Итак, вредоносные атаки на важные объекты инфраструктуры неизбежны. Что дальше?

Бизнес

Недавно мы опубликовали исследование, которое рисует довольно мрачную картину. Четверть организаций, обслуживающих критическую инфраструктуру, сообщают о вредоносных атаках. Речь идет о среде, которую, предположительно, любой ценой оберегают от всех видов вторжений. Почему так происходит? Позвольте мне объяснить, почему случаются серьезные нарушения безопасности, и изложить наше представление о должных методах защиты.

wide

Операторы критической инфраструктуры зачастую с неохотой развертывают полномасштабную защиту от вредоносных программ. Они обеспокоены вопросами совместимости, производительности, соответствия и, самое главное: возможным простоем. В критической среде вроде инфраструктуры нефтяной/газовой компании одна минута простоя может стоить от $20 000 до $500 000. Неудивительно, что некоторые компании предпочитают развертывать защиту частично или полагаются на «безопасность вследствие незаметности» (см.»Пять мифов компьютерной безопасности«).

Как показывает наше исследование, истинным врагом является вредоносная программа. Потенциальное воздействие неверно сконфигурированного решения безопасности и рядом не стояло с опустошительными последствиями настоящего взлома. Критические системы подвержены всем видам кибератак, но следующие три типа являются наиболее вероятными:

  • Атака с использованием искушенного кибероружия наподобие Stuxnet. Всегда сложная, всегда направленная, очень трудно отражаемая. По счастью, такие нападения до сих пор не получили широкого распространения.
  • Атака вредоносных программ общего типа. Это наиболее частый случай, вызванный беспечным обслуживанием критических систем управления. Имеет опустошительный эффект в устаревших и во многом незащищенных средах, но едва ли способна навредить современной системе. Наш доклад о защите критической инфраструктуры с подробностями — ссылка.
  • APT. Атака, которая не в стиле Stuxnet, с точки зрения сложности, но все-таки направленная. Как видно из последних исследований нападений (см. наш отчет по EnergeticBear), среды управления в настоящее время используются в качестве отправных точек для дальнейшего проникновения в сеть компании с целью кражи конфиденциальной информации.

Существует высокая вероятность успешной атаки вредоносных программ на критическую среду, и есть множество способов проникновения в систему: через уязвимое программное обеспечение, с помощью социальной инженерии, через USB-накопители и т.п. Какова правильная стратегия защиты компании от этого?
wide2

Мы считаем, что залог в верном сочетании whitelisting (критическая машина работает только cкритическими программами, все остальные блокируются) и современного антивирусного движка с сильным эвристическим методом обнаружения, который защищает от APT, уязвимостей программного обеспечения и т.д. Звучит это не так уж впечатляюще, так как все вендоры предлагают подобную ​​функциональность. Но ключевыми являются правильная конфигурация и использование/обслуживание/обновление. Готовое защитное решение не будет соответствовать требованиям критической среды и может служить причиной того самого простоя, которого так опасаются. Только тщательно настроенное с учетом всех особенностей решение, подогнанное под задачу как инженерами компании, так и экспертами вендора, защитит критическую среду надежно и эффективно.

Подробнее о защите критической инфраструктуры в видео ниже: