Kaspersky Lab ICS CERT: год на боевом посту

Годовщина — хороший повод, чтобы подробнее рассказать, зачем нужен наш ICS CERT, чем занимается и чем отличается от аналогов.

Год назад мы объявили о создании собственного центра реагирования на компьютерные инциденты на индустриальных и критически важных объектах: Kaspersky Lab ICS CERT. И мы решили, что год успешной работы центра — это хороший повод, чтобы подробнее рассказать, зачем он нужен, чем занимается и чем отличается от аналогов.

Зачем нужен Kaspersky Lab ICS CERT

Основная задача нашего ICS CERT — координация действий производителей систем автоматизации, владельцев и операторов промышленных объектов, а также исследователей в области информационной безопасности. Несмотря на то что нашему центру всего год, мы успешно сотрудничаем с основными игроками на рынке систем АСУ ТП, региональными координационными центрами (например, c американским US ICS-CERT и японским JPCERT/CC), а также с международными и государственными регуляторами.

В чем отличие Kaspersky Lab ICS CERT от других центров

Во-первых, все остальные центры реагирования на инциденты в сфере промышленной кибербезопасности либо являются государственными структурами, либо подразделениями производителей средств автоматизации. Первые ограничены интересами государства (как правило, территориально), а вторые нацелены на решение проблем исключительно в своих собственных продуктах. У нас подобных ограничений нет.

Во-вторых, как правило, другие команды CERT в меньшей степени сами занимаются поиском уязвимостей и глубокими исследованиями ландшафта угроз. Они концентрируют свои усилия на обработке информации об угрозах, получаемой извне. Например, от сторонних исследователей и от тех же производителей средств автоматизации. У нас ситуация иная: мы — подразделение ведущего мирового вендора ИБ, а следовательно у нас есть ресурсы, технологии и экспертные навыки для самостоятельного поиска уязвимостей и обнаружения угроз. А самое главное — у нас есть опыт. Ведь «Лаборатория Касперского» более 20 лет борется с киберугрозами и вот уже несколько лет уделяет особое внимание теме промышленных угроз.

Большие данные о реализованных и потенциальных угрозах, которые мы получаем из множества источников по всему миру, анализируются средствами машинного обучения. Результаты корректируются нашими экспертами. В итоге наш ICS CERT  выявляет угрозы, которые способны нанести вред именно системам промышленной автоматизации.

Чем конкретно занимается Kaspersky Lab ICS CERT

Наш CERT ведет работы в нескольких направлениях и охватывает широкий круг задач: надо поделиться с сообществом экспертными знаниями, продемонстрировать партнерам технические возможности, привлечь внимание к проекту профессионалов в области защиты промышленных предприятий, инженеров и операторов.

Поиск уязвимостей в промышленных системах. Наши эксперты постоянно исследуют различные системы АСУ ТП и IIoT-устройства, оценивают уровень их безопасности, обнаруживают новые уязвимости. За прошедший год мы обнаружили более 100 уязвимостей нулевого дня и передали информацию о них производителям. Благодаря этому к началу октября этого года 54 уязвимости уже были закрыты производителями. А это значит, что мир стал немного безопасней.

Результаты наших исследований и усилий по раскрытию уязвимостей были отмечены US ICS-CERT в ежегодном отчете. Недавно MITRE признала нашу компанию авторитетной организацией в области уязвимостей (CVE Numbering Authority, CNA). В результате «Лаборатория Касперского» вошла в состав CNА как исследователь безопасности. Мы стали шестой организацией в мире с таким статусом.

Выявление и анализ угроз, информирование отрасли. Мы выявляем и анализируем атаки на индустриальные компании (как целевые, так и случайно задевающие промышленные компьютеры), исследуем источники заражения СКАДА-систем, ищем вредоносное ПО, нацеленное на промышленные системы. И предупреждаем об обнаруженных угрозах подписчиков и партнеров. На сайте нашего CERT уже опубликованы два полугодовых отчета о ландшафте ICS-угроз, регулярно публикуются предупреждения о выявленных угрозах и отчеты об обнаруженных атаках на промышленные компании.

Расследование инцидентов. Мы проводим расследования киберинцидентов на промышленных предприятиях; ищем их причины, исследуем технические средства и приемы, использованные злоумышленниками; помогаем справиться с последствиями и предотвратить новые инциденты. За прошедший год нам удалось помочь предприятиям различных отраслей (металлургия, нефтехимия, производство строительных материалов) в нескольких странах.

Оценка уровня защищенности промышленных систем. Специалисты нашего CERT участвуют в оценке уровня защищенности промышленных систем автоматизации. Кроме того, мы разрабатываем инструменты, которые позволяют компаниям самостоятельно проверять свои системы на наличие конкретных известных уязвимостей. В ближайшее время мы планируем увеличить число подобных инструментов.

Сотрудничество с отраслевыми и государственными регуляторами. Наши эксперты участвуют в разработке требований государственных и отраслевых регуляторов в области обеспечения информационной безопасности индустриальных объектов. За прошедший год нам удалось плодотворно поработать с организациями IIC, IEEE, ITU, OPC Foundation – в разрабатываемых ими стандартах и технологиях есть значительный вклад наших экспертов.

Обучение. Наш CERT готовит и проводит тренинги для операторов и инженеров АСУ ТП и специалистов по информационной безопасности промышленных компаний. Мы сотрудничаем и с учебными заведениями. В частности, в начале 2017 года наши эксперты провели недельный воркшоп по ICS Security для студентов, аспирантов и преподавателей MIT. Сейчас готовится следующий воркшоп в MIT, который пройдет в январе-феврале 2018 года. В ноябре 2017 года мы попробуем повторить удачный опыт в университете Berkley. Кроме того, мы готовим программу совместного обучения с ассоциацией Fraunhoffer и работаем над созданием полноценного курса для студентов магистратуры по запросу от российских университетов.

Проведение Industrial CTF. Соревнования ИБ-специалистов по взлому различных систем АСУ ТП позволяют получить уникальный опыт и осознать, как следует защищать критически важные объекты. Поэтому мы периодически организуем соревнования специалистов по информационной безопасности в формате Industrial CTF (Capture The Flag). Первое такое мероприятие прошло осенью 2016 года и было преимущественно российским. В отборочном турнире второго Industrial CTF свои силы попытали более 180 команд из России, Китая, Индии, Европы и Латинской Америки. Самым масштабным по количеству участников стал Industrial CTF 2017, который собрал почти 700 команд изо всех уголков мира. Финал прошел 24 октября в Шанхае в рамках международной конференции GeekPwn. В нёем приняли участие команды из Японии, Кореи и Китая.

Подводя итог, можно уверенно сказать, что первый год работы Kaspersky Lab ICS CERT был напряженным, но продуктивным. Мы бы хотели поздравить его сотрудников с днем рождения и пожелать дальнейшей эффективной работы!

Советы