Промышленные сети всё чаще оказываются открыты для интернета

Промышленные операторы продолжают использовать публичные IP-адреса для удалённых порталов доступа, серверов автоматизации зданий и других сервисов операционных технологий. Palo Alto Networks, Siemens и Национальная лаборатория штата Айдахо описывают масштабы этой уязвимости в Отчёте об интеллектуальной активной обороне 2026.

Основные тактики, методы и процедуры, выявленные по сигнатурам в сетях ОТ (Источник: Palo Alto Networks)

Доступность из интернета продолжает расти

Cortex Xpanse зафиксировал более 110 миллионов наблюдений за устройствами ОТ, доступными из интернета в 2024 году, что на 138% больше, чем в 2023. Среди них было идентифицировано 19 633 628 уникальных устройств и сервисов ОТ, что означает рост на 332% по сравнению с предыдущим годом. Эти устройства размещались на 1,77 миллионах IPv4-адресов, что на 41,6% больше, чем в 2023 году.

Географическое распределение показало наибольшую концентрацию открытых устройств ОТ в США, Китае и Германии. Крупные городские центры, такие как Пекин, Франкфурт и Шэньчжэнь, заняли ведущие позиции в рейтинге городов.

Список производителей возглавили Tridium Niagara, Linear eMerge и Saia PCD Web Server. Несколько наиболее часто наблюдаемых продуктов были связаны с системами управления зданиями, включая Niagara, который обычно взаимодействует с системами отопления, вентиляции и кондиционирования и другими средствами контроля.

Порты и протоколы указывают на типичные точки уязвимости

Данные о портах подчёркивают, насколько широко веб-сервисы остаются доступными в средах ОТ. Стандартные веб-порты, такие как TCP 443 и TCP 80, составили наибольший объём наблюдаемых сервисов, что указывает на доступность многих систем через обычные HTTPS и HTTP соединения.

Несколько портов, специфичных для ОТ, также встречались часто. Среди них TCP 5011, TCP 502 и UDP 47808, обычно связанные с промышленными протоколами и трафиком автоматизации зданий.

Множество портов с высокой нагрузкой были связаны с развёртываниями Tridium Niagara. TCP 4911 связан с безопасным протоколом Niagara FOX, TCP 5011 поддерживает подключения к платформе Niagara через TLS, а TCP 3011 служит портом административного доступа по умолчанию для хостов Niagara. В совокупности эти данные показывают, что как универсальные веб-сервисы, так и специализированные промышленные протоколы остаются в широком доступе из публичного интернета.

Ранние этапы атаки преобладают во вторжениях в ОТ

Исследование сопоставило данные о доступности в интернете с телеметрией обнаружения, собранной более чем с 61 000 межсетевых экранов, развернутых в операционных технологических средах. Оно также опиралось на 20-летний архив исторических данных об инцидентах и специально отобранный набор из 27 публично раскрытых киберинцидентов с 2000 по 2022 год.

Этот исторический массив данных содержал 14 039 наблюдаемых индикаторов. Отдельные фоновые выводы в той же публикации описывали типичный путь атаки, который часто начинается в корпоративных сетях: более 70% атак на ОТ-среды стартуют в ИТ-инфраструктуре, прежде чем достигнуть промышленных активов. Фаза предвестников составляла 82,8% от всех наблюдаемых индикаторов, со средним временем скрытого пребывания в 185 дней. Каждый инцидент в среднем включал 430 событий-предвестников, охватывающих 13 уникальных техник, причем 205 из этих индикаторов были классифицированы как легко обнаружимые.

Сюй Цзоу, старший вице-президент по облачным сервисам безопасности в Palo Alto Networks, заявил в интервью Help Net Security, что «устойчивое предположение об изолированности» остается ключевым техническим барьером. «Многие организации по-прежнему рассматривают ОТ как изолированный остров, что приводит к стратегиям безопасности, которые активируются только после того, как злоумышленник достигает производственного цеха. Это приводит к отсутствию видимости на границе сети — в слое конвергенции, где начинаются 70% атак, затрагивающих ОТ».

Он добавил, что организационные барьеры усугубляют проблему. «Многие программы промышленной безопасности чрезмерно сфокусированы исключительно на инвентаризации активов и пассивной телеметрии. Хотя видимость необходима, её одной недостаточно без возможностей обнаружения. Чтобы внедрить это в масштабе, организациям необходимо преодолеть разобщенность между ИТ- и ОТ-безопасностью. Мы выступаем за конвергенцию SOC для ИТ и ОТ, что позволяет координировать обнаружение на границе. Ломая эти организационные барьеры, команды могут выявлять аномалии аутентификации, неправильное использование протоколов или злонамеренные намерения в ИТ-среде ещё до того, как они перейдут в критически важные для безопасности ОТ-функции», — сказал Цзоу.

Были выделены пять основных семейств техник-предвестников: выполнение через сценарии, выполнение через нативные API, командование и управление с использованием стандартных протоколов прикладного уровня, разведка через удаленное обнаружение систем и выполнение через интерфейс командной строки. В тексте отмечается, что аудит процессов командной строки Windows по умолчанию отключен, как и ведение журналов блоков сценариев PowerShell.

От прогнозирования к дорожной карте SOC для ОТ

Оценочный инструмент Attack Chain от Национальной лаборатории Айдахо представлен как концептуальная разработка с уровнем технологической готовности 4. Этот инструмент использует модель Маркова первого порядка, построенную на последовательностях тактик, техник и процедур (TTP) из базы MITRE ATT&CK для ICS, полученных из анализа 27 инцидентов, что позволяет вычислять вероятности переходов и правдоподобие сценариев атак.

Цзоу отметил, что «ключевое преимущество прогнозного анализа и модели на основе цепей Маркова — это предсказуемость поведения злоумышленников, а именно тот факт, что 82,8% их активности происходит на подготовительной стадии. Чтобы эти прогнозные цепочки оставались актуальными перед лицом развивающихся методов, таких как атаки с использованием ИИ, мы видим эволюцию модели в сторону интеграции с периферийными системами операционной безопасности (OT SecOps)».

Он продолжил: «Поскольку злоумышленники применяют новые техники для ускорения разведки или компрометации учетных данных, модель должна сместить фокус на стратегические точки контроля, где эти действия генерируют обнаруживаемые сигналы. Последние достижения в области ИИ могут помочь нам гораздо эффективнее объединять разрозненные сигналы и позволить аналитику безопасности почти в реальном времени ясно видеть всю цепочку атаки. Даже с помощью ИИ злоумышленнику всё равно необходимо преодолеть несколько уровней защиты и пересечь границу между IT и OT-средами. Мы планируем развивать модель, чтобы она приоритизировала аномальные шаблоны доступа и отклонения сессий в этих точках конвергенции. Рассматривая время как «измеримую переменную безопасности», модель можно обновить для автоматического запуска сценариев активной защиты — таких как автоматическое сдерживание или заранее одобренные ответные действия — в тот момент, когда обнаруживается подготовительное поведение. Это гарантирует, что даже если ИИ ускорит цепочку атаки, наша прогнозная модель предоставит основу для её прерывания на периферии, задолго до какого-либо воздействия на операционный процесс».

Дорожная карта OT-SOC разбила внедрение на временные этапы. Ключевые вехи включали: от 0 до 3 месяцев для ограниченного сбора данных с поддержкой выделенной SIEM-системы для OT, от 3 до 6 месяцев для установления базовых показателей и пилотного SOC в ограниченной зоне предприятия, от 6 до 18 месяцев для интеграции сценариев реагирования OT и IT и проведения учений, и от 18 до 36 месяцев для достижения зрелости в автоматизации, аналитике на основе ИИ и межсайтовом поиске угроз.

Эти данные описывают две параллельные операционные реальности. Большие объёмы OT-сервисов остаются доступными из публичного интернета, а длительные подготовительные фазы создают продолжительные периоды, в течение которых наблюдаемая активность может накапливаться как на корпоративном, так и на промышленном уровнях.

Скачать: Отчёт Tines "Голос безопасности 2026"