Trace Id is missing
Преминаване към основното съдържание
Security Insider

Сливането на ИТ и ОТ

Нов отчет Cyber Signals от Microsoft

Cyber Signals, издание 3: Киберрисковете за важната инфраструктура се увеличават

Всеобхватността, уязвимостта и възможността за свързване на устройствата за интернет на нещата (IoT) и оперативната технология (OT) представляват бързо разрастваща се, често непроверена повърхност на риск, засягаща по-широк спектър от отрасли и организации. Бързо нарастващия интернет на нещата създава разширена входна точка и повърхност на атака за атакуващите. С оперативната технология, която става все по-свързана с облака, и затварящата се празнина между IT и OT, достъпът до по-малко защитената оперативна технология отваря вратата за увреждащи инфраструктурата атаки
Microsoft откри некоригирани уязвимости с високо ниво на сериозност в 75 % от най-разпространените индустриални контролери в клиентските мрежи на OT.1
Гледайте цифровия брифинг за Cyber Signals, където Васу Джакал, корпоративен вицепрезидент на Microsoft Security, интервюира ключови експерти по уязвимости на IoT и OT и как да останете защитени.

Цифров брифинг: Сливането на ИТ и ОТ

Враговете компрометират свързани с интернет устройства, за да получат достъп до мрежите на чувствителна, важна инфраструктура.

През последната година Microsoft наблюдава заплахи, използващи устройства, в почти всяка наблюдавана и видима част на организацията. Наблюдаваме тези заплахи в традиционното IT оборудване, в контролерите на OT и в устройствата на IoT като рутери и камери. Ръстът на присъствието на атакуващите в тези среди и мрежи се подклажда от сливането и свързаността, които много организации са приели през последните няколко години.

Международната корпорация за данни (IDC) изчислява, че до 2025 г. ще има 41.6 милиарда свързани устройства на интернет на нещата – темп на растеж, по-висок от традиционните ИТ устройства. Въпреки че защитата на ИТ оборудването се засили през последните години, защитата на устройствата на IoT и OT не поддържа темпото и извършителите на атаки използват тези устройства.

Важно е да запомните, че атакуващите могат да имат различни мотиви, за да компрометират устройства, различни от типичните лаптопи и смартфони. Руските кибератаки срещу Украйна, както и друга дейност на киберпрестъпниците, спонсорирана от държава, демонстрират, че някои национални държави виждат кибератаките срещу важна инфраструктура като желателни за постигане на военни и икономически цели.

Седемдесет и два процента от софтуерните експлойти, използвани от „Incontroller“, това, което Агенцията за киберсигурност и инфраструктурна сигурност (CISA) описва като нов набор от държавно спонсорирани инструменти за кибератаки, ориентирани към системата за индустриален контрол (ICS), сега са достъпни онлайн. Такова разпространение насърчава по-широка дейност на атаките от други извършители, докато експертността и други бариери за вход намаляват.

Тъй като икономиката на киберпрестъпността се разширява и злонамерения софтуер, насочен към системи на OT, става по-често срещан и по-лесен за използване, извършителите на заплахи имат повече различни начини да организират атаки с голям мащаб. Атаките с рансъмуер, преди възприемани като вектор за атака, фокусиран върху ИТ, днес засягат среди на оперативната технология както се вижда в атаката над Colonial Pipeline, при която системите на OT и работата на конвейер бяха временно спрени, докато респондерите на инцидента работеха, за да идентифицират и задържат разпространението на рансъмуер в ИТ мрежата на компанията. Противниците осъзнават, че финансовото въздействие и използването на изнудване за затварянето на енергийни и други критични инфраструктури е много по-важно от другите отрасли.

Системите на OT включват почти всичко, поддържащо физическите операции, обхващащи десетки вертикални отрасли. Системите на OT не са ограничени само да индустриални процеси, те могат да бъдат със специална цел или компютъризирано оборудване, като например HVAC контролери, асансьори и светофари. Различни системи за безопасност попадат в категорията на системите на OT.

Microsoft наблюдава извършители на заплахи, свързани с Китай, да се насочват към уязвими домашни рутери и рутери в малки офиси, за да компрометират тези устройства като опора, която да им даде ново място за адрес, по-малко свързан с предишните им кампании, от който да стартират нова атака.

Докато преобладаващите уязвимости на IoT и OT представляват предизвикателство за всички организации, важната инфраструктура е в повишен риск. Деактивирането на критични услуги, дори не непременно унищожаването им, е мощен лост.

Препоръки:

  • Работа със заинтересовани лица: Съпоставяне на важни за бизнеса активи в ИТ среди и среди на OT.
  • Видимост на устройството: Идентифицирайте кои устройства на IoT и OT са важни активи сами по себе си и кои са свързани с други важни активи.
  • Извършване на анализ на риска във важни активи: Фокусирайте се върху въздействието върху бизнеса на различни сценарии за атака, както е предложено от MITRE.
  • Дефиниране на стратегия: Разрешете идентифицираните рискове, създавайки приоритет от въздействието върху бизнес.

Интернет на нещата предоставя нови възможности за бизнеса, но също и голям риск

 

Докато ИТ и OT се сливат, за да подкрепят разширяващите се бизнес нужди, оценяването на риска и създаването на по-защитена връзка между ИТ и OT изискват обмисляне на няколко контролни мерки. Устройствата с умишлено прекъсната физическа връзка с мрежа и защитата в граници вече не са достатъчни за адресиране и защита срещу модерните заплахи като усъвършенствания злонамерен софтуер, насочените атаки и злонамерени вътрешни хора. Ръстът на заплахите със злонамерен софтуер за IoT например отразява това разширяване на пейзажа и потенциала за превземане на уязвими системи. Анализирайки данните за заплахите от 2022 г, в различни страни, анализаторите на Microsoft откриха, че най-големият дял от злонамерен софтуер за IoT, 38 процента от общия брой, произлиза от голямата мрежа на Китай. Заразените сървъри в Съединените щати поставят САЩ на второ място с 18 процента от наблюдаваното разпространение на злонамерен софтуер.

Напредналите атакуващи се възползват от множество тактики и подходи в средите на оперативната технология. Много от тези подходи са обичайни в ИТ средите, но са по-ефективни в средите на OT, като например откриване на незащитени, ориентирани към интернет системи, злоупотреба с идентификационни данни за влизане на или използване на достъп, предоставен на доставчици и съдружници от трета страна, до мрежите..

Сливането между лаптопите, уеб приложенията и хибридните работни пространства от света на ИТ и системите за контрол на фабрики и съоръжения от света на OT носи тежки последици от риска, като позволява на атакуващите възможността да „прескачат“ умишлено прекъснати връзки между физически изолирани системи преди. По такъв начин правейки устройствата на IoT, като например камери и интелигентни конферентни зали, катализатори на риска, като създадат нови входни пътища към работните пространства и други ИТ системи.

През 2022 г. Microsoft помогна на водеща глобална компания за храни и напитки, използваща много стари операционни системи, за да управлява работата в завода, при инцидент със злонамерен софтуер. При извършване на рутинна проверка на оборудването, което по-късно се свързва с интернет, злонамереният софтуер се разпространява в системите на завода чрез компрометирания лаптоп на един съдружник.

За съжаление това се превръща в доста често срещан сценарий. Докато средата на ICS може да бъде с умишлено прекъсната физическа връзка с мрежата и изолирана от интернет, в момента, в който компрометиран лаптоп се свърже с преди това защитените устройства и мрежа на OT, тя става уязвима. В клиентските мрежи, които Microsoft наблюдава, 29 процента от операционните системи на Windows имат версии, които вече не се поддържат. Виждали сме версии като Windows XP и Windows 2000, работещи в уязвими среди.

Тъй като по-старите операционни системи често не получават актуализациите, необходими да поддържат мрежите защитени, и коригирането на файлове е трудно в големи предприятия или производствени сгради, приоритизирането на видимостта на ИТ, ОТ и IoT устройствата е важна първа стъпка за управлението на уязвимости и за защитаването на тези среди.

Защита, основана на Zero Trust, изпълнение на действащи правила и постоянно наблюдение могат да ограничат потенциалния радиус на удара и да предотвратят или задържат инциденти като този с средите свързани с облак.

Разследването на OT оборудване изисква специфични уникални знания и разбирането на състоянието на защитата на индустриалните контролери е много важно. Microsoft издаде инструмент за разследване с отворен код за общността на защитниците, за да помогне на респондерите на инциденти и на специалистите по защита да разберат по-добре своите среди и да разследват потенциални инцидент.

Докато мнозина си представят критичната инфраструктура като пътища и мостове, обществен транспорт, летища и водни и електрически мрежи, ръководителите на защитата на информацията наскоро препоръчаха космическата и биоикономиката да станат нови сектори на критичната инфраструктура. Позовавайки се на потенциала за смущения в различни сектори на икономиката на САЩ, които да причинят омаломощаващи въздействия върху обществото. Като се има предвид, че света разчита на сателитните възможности, киберзаплахите в тези сектори могат да имат глобални последици, далеч надхвърлящи това, което сме виждали досега.

Препоръки

  • Внедряване на нови и подобрени правила: Правилата, извлечени от методологията и най-добрите практики на Zero Trust, предоставят цялостен подход за активиране на безпроблемни защита и управление на всички ваши устройства.
  • Приемане на всеобхватно и специализирано решение за защита: Активирайте видимост, постоянно наблюдение, оценяване на повърхност на атака, откриване на заплахи и реакция.
  • Обучение и подготовка: Екипите по защита изискват обучение, специфично за заплахите, произлизащи от или насочени към системите на IoT/OT.
  • Разгледайте начини за разширяване на съществуващите защитни операции: Разрешете притесненията за защитата на IoT и OT, за да постигнете единен център за защитни операции на ИТ и OT/IoT във всички среди.

Научете повече за това как да защитите организацията си с прозрения от Дейвид Атч, Набор от ресурси на Microsoft срещу заплахи, ръководител на отдела за проучване на защитата на IoT/OT.

78 процента увеличение в разкриването на уязвимости с висока степен на опасност от 2020 г. до 2022 г. в оборудването за промишлен контрол, произведено от популярни търговци.1

Microsoft откри некоригирани уязвимости с високо ниво на сериозност в 75 % от най-разпространените индустриални контролери в клиентските мрежи на OT.1

Над 1 милион свързани устройства, публично видими в интернет, изпълняващи Boa, остарял и неподдържан софтуер, който все още се използва широко в IoT устройства и софтуерен развоен пакет (SDK).1
  1. [1]

    Методология: Що се отнася до данните от моментните снимки платформите на Microsoft, включително Microsoft Defender for IoT, Microsoft Threat Intelligence Center и Microsoft Defender Threat Intelligence, предоставиха анонимни данни за уязвимостите на устройствата, като например състояния и версии на конфигурацията, и данни за активността на заплахите върху компонентите и устройствата. Освен това проучванията са използвали данни от публични източници, като Националната база данни за уязвимости (NVD) и Агенцията за сигурност на & Инфраструктурата за киберсигурност (CISA). Статистиката за „некоригирани уязвимости с висока степен на опасност в 75% от най-разпространените индустриални контролери в мрежите на клиентите“ се основава на ангажиментите на Microsoft през 2022 г. Системите за управление в критични среди включват електронни или механични устройства, които използват контролни цикли за подобряване на производството, ефективността и безопасността.

Свързани статии

Профил на експерта: Дейвид Атч

В най-новия ни експертен профил разговаряхме с Дейвид Атч, ръководител на отдела за проучване на защитата на IoT/OT в Microsoft, за да поговорим за нарастващите рискове за защитата на възможността за свързване на IoT и OT.

Нарастващите киберзаплахи в отговор на разширяването на възможностите за свързване чрез IoT/OT

В нашия последен отчет ние изследваме как увеличаването на възможностите за свързване чрез IoT/OT води до по-големи и по-сериозни уязвимости, от които да се възползват организираните извършители, представляващи кибер-заплаха.

Cyber Signals Издание 2: Икономика на изнудването

Научете от експертите на първа линия за развитието на рансъмуера като услуга. От програми и полезен обем до достъп до брокери и съдружници, научете за инструментите, тактиките и целите, които киберпрестъпниците предпочитат, и получете указания, които ще ви помогнат да защитите организацията си.

Следвайте Microsoft Security