Trace Id is missing

Mødet mellem it og OT

Download
Del
Ny rapport fra Microsoft om cybersignaler

Cyber Signals, 3. udgave: Cyberrisici for kritisk infrastruktur er på fremmarch

Udbredelsen, sårbarheden og cloud-forbindelsen for IoT- (Tingenes internet) og OT-enheder (operativ teknologi) repræsenterer en hurtigt voksende og ofte ukontrolleret risikooverflade, der påvirker en lang række brancher og organisationer. Hurtig fremvækst af IoT skaber et udvidet indgangspunkt og angrebsoverflade for personer med ondsindede hensigter. Mens OT bliver mere cloud-forbundet, og afstanden mellem it og OT forsvinder, åbner adgang til mindre sikker OT døren for skadelige infrastrukturangreb
Microsoft har identificeret ikke-opdaterede særdeles alvorlige sårbarheder i 75 % af de mest almindelige industrielle controllere i kundernes OT-netværk.1
Se Cybersignalers digitale orientering, hvor Vasu Jakkal, CVP for Microsoft Security interviewer nøgleeksperter i oplysninger om trusler om IoT- og OT-sårbarheder, og hvordan du hjælper med at forblive beskyttet.

Digital orientering: Mødet mellem it og OT

Fjender kompromitterer internetforbundne enheder for at få adgang til følsomme netværk med kritisk infrastruktur.

I løbet af det seneste år har Microsoft observeret trusler, der udnytter enheder i næsten enhver overvåget og synlig del af en organisation. Vi har observeret disse trusler på tværs af traditionelt it-udstyr, OT-controller og IoT-enheder, f.eks. routere og kameraer. Stigningen i tilstedeværelsen af personer med ondsindede hensigter i disse miljøer og netværk fremmes af mødet og de tværgående forbindelser, som mange organisationer har taget i brug over de seneste få år.

International Data Corporation (IDC) anslår, at der vil være 41,6 milliarder forbundne IoT-enheder i 2025, en vækstrate, der er højere end for traditionelt it-udstyr. Selvom sikkerheden ved it-udstyr er blevet bedre i de senere år, har sikkerheden for IoT- og OT-enheder ikke holdt trit, og trusselsaktører udnytter disse enheder.

Det er vigtigt at huske, at personer med ondsindede hensigter kan have forskellige motiver til at kompromittere andre enheder end typiske bærbare computere og smartphones. Ruslands cyberangreb mod Ukraine, foruden anden cyberkriminel aktivitet sponsoreret af nationalstater viser, at nogle nationalstater ser cyberangreb mod kritisk infrastruktur som ønskelig for at opnå militære og økonomiske mål.

72 % af de software-exploits, der benyttes af "Incontroller", som Cybersecurity and Infrastructure Security Agency (CISA) beskriver som et nyt sæt statssponsorerede cyberangrebsværktøjer rettet mod industrielle styresystemer (ICS), er nu tilgængelige online. Sådan udbredelse fremmer bredere angrebsaktivitet fra andre aktører, efterhånden som ekspertise og andre indgangsbarrierer bliver mindre.

Efterhånden som den cyberkriminelle økonomi vokser og skadelig software, der retter sig mod OT-systemer, bliver mere udbredt og nemmere at bruge, har trusselsaktører flere forskellige måder at iværksætte store angreb på. Ransomwareangreb, der tidligere blev opfattet som en it-fokuseret angrebsvektor, påvirker i dag OT-miljøer, som set i Colonial Pipeline-angrebet, hvor OT-systemer og rørledningsdrift blev nedlukket midlertidigt, mens hændelsesrespondere arbejdede på at identificere og inddæmme spredningen af ransomwaren i virksomhedens it-netværk. Det går op for fjender, at den finansielle indvirkning og afpresningsmagten ved at nedlukke energi og anden kritisk infrastruktur er langt større end for andre brancher.

OT-systemer inkluderer næsten al understøttende fysisk drift og spænder over mange vertikale brancher. OT-systemer er ikke udelukkende begrænset til industrielle processer, de kan også være alt særligt eller computerstyret udstyr, f.eks. VVS-controllere, elevatorer og trafiklys. Forskellige sikkerhedssystemer falder under denne kategori af OT-systemer.

Microsoft har observeret, at kinesisk-forbundne trusselsaktører målretter mod routere til hjemmet og små kontorer for at kompromittere disse enheder som en fod inden for, der giver dem et nyt adresseinterval, der i mindre grad knyttes til deres tidligere kampagner, hvorfra de kan iværksætte nye angreb.

Hvor tilstedeværelsen af IoT- og OT-sårbarheder udgør en udfordring for alle organisationer, er kritisk infrastruktur udsat for en større risiko. Det er et kraftfuldt håndtag at deaktivere kritiske tjenester, ikke engang nødvendigvis at ødelægge dem.

Anbefalinger:

  • Samarbejd med interessenter: Kortlæg forretningskritiske aktiver i it- og OT-miljøer.
  • Enhedssynlighed: Identificer, hvilket IoT- og OT-enheder, der i sig selv er kritiske aktiver, og hvilke der forbindes med andre kritiske aktiver.
  • Udfør en risikoanalyse for kritiske aktiver: Fokuser på forretningsindvirkning for forskellige angrebsscenarier, som foreslået af MITRE.
  • Definer en strategi: Adresser de identificerede risici, hvor prioritet kommer fra virksomhedsindvirkning.

IoT introducerer nye forretningsmuligheder – men også stor risiko

 

Når it og OT mødes for at understøtte voksende forretningsbehov, kræver vurdering af risiko og etablering af en mere sikker relation mellem it og OT overvejelse af flere kontrolforanstaltninger. Frakoblede enheder og perimetersikkerhed er ikke længere tilstrækkeligt til at adressere og forsvare mod moderne trusler, f.eks. sofistikeret malware, målrettede angreb og ondsindede insidere. Væksten i IoT-malwaretrusler afspejler f.eks. dette landskabs vækst og potentiale til at overtage sårbare systemer. Microsoft-researchere, som analyserede trusselsdata fra 2022 på tværs af forskellige lande, fandt, at den største andel af IoT-malware, 38 procent af totalen, kom fra Kinas store netværksaftryk. Inficerede servere i USA placerede landet på andenpladsen med 18 procent af den observerede malwaredistribution.

Avancerede personer med ondsindede hensigter gør brug af flere taktikker og tilgange i OT-miljøer. Mange af disse tilgange er udbredte i it-miljøer men er mere effektive i OT-miljøer, f.eks. opdagelse af eksponerede internetvendte systemer, misbrug af medarbejderes legitimationsoplysninger til logon eller udnyttelse af netværksadgang givet til tredjepartsleverandører og entreprenører.

Mødet mellem it-verdenens bærbare computere, webapps og hybride arbejdsområder på den ene side, og OT-verdenens fabriks- og facilitetsbundne kontrolsystemer på den anden side, giver alvorlige risikokonsekvenser ved at give personer med ondsindede hensigter en mulighed for at hoppe over frakoblinger mellem systemer, der tidligere var fysisk isoleret. Derved gøres IoT-enheder som kameraer og intelligente konferencelokaler til risikokatalysatorer ved at skabe nye indgange til arbejdsområder og andre it-systemer.

I 2022 assisterede Microsoft en større global mad- og drikkevarevirksomhed, der brugte meget gamle operativsystemer til at styre fabriksdrift, med en malwarehændelse. Mens der blev udført rutinemæssig vedligeholdelse på udstyr, der senere skulle forbinde til internettet, blev malware spredt til fabrikkens systemer via en kompromitteret bærbar computer tilhørende en entreprenør.

Dette bliver desværre et ret almindeligt scenarie. Selvom et ICS-miljø kan være frakoblet og isoleret fra internettet, bliver det sårbart, når en kompromitteret bærbar computer forbindes til en tidligere sikker OT-enhed eller netværk. På tværs af de kundenetværk, som Microsoft overvåger, har 29 procent af Windows-operativsystemerne versioner, der ikke længere understøttes. Vi har set versioner såsom Windows XP og Windows 2000 i drift i sårbare miljøer.

Eftersom ældre operativsystemer ofte ikke får de nødvendige opdateringer til at holde netværk sikre, og opdatering er udfordrende i store virksomheder eller produktionsfaciliteter, er prioritering af it-, OT- og IoT-enhedssynlighed et vigtigt første skridt for at håndtere sårbarheder og beskytte disse miljøer.

Et forsvar baseret på Nul tillid, effektiv håndhændelse af politikker og kontinuerlig overvågning kan hjælpe med at begrænse det potentielle skadeområde og forebygge eller inddæmme hændelser som disse i cloud-forbundne miljøer.

Undersøgelse af OT-udstyr kræver specifik unik viden, og forståelse af sikkerhedstilstanden for industrielle controllere er afgørende. Microsoft har frigivet et efterforskningsværktøj med åben kildekode til forsvarercommunityet for at hjælper hændelsesrespondere og sikkerhedsfagfolk med at få en bedre forståelse af deres miljøer og undersøge potentielle hændelser.

Selvom de meste forbinder kritisk infrastruktur med veje og broer, offentlig transport, lufthavne og vand- og elnet, anbefalede CISA for nylig, at rummet og bioøkonomien bliver nye kritisk infrastruktur-sektorer. Med henvisning til potentialet for, at forstyrrelser inden for forskellige sektorer i den amerikanske økonomi kan medføre svækkende indvirkning på samfundet. Givet verdens afhængighed af satellitdrevet funktionalitet kan cybertrusler i disse sektorer have globale eftervirkninger langt ud over det, vi har set indtil nu.

Anbefalinger

  • Implementer nye og forbedrede politikker: Politikker, der stammer fra en Nul tillid-metodologi og bedste praksisser giver en holistisk tilgang til at muliggøre problemfri sikkerhed og styring på tværs af alle dine enheder.
  • Indfør en omfattende og dedikeret sikkerhedsløsning: Muliggør synlighed, kontinuerlig overvågning, vurdering af angrebsoverflade, trusselsregistrering og respons.
  • Uddan og oplær: Sikkerhedsteams har brug for oplæring, der er specifik for truslerne, der kommer fra eller retter sig mod IoT-/OT-systemer.
  • Udforsk måder, hvorpå eksisterende sikkerhedsdrift kan udvides: Adresser bekymringer vedrørende IoT- og OT-sikkerhed for at opnå en samlet it og OT/IoT SOC på tværs af alle miljøer.

Få mere at vide om, hvordan du kan hjælpe med at beskytte din organisation, med indsigter fra David Atch, Microsoft Threat Intelligence, Head of IoT/OT Security Research.

78 procent stigning fra 2020 til 2022 i afsløringer af meget alvorlige sårbarheder i industrielt kontroludstyr produceret af populære leverandører.1

Microsoft har identificeret ikke-opdaterede særdeles alvorlige sårbarheder i 75 % af de mest almindelige industrielle controllere i kundernes OT-netværk.1

Over 1 million enheder, der er offentligt synlige på internettet, kører Boa, et stykke forældet og ikke-understøttet software, der stadig bruges bredt i IoT-enheder og SDK'er (software development kit).1
  1. [1]

    Metodologi: Med hensyn til snapshotdata leverede Microsofts platforme, herunder Microsoft Defender for IoT, Microsoft Threat Intelligence Center og Microsoft Defender Threat Intelligence, anonymiserede data om enhedssårbarheder, f.eks. konfigurationsstatus og versioner, og data om trusselsaktivitet om komponenter og enheder. Derudover brugte forskerne data fra offentlige kilder, f.eks. National Vulnerability Database (NVD) og Cybersecurity & Infrastructure Security Agency (CISA). Statistikken for "ikke rettede, meget alvorlige sårbarheder i 75 % af de mest almindelige industrielle controllere i OT-kundenetværk" er baseret på Microsofts engagementer i 2022. Kontrolsystemer i kritiske miljøer inkluderer elektroniske og mekaniske enheder, som bruger kontrolløkker til at forbedre produktion, effektivitet og sikkerhed.

Cybersignaler Cyberrobusthed Enheder og infrastruktur Sårbarheder

Relaterede artikler

Ekspertprofil: David Atch

I vores seneste ekspertprofil har vi talt med David Atch, leder for IoT/OT Security Research hos Microsoft, om de voksende sikkerhedsrisici ved IoT- og OT-forbindelse.
Få mere at vide

Stigende cybertrusler som respons på mere IoT/OT-forbindelse

I vores seneste rapport udforsker vi, hvordan stigende IoT/OT-forbindelse fører til større og mere alvorlige sårbarheder, som organiserede cybertrusselsaktører kan udnytte.
Få mere at vide

Cyber Signals Problem 2: Extortion Economics

Hør fra frontlinjeeksperter om udviklingen af ransomware som en service. Fra programmer og nyttedata til adgangsmæglere og samarbejdspartnere – lær om de værktøjer, taktikker og mål, som cyberkriminelle foretrækker, og få hjælp til at beskytte din organisation.
Få mere at vide

Følg Microsoft