Konvergence IT a OT
Digitální briefing: Konvergence IT a OT
Útočníci útočí na zařízení připojená k internetu, aby získali přístup k citlivým sítím kritické infrastruktury.
V uplynulém roce Microsoft zaznamenal hrozby zneužívající zařízení v téměř každé sledované a viditelné části organizace. Tyto hrozby jsme zaznamenali u tradičních IT zařízení, řídicích jednotek provozních technologií a zařízení IoT, jako jsou routery a kamery. K větší přítomnosti útočníků v těchto prostředích a sítích přispívá úroveň konvergence a propojení, ke kterému mnoho organizací v posledních několika přistupuje.
Společnost International Data Corporation (IDC) odhaduje, že do roku 2025 bude k internetu věcí připojeno 41,6 miliardy zařízení, což je vyšší tempo růstu než u tradičních IT zařízení. Ačkoli se zabezpečení IT zařízení v posledních letech posílilo, zabezpečení zařízení internetu věcí a provozních technologií s tímto vývojem krok nedrží a aktéři hrozeb tato zařízení zneužívají.
Je důležité si uvědomit, že útočníci mohou mít různou motivaci k útokům na jiná zařízení, než jsou typické notebooky a chytré telefony. Kybernetické útoky Ruska proti Ukrajině, stejně jako další kybernetická trestná činnost sponzorovaná národními státy, ukazují, že některé národní státy považují kybernetické útoky proti kritické infrastruktuře za žádoucí pro dosažení svých vojenských a ekonomických cílů.
Dvaasedmdesát procent softwarových prostředků využívaných metodami „Incontroller“, které Agentura pro kybernetickou bezpečnost a zabezpečení infrastruktury (CISA) popisuje jako nový soubor státem sponzorovaných nástrojů pro kybernetické útoky na průmyslové řídicí systémy (ICS), je nyní k dispozici online. Takové šíření podporuje širší útočnou činnost dalších aktérů, protože se snižují odborné znalosti a další překážky vstupu na trh.
S rozvojem ekonomiky kyberzločinu a šířením škodlivého softwaru zaměřeného na OT systémy, který je stále snadněji použitelný, mají aktéři hrozeb k dispozici stále rozmanitější způsoby, jak provádět rozsáhlé útoky. Útoky ransomwaru, které byly dříve vnímány jako útočný směr zaměřený na IT, dnes zasahují i prostředí OT, jak se ukázalo při útoku na společnost Colonial Pipeline, kdy došlo k dočasnému odstavení systémů OT a provozu ropovodu, zatímco pracovníci zodpovědní za reakci na incidenty pracovali na identifikaci a omezení šíření ransomwaru v IT síti společnosti. Útočníci si uvědomují, že finanční dopady a vyděračské páky odstavení energetických a jiných kritických bodů infrastruktury jsou mnohem větší než v jiných odvětvích.
Do systémů OT patří téměř vše, co podporuje fyzický provoz, v rozsahu desítek vertikálních odvětví. Systémy OT se neomezují pouze na průmyslové procesy, ale mohou zahrnovat jakákoli účelová nebo počítačově řízená zařízení, jako jsou regulátory vytápění, ventilace a klimatizace, výtahy a semafory. Do kategorie systémů OT spadají různé bezpečnostní systémy.
Společnost Microsoft zaznamenala, že aktéři hrozeb napojení na Čínu se zaměřují na zranitelné domácí a malé kancelářské routery s cílem vybudovat si z těchto zařízení opěrné body, které jim poskytnou nový adresní prostor méně spojený s jejich předchozími kampaněmi, z něhož mohou zahajovat nové útoky.
Rozšíření zranitelných míst v oblasti IoT a OT představuje výzvu pro všechny organizace, kritická infrastruktura je však vystavena zvýšenému riziku. Samotné vyřazení kritických služeb z provozu, ne nutně jejich zničení, je velmi silnou pákou.
Doporučení:
- Spolupráce se zúčastněnými stranami: Zmapujte kritické podnikové prostředky v oblastech IT a OT.
- Viditelnost zařízení: Určete, která zařízení IoT a OT jsou kritickými prostředky sama o sobě a která jsou spojena s jinými kritickými prostředky.
- Provedení analýzy rizik kritických prostředků: Zaměřte se na obchodní dopady různých scénářů útoku podle doporučení MITRE.
- Definování strategie: Řešte identifikovaná rizika podle jejich priority vyplývající z dopadu na podnikání.
Internet věcí přináší nové obchodní příležitosti, ale také velká rizika
S ohledem na přibližování oblastí IT a OT s cílem podpořit rozšiřující se obchodní potřeby, je třeba při posouzení rizik a vytvoření bezpečnějšího vztahu mezi IT a OT zvážit několik kontrolních opatření. Ochrana v podobě fyzicky odpojených zařízení a zabezpečení perimetru již nepostačuje k řešení moderních hrozeb, jako je sofistikovaný malware, cílené útoky a zákeřní insideři, a obraně proti nim. Například nárůst hrozeb malwaru v internetu věcí odráží expanzi tohoto prostředí a jeho potenciál ovládnout zranitelné systémy. Analýzou dat o hrozbách z roku 2022 v různých zemích výzkumníci společnosti Microsoft zjistili, že největší podíl malwaru v internetu věcí, celkem 38 % z celkového množství, pochází z Číny, která má rozsáhlou síťovou stopu. Infikované servery ve Spojených státech se umístily na druhém místě s 18 procenty zjištěného rozšíření malwaru.
Pokročilí útočníci využívají v prostředí OT různé taktiky a přístupy. Mnohé z těchto přístupů jsou běžné v prostředí IT, ale účinnější jsou v prostředí OT, ať už jde například o odhalení exponovaných systémů s přístupem na internet, zneužití přihlašovacích údajů zaměstnanců nebo zneužití přístupu k sítím uděleného dodavatelům a smluvním partnerům třetích stran.
Propojení přenosných počítačů, webových aplikací a hybridních pracovišť ve světě IT a řídicích systémů v továrnách a zařízeních ve světě OT přináší dopady v podobě závažných rizik, protože útočníkům poskytuje příležitost „přeskočit“ mezery mezi dříve fyzicky izolovanými systémy. Zařízení internetu věcí, jako jsou kamery a chytré konferenční místnosti, se tak stávají katalyzátory rizik tím, že vytvářejí nové vstupní body do pracovních prostor a dalších IT systémů.
V roce 2022 Microsoft asistoval velké globální potravinářské a nápojové společnosti, která používala velmi staré operační systémy pro správu továrních provozů, při incidentu s malwarem. Při provádění běžné údržby zařízení, které se později připojilo k internetu, se malware rozšířil do továrních systémů prostřednictvím napadeného notebooku dodavatele.
Takový scénář se bohužel stále častěji opakuje. Prostředí průmyslových řídicích systémů sice může být chráněno fyzickým odpojením a izolováním od internetu, ale v okamžiku, kdy je napadený notebook připojen k dříve zabezpečenému zařízení OT nebo síti, stává se toto prostředí zranitelným. V sítích zákazníků, které společnost Microsoft monitoruje, má 29 % operačních systémů Windows verze, které již nejsou podporovány. Ve zranitelných prostředích jsme viděli používané verze Windows XP i Windows 2000.
Protože starší operační systémy často nedostávají aktualizace potřebné k zajištění bezpečnosti sítí a ve velkých podnicích nebo výrobních závodech je provádění dílčích oprav náročné, je důležitým prvním krokem ke snížení zranitelnosti a zvýšení zabezpečení těchto prostředí zaměření se na viditelnost zařízení IT, OT a IoT.
Obrana založená na principu nulové důvěry (Zero Trust), účinném prosazování zásad a nepřetržitém monitorování může pomoct omezit potenciální dosah incidentu a zastavit nebo omezit podobné incidenty v prostředích připojených ke cloudu.
Kontrola zařízení OT vyžaduje specifické unikátní znalosti, přičemž klíčové je porozumění stavu zabezpečení průmyslových řídicích jednotek. Společnost Microsoft zpřístupnila komunitě expertů na ochranu forenzní nástroj s otevřeným zdrojovým kódem, který má pomoct osobám reagujícím na incidenty a bezpečnostním specialistům lépe porozumět jejich prostředí a vyšetřovat potenciální incidenty.
Zatímco většina lidí si pod pojmem kritická infrastruktura představuje silnice a mosty, veřejnou dopravu, letiště a vodovodní a elektrické sítě, CISA nedávno doporučila, aby se novými odvětvími kritické infrastruktury staly vesmír a bioekonomika. Uvádí, že narušením různých odvětví amerického hospodářství může dojít ke zničujícím dopadům na společnost. Vzhledem k tomu, že svět je závislý na schopnostech a funkcích satelitů, můžou mít kybernetické hrozby v těchto odvětvích globální dopady, které dalece přesahují dosavadní zkušenosti.
Doporučení
- Zaveďte nové a vylepšené zásady: Zásady vycházející z metodiky nulové důvěry (Zero Trust) a osvědčených postupů poskytují ucelený přístup směrem k bezproblémovému zabezpečení a řízení všech zařízení.
- Nasaďte komplexní a specializované bezpečnostní řešení: Zajistěte viditelnost, nepřetržité monitorování, vyhodnocování potenciálních oblastí útoku, detekci hrozeb a reakci na ně.
- Zajistěte vzdělání a školení: Bezpečnostní týmy potřebují školení zaměřené na hrozby pocházející ze systémů IoT/OT nebo cílící na ně.
- Prozkoumejte možnosti rozšíření stávajících operací zabezpečení: Zaměřte se na řešení bezpečnostních problémů IoT a OT za účelem vytvoření jednotného SOC na úrovni IT a OT/IoT ve všech prostředích.
Zjistěte více o tom, jak pomoct chránit vaši organizaci, za pomoci poznatků Davida Atche, vedoucího výzkumu zabezpečení IoT/OT, oddělení Analýzy hrozeb Microsoft.
Microsoft identifikoval neopravená zranitelná místa s vysokou závažností u 75 % nejběžnějších průmyslových řídicích jednotek v OT sítích zákazníků.1
Na internetu je veřejně k vidění víc než 1 milion připojených zařízení se zastaralým a nepodporovaným softwarem Boa, který se stále hojně používá v zařízeních internetu věcí a sadách pro vývoj softwaru (SDK).1
- [1]
Metodologie: U uváděných dat poskytly platformy společnosti Microsoft zahrnující Microsoft Defender for IoT, Microsoft Threat Intelligence Center a Analýzu hrozeb v programu Microsoft Defender anonymizovaná data o zranitelnostech zařízení, jako jsou stavy a verze konfigurace, a data o aktivitě hrozeb u komponent a zařízení. Kromě toho výzkumníci použili údaje z veřejných zdrojů, jako je databáze NVD (National Vulnerability Database) a agentura CISA (Cybersecurity & Infrastructure Security Agency). Statistika „neopravených zranitelností s vysokou závažností u 75 % nejběžnějších průmyslových řídicích jednotek v sítích OT zákazníků“ vychází ze zapojení společnosti Microsoft v roce 2022. Řídicí systémy v kritických prostředích zahrnují elektronická nebo mechanická zařízení, která využívají řídicí smyčky pro zlepšení výroby, účinnosti a bezpečnosti.
Sledujte zabezpečení od Microsoftu