pvl-online.kz » Новости » Киберпреступники пытаются получить контроль над нефтедобычей
Автор публикации: admin Просмотров: 244 Добавлен: 19-11-2015, 00:25 Комментарии: 0


Киберпреступники пытаются получить контроль над нефтедобычей
Компания Digital Security выявила ряд уязвимостей в бизнес-приложениях и промышленных процессах, относящихся к нефтегазовой индустрии, которые могут повлечь за собой реализацию кибератак. В случае успеха преступники способны получить контроль над 75% всей мировой добычи нефти. На конференции BlackHat в Амстердаме Александр Поляков, технический директор Digital Security, выступил с докладом, который впервые детально описывает большую часть аспектов кибербезопасности типичной нефтегазовой организации. Исследование выявило несколько способов того, как атакующие могут получить неавторизованный доступ к OT-сети через уязвимости в ERP-системах, системах управления активами предприятия, системах планирования портфеля проектов, системах управления лабораторной информацией и других корпоративных приложениях.

В частности, эксперты нашли уязвимости в таких приложениях, как SAP xMII, SAP Plant Connectivity, SAP HANA, Oracle E-Business Suite и некоторых широко используемых OPC-серверах (например, Matricon OPC). Эти проблемы безопасности могут быть использованы для того, чтобы провести многоступенчатую атаку и получить доступ к соединенным системам. "Идея простая. Мы хотели показать, что бизнес-приложения часто связаны между собой с использованием различных интеграционных технологий. Но гораздо важнее то, что корпоративные приложения, расположенные в корпоративной сети, а иногда и доступные через интернет, также часто соединены с устройствами в OT-сети, и число таких соединений постоянно растет, так как интеграция между OT- и ИТ-системами становится все более глубокой, - заявил Александр Поляков. - Например, если у вас есть какие-либо производственные устройства, которые собирают информацию об объемах нефти, эти данные должны быть каким-то образом переданы в корпоративную сеть для того, чтобы продемонстрировать их в виде графиков менеджерам, разрабатывающим долгосрочную финансовую стратегию и принимающим решения на основе этих данных. Поэтому, даже при наличии брендмауэра между ИТ- и OT-сетью, некоторые приложения все равно остаются связанными друг с другом, а соединения между ними часто небезопасны. Это позволяет провести атаку и выйти через ИТ-сеть (а иногда даже через интернет) на OT-сеть вплоть до систем SCADA, OPC-серверов, производственных устройств и интеллектуальных счетчиков". SAP - значимое звено в обеспечении безопасности каждой нефтегазовой компании. Приложения собирают данные о важных процессах через SAP xMII (Manufacturing Integration and Intelligence). Системы SAP xMII соединены с SAP PCo, которые обмениваются информацией с OPC-серверами, а те, в свою очередь, имеют прямой доступ к ICS- и ПЛК-устройствам. Так, одна из представленных на конференции атак позволяет киберпреступникам получить доступ к устройствам, которые контролируют такие процессы, как разделение нефти и газа, управление работой котла, коммерческий учет нефти и управление запасами в танкерах. Используя метод, описанный в докладе, атакующие могут легко эксплуатировать любую уязвимость в SCADA/ PLC, которую они найдут или приобретут на черном рынке, что делает атаки на важные нефтегазовые процессы таким же относительно простым делом, как взлом сайта.


Рейтинг:

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

    
Другие статьи по теме:
Более 60% известных приложений для знакомств потенциально уязвимы к различным кибератакам и представляют серьезную угрозу конфиденциальности личной информации пользователей и корпоративных данных. К такому выводу пришли исследователи IBM Security. Почти в половине организаций на рабочих мобильных устройствах, которые сотрудники используют для доступа к деловой информации, установлено по крайней мере одно популярное приложение для знакомств. В современной сетевой культуре приложения для


Исследование компании Digital Security выявило многочисленные уязвимости в SAP NetWeaver, программном решении компании SAP, которое является технической основой для всех приложений SAP Business Suite. Ваагн Вардянян, исследователь департамента аудита безопасности SAP, автор работы, провел анализ безопасности JAVA-компонентов SAP NetWeaver...


Компания Digital Security обнаружила две критичные уязвимости в E-Business Suite, ключевом ПО для бизнеса Oracle, за что была удостоена официальной благодарности вендора. Отметим, что сотрудники компании с 2008 года регулярно находят различные проблемы безопасности в продуктах Oracle . Обе указанные уязвимости относятся к типу XXE. С помощью специально сформированных запросов с XML они позволяют читать произвольные файлы с сервера EBS...


Компания CA Technologies объявила о выпуске новой версии ERwin Modeling r9.5, решения для совместной визуализации и управления данными в масштабах предприятия. Решение поддерживает процессы управления данными, анализа "больших данных", бизнес-анализа и другие инициативы...


Новое решение в составе Oracle E-Business Suite позволяет производителям своевременно снижать риски благодаря управлению и отслеживанию производственных бизнес-процессов, выполняемых субподрядчикам...





Fatal error: Call to undefined function htracer_ob_end() in /var/www/pvl/data/www/pvl-online.kz/index.php on line 289