Trace Id is missing

Convergența dintre IT și OT

Raport nou Semnale cibernetice de la Microsoft

Semnale cibernetice, nr. 3: Riscurile cibernetice asupra infrastructurii critice sunt în creștere

Omniprezența, vulnerabilitatea și conectivitatea în cloud a dispozitivelor Internet of Things (IoT) și de tehnologie operațională (OT) reprezintă o suprafață de risc ce se extinde rapid și este deseori neverificată, care afectează o gamă largă de industrii și organizații. Creșterea rapidă a numărului de dispozitive IoT creează un punct de intrare și o suprafață de atac extinse pentru atacatori. Pe măsură ce tehnologia operațională devine din ce în ce mai conectată în cloud și spațiul dintre IT și OT se astupă, accesul la dispozitive OT mai puțin securizate deschide ușa atacurilor ce pot distruge infrastructura
Microsoft a identificat vulnerabilități grave, fără corecții aplicate, în 75% dintre cele mai comune controlere industriale din rețelele OT ale clienților.1
Urmăriți informarea digitală Semnale cibernetice, în care Vasu Jakkal, vicepreședintele corporativ Microsoft Security intervievează experți cheie în investigarea amenințărilor în legătură cu vulnerabilitățile IoT și OT și cum vă puteți proteja.

Informare digitală: Convergența dintre IT și OT

Adversarii compromit dispozitivele conectate la internet pentru a obține acces la rețele de infrastructură critică, confidențiale.

În ultimul an, Microsoft a observat amenințări care exploatează dispozitive în aproape orice parte monitorizată și vizibilă a unei organizații. Am observat aceste amenințări în echipamente IT tradiționale, controlere de tehnologie operațională și dispozitive IoT precum routerele și camerele. Creșterea bruscă a prezenței atacatorilor în aceste medii și rețele este alimentată de convergența și interconectivitatea pe care multe organizații le-au adoptat în ultimii ani.

International Data Corporation (IDC) estimează că vor exista 41,6 miliarde de dispozitive IoT conectate până în 2025, o rată de creștere mai ridicată decât cea a echipamentului IT tradițional. Deși securitatea echipamentului IT s-a întărit în ultimii ani, securitatea dispozitivelor IoT și OT nu a ținut pasul, iar actorii de amenințare exploatează aceste dispozitive.

Este important de reținut că atacatorii pot avea diverse motive pentru a compromite dispozitive care nu sunt laptopuri sau telefoane mobile. Atacurile cibernetice ale Rusiei împotriva Ucrainei, precum și activitatea infracțională cibernetică sponsorizată de alte state, demonstrează că unele state naționale văd atacurile cibernetice împotriva infrastructurii critice necesare pentru atingerea obiectivelor economice și militare.

72% dintre exploatările software utilizate de „Incontroller”, ceea ce Agenția de securitate cibernetică și a infrastructurii (CISA) descrie ca fiind un nou set de instrumente de atac cibernetic sponsorizate de stat, orientate spre sistemele de control industrial (ICS), sunt acum disponibile online. Această proliferare favorizează activități de atac mai ample ale altor actori, întrucât expertiza necesară și alte bariere de intrare scad.

Pe măsură ce industria infracțiunilor cibernetice se extinde și software-ul rău intenționat care vizează sistemele OT devine mai răspândit și mai ușor de utilizat, actorii de amenințare au la dispoziție modalități mai variate pentru organizarea atacurilor la scară largă. Atacurile ransomware, percepute anterior ca vector de atac concentrat pe IT, afectează astăzi mediile OT, așa cum s-a văzut și în atacul Colonial Pipeline, unde sistemele OT și operațiunile conductei au fost oprite temporar în timp ce respondenții la incident au lucrat la identificarea și limitarea răspândirii ransomware-ului în rețeaua IT a companiei. Adversarii realizează că impactul financiar și avantajul extorcării sunt mult mai mari la întreruperea energiei și a altor infrastructuri critice decât în alte industrii.

Sistemele OT includ aproape orice susține operațiunile fizice în zeci de industrii de nișă. Sistemele OT nu se limitează la procesele industriale, ci pot fi orice echipament computerizat sau cu scop special, cum ar fi controlerele de climatizare, lifturile și semafoarele. De asemenea, diverse sisteme de siguranță pot fi încadrate ca sisteme OT.

Microsoft a observat actori de amenințare asociați Chinei vizând routere vulnerabile pentru uz casnic sau birouri mici, pentru a compromite aceste dispozitive ca puncte de sprijin, un nou spațiu de adresă care nu este asociat campaniilor lor anterioare, din care pot lansa noi atacuri.

În timp ce prevalența vulnerabilităților IoT și OT reprezintă o provocare pentru toate organizațiile, infrastructura critică prezintă un risc crescut. Nici nu este necesară distrugerea serviciilor critice, simpla dezactivare este o pârghie suficient de puternică.

Recomandări:

  • Colaborați cu părțile interesate: Mapați activele de uz critic în mediile IT și OT.
  • Vizibilitatea dispozitivelor: Identificați ce dispozitive IoT și OT sunt active de uz critic de unele singure și care sunt asociate cu altele.
  • Efectuați o analiză de risc pe activele de uz critic: Concentrați-vă pe impactul a diferite scenarii de atac asupra afacerii, așa cum sugerează MITRE.
  • Definiți o strategie: Adresați riscurile identificate, acordând prioritate în funcție de impactul asupra afacerii.

IoT introduce noi oportunități de business, dar și un risc crescut

 

Pe măsură ce IT și OT converg pentru a susține nevoile operaționale crescânde, evaluarea riscului și stabilirea unei relații mai securizate între IT și OT necesită luarea în calcul a mai multor măsuri de control. Dispozitivele izolate și securitatea perimetrului nu mai sunt suficiente pentru adresarea și apărarea împotriva amenințărilor moderne, așa cum sunt malware-ul sofisticat, atacurile țintite și sursele rău intenționate din interior. De exemplu, creșterea numărului de amenințări malware IoT reflectă extinderea acestui peisaj și potențialul de a acapara sistemele vulnerabile. Analizând datele amenințărilor din 2022 din diferite țări, cercetătorii Microsoft au descoperit că cea mai mare parte a malware-ului IoT, 38% din total, provine din amprenta amplă a Chinei în rețea. Serverele infectate din Statele Unite ale Americii pun S.U.A. pe locul doi, cu 18% din distribuția de malware observată.

Atacatorii avansați valorifică mai multe tactici și abordări în mediile OT. Multe dintre aceste abordări sunt comune în mediile IT, dar sunt mai eficiente în mediile OT, cum ar fi descoperirea sistemelor expuse conectate la internet, abuzarea informațiilor de conectare a angajaților sau exploatarea accesului la rețele acordat furnizorilor și colaboratorilor terți.

Convergența dintre laptopurile, aplicațiile web și spațiile de lucru hibride din lumea IT și sistemele de control ale fabricilor și instalațiilor din lumea OT are drept consecință un risc serios, oferind atacatorilor posibilitatea de a „sări” peste spațiile existente anterior între sistemele izolate fizic. Prin urmare, dispozitivele IoT cum sunt camerele și sălile de conferință inteligente devin catalizatori ai riscului, creând noi puncte de intrare în spațiile de lucru și alte sisteme IT.

În 2022, Microsoft a asistat o companie mare din domeniul alimentar în legătură cu un incident malware, companie care folosea sisteme de operare foarte vechi pentru gestionarea operațiunilor din fabrică. În timpul efectuării întreținerii de rutină a echipamentului, care ulterior a fost conectat la internet, malware-ul s-a răspândit la sistemele fabricii prin intermediul unui laptop compromis al unui executant.

Din păcate, acest scenariu devine din ce în ce mai comun. În timp ce un mediu ICS (sistem de control industrial) poate fi izolat fizic și de internet, în momentul în care un laptop compromis se conectează la rețea sau la un dispozitiv OT securizat anterior, mediul devine vulnerabil. În rețelele de clienți monitorizate de Microsoft, 29% dintre sistemele de operare Windows au versiuni care nu mai sunt acceptate. Am văzut versiuni precum Windows XP și Windows 2000 care rulează în medii vulnerabile.

Deoarece sistemele de operare mai vechi adesea nu primesc actualizările necesare pentru a menține rețelele în siguranță, iar corecțiile reprezintă o provocare în întreprinderile mari sau în unitățile de producție, stabilirea vizibilității dispozitivelor IT, OT și IoT ca prioritate este un prim pas important pentru gestionarea vulnerabilităților și securizarea acestor medii.

Apărarea bazată pe Zero Trust, implementarea eficientă a politicilor și monitorizarea continuă pot limita amploarea razei potențiale a exploziei și, contribuind la prevenirea sau limitarea incidentelor de acest fel în mediile conectate la cloud.

Investigarea echipamentelor OT necesită cunoștințe specifice unice și este esențial să se înțeleagă starea de securitate a controlerelor industriale. Microsoft a lansat un instrument de criminalistică open source pentru comunitatea de apărare, pentru a ajuta respondenții la incidente și specialiștii din domeniul securității să-și înțeleagă mai bine mediile și să investigheze mai bine incidentele potențiale.

În timp ce majoritatea consideră infrastructura critică ca fiind drumuri și poduri, transport public, aeroporturi și rețele de apă și electrice, CISA a recomandat recent ca spațiul cosmic și bioeconomia să devină sectoare de infrastructură critică. Se invocă potențialul întreruperilor în diferite sectoare ale economiei Statelor Unite ale Americii de a provoca efecte debilitante asupra societății. Având în vedere dependența lumii de funcțiile disponibile prin satelit, amenințările cibernetice din aceste sectoare ar putea avea implicații globale dincolo de ce am văzut până acum.

Recomandări

  • Implementați politici noi și îmbunătățite: Politicile care își au baza în metodologia Zero Trust și cele mai bune practici oferă o abordare holistică, permițând guvernanța și securitatea fără probleme pe toate dispozitivele.
  • Adoptați o soluție de securitate dedicată și completă: Permiteți vizibilitatea, monitorizarea continuă, evaluarea suprafeței de atac, detectarea amenințărilor și răspunsul.
  • Educați și instruiți: Echipele de securitate necesită instruire specifică amenințărilor care își au originea în sistemele IoT/OT sau care le vizează pe acestea.
  • Examinați mijloacele de sporire a operațiunilor de securitate existente: Adresați preocupările în materie de securitate IoT și OT pentru a avea un centru de operațiuni de securitate OT/IoT unificat pe toate mediile.

Aflați mai multe despre cum vă puteți proteja organizația cu detalii de la David Atch, Investigarea amenințărilor Microsoft, directorul departamentului de cercetare în materie de securitate IoT/OT.

Creștere de 78% a dezvăluirilor vulnerabilităților grave din echipamentul de control industrial produs de furnizori cunoscuți, din 2020 până în 2022.1

Microsoft a identificat vulnerabilități grave, fără corecții aplicate, în 75% dintre cele mai comune controlere industriale din rețelele OT ale clienților.1

Peste un milion de dispozitive conectate vizibile public pe Internet rulează Boa, un software învechit pentru care nu se mai oferă asistență, dar care este în continuare folosit pe scară largă în dispozitivele IoT și kiturile de dezvoltare software (SDK).1
  1. [1]

    Metodologie: Pentru datele instantanee, platformele Microsoft, inclusiv Microsoft Defender pentru IoT, Centrul de investigare a amenințărilor Microsoft și Inteligența contra amenințărilor Microsoft Defender, au furnizat date anonime privind vulnerabilitățile dispozitivelor, cum ar fi stările și versiunile de configurare, precum și date privind activitatea amenințărilor asupra componentelor și dispozitivelor. În plus, cercetătorii au recurs la date din surse publice, cum ar fi National Vulnerability Database (NVD) și Cybersecurity & Infrastructure Security Agency (CISA). Statistica privind „vulnerabilitățile de înaltă severitate, fără corecții, în 75% dintre cele mai comune controlere industriale din rețelele OT ale clienților” se bazează pe implicarea Microsoft în 2022. Sistemele de control din mediile esențiale includ dispozitive electronice sau mecanice care utilizează bucle de control pentru îmbunătățirea producției, eficienței și siguranței.

Articole asociate

Profilul expertului: David Atch

În cel mai recent profil de expert, am vorbit cu David Atch, directorul departamentului de cercetare în materie de securitate IoT/OT de la Microsoft, despre riscurile de securitate în creștere ale conectivității IoT și OT.

Creșterea amenințărilor cibernetice ca răspuns la extinderea conectivității IoT/OT

În cel mai recent raport, explorăm cum creșterea conectivității IoT/OT duce la vulnerabilități mai mari și mai grave pe care actorii de amenințare cibernetică organizați le pot exploata.

Semnale cibernetice, nr. 2: Știința extorcării

Ascultați ce au de spus experții din prima linie în legătură cu dezvoltarea ransomware-ului ca serviciu. De la programe și sarcini la afiliați și agenți de acces, aflați despre instrumentele, tacticile și țintele preferate de infractorii cibernetici și obțineți îndrumare pentru a vă proteja organizația.

Urmăriți Microsoft Security