Компанія ESET ― лідер у галузі інформаційної безпеки ― представляє аналіз усіх відомих шкідливих фреймворків, які використовуються для атак на фізично ізольовані мережі. Такі мережі фізично ізольовані від будь-яких інших у цілях підвищення безпеки. Саме тому ця практика зазвичай використовується у важливих структурах, таких як системи промислового управління трубопроводами та електромережами, а також системи голосування та системи SCADA.
Звичайно, системи критичної інфраструктури становлять великий інтерес для багатьох кіберзлочинців. Серед них є і APT-групи, які спонсоруються державами. У разі проникнення у фізично ізольовану систему зловмисники можуть перехопити конфіденційні дані, щоб шпигувати за країнами та організаціями.
Тільки у першій половині 2020 року з'явилося 4 раніше невідомих шкідливих фреймворки для проникнення у фізично ізольовані мережі, після чого їх загальна кількість досягла 17.
Використовуючи загальнодоступні дані більш ніж 10 різних організацій та спеціальний аналіз технічних деталей, дослідники розглянули ці фреймворки з метою покращення безпеки фізично ізольованих мереж та виявлення атак у майбутньому. Спеціалісти ESET порівняли всі відомі алгоритми, виконавши кореляцію зразків, навіть тих, які були створені 15 років назад, та виявили основні їх подібності.
«На жаль, кіберзлочинцям вдалося знайти способи атакувати ці системи. У той час як фізично ізольовані мережі стають поширенішими, а організації інтегрують інноваційні способи захисту своїх систем, кіберзлочинці вдосконалюють свої навички для виявлення нових уразливостей, які можна використати», ― коментують дослідники ESET.
«Для організацій з критично важливими інформаційними системами та секретною інформацією втрата даних може завдати величезної шкоди. Потенціал цих фреймворків викликає велике занепокоєння. Результати досліджень показують, що всі фреймворки призначені для шпигунства і всі вони використовують USB-накопичувачі як фізичне середовище для передачі даних у фізично ізольовані мережі та з них», ― додають дослідники ESET.
Виявивши ризики, спеціалісти ESET підготували ряд порад, які допоможуть виявити шкідливі фреймворки та захиститися від них.
Запобігайте несанкціонованому доступу до пошти на підключених хостах.
Це може бути реалізовано за допомогою архітектури ізоляції браузера або електронної пошти, де всі дії з поштою виконуються в окремому ізольованому віртуальному середовищі.
Відключайте USB-порти та видаляйте конфіденційні дані з USB-накопичувачів.
Фізичне видалення або відключення USB-портів на всіх системах у фізично ізольованих мережах є досить ефективним захистом. Хоча такі дії можуть бути неприйнятними для деяких організацій, варто обмежити використання USB-портів за винятком деяких систем.
Обмежуйте виконання файлів на змінних пристроях.
Деякі методи, які використовуються для компрометації фізично ізольованих систем, передбачають пряме виконання файлу. Цього можна уникнути за допомогою налаштування відповідних політик доступу до змінних сховищ.
Здійснюйте регулярний аналіз системи.
Регулярний аналіз фізично ізольованих систем для перевірки їх на наявність шкідливих фреймворків має важливе значення для безпеки даних.
Варто зазначити, що продукти для захисту робочих станцій здатні виявляти та блокувати кілька класів експлойтів, які використовують різні уразливості. Тому використання таких рішень є важливим аспектом для захисту систем.
«Підтримка повністю фізично ізольованої системи надає переваги додаткового захисту. Однак, як і всі інші механізми безпеки, фізично ізольовані мережі не можуть перешкодити зловмисникам використовувати застарілі системи або необізнаність співробітників», – коментують дослідники ESET.
Більш детальна інформація про шкідливі фреймворки доступна за посиланням.
Читайте також:
Від інциденту до вирішення: основні кроки протидії та відновлення у випадку кібератаки
Технологія розумного міста: у чому небезпека швидкого розвитку смарт-технологій
Підключення невідомих USB-накопичувачів: основні ризики та поради для захисту