События

Производители не спешат устранять уязвимости в SCADA-системах

Производители не спешат устранять уязвимости в SCADA-системах

Системы автоматического контроля и сбора информации (SCADA) активно используются для диспетчерского контроля в промышленности и энергетике, поэтому атаки на SCADA-системы могут представлять существенную угрозу для различных объектов критической инфраструктуры. Человеко-машинный интерфейс (Human Machine Interface, HMI) является одним из важных компонентов SCADA и его компрометация позволит злоумышленникам получить доступ к критической инфорастурктуре. Эксперты компании Trend Micro проанализировали предупреждения ICS-CERT за период с 2015 по 2016 годы, связанные с HMI уязвимостями, и пришли к неутешительным выводам.

Как выяснилось, 20% исследованных уязвимостей возникали по причине повреждения памяти (переполнение буфера, уязвимости чтениязаписи за пределами поля (out-of-bounds read/write) и т.д.); 19% проблем были связаны с учетными данными (вшитые пароли, скрытые учетные записи с полными правами, хранение паролей в открытом виде); 23% уязвимостей возникали в связи с отсутствием механизмов авторизации; 9% проблем позволяли внедрение кода.

Примечательно, что за последние четыре года оперативность устранения уязвимостей осталась практически на прежнем уровне - порядка 140 дней. Как отмечается, производители SCADA-систем основное внимание уделяют промышленному оборудованию, а не программному обеспечению, поскольку именно аппаратные средства приносят им большую прибыль.

Доклад также указывает на ошибки, которые совершают компании. К примеру, многие из них устраняют только определенные уязвимости (заменяют уязвимые API, отключают проблемные функции и т.д.), но не более того.

«Производителям HMI и SCADA-решений следует принять во внимание практики безопасности жизненного цикла, реализованные разработчиками ОС и приложений за последние десять лет. К тому же им стоит ожидать, что их продукты будут использоваться не по назначению, например, будут подключены к публичной сети. С учетом наихудших сценариев, разработчики могут реализовать комплексные меры по обеспечению безопасности»,- отмечается в отчете исследователей.

SCADA (Supervisory Control And Data Acquisition, диспетчерское управление и сбор данных) - программный пакет, предназначенный для разработки или обеспечения работы в реальном времени систем сбора, обработки, отображения и архивирования информации об объекте мониторинга или управления. SCADA-системы используются во всех отраслях хозяйства, где требуется обеспечивать автоматическое управление технологическими процессами в режиме реального времени.

Источник

Автор: Сергей Куприянов
24.05.2017 (10:15)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.