Как хакеры атакуют АСУ ТП — исследование InfoWatch

Вышло новое исследование InfoWatch. Его тема — «Тенденции развития киберинцидентов АСУ ТП за 2024 год». В нем собран массив данных о самых атакуемых промышленных отраслях, способах атак, распределении киберпреступных группировок. Особое внимание уделено методам, с помощью которых хакерам удается достигать своих целей. Давайте разбираться.

Один из основных выводов исследования — за последние несколько лет изменился вектор атак на автоматизированные системы управления техпроцессами (АСУ ТП). В 2020 году злоумышленники для проникновения в инфраструктуру чаще всего использовали внешние устройства (24% случаев), банальный фишинг (22%) и устройства удаленного доступа (14%).

По итогам 2024 года самым популярным инструментом стала компрометация учетных данных (20%), атаки на цепочки поставок (15%) и взлом устройств с доступом к интернету (13%). Точкой проникновения в инфраструктуру предприятия чаще всего становятся АРМы (30% атак), SCADA-серверы (25%) и программируемые логические контроллеры (21%).

Ключевой уязвимостью промышленных предприятий является слабая сегментация сетей и аутентификация домена, охватывающая ИТ и АСУ ТП. Корпоративная и промышленные сети зачастую не разделяются, хотя многим предприятиям в силу специфики работы нужно работать в закрытом контуре. Отмечается плохой мониторинг и видимость устройств АСУ ТП, наличие подключенных неуправляемых устройств.

Как показывает мировая практика, меньше всего на киберустойчивость тестируются устройства, подключенные к сети Интернет, и устройства уровня физических процессов – датчики, приводы, исполнительные механизмы.

Обычно тестируют верхний уровень АСУ ТП – SCADA-системы, ЧМИ, а нижний уровень остается без внимания. Наиболее уязвимы устройства, находящиеся на удаленных