Внезапно: USB-устройства представляют серьёзную угрозу

Исследование компании Honeywell показало, что USB-носители представляют «значительную и преднамеренную» угрозу для промышленных сетей.

Исследователи из подразделения промышленной кибербезопасности Honeywell проанализировали использование USB и поведенческие данные с сайтов реального времени по всему миру среди 50 своих заказчиков и опубликовали отчет Honeywell Cyber Security Research.

В отчёте сообщается, что на 44% проанализированных USB-накопителей был выявлен и заблокирован по крайней мере один файл, угрожавший безопасности. Четверть (26%) из обнаруженных файлов была способна нанести серьёзный ущерб, в результате которого операторы могли потерять возможность видеть ход выполнения операций или управлять им. Среди обнаруженных угроз были такие как TRITON, Mirai, разные формы червя Stuxnet. Сравнительный анализ показал, что традиционные средства защиты от вредоносных программ не смогли обнаружить до 11% выявленных угроз.

В прошлом году в статье, посвященной анализу утечки почтовой переписки с сервера DNC, мы сделали вывод о том, что тенденция последних лет забывать и занижать уровень угрозы утечки данных, связанной с использованием USB-устройств, категорически ошибочна и даже вредна. Более того, возможность атаки вредоносного ПО со съемного USB-накопителя также следует иметь в виду как потенциальную угрозу, что ещё раз подтверждается исследованием.

Учитывая, что защите и ограничению доступа к сетям промышленных систем управления традиционно уделяется большее внимание, чем контролю устройств, уязвимость организаций от съемных носителей USB становится еще более очевидной.

Заказчики знают о существовании этих угроз, однако многие из них уверены, что не станут мишенью серьезных атак. Полученные нами данные свидетельствуют об обратном. Это исследование подтверждает то, что мы подозревали в течение многих лет - угрозы USB реальны для промышленных операторов. Особо подчеркну масштаб и серьезность угроз, многие из которых могут привести к серьезным и опасным последствиям на промышленных объектах.
Эрик Кнапп, директор по стратегическим инновациям Honeywell Industrial Cyber Security

При этом, к сожалению, многие решения, позиционируемые как DLP, до сих пор работают с интерфейсом USB и подключаемыми через него на уровне Device Manager, просто отключая устройство на прикладном уровне, или препятствуя старту драйвера устройства. Такая «защита» является не только откровенно слабой, но и потенциально опасной, поскольку создает ложное ощущение обеспечения безопасности – и уж точно никак не способна помешать зловреду атаковать компьютер с флешки.

Нейтрализация угроз, связанных с использованием интерфейса USB, достигается посредством гибкого сочетания функций мониторинга и контроля доступа к устройствам, подключаемым через интерфейс USB, и контроля самого интерфейса USB в целях контроля устройств, не классифицируемых ОС как устройство хранения данных, но являющихся потенциальным каналом утечки данных или проникновения зловредов.

Среди представленных на мировом рынке средств контроля периферийных устройств и каналов сетевых коммуникаций одним из лучших и единственным российским решением класса Endpoint DLP, обладающим полным DLP-функционалом, является программный комплекс DeviceLock DLP. Еще с версии DeviceLock 5.5, опубликованной в 2003 году, данное решение обеспечивает полноценный контроль портов USB и FireWire, с использованием драйвера уровня ядра ОС.

Благодаря использованию DeviceLock DLP предотвращаются хищения информации внутренними нарушителями через USB-устройства, съемные накопители, диски и другие подключаемые внешние устройства, а также канал печати, электронную почту, мессенджеры, файлообменные сервисы и другие каналы передачи данных. Кроме того, поддержка событийного протоколирования и теневого копирования в DeviceLock DLP обеспечивает юридическую документируемость и доказательность попыток доступа и фактов копирования конкретных данных.