Trace Id is missing

IT un OT saplūšana

Lejupielādēt
Kopīgot
Jauna Microsoft kibersignālu atskaite

Kibersignālu 3. izdevums: Kritiskās infrastruktūras kiberriski ir palielinājušies

Lietiskā interneta (Internet-of-Things — IoT) un operatīvās tehnoloģijas (OT) ierīču uzmācība, ievainojamība mākoņa savienojamība veido strauji augošu, bieži nekontrolētu risku virsmu, kas ietekmē plašāku nozaru un organizāciju kopumu. Straujš IoT palielinājums veido uzbrucējiem plašāku ieejas punktu un uzbrukumu tvērumu. OT kļūstot arvien vairāk savienotai ar mākoni un mazinoties IT-OT nošķirtībai, piekļuve mazāk drošai OT paver durvis infrastruktūru bojājošiem uzbrukumiem
Microsoft klientu OT tīklos atklāja neielāpotas, ļoti nopietnas ievainojamības 75% visbiežāk sastopamo industriālo kontrolleru.1
Noskatieties Kibersignālu digitālo kopsavilkumu, kurā Microsoft drošības korporatīvā viceprezidente Vasu Jakkala (Vasu Jakkal) intervē galvenos draudu informācijas ekspertus par IoT un OT ievainojamībām un to, kā palīdzēt būt aizsargātam.

Digitāls kopsavilkums: IT un OT saplūšana

Pretinieki kompromitē internetam pievienotas ierīces, lai gūtu piekļuvi sensitīviem, kritiskiem infrastruktūras tīkliem.

Pēdējā gada laikā Microsoft novēroja apdraudējumus, kas izmanto ierīces gandrīz katrā pārraudzītajā un redzamajā organizāciju daļā. Mēs novērojām šos apdraudējumus tradicionālajā IT aprīkojumā, OT kontrolleros un IoT ierīcēs, piemēram, maršrutētājos un kamerās. Uzbrucēju klātbūtnes šajās vidēs un tīklos uzplaiksnījumu sekmē saplūšana un savstarpējā savienojamība, ko daudzas organizācijas ir apguvušas dažu pēdējo gadu laikā.

International Data Corporation (IDC) lēš, ka līdz 2025. gadam būs 41,6 miljardi savienotu IoT ierīču, un šis izaugsmes ātrums pārsniedz tradicionālā IT aprīkojuma izaugsmes ātrumu. Lai gan IT aprīkojuma drošība pēdējos gados ir stiprināta, IoT un OT ierīču drošība atpaliek, un apdraudējumu aktori izmanto šīs ierīces.

Ir svarīgi atcerēties, ka uzbrucējiem var būt dažādi motīvi, lai kompromitētu ierīces, kas nav tipiskie klēpjdatori un viedtālruņi. Krievijas kiberuzbrukumi pret Ukrainu, kā arī citas valstu sponsorētas kibernoziedznieku aktivitātes parāda, ka dažas valstis kiberuzbrukumus pret kritiski svarīgu infrastruktūru uzskata par vēlamu savu militāro un ekonomisko mērķu sasniegšanai.

Septiņdesmit divi procenti programmatūras izmantotāju, kurus lietoja “Incontroller”, ko Kiberdrošības un infrastruktūras drošības aģentūra (Cybersecurity and Infrastructure Security Agency — CISA) apraksta kā jaunu valsts sponsorētu uz rūpniecības vadības sistēmas (industrial control system — ICS) orientētu kiberuzbrukumu rīku kopu, kas tagad ir pieejama tiešsaistē. Šāda izplatīšanās sekmē plašākas citu aktoru uzbrukumu aktivitātes, jo izmantošanas uzsākšanai nepieciešamās kompetences un citi šķēršļi mazinās.

Kibernoziedznieku ekonomikai paplašinoties un ļaunprātīgai programmatūrai, kuras mērķis ir OT sistēmas, kļūstot dominējošākām un ērtāk lietojamām, apdraudējumu aktoriem ir vairāk dažādu veidu, kā uzsākt liela apjoma uzbrukumus. Izspiedējprogrammatūras uzbrukumi, kas iepriekš tika uzskatīti par uz IT fokusētu uzbrukuma vektoru, šodien ietekmē OT vides, kā tas bija novērojams uzbrukumā uzņēmumam Colonial Pipeline, kur uz laiku tika izslēgtas OT sistēmas un pārtraukta cauruļvadu darbība, kamēr reaģētāji uz incidentu strādāja, lai noteiktu un iegrožotu izspiedējprogrammatūras izplatīšanos uzņēmuma IT tīklā. Pretinieki izprot, ka finanšu ietekme un izspiešanas izmantošana, izslēdzot enerģētikas un citas kritiskās infrastruktūras, ir ievērojami lielāka nekā citās nozarēs.

OT sistēmas ietver gandrīz visu, kas atbalsta fizisku darbību, aptverot desmitiem vertikālu nozaru. OT sistēmas nav ierobežotas ar tikai industriālajiem procesiem, tās var būt jebkāds specializēts vai datorizēts aprīkojums, piemēram, HVAC kontrolleri, lifti un luksofori. OT sistēmu kategorijā ietilpst dažādas drošības sistēmas.

Korporācija Microsoft ir novērojusi ar Ķīnu saistītus apdraudējumu aktorus, kuru mērķis ir ievainojami mājsaimniecību un mazu biroju maršrutētāji, lai kompromitētu šīs ierīces, padarot tās par placdarmu, piešķirot tām jaunu adrešu vietu, kas ir mazāk saistīta ar to iepriekšējām kampaņām, lai varētu uzsākt jaunus uzbrukumus.

Lai gan IoT un OT ievainojamību pārsvars rada izaicinājumu visām organizācijām, vislielākais risks ir kritiski svarīgajai infrastruktūrai. Kritiski svarīgu pakalpojumu atspējošana, pat bez to iznīcināšanas, ir jaudīgs līdzeklis.

Ieteikumi:

  • Darbs ar ieinteresētajām pusēm: Kartējiet uzņēmējdarbībai kritiski svarīgos līdzekļus gan IT, gan OT vidēs.
  • Ierīču redzamība: Nosakiet, kuras IoT un OT ierīces pašas par sevi ir kritiski svarīgi līdzekļi un kuras ir saistītas ar citiem kritiski svarīgiem līdzekļiem.
  • Kritiski svarīgo līdzekļu riska analīzes veikšana: Fokusējieties uz dažādu uzbrukuma scenāriju ietekmi uz uzņēmējdarbību, kā to iesaka MITRE.
  • Stratēģijas definēšana: Pievērsieties identificētajiem riskiem, prioritāti nosakot atbilstoši ietekmei uz uzņēmējdarbību.

IoT piedāvā jaunas uzņēmējdarbības iespējas, bet arī lielāku risku

 

Saplūstot IT un OT, lai atbalstītu pieaugošās uzņēmējdarbības vajadzības, riska novērtēšana un drošākas IT un OT saistības izveide prasa apsvērt vairākus kontroles līdzekļus. Ar gaisa spraugas ierīcēm un perimetra drošību vairs nepietiek, lai pievērstos modernajiem apdraudējumiem un aizsargātos pret tiem, piemēram, izsmalcinātu ļaunprogrammatūru, mērķētiem uzbrukumiem un ļaunprātīgiem iekšējiem lietotājiem. Piemēram, IoT ļaunprogrammatūras apdraudējumu pieaugums atspoguļo šīs ainavas paplašināšanos un ievainojamu sistēmu pārņemšanas iespējamību. Analizējot 2022. gada apdraudējumu datus dažādās valstīs, Microsoft pētnieki atklāja, ka lielākā daļa IoT ļaunprogrammatūras (38 procenti no visa kopuma) izcelsme ir Ķīnas lielais tīkla pēdas nospiedums. Inficētie serveri Amerikas Savienotajās Valstīs nostāda ASV otrajā vietā ar novērotu ļaunprogrammatūras izplatību 18 procentu apmērā.

Izsmalcināti uzbrucēji OT vidēs izmanto vairākas taktikas un pieejas. Daudzas no šīm pieejām IT vidēs ir plaši izplatītas, bet OT vidēs tās ir efektīvākas, piemēram, atklātu sistēmu ar interneta savienojumu atrašana, darbinieku pieteikšanās akreditācijas datu ļaunprātīga izmantošana vai tādas piekļuves izmantošana, kas tīklā ir piešķirta trešo pušu piegādātājiem un līgumdarbiniekiem.

IT pasaules klēpjdatoru, tīmekļa lietojumprogrammu un hibrīdo darbvietu saplūšana ar OT pasaules rūpnīcu un iekārtu vadības sistēmām rada smagas riska sekas, sniedzot iespēju uzbrucējiem “pārlēkt” gaisa spraugas starp iepriekš fiziski izolētām sistēmām. Tāpēc ierīces, piemēram, kameras un viedās konferenču telpas, kļūst par riska katalizatoriem, radot jaunas iekļūšanas iespējas darbvietās un citās IT sistēmās.

2022. gadā Microsoft saistībā ar ļaunprogrammatūras incidentu palīdzēja lielam, globālam pārtikas un dzērienu ražošanas uzņēmumam, kas rūpnīcas darbību pārvaldībai izmantoja ļoti vecas operētājsistēmas. Veicot iekārtu, kas vēlāk veidotu savienojumu ar internetu, rutīnas uzturēšanas darbus, ļaunprogrammatūra izplatījās rūpnīcas sistēmās no kompromitēta līgumdarbu veicēja klēpjdatora.

Diemžēl šis ir kļuvis par diezgan izplatītu scenāriju. Lai gan ICS vide var būt ar gaisa spraugu un izolēta no interneta, tiklīdz kompromitēts klēpjdators tiek savienots ar iepriekš drošu OT ierīci vai tīklu, šī vide kļūst par ievainojamu. Dažādu klientu tīklos, ko pārrauga Microsoft, 29 procentiem operētājsistēmu Windows ir versijas, kas vairs netiek atbalstītas. Esam redzējuši tādas versijas kā Windows XP un Windows 2000, kuras darbojas ievainojamās vidēs.

Tā kā vecākas operētājsistēmas bieži vien nesaņem atjauninājumus, kas ir nepieciešami tīkla drošības uzturēšanai, un ielāpošana lielos uzņēmumos vai ražotnēs ir izaicinoša, tad IT, OT un IoT ierīču redzamības prioritizēšana ir svarīgs pirmais solis, lai pārvaldītu ievainojamības un drošinātu šīs vides.

Aizsardzība, kuras pamatā ir nulles uzticamība, efektīva politiku izmantošana un nepārtraukta pārraudzība var palīdzēt ierobežot iespējamo izplatības areālu un nepieļaut vai apvaldīt šim līdzīgus incidentus ar mākoni savienotās vidēs.

OT aprīkojuma izmeklēšanai ir nepieciešamas specifiskas, unikālas zināšanas, un būtiski svarīga ir industriālo kontrolleru drošība stāvokļa izprašana. Korporācija Microsoft ir izlaidusi atklātā pirmkoda kriminālistikas rīku aizsargu kopienai, lai reaģētājiem un incidentiem un drošības speciālistiem palīdzētu labāk izprast savas vides un izmeklēt iespējamos incidentus.

Lai gan vairākums par kritiski svarīgo infrastruktūru uzskata ceļus un tiltus, publisko transportēšanu, lidostas, kā arī ūdens un elektroapgādi, CISA nesen ieteica par jaunajiem kritiskās infrastruktūras sektoriem uzskatīt kosmosu un bioekonomiku. Norādot sagraušanas iespēju dažādos ASV ekonomikas sektoros, lai izraisītu sabiedrības novājināšanas efektus. Ņemot vērā pasaules atkarību no pavadoņu sniegtajām iespējām, kiberapdraudējumiem šajos sektoros varētu būt globāla ietekme, kas ievērojami pārsniegtu līdz šim pieredzēto.

Ieteikumi

  • Jaunu un uzlabotu politiku ieviešana: Politikas, kuru pamatā ir nulles uzticamības metodoloģija un labākā prakse, nodrošina visaptverošu pieeju nevainojamas drošības un pārvaldības ieviešanai visās jūsu ierīcēs.
  • Kāda visaptveroša un atvēlēta drošības risinājuma apgūšana: Iespējojiet redzamību, nepārtrauktu pārraudzību, uzbrukumu tvēruma novērtēšanu, apdraudējumu noteikšanu un atbildes reakciju.
  • Izglītošana un apmācība: Drošības komandām ir nepieciešama apmācība tieši par tiem apdraudējumiem, kas rodas, mērķējot uz IoT/OT sistēmām.
  • Esošo drošības operāciju uzlabošanas līdzekļu izpētīšana: Pievērsieties IoT un OT drošības bažām, lai panāktu vienotu IT un OT/IoT SOC visās vidēs.

Uzziniet vairāk par to, kā palīdzēt aizsargāt savu organizāciju arDeivida Eča (David Atch), Microsoft draudu informācijas IoT/OT drošības izpētes vadītāja, ieskatiem.

No 2020. līdz 2022. gadam bija vērojams 78% pieaugums ļoti nopietnu ievainojamības trūkumu atklāšanā industriālajās vadības iekārtās, ko ražo populāri piegādātāji.1

75% visbiežāk sastopamo industriālo kontrolleru klientu OT tīklos ir neielāpoti, ļoti nopietni ievainojamības trūkumi.1
Vairāk nekā 1 miljonu internetā publiski redzamo savienoto ierīču darbina Boa, kas ir novecojusi un neatbalstīta programmatūra, kura joprojām tiek plaši izmantota IoT ierīcēs un programmatūras izstrādes komplektos (SDK).1
  1. [1]

    Metodoloģija: Momentuzņēmuma dati iegūti, Microsoft platformām, tostarp Microsoft Defender pakalpojumam Office, Microsoft draudu informācija un Microsoft digitālo noziegumu nodaļa (DCU), sniedzot anonimizētus datus par ierīču ievainojamībām un datus par draudu izpildītāju darbību un tendencēm. Turklāt pētnieki izmantoja datus no publiskiem avotiem, piemēram, Nacionālās ievainojamību datubāzes (NVD) un Kiberdrošības & infrastruktūras drošības aģentūras (CISA). Statistika par “neielāpoti, ļoti nopietni ievainojamības trūkumi 75% visbiežāk sastopamo industriālo kontrolleru klientu OT tīklos” ir balstīta uz Microsoft iesaistīšanos 2022. gadā. Vadības sistēmas kritiskās vidēs ietver elektroniskas vai mehāniskas ierīces, kas izmanto vadības cilpas, lai uzlabotu ražošanu, efektivitāti un drošību.

Kibersignāli Kibernoturība Ierīces un infrastruktūra Ievainojamības

Saistītie raksti

Eksperta profils: Deivids Ečs (David Atch)

Mūsu jaunākajā ekspertu profilā mēs runājām ar Microsoft IoT/OT drošības izpētes vadītāju Deividu Eču (David Atch) par pieaugošajiem riskiem, kas saistīti ar IoT un OT savienojamību.
Papildinformācija

Kiberdraudu pieaugšana saistībā ar IoT/OT savienojamības paplašināšanos

Mūsu jaunākajā pārskatā tiek pētīts, kā IoT/OT savienojamība rada lielākas un nopietnākas ievainojamības, ko izmanto organizēti kiberdraudu izpildītāji.
Papildinformācija

Kibersignālu 2. izdevums: Nelegāla ekonomiskā darbība

Iegūstiet informāciju no priekšlīnijas ekspertiem par izspiedējprogrammatūras kā pakalpojuma attīstību. No programmām un vērtuma līdz piekļuves brokeriem un partneriem – uzziniet par kibernoziedznieku biežāk izmantotajiem rīkiem, taktiku un mērķiem un iegūstiet vadlīnijas, kas palīdzēs aizsargāt jūsu organizāciju.
Papildinformācija

Sekot Microsoft drošībai