Все слышали про ransomware — «программы-вымогатели», которые проникают компьютерную сеть компании и шифруют файлы. Затем злоумышленники предлагают купить ключ расшифровки.

Жертвами атак становятся и госучреждения, и коммерческие компании. Например, недавно пострадал военный IT-подрядчик NJVC, который разрабатывает специализированный софт для кибербезопасности. Хотя в том случае вымогатели, вероятно, получили ответную атаку, поскольку очень быстро отказались от претензий.

Однако госучреждения и IT-компании — не главная мишень.

Согласно отчёту IBM X-Force Threat Intelligence 2022, самый лакомый клиент — это промышленное предприятие. Там каждый час простоя выливается в прямой убыток, поэтому вымогатели получают возможность требовать большой выкуп.

Для атаки на промышленные системы злоумышленники могут эксплуатировать уязвимости в специализированных протоколах связи и устройствах. Например, в в 2021 году эксплуатировалась уязвимость в протоколе Modbus, который используется для коммуникации между PLC-контроллерами в промышленных сетях и системах SCADA. Для Modbus дефолтный порт TCP 502, так что активность зловредов можно проследить по объёму сканирования открытых портов в интернете.



Впрочем, сканирование открытых портов в интернете — это относительно редкий случай. Чаще всего атака на промышленные производства начинается с простого заражения офисных компьютеров. Вот некоторые из самых крупных атак на промышленные производства за последние годы:


Для защиты от подобных атак рекомендуется комплекс мер по усилению информационной безопасности предприятия.

1. Защита физических устройств


Некоторые варианты ransomware нацелены непосредственно на физические девайсы, в том числе маршрутизаторы, умные телевизоры, холодильники и другие устройства интернета вещей (IoT). Их защита начинается с этапа изготовления.

Мы уже рассказывали, как PKI встраивается в конвейер производства устройств IoT. Если вкратце, схема PKIaaS (центр регистрации устройств как сервис) в данном случае может выглядеть так:



  1. Производственный УЦ подписывает ключи на конечных точках. Сервер генерирует уникальные пары открытых/закрытых ключей и отправляет партии запросов на подпись CSR. Из УЦ возвращаются подписанные сертификаты конечных точек, которые распределяются по конвейерам.

  2. УЦ для подписи прошивки создаёт сертификат подписи прошивки. Располагается в безопасном облаке, а доступ к нему осуществляется очень редко и только уполномоченными лицами.

  3. УЦ проверки кода выдаёт сертификаты для отдельных устройств, которые потенциально взаимодействуют с миллионами конечных точек. Уникальная пара ключей генерируется для каждого устройства, открытый ключ отправляется в УЦ для подписания, а сертификаты динамически распространяются по конечным точкам для проверки подписанных критических команд (например, могут использоваться проприетарные сетевые интерфейсы производителя).

На протяжении жизненного цикла устройств платформа IoT Identity поддерживает ряд операций, включая управление сертификатами и ключами, выпуск токенов и безопасную подпись кода.

Теоретически, любые устройства со встроенной электроникой потенциально уязвимы для внедрения бэкдоров, в том числе на этапах проектирования или производства. Угроза присутствует не только для IoT, но в принципе для любой современной техники. Однако криптографическая подпись прошивки и кода гарантирует неизменность и аутентичность программного обеспечения.

Что касается конкретно ransomware, то вместе с надёжной системой бэкапов желательно блокировать основные каналы распространения вредоносного ПО. По оценке Egress, около 90% таких вредоносов распространяется через фишинг по электронной почте. Компания Verizon в отчёте 2021 Data Breach указывает, что фишинг использовался в 36% случаев успешных взломов. В вышеупомянутом отчёте Threat Intelligence 2022 указано, что доля фишинга в качестве вектора атаки за последний год выросла с 33% до 41%.



2. Защита от фишинга


В качестве самой простой и эффективной защиты от фишинга рекомендуются цифровые сертификаты S/MIME для электронной почты. Стандарт S/MIME совместим со всеми популярными почтовыми клиентами. Например, система Ready S/MIME автоматически устанавливает и настраивает сертификаты для Outlook под Windows.



S/MIME (Secure / Multipurpose Internet Mail Extensions) — это стандарт для шифрования и подписи в электронной почте с помощью открытого ключа. При использовании таких сертификатов невозможны никакие манипуляции с сообщением ни на каком этапе:

  • Открытый ключ для проверки подписи прилагается к сертификату, который идёт вместе с письмом. Поэтому почтовому клиенту не нужно полагаться на запись DNS.
  • Организация отправителя в сертификате проверена центром сертификации.
  • Формат имени по стандарту RFC 822 в сертификате точно соответствует полю from, то есть подлинность отправителя гарантируется на уровне адреса электронной почты, а не только на уровне домена.

После установки сертификатов подпись исходящих сообщений из стандартного клиента выполняется автоматически. Процедура установки системы простая и практически не требует участия сотрудников техподдержки, также как и дальнейшая поддержка.

«Компьютерные отделы компаний и так очень заняты, и PKI обычно не входит в число их основных задач, — пишет Лила Ки (Lila Kee), директор по продуктам GlobalSign. — Неудивительно, что при внедрении внутреннего решения PKI возникают различные проблемы. Несмотря на высокий уровень сложности, здесь требуется специфические знания».

Автоматизированные инструменты управления PKI могут быть выгодным вариантом, если учесть экономию времени IT-отдела, экономию на аппаратном обеспечении, ПО, обслуживании, поддержке и т. д.



Рекомендации по управлению PKI относятся в том числе и к производственным компаниям, которые считаются первоочередными мишенями для фишинга с целью установки ransomware.

Поскольку стойкая криптография в виде управляемого PKI и сертификатов S/MIME используется для защиты от криптовымогателей, создаётся впечатление, как будто «хорошая» криптография защищает от «плохой». На самом деле это одни и те же системы шифрования с открытым ключом (асимметричное шифрование). Криптография как математика не может быть «хорошей» или «плохой». Просто ещё один пример обоюдоострого орудия, которое применяют по обе стороны баррикад.

Комментарии (1)


  1. Nixhibrid
    22.10.2022 19:25
    +1

    Ну тут больше вопрос в наборе костылей, ибо всё это в целом костыли для виндовс. Если бы была возможность собирать загрузчики ручками от мелкомягких - была бы и возможность их же подписи при помощи своих ключей из своих PKI отсюда бы получилось нормально использовать базовый функционал SECURE BOOT, вплоть до запрета исполнения неподписанного кода. Но увы и ах. Такое работает только на Unix-подобных и то далеко не всё. Куча танцев с бубном вокруг драйверов на железяки. А так - юзаешь свой внутренний репозиторий и ссышь, что кто-то что-то левое принесет с собой.