Zbližovanie IT a OT
Digitálny prehľad: Zbližovanie IT a OT
Útočníci útočia na zariadenia pripojené na internet, aby získali prístup k citlivým sieťam kritickej infraštruktúry.
V uplynulom roku spoločnosť Microsoft zaznamenala hrozby zneužívajúce zariadenia v takmer každej monitorovanej a viditeľnej časti organizácie. Tieto hrozby sme zaznamenali v tradičných IT zariadeniach, riadiacich jednotkách prevádzkových technológií a zariadeniach internetu vecí, ako sú smerovače a kamery. K nárastu prítomnosti útočníkov v týchto prostrediach a sieťach prispieva zbližovanie a vzájomné prepojenie, ktoré prebieha v posledných rokoch v mnohých organizáciách.
Spoločnosť International Data Corporation (IDC) odhaduje, že do roku 2025 bude k internetu vecí pripojených 41,6 miliardy zariadení, čo je vyššie tempo rastu ako u tradičných IT zariadení. Hoci sa zabezpečenie IT zariadení v posledných rokoch posilnilo, zabezpečenie zariadení IoT a OT s týmto vývojom nedrží krok a aktéri hrozieb tieto zariadenia zneužívajú.
Je dôležité uvedomiť si, že útočníci môžu mať rôzne motívy na ohrozenie iných zariadení, ako sú typické prenosné počítače a smartfóny. Kybernetické útoky Ruska na Ukrajinu, ako aj ďalšie kybernetické trestné aktivity sponzorované na celoštátnej úrovni dokazujú, že niektoré štáty považujú kybernetické útoky na kritickú infraštruktúru za žiaduce na dosiahnutie vojenských a ekonomických cieľov.
Sedemdesiatdva percent softvérových prostriedkov, ktoré využíva metóda „Incontroller“, ktorú Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) opisuje ako nový súbor štátom sponzorovaných nástrojov na kybernetické útoky na priemyselné riadiace systémy (ICS), je teraz dostupných online. Takéto šírenie podporuje rozsiahlejšie útočné aktivity iných aktérov, pretože sa znižujú odborné znalosti a iné prekážky vstupu na trh.
Keďže ekonomika počítačových zločinov sa rozširuje a škodlivý softvér zameraný na systémy OT je čoraz rozšírenejší a čoraz ľahšie sa používa, majú aktéri hrozieb k dispozícii rozmanitejšie spôsoby realizácie rozsiahlych útokov. Útoky ransomwaru, ktoré boli predtým vnímané ako vektor útokov zameraných na IT, dnes zasahujú aj prostredia OT, ako to bolo vidieť pri útoku na spoločnosť Colonial Pipeline. Došlo tam k dočasnému odstaveniu systémov OT a prevádzky ropovodu, zatiaľ čo pracovníci zodpovední za incidenty pracovali na identifikácii a obmedzení šírenia ransomwaru v IT sieti spoločnosti. Útočníci si uvedomujú, že finančný dosah a páky v podobe vydierania, že dôjde k odstaveniu prevádzky, sú v prípade energetických a iných kritických infraštruktúr oveľa väčšie ako v iných odvetviach.
Systémy OT zahŕňajú takmer všetko, čo podporuje fyzickú prevádzku, v rozsahu desiatok vertikálnych odvetví. Systémy OT sa neobmedzujú len na priemyselné procesy. Môžu to byť akékoľvek zariadenia na špeciálne účely alebo počítačové zariadenia, ako napríklad regulátory kúrenia, vetrania a klimatizácie, výťahy a semafory. Do kategórie OT systémov patria rôzne bezpečnostné systémy.
Spoločnosť Microsoft zaznamenala, že aktéri hrozieb napojení na Čínu sa zameriavajú na zraniteľné smerovače v domácnostiach a malých kanceláriách. Ich cieľom je vybudovať z týchto zariadení oporné body, ktoré im poskytnú nový adresný priestor, ktorý bude v menšej miere spojený s ich predchádzajúcimi kampaňami, a oni tak môžu spúšťať nové útoky.
Hoci rozšírenie zraniteľných miest v oblasti IoT a OT predstavuje výzvu pre všetky organizácie, kritická infraštruktúra je vystavená zvýšenému riziku. Vyradenie kritických služieb z prevádzky, nie nutne ich zničenie, je silnou pákou.
Odporúčania:
- Spolupracujte so zúčastnenými stranami: Zmapujte kritické podnikové prostriedky v prostrediach IT a OT.
- Viditeľnosť zariadení: Identifikujte, ktoré zariadenia IoT a OT sú kritickými prostriedkami sami o sebe a ktoré sú spojené s inými kritickými prostriedkami.
- Vykonajte analýzu rizík kritických prostriedkov: Zamerajte sa na obchodný vplyv rôznych scenárov útoku, ako navrhuje spoločnosť MITRE.
- Definujte stratégiu: Riešte identifikované riziká podľa ich priority vyplývajúcej z vplyvu na podnikanie.
Internet vecí prináša nové obchodné príležitosti, ale aj veľké riziko
Keďže sa oblasti IT a OT zbližujú, aby dokázali podporovať rozširujúce sa obchodné potreby, je potrebné pri posudzovaní rizík a vytváraní bezpečnejšieho vzťahu medzi IT a OT zohľadniť viacero kontrolných opatrení. Fyzicky izolované zariadenia a zabezpečenie perimetra už nepostačujú na riešenie moderných hrozieb, ako sú sofistikovaný škodlivý softvér, cielené útoky a škodliví insideri, a obranu proti nim. Nárast hrozieb škodlivého softvéru v rámci internetu vecí napríklad odráža expanziu tohto prostredia a jeho potenciál ovládnuť zraniteľné systémy. Analýzou údajov o hrozbách z roku 2022 v rôznych krajinách výskumníci spoločnosti Microsoft zistili, že najväčší podiel škodlivého softvéru v rámci internetu vecí, 38 % z celkového počtu, pochádza z Číny, ktorá má veľkú sieťovú stopu. Infikované servery v Spojených štátoch sa umiestnili na druhom mieste s 18 %-podielom na šírení škodlivého softvéru.
Pokročilí útočníci využívajú v prostrediach OT viaceré taktiky a prístupy. Mnohé z týchto prístupov sú bežné v prostrediach IT, ale v prostrediach OT sú účinnejšie, či už ide o odhalenie exponovaných systémov s prístupom na internet, zneužitie prihlasovacích údajov zamestnancov alebo zneužitie prístupu udeleného dodávateľom a partnerom tretích strán do sietí.
Prepojenie medzi prenosnými počítačmi, webovými aplikáciami a hybridnými pracovnými priestormi vo svete IT a riadiacimi systémami v továrňach a zariadeniach vo svete OT prináša dôsledky v podobe vážnych rizík. Útočníkom totiž poskytuje príležitosť obísť medzery medzi predtým fyzicky izolovanými systémami. Zariadenia internetu vecí, ako sú kamery a inteligentné konferenčné miestnosti, sa môžu stať katalyzátormi rizík tým, že vytvoria nové vstupné body do pracovných priestorov a iných IT systémov.
V roku 2022 spoločnosť Microsoft pomáhala pri incidente so škodlivým softvérom veľkej globálnej potravinárskej a nápojovej spoločnosti, ktorá používala veľmi staré operačné systémy na riadenie prevádzky tovární. Pri vykonávaní bežnej údržby zariadenia, ktoré sa neskôr pripojilo na internet, sa škodlivý softvér rozšíril do systémov továrne prostredníctvom napadnutého prenosného počítača dodávateľa.
Žiaľ, tento scenár sa opakuje čoraz častejšie. Hoci prostredie priemyselných riadiacich systémov môže byť fyzicky izolované a odpojené od internetu, v momente, keď je napadnutý prenosný počítač pripojený k pôvodne zabezpečenému OT zariadeniu alebo sieti, stáva sa toto prostredie zraniteľným. V sieťach zákazníkov, ktoré spoločnosť Microsoft monitoruje, má 29 % operačných systémov Windows verzie, ktoré už nie sú podporované. V zraniteľných prostrediach sme videli používanú verziu Windows XP aj Windows 2000.
Keďže staršie operačné systémy často nedostávajú aktualizácie potrebné na zabezpečenie sietí a opravovanie je vo veľkých podnikoch alebo výrobných zariadeniach náročné, je dôležitým prvým krokom k zníženiu zraniteľnosti a zvýšeniu zabezpečenia týchto prostredí zameranie sa na viditeľnosť zariadení IT, OT a IoT.
Obrana založená na princípe nulovej dôvery (Zero Trust), účinnom presadzovaní politík a nepretržitom monitorovaní môže pomôcť obmedziť potenciálny dosah incidentu a zabrániť podobným incidentom v prostrediach pripojených do cloudu alebo ich obmedziť.
Vyšetrovanie zariadení OT si vyžaduje špecifické a unikátne znalosti, pričom je kľúčové porozumieť stavu zabezpečenia priemyselných riadiacich jednotiek. Spoločnosť Microsoft sprístupnila komunite obrancov forenzný nástroj s otvoreným zdrojovým kódom, ktorý má pracovníkom reagujúcim na incidenty a bezpečnostným špecialistom pomôcť lepšie porozumieť ich prostrediu a vyšetriť potenciálne incidenty.
Zatiaľ čo si väčšina ľudí pod pojmom kritická infraštruktúra predstavuje cesty a mosty, verejnú dopravu, letiská, vodovodné a elektrické siete, agentúra CISA nedávno odporučila, aby sa novými sektormi kritickej infraštruktúry stali vesmír a bioekonomika. Uvádza, že narušenie rôznych odvetví amerického hospodárstva môže mať ničivý vplyv na spoločnosť. Vzhľadom na to, že svet je závislý od fungovania satelitov, kybernetické hrozby v týchto sektoroch by mohli mať globálne dôsledky, ktoré ďaleko presahujú to, čo sme doteraz videli.
Odporúčania
- Implementujte nové a vylepšené politiky: Politiky vychádzajúce z metodiky nulovej dôvery (Zero Trust) a osvedčených postupov poskytujú ucelený prístup, ktorý umožňuje bezproblémové zabezpečenie a riadenie všetkých vašich zariadení.
- Nasaďte komplexné a špecializované riešenie zabezpečenia: Zaistite viditeľnosť, nepretržité monitorovanie, hodnotenie potenciálnych oblastí útoku, detekciu hrozieb a reakciu na ne.
- Zabezpečte vzdelávanie a školenia: Bezpečnostné tímy potrebujú školenia špecifické pre hrozby pochádzajúce zo systémov IoT/OT alebo zacielené na tieto systémy.
- Preskúmajte možnosti rozšírenia existujúcich operácií zabezpečenia: Zamerajte sa na riešenia bezpečnostných problémov v oblasti IoT a OT, aby ste mohli vytvoriť jednotné kontroly SOC pre OT a IoT vo všetkých prostrediach.
Zistite viac o tom, ako pomôcť chrániť vašu organizáciu, za pomoci poznatkov Davida Atcheho, vedúceho výskumu zabezpečenia IoT/OT z oddelenia Microsoft Analýza hrozieb.
Spoločnosť Microsoft identifikovala neopravené zraniteľné miesta s vysokou závažnosťou v prípade 75 % najbežnejších priemyselných riadiacich jednotiek v sieťach OT zákazníkov.1
Na internete je verejne viditeľných viac ako milión pripojených zariadení so zastaraným a nepodporovaným softvérom Boa, ktorý sa stále vo veľkej miere používa v zariadeniach IoT a súpravách SDK (software development kit).1
- [1]
Metodika: Anonymizované údaje o zraniteľných miestach zariadení (napríklad stavy konfigurácie a verzie) a údaje o aktivite hrozieb v súčastiach a zariadeniach poskytli pre snímku údajov platformy spoločnosti Microsoft ako Microsoft Defender pre IoT, centrum Microsoft Analýza hrozieb a Microsoft Defender Analýza hrozieb. Okrem toho výskumníci použili údaje z verejných zdrojov, akými sú databáza National Vulnerability Database (NVD) a Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA). Štatistický údaj o „neopravených zraniteľných miestach s vysokou závažnosťou v prípade 75 % najbežnejších priemyselných riadiacich jednotiek v sieťach OT zákazníkov“ vychádza zo skúseností spoločnosti Microsoft za rok 2022. Riadiace systémy v kritických prostrediach zahŕňajú elektronické alebo mechanické zariadenia, ktoré využívajú regulačné slučky na zlepšenie výroby, efektivity a bezpečnosti.
Sledujte zabezpečenie od spoločnosti Microsoft