Киберугрозы: насколько хорош ваш подход к безопасности производства?

Вирусы-вымогатели: защищено ли ваше производство?

Теперь, когда серверы и клиенты снова начали работать, производственные системы управления, визуализации и контроля периодических процессов восстановлены и предприятия снова выпускают продукцию, — пора проанализировать недавние события.

Я отлично помню, как началась эта атака. По всему Интернету кричащие заголовки: «Вирус-вымогатель! Системные сбои производства! Поставки задерживаются!» Не думаю, что это было хорошим началом теплого летнего дня.

Источником бед стала вредоносная программа под названием Nyetya или NotPetya. Принятый поначалу за криптовымогателя, NotPetya оказался вирусом-стирателем, распространяющимся по типу сетевого червя. Поэтому правильнее называть его червем-стирателем (WiperWorm).

Компании, которые серьезно относятся к безопасности, начали реагировать с большой осторожностью и осмысленностью. Адекватным ответом на угрозу, как правило, было выполнение действий, аналогичных описанным в Руководстве по борьбе с инцидентами в сфере компьютерной безопасности (публикация NIST SP 800-61).

Прежде всего, для того чтобы задержать распространение угрозы, необходимо было оценить масштаб произведенного воздействия и выяснить, чем оно вызвано. К сожалению, часто это оказывалось невозможным.

В ряде случаев червь-стиратель NotPetya проникал почти на все компьютеры под управлением Windows, подключенные к системе управления производством. Перспективы восстановления зараженных систем выглядели весьма плачевно, и следующим логичным шагом в этой ситуации было обращение к их резервным копиям. Если бы таковых не оказалось, пришлось бы отстраивать производственные системы заново, а это очень недешево и занимает массу времени.

Резервные копии подарили многим надежду, но последовательный подход к восстановлению все же потребовал размещения воссозданных заново систем в изолированных сетях, чтобы избежать повторного заражения. Благодаря быстрым действиям специалистов и инженеров по кибербезопасности в распоряжении компаний оказались надежные средства защиты от нового инфицирования. Среди них:

  • Корректировка уязвимости MS17-010, которая позволила предотвратить взлом систем с помощью эксплойтов EternalBlue и EternalRomance.
  • Отключение
  • Настройка системного реестра, отключающая административные ресурсы общего пользования (например, C$ и ADMIN$) и блокирующая тем самым один из путей распространения червя.

На пути к восстановлению систем ряд компаний столкнулся с еще одной проблемой: некоторые из методов распространения червя-стирателя были напрямую связаны с ключевым функционалом производственных программных приложений. Неразумно было отключать их или ограничивать к ним доступ.

Что же в сухом остатке? А то, что самым эффективным профилактическим средством против червя-стирателя стало строгое выполнение требований безопасности – основа основ, если хотите. Об этом написаны сотни статей, но ключевые идеи можно сформулировать кратко:

  • Повышайте безопасность систем перед их вводом в эксплуатацию.
  • Везде, где только возможно, допускайте ограниченное число учетных записей пользователей.
  • Обновляйте свои системы и не жалейте средств на антивирусные программы и решения по защите компьютеров.

Воспользовавшись услугами по поддержке ваших систем, вы сможете внедрить на своем производстве передовой опыт в обеспечении информационной безопасности.

Действующая подписка на обновления Windows

Эта подписка гарантирует вам получение последних официальных обновлений Windows для промышленных компьютеров. Мы, например, обновляем наши системы в рамках защищенной среды тестирования, чтобы свести к минимуму риски для производства. Доступ к обновлениям можно получить, подключив ваш сервер WSUS (Служба обновлений Windows Server) к нашему надежно контролируемому WSUS-облаку.

После загрузки обновлений на ваш WSUS, их можно перенести на производственные системы согласно составленному вами графику. Наши специалисты по защите и обслуживанию сетей при необходимости помогут вам разработать или модифицировать корпоративную стратегию обновления производственного ПО.

Удаленное управление обновлениями и антивирусной защитой

Такой вид обслуживания способствует смягчению рисков, связанных с задержкой обновления Windows и баз данных антивирусов, а также вызванных ошибками, возникающими в процессе обновления.

Например, мы можем установить надежное удаленное соединение с вашей производственной компьютерной средой, для того чтобы следить за ее состоянием и одновременно управлять инфраструктурными изменениями.

На следующем этапе мы вместе с вами настроим периодичность обновления системы и базы данных антивирусов и установим порядок проверки работоспособности образов и приложений для допуска их к работе на производстве.

Удаленное управление резервными копиями

И наконец, воспользовавшись нашими услугами, вы можете снизить риски, связанные с отсутствием резервных копий и/или доступа к опытным специалистам, что, в конечном счете, позволит вам быстро восстанавливать работу предприятия после сбоев. Данный вид услуг предлагает надежное управление резервным копированием, нацеленное на контроль целостности резервных копий и восстановление систем. Так, например, мы можем:

  • Развернуть программно-аппаратный комплекс для резервного копирования вашей производственной компьютерной среды в полном соответствии с требованиями, предъявляемыми к частоте создания резервных копий и сохранения информации
  • Осуществлять удаленный мониторинг состояния этого комплекса и всех резервных копий
  • По запросу выполнять дистанционное восстановление образов до предыдущего рабочего состояния

Помните: для того чтобы обезопасить свои системы от червя-стирателя, вирусов-вымогателей или любых других вредоносных программ, нужно подготовиться к этим угрозам заранее!

Обновляйте свои системы и повышайте их безопасность, а если не можете предотвратить угрозу, будьте готовы восстановить важнейшие производственные сети с помощью их резервных копий.

Заранее подготовившись к встрече с угрозами, вы сможете наслаждаться стабильной работой предприятия и не думать о необходимости полного восстановления производственных систем.

Защитите свое производство с помощью наших услуг по обеспечению информационной безопасности.

Pascal Ackerman
Размещено 18 Сентябрь 2017 Кем Pascal Ackerman, Senior Consultant of Industrial Cyber Security, Rockwell Automation
  • Контакт:

Контакт

Компания Rockwell Automation и наши партнеры обладают исключительным опытом в проектировании, реализации и поддержке проектов автоматизации.

Подписаться

Откройте для себя продукты, а также инновационные решения и инструменты, о которым мы рассказываем.