eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plWiadomościTechnologieInternet › Jak administracja zdalna zagraża bezpieczeństwu systemu ICS

Jak administracja zdalna zagraża bezpieczeństwu systemu ICS

2018-09-25 12:24

Jak administracja zdalna zagraża bezpieczeństwu systemu ICS

Sieć przemysłowa © metamorworks - Fotolia.com

Ataki na systemy kontroli przemysłowej (ICS) nie są już żadnym novum. Tym bardziej zaskoczeniem nie powinny być rezultaty najnowszego badania Kaspersky Lab, którego autorzy wskazują na kolejne zagrożenie dla sieci przemysłowych. Tym razem mowa jest o legalnych narzędziach administracji zdalnej (ang. Remote Administration Tools, RAT), które nader chętnie wykorzystywane są przez cyberprzestępców do instalowania oprogramowania ransomware, koparek kryptowaluty czy kradzieży poufnych danych. Problemu nie powinno się bagatelizować, ponieważ może on dotyczyć niemal co trzeciego systemu ICS.

Przeczytaj także: Systemy ICS pod ostrzałem

Administracja zdalna to - jak sama nazwa wskazuje - legalne oprogramowanie zapewniające zdalny dostęp do komputerów. Narzędzia te służą pracownikom przedsiębiorstw przemysłowych i w istotnym stopniu potrafią przyczyniać się do oszczędzania zasobów. Niestety. Okazuje się również, że stanowią też łakomy kąsek dla cyberprzestępców, którzy uzyskują za ich pośrednictwem dostęp do wykorzystywanych w przemyśle komputerów.

Raport autorstwa należącego do Kaspersky Lab zespołu ICS CERT potwierdza, że administracja zdalna jest powszechnie wykorzystywana w niemal wszystkich branżach przemysłowych. Narzędzia RAT są instalowane na niemal co trzecim komputerze ICS chronionym przez produkty Kaspersky Lab. Co ważniejsze, prawie jedna piąta z nich jest związana z oprogramowaniem ICS. Sprawia to, że są one mniej widoczne dla administratorów systemu, a w konsekwencji — atrakcyjniejsze dla atakujących.

fot. metamorworks - Fotolia.com

Sieć przemysłowa

Narzędzia administracji zdalnej zagrażają bezpieczeństwu sieci przemysłowych.


Według badania szkodliwi użytkownicy wykorzystują wspomniane oprogramowanie do:
  • uzyskiwania nieautoryzowanego dostępu do atakowanej sieci,
  • infekowania sieci szkodliwymi programami w celu szpiegostwa i sabotażu, a także nielegalnych zarobków przy użyciu programów żądających okupu, jak również do uzyskiwania dostępu do zasobów finansowych za pośrednictwem zaatakowanych sieci.

Największym zagrożeniem związanym z korzystaniem z narzędzi administracji zdalnej jest możliwość uzyskania w zaatakowanym systemie szerszych uprawnień. W praktyce oznacza to zdobycie nieograniczonej kontroli nad przedsiębiorstwem przemysłowym, co może skutkować dużymi stratami finansowymi i szkodami fizycznymi. W tym celu często przeprowadza się atak siłowy, który polega na próbie odgadnięcia hasła poprzez sprawdzanie wszystkich możliwych kombinacji znaków. Chociaż atak siłowy stanowi najpopularniejszy sposób na przejęcie kontroli nad narzędziem administracji zdalnej, atakujący mogą również sprawdzić samo oprogramowanie pod kątem możliwych do użycia luk.
Sytuacja związana z przemysłowymi systemami sterowania z zainstalowanymi narzędziami administracji zdalnej jest niepokojąca, ponieważ wiele organizacji nawet nie podejrzewa, jak duże jest potencjalnie zagrożenie związane z tym oprogramowaniem. Na przykład od jakiegoś czasu obserwujemy ataki na firmy z branży motoryzacyjnej, gdzie na jednym z komputerów zainstalowane jest narzędzie RAT. W efekcie na przestrzeni kilku miesięcy podejmowane są regularne próby instalowania na tym komputerze różnych szkodliwych programów; nasze produkty zabezpieczające blokują w każdym tygodniu co najmniej dwie takie próby. Jeśli organizacja ta nie byłaby należycie chroniona, konsekwencje mogłyby być co najmniej nieprzyjemne. Jednak nie oznacza to, że firmy powinny natychmiast usunąć ze swoich sieci oprogramowanie umożliwiające dostęp zdalny. Są to bardzo przydatne aplikacje, które pozwalają oszczędzać czas i finanse. Jednak ich obecność w sieci powinna być traktowana z ostrożnością, zwłaszcza w sieciach ICS, które często są częścią urządzeń infrastruktury krytycznej — powiedział Kirył Krugłow, starszy badacz ds. cyberbezpieczeństwa z zespołu ICS CERT, Kaspersky Lab.

Aby zmniejszyć ryzyko cyberataku z użyciem narzędzi administracji zdalnej, zespół ICS CERT zaleca podjęcie następujących technicznych środków zabezpieczających:
  • Sprawdzaj użycie aplikacji i systemowych narzędzi administracji zdalnej stosowanych w sieci przemysłowej, takich jak VNC, RDP, TeamViewer czy RMS. Usuń wszystkie narzędzia administracji zdalnej, które nie są używane przez procesy przemysłowe.
  • Przeprowadź audyt i wyłącz narzędzia administracji zdalnej, które są powiązane z oprogramowaniem ICS (szczegółowe instrukcje znajdziesz w dokumentacji oprogramowania), i upewnij się, że nie są one używane przez procesy przemysłowe.
  • Uważnie monitoruj i rejestruj zdarzenia podczas każdej sesji kontroli zdalnej, której żądają procesy przemysłowe; dostęp zdalny powinien zostać domyślnie wyłączony i aktywowany tylko na żądanie i na określony czas.

Przeczytaj także

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: