Защита данных
InfoWatch Центр расследований События DLP. Персоны. Файлы. Доступ. Устройства. Риски. Аналитика
InfoWatch Data Discovery Аудит хранения данных
InfoWatch Data Access Tracker Аудит учётных записей и изменений в службе каталогов
InfoWatch Traffic Monitor DLP: защита данных от утечек
InfoWatch Vision Визуальная аналитика и граф связей
Мониторинг действий сотрудников Для расследований инцидентов ИБ
InfoWatch Prediction UBA: предиктивная аналитика
Защита сетевой инфраструктуры
InfoWatch ARMA Стена (NGFW) Межсетевой экран нового поколения
InfoWatch ARMA Industrial Firewall Защита АСУ ТП на сетевом уровне и соответствие требованиям ФСТЭК
InfoWatch ARMA Management Console Единый центр управления системой защиты InfoWatch ARMA
InfoWatch ARMA Industrial Endpoint Средство защиты информации рабочих станций и серверов SCADA
Помочь с выбором? Расскажем, какие задачи решают конкретные продукты и что подойдет именно вам.
Связаться с нами
Бизнес-задачи
Защита конфиденциальной информации
Управление рисками информационной безопасности
Соответствие требованиям регуляторов
Кибербезопасность АСУ ТП
Инцидент ИБ и расследования с помощью мониторинга активности
Отраслевые решения
Государственные органы
Промышленность
Финансовый сектор
Энергетика
Оборонно-промышленный комплекс
Медицина и фармацевтика
Ритейл
Телекоммуникации
Помочь с выбором? Расскажем, какие задачи решают конкретные продукты и что подойдет именно вам.
Связаться с нами
Техническая поддержка
Консалтинг
Программа поддержки
Утечки информации
Новости ИБ
Аналитические отчеты
Дайджесты и обзоры
О компании
Контакты
Пресс-центр
Партнеры
Карьера
Линия доверия
Патенты
Акционерам
Вебинары
Мероприятия
Блог Натальи Касперской
FAQ
RU EN AE
Заказать демо
+7 495 22-900-22 +7 499 37-251-74
Заказать демо
InfoWatch Аналитика Дайджесты и обзоры Рекомендации по защите промышленных сетей АСУ ТП от кибератак
Аналитика информационной безопасности
Экспертно-аналитический центр InfoWatch более десяти лет собирает и анализирует данные в сфере информационной безопасности, публикует аналитические отчёты, дайджесты и новости.
Основное внимание — утечкам персональных данных, безопасности цифровой экономики, защите автоматизированных систем управления.
17 октября 2025

Рекомендации по защите промышленных сетей АСУ ТП от кибератак

Важность защиты от кибератак в сфере операционных технологий выросла в последние годы. В прошлом году кибератаки на промышленные предприятия, как и ранее, только в больших масштабах, были направлены на причинение значительного ущерба производственной инфраструктуре. Об этом говорится в исследовании о кибератаках компании Dragos «OT Cybersecurity Action Guide».

Наиболее значимые факторы роста кибератак на операционные технологии

  • Активизация геополитических киберопераций против промышленных объектов
  • Группы программ-вымогателей переключаются на специфические для операционных технологий направления атак
  • Методы "living off the land" (LOTL) позволяют проводить постоянные атаки на промышленные сети
  • Рост использования уязвимостей в устройствах АСУ ТП, подключенных к Интернету

Активизация геополитических киберопераций против промышленных объектов

Происходит объединение спонсируемых государством групп, вымогателей и хактивистов. В прошлом году наблюдалась целая палитра атак на промышленные предприятия. От разрушительных атак вайперов на энергетические и телекоммуникационные сети до программ-вымогателей, атаковавших производственные и водоочистные сооружения. Киберпреступные группировки меняют свою тактику быстрее, чем службы информационной безопасности обеспечивают надлежащую защиту.

Группы программ-вымогателей переключаются на специфические для операционных технологий направления атак

Использование механизмов удаленного доступа сделало промышленные сети особенно уязвимыми. Незащищенные шлюзы удаленного доступа в сетях операционных технологий позволяют киберпреступникам развертывать ВПО, которое шифрует инженерные рабочие станции, человеко-машинный интерфейс и промышленные базы данных. Без встроенного обнаружения угроз эти атаки остаются незамеченными до тех пор, пока они непосредственно не повлияют на время безотказной работы и безопасность.

Методы "living off the land" (LOTL) позволяют проводить постоянные атаки на промышленные сети

Злоумышленники все чаще используют методы "living off the land" (LOTL), используя встроенные протоколы АСУ ТП и ПО администрирования, чтобы избежать обнаружения. Примером такого поведения могут служить такие группы, как BAUXITE, известная своей устойчивостью к SSH в промышленных сетях, и KAMACITE, которая использует PowerShell для обеспечения доступа к энергетическим сетям. В прошлом году злоумышленники использовали протоколы АСУ ТП, включая Modbus TCP и DNP3. Группы программ-вымогателей также использовали встроенные средства администрирования, чтобы скрывать вредоносные действия и оставаться незамеченными в течение длительного периода времени. Только мониторинг с глубоким пониманием протоколов АСУ ТП поможет выявить действия злоумышленников.

Рост использования уязвимостей в устройствах АСУ ТП, подключенных к Интернету

Использование уязвимостей в устройствах АСУ ТП, подключенных к Интернету, остается актуальной проблемой. 100% обнаруженных целей BAUXITE были доступны через Интернет, что указывает на то, что злоумышленники отдают предпочтение слабо защищенным и удаленным точкам входа. Организации, которые продолжают эксплуатировать незащищенные промышленные активы без дополнительных мер контроля, оставляют критически важную инфраструктуру уязвимой для сканирования, кражи учетных данных и удаленного использования. Сегментация сети и сокращение площади атак имеют решающее значение, но они должны дополняться активным мониторингом трафика АСУ ТП для выявления попыток разведки на ранней стадии и несанкционированного доступа.

Системы безопасности должны эволюционировать, чтобы противостоять растущим угрозам. 45% промышленных организаций, которые по-прежнему не имеют полного доступа к своим средам операционных технологий, не могут обнаружить заражение вредоносными программами, несанкционированный доступ или злоупотребление промышленными протоколами. Они не могут оценить весь масштаб атаки, что делает практически невозможным ее локализацию и смягчение последствий. По мере усиления киберугроз для промышленных предприятий основными приоритетами в области безопасности должны стать мониторинг сети в режиме реального времени, упреждающий поиск угроз, дополненные специальным планом реагирования на инциденты в промышленных сетях, защищенной архитектурой, безопасным удаленным доступом и основанным на оценке рисков подходом к защите уязвимостей активов внутри сетей операционных технологий.

5 направлений защиты от злоумышленников

  • Разработка плана реагирования на инциденты в промышленных сетях
  • Надежная архитектура
  • Видимость и мониторинг сети операционных технологий
  • Безопасный удаленный доступ
  • Риск-ориентированный подход к управлению уязвимостями

Разработка плана реагирования на инциденты в промышленных сетях

Большинство случаев, отмеченных Dragos, были связаны с компрометацией программами-вымогателями: в 25 процентах случаев это приводило к полному отключению сегмента операционных технологий, а в 75 процентах - к сбою в работе. Двадцать процентов всех инцидентов были связаны с использованием удаленного доступа, включая уязвимости приложения удаленного доступа и протокола удаленного рабочего стола (RDP) из корпоративной ИТ-сети. План реагирования на инциденты АСУ ТП должен быть направлен на обнаружение, локализацию и восстановление после киберинцидентов без нарушения производственных операций и ущерба для безопасности. План должен быть действенным, протестированным и интегрированным между подразделениями безопасности, инженерными подразделениями и оперативными службами, чтобы обеспечить скоординированное и эффективное реагирование.

Надежная архитектура

Dragos подсчитал, что организации, которые не использовали сегментацию сети, сталкивались с более длительным временем восстановления после кибератак, более активными усилиями по реагированию на инциденты, более серьезными простоями производства и более высокими затратами на устранение неполадок. Построение защищенной архитектуры уменьшит вероятность атаки, ограничит перемещение злоумышленников по сети и обеспечит взаимодействие только авторизованных пользователей и систем со средами операционных технологий. Это обеспечит непрерывность бизнеса и целостность системы.

Видимость и мониторинг сети операционных технологий

45% организаций, которые оценивал Dragos, не имеют полной видимости и мониторинга своих сетей операционных технологий. Это означает, что эти организации до сих пор не знают, были ли они атакованы, или нет. Раннее обнаружение угроз может предотвратить превращение незначительных проблем безопасности в серьезные сбои в работе. Для этого требуется постоянная информация обо всех активах, коммуникациях, аномалиях и поведении угроз в среде операционных технологий.

Безопасный удаленный доступ

В 65 процентах организаций, которые оценивал Dragos, были небезопасные конфигурации удаленного доступа. Любое постоянное удаленное подключение является потенциальной точкой входа. Безопасный удаленный доступ позволяет доверенным пользователям и поставщикам подключаться к средам операционных технологий, блокируя нежелательные посещения. В целом, удаленный доступ должен строго контролироваться, регистрироваться и использоваться только при необходимости.

Применяйте риск-ориентированный подход к управлению уязвимостями

Злоумышленники активно отслеживают информацию об уязвимостях OEM-производителей и быстро используют вновь выявленные слабые места в операционных технологиях. Службы безопасности должны определять приоритетность уязвимостей, исходя из информации, какие уязвимости активно используют злоумышленники, и использовать компенсирующие средства контроля там, где исправление невозможно. Исправление систем операционных технологий не так просто, как обновление конечных точек в офисном сегменте. Многие критически важные ресурсы АСУ ТП невозможно перевести в автономный режим без сбоев в работе. Это делает традиционный подход “исправлять все” непрактичным. Управление уязвимостями, основанное на оценке рисков, позволяет организациям сосредоточиться на наиболее важных уязвимостях, а не применять исправления без разбора. Там, где исправление невозможно, применяйте альтернативные меры по снижению риска, такие как сегментация сети, правила межсетевых экранов и ограничения доступа.

Источник: Dragos

Аналитика ИБ – это новые исследования каждый месяц
В отчётах есть данные, тенденции, выводы, которые необходимы в работе
Все дайджесты и обзоры

Похожие материалы

Аналитические отчеты
смотреть
Внутренние нарушители: отчет об утечках данных за несколько лет
19.11.2025
Дайджесты и обзоры
смотреть
Рост кибератак на интернет вещей охватывает новые отрасли
24.11.2025
Утечки информации
смотреть
Asahi оценила количество пострадавших от утечки данных
04.12.2025