA. Хотя я и не люблю анализ уязвимостей, по причинам, о которых уже рассказывал, однако тема уязвимостей в АСУ ТП новая и интересная. Она стала популярна после истории с Stuxnet - и это хорошо видно по материалам отчёта. Активность по поиску уязвимостей возросла как раз в 2010 году, когда, собственно, Stuxnet и был обнаружен. Причем компания Siemens, на продукцию которой был нацелен этот вредонос, даже организовала специальное подразделение, которое занимается поиском и устранением уязвимостей. В результате, именно в продукции этой компании было найдено больше уязвимостей, чем во всех остальных. Но означает ли это, что все остальные решения более безопасны?

Команда Positive Technologies проделала всесторонний анализ данных, используя в качестве первоисточников базу вакансий hh.ru для изучения популярности тех или иных компонент АСУ ТП на российском рынке, исходя из предположения, что если ищут специалиста по то или иной системе, то она, скорее всего, у данного клиента установлена. Понятно, что подход не без изъяна, ибо поиск такими образом ведется по наиболее популярным продуктам, специалистов по которым можно найти на открытом рынке. Но с другой стороны, самопальные системы, на обслуживание которых набирают простых программистов, вряд ли выставляют в Интернет, поэтому пока они не сильно повлияют на общие цифры - их оценкой безопасности можно пренебречь.

Второй первоисточник информации о распространении АСУ ТП - Google и другие поисковые системы. С их помощью сотрудники Positive обнаруживали открытые интерфейсы SCADA-приложений, доступных из Интернет. Делалось это, скорее всего, с помощью поиска характерных для встроенных веб-серверов страниц. Понятно, что метод неточен - множество серверов таким способом не нашлось. Собственно, выставлять веб-сервера промышленных контроллеров в Интернет является не очень хорошим тоном - скорее всего это делали компании, которые не задумывались о безопасности, но больше о удобстве обслуживания. Поэтому и результаты такого исследования также несколько хуже, чем в целом по отрасли.

Стоит отметить, что тот же Stuxnet атаковал АСУ ТП не напрямую из Интернет, но с помощью целевой атаки с засылкой вредоносных сообщений и установки троянской программы. Оценить сколько таких потенциальных жертв представленный отчёт не позволяет. Скорее его можно использовать для оценки того, насколько предприятия заботятся о безопасности своих АСУ ТП. К сожалению, про средства защиты для АСУ ТП в отчёте сказано вскользь - только, что они начали появляться. В то же время не совсем понятно почему нельзя для защиты этих систем использовать стандартные межсетевые экраны, системы управления обновлениями и корпоративные антивирусы. В чём состоит особенность этих специальных продуктов - также в отчёте не сказано.

В целом же отчёт достаточно полезен - видна проделанная специалистами Positive работа, есть информация к размышлению. Да и сами выводы достаточно корректны. Особенно понравилось то, что авторы не только проанализировали уязвимости по их критичности, но также оценили их риск с учетом наличия обновлений от производителя и доступности эксплойтов. Также были проанализированы не только уязвимости в наиболее популярных продуктах, но и проведен инструментальный анализ уязвимости найденных с помощью Google по всему миру компонент АСУ ТП с выяснением того, какого типа уязвимости в них присутствуют. Например, было обнаружено, что в 36% случаев ошибки были связаны с неправильным конфигурированием продуктов. Кроме того, результаты исследования были представлены в Siemens, по результатам чего компания исправила несколько своих ошибок. Таким образом, проведённая компанией работа явно сделала АСУ ТП более защищенными.
Оцените материал:
Total votes: 22
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.