Η σύγκλιση IT και OT
Ψηφιακή ενημέρωση: Η σύγκλιση IT και OT
Οι αντίπαλοι παραβιάζουν συσκευές συνδεδεμένες στο internet για να αποκτήσουν πρόσβαση σε ευαίσθητα δίκτυα υποδομής ζωτικής σημασίας.
Κατά τη διάρκεια του περασμένου έτους, η Microsoft έχει παρατηρήσει απειλές που εκμεταλλεύονται συσκευές σχεδόν σε κάθε παρακολουθούμενο και ορατό τμήμα ενός οργανισμού. Έχουμε παρατηρήσει αυτές τις απειλές σε παραδοσιακό εξοπλισμό πληροφορικής, ελεγκτές OT και συσκευές IoT όπως δρομολογητές και κάμερες. Η άνοδος της παρουσίας των επιτιθέμενων σε αυτά τα περιβάλλοντα και τα δίκτυα τροφοδοτείται από τη σύγκλιση και τη διασυνδεσιμότητα που έχουν υιοθετήσει πολλοί οργανισμοί τα τελευταία χρόνια.
Το International Data Corporation (IDC) εκτιμά ότι θα υπάρχουν 41,6 δισεκατομμύρια συνδεδεμένες συσκευές IoT έως το 2025, ρυθμός ανάπτυξης υψηλότερος από τον παραδοσιακό εξοπλισμό πληροφορικής. Αν και η ασφάλεια του εξοπλισμού πληροφορικής έχει ενισχυθεί τα τελευταία χρόνια, η ασφάλεια των συσκευών IoT και OT δεν συμβαδίζει και οι παράγοντες απειλών εκμεταλλεύονται αυτές τις συσκευές.
Είναι σημαντικό να θυμάστε ότι οι εισβολείς μπορεί να έχουν διάφορα κίνητρα για να παραβιάσουν άλλες συσκευές εκτός από τυπικούς φορητούς υπολογιστές και smartphone. Οι κυβερνοεπιθέσεις της Ρωσίας κατά της Ουκρανίας, καθώς και άλλες κυβερνοεγκληματικές δραστηριότητες που χρηματοδοτούνται από έθνη, καταδεικνύουν ότι ορισμένα έθνη-κράτη θεωρούν τις επιθέσεις στον κυβερνοχώρο κατά κρίσιμων υποδομών ως επιθυμητές για την επίτευξη στρατιωτικών και οικονομικών στόχων.
Το εβδομήντα δύο τοις εκατό των εκμεταλλεύσεων λογισμικού που χρησιμοποιούνται από το "Incontroller", αυτό που περιγράφει η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA) ως ένα νέο σύνολο εργαλείων κυβερνοεπιθέσεων με προσανατολισμό στο σύστημα βιομηχανικού ελέγχου (ICS) που χρηματοδοτούνται από το κράτος, είναι πλέον διαθέσιμα στο διαδίκτυο. Αυτή η εξάπλωση ενθαρρύνει την ευρύτερη δραστηριότητα επίθεσης από άλλους παράγοντες, καθώς η τεχνογνωσία και άλλα εμπόδια εισόδου μειώνονται.
Καθώς η οικονομία του κυβερνοεγκλήματος επεκτείνεται και το κακόβουλο λογισμικό που στοχεύει συστήματα OT γίνεται πιο διαδεδομένο και πιο εύχρηστο, οι παράγοντες απειλών έχουν πιο ποικίλους τρόπους για να πραγματοποιούν επιθέσεις μεγάλης κλίμακας. Οι επιθέσεις ransomware, που προηγουμένως θεωρούνταν ως εφαλτήριο επίθεσης εστιασμένο στο IT, επηρεάζουν σήμερα περιβάλλοντα OT, όπως φαίνεται στην επίθεση Colonial Pipeline, όπου τα συστήματα OT και οι λειτουργίες διοχέτευσης έκλεισαν προσωρινά ενώ οι υπεύθυνοι απόκρισης περιστατικών εργάζονταν για να εντοπίσουν και να περιορίσουν την εξάπλωση του ransomware στο δίκτυο πληροφορικής της εταιρείας. Οι αντίπαλοι συνειδητοποιούν ότι ο οικονομικός αντίκτυπος και η μόχλευση του εκβιασμού του τερματισμού της ενέργειας και άλλων κρίσιμων υποδομών είναι πολύ μεγαλύτερος από άλλους κλάδους.
Τα συστήματα OT περιλαμβάνουν σχεδόν οτιδήποτε υποστηρίζει φυσικές λειτουργίες, καλύπτοντας δεκάδες κάθετες βιομηχανίες. Τα συστήματα OT δεν περιορίζονται μόνο σε βιομηχανικές διαδικασίες, μπορεί να είναι οποιοσδήποτε ειδικός σκοπός ή ηλεκτρονικός εξοπλισμός, όπως ελεγκτές HVAC, ανελκυστήρες και φανάρια. Διάφορα συστήματα ασφαλείας εμπίπτουν στην κατηγορία των συστημάτων OT.
Η Microsoft παρατήρησε παράγοντες απειλών που συνδέονται με την Κίνα και στοχεύουν ευάλωτους δρομολογητές κατοικιών και μικρών γραφείων προκειμένου να θέσουν σε κίνδυνο αυτές τις συσκευές ως βάση, δίνοντάς τους νέο χώρο διευθύνσεων λιγότερο σχετικό με τις προηγούμενες εκστρατείες τους, από τις οποίες θα εξαπολύουν νέες επιθέσεις.
Ενώ η επικράτηση των τρωτών σημείων του IoT και του OT αποτελεί πρόκληση για όλους τους οργανισμούς, οι υποδομές ζωτικής σημασίας διατρέχουν αυξημένο κίνδυνο. Η απενεργοποίηση κρίσιμων υπηρεσιών, και όχι απαραίτητα η καταστροφή τους, είναι ένας ισχυρός μοχλός πίεσης.
Προτάσεις:
- Συνεργαστείτε με ενδιαφερόμενα μέρη: Χαρτογραφήστε κρίσιμα για τις επιχειρήσεις στοιχεία, σε περιβάλλοντα πληροφορικής και OT.
- Ορατότητα συσκευών: Προσδιορίστε ποιες συσκευές IoT και OT είναι κρίσιμα στοιχεία από μόνα τους και ποια σχετίζονται με άλλα κρίσιμα στοιχεία.
- Πραγματοποιήστε ανάλυση κινδύνων σε κρίσιμα στοιχεία: Εστιάστε στον επιχειρηματικό αντίκτυπο διαφορετικών σεναρίων επίθεσης όπως προτείνει το MITRE.
- Ορίστε μια στρατηγική: Αντιμετωπίστε τους κινδύνους που εντοπίστηκαν, δίνοντας προτεραιότητα από τον επιχειρηματικό αντίκτυπο.
Το IoT εισάγει νέες επιχειρηματικές ευκαιρίες – αλλά και μεγάλο ρίσκο
Καθώς το IT και το OT συγκλίνουν για να υποστηρίξουν τις επεκτεινόμενες επιχειρηματικές ανάγκες, η αξιολόγηση του κινδύνου και η δημιουργία μιας πιο ασφαλούς σχέσης μεταξύ IT και OT απαιτούν την εξέταση πολλών μέτρων ελέγχου. Οι συσκευές με τείχος κενού και περιμετρική ασφάλεια δεν επαρκούν πλέον για την αντιμετώπιση και την άμυνα έναντι σύγχρονων απειλών, όπως το εξελιγμένο κακόβουλο λογισμικό, οι στοχευμένες επιθέσεις και οι κακόβουλοι εσωτερικοί κίνδυνοι. Η ανάπτυξη των απειλών κακόβουλου λογισμικού IoT, για παράδειγμα, αντικατοπτρίζει την επέκταση και τη δυνατότητα αυτής τη διαμόρφωσης να ξεπεράσει τα ευπαθή συστήματα. Αναλύοντας δεδομένα απειλών του 2022 σε διάφορες χώρες, οι ερευνητές της Microsoft διαπίστωσαν ότι το μεγαλύτερο μερίδιο κακόβουλου λογισμικού IoT, το 38 τοις εκατό του συνόλου, προέρχεται από το μεγάλο αποτύπωμα δικτύου της Κίνας. Οι μολυσμένοι διακομιστές στις Ηνωμένες Πολιτείες φέρνουν τις ΗΠΑ στη δεύτερη θέση, με το 18 τοις εκατό της παρατηρούμενης διανομής κακόβουλου λογισμικού.
Οι προηγμένοι εισβολείς χρησιμοποιούν πολλαπλές τακτικές και προσεγγίσεις σε περιβάλλοντα OT. Πολλές από αυτές τις προσεγγίσεις είναι κοινές σε περιβάλλοντα πληροφορικής, αλλά είναι πιο αποτελεσματικές σε περιβάλλοντα ΟΤ, όπως η ανακάλυψη εκτεθειμένων συστημάτων στο internet, η κατάχρηση των διαπιστευτηρίων σύνδεσης των εργαζομένων ή η εκμετάλλευση της πρόσβασης που παρέχεται σε τρίτους προμηθευτές και εργολάβους στα δίκτυα.
Η σύγκλιση μεταξύ των φορητών υπολογιστών, των εφαρμογών web και των υβριδικών χώρων εργασίας του κόσμου της πληροφορικής και των συστημάτων ελέγχου εργοστασιακών και εγκατεστημένων εγκαταστάσεων του κόσμου OT επιφέρει σοβαρές συνέπειες κινδύνου, δίνοντας στους εισβολείς την ευκαιρία να ξεπεράσουν τα τείχη κενού μεταξύ πρώην φυσικά απομονωμένων συστημάτων. Ως εκ τούτου, η δημιουργία συσκευών IoT, όπως κάμερες και έξυπνες αίθουσες τηλεδιασκέψεων, επιφέρουν κινδύνους δημιουργώντας νέες εισόδους σε χώρους εργασίας και άλλα συστήματα πληροφορικής.
Το 2022 η Microsoft βοήθησε μια μεγάλη παγκόσμια εταιρεία τροφίμων και ποτών, η οποία χρησιμοποιούσε πολύ παλιά λειτουργικά συστήματα για τη διαχείριση των εργασιών εργοστασίου, με ένα περιστατικό κακόβουλου λογισμικού. Κατά τη διάρκεια της τακτικής συντήρησης σε εξοπλισμό που αργότερα θα συνδεόταν στο Internet, το κακόβουλο λογισμικό εξαπλώθηκε στα εργοστασιακά συστήματα μέσω ενός παραβιασμένου φορητού υπολογιστή εργολάβου.
Δυστυχώς, αυτό το σενάριο γίνεται αρκετά σύνηθες. Ενώ ένα περιβάλλον ICS μπορεί να έχει τείχος κενού και να απομονωθεί από το Internet, τη στιγμή που ένας παραβιασμένος φορητός υπολογιστής συνδέεται σε μια προηγουμένως ασφαλή συσκευή ή δίκτυο OT γίνεται ευάλωτος. Στα δίκτυα πελατών που παρακολουθεί η Microsoft, το 29 τοις εκατό των λειτουργικών συστημάτων των Windows έχουν εκδόσεις που δεν υποστηρίζονται πλέον. Έχουμε δει εκδόσεις όπως τα Windows XP και τα Windows 2000 να λειτουργούν σε ευάλωτα περιβάλλοντα.
Επειδή τα παλαιότερα λειτουργικά συστήματα συχνά δεν λαμβάνουν τις απαιτούμενες ενημερώσεις για να διατηρούν τα δίκτυα ασφαλή και η ενημέρωση είναι δύσκολη σε μεγάλες επιχειρήσεις ή εγκαταστάσεις παραγωγής, η προτεραιότητα στην ορατότητα συσκευών IT, OT και IoT είναι ένα σημαντικό πρώτο βήμα για τη διαχείριση των ευπαθειών και την ασφάλεια αυτών των περιβαλλόντων.
Μια άμυνα που βασίζεται στη μηδενική εμπιστοσύνη, την εφαρμογή αποτελεσματικής πολιτικής και τη συνεχή παρακολούθηση μπορεί να συμβάλει στον περιορισμό της πιθανής ακτίνας έκρηξης και στην πρόληψη ή στον περιορισμό περιστατικών όπως αυτό σε περιβάλλοντα συνδεδεμένα στο cloud.
Η διερεύνηση του εξοπλισμού OT απαιτεί συγκεκριμένη μοναδική γνώση και η κατανόηση της κατάστασης ασφάλειας των βιομηχανικών ελεγκτών είναι ζωτικής σημασίας. Η Microsoft κυκλοφόρησε ένα εργαλείο εγκληματολογίας ανοιχτού κώδικα στην κοινότητα των υπερασπιστών, για να βοηθήσει τους υπεύθυνους απόκρισης περιστατικών και τους ειδικούς ασφαλείας να κατανοήσουν καλύτερα το περιβάλλον τους και να διερευνήσουν πιθανά συμβάντα.
Ενώ οι περισσότεροι σκέφτονται ως υποδομές ζωτικής σημασίας τους δρόμους και τις γέφυρες, τις δημόσιες συγκοινωνίες, τα αεροδρόμια και τα δίκτυα ύδρευσης και ηλεκτροδότησης, η CISA πρότεινε πρόσφατα ότι το διάστημα και η βιοοικονομία γίνονται νέοι τομείς υποδομής ζωτικής σημασίας. Αναφορά ότι η πιθανότητα διατάραξης σε διάφορους τομείς της οικονομίας των ΗΠΑ θα προκαλέσει εξουθενωτικές επιπτώσεις στην κοινωνία. Δεδομένης της εξάρτησης του κόσμου από δορυφορικές δυνατότητες, οι κυβερνοαπειλές σε αυτούς τους τομείς θα μπορούσαν να έχουν παγκόσμιες επιπτώσεις πολύ πέρα από αυτό που έχουμε δει μέχρι τώρα.
Προτάσεις
- Εφαρμογή νέων και βελτιωμένων πολιτικών: Οι πολιτικές που απορρέουν από τη μεθοδολογία μηδενικής εμπιστοσύνης και τις βέλτιστες πρακτικές παρέχουν μια ολιστική προσέγγιση για την απρόσκοπτη ασφάλεια και διαχείριση σε όλες τις συσκευές σας.
- Υιοθετήστε μια ολοκληρωμένη και αποκλειστική λύση ασφάλειας:: Ενεργοποιήστε την ορατότητα, τη συνεχή παρακολούθηση, την αξιολόγηση της περιοχής που είναι ευάλωτη σε επιθέσεις, τον εντοπισμό απειλών και την απόκριση.
- Εκπαίδευση και κατάρτιση: Οι ομάδες ασφαλείας απαιτούν εκπαίδευση ειδικά για απειλές που προέρχονται από συστήματα IoT/OT ή στοχεύουν σε αυτά.
- Εξετάστε τα μέσα για την ενίσχυση των υφιστάμενων λειτουργιών ασφαλείας: Αντιμετωπίστε τις ανησυχίες ασφάλειας IoT και OT για να επιτύχετε ένα ενοποιημένο SOC IT και OT/IoT σε όλα τα περιβάλλοντα.
Μάθετε περισσότερα σχετικά με το πώς μπορείτε να βοηθήσετε στην προστασία του οργανισμού σας με πληροφορίες από τον David Atch, Πληροφορίες της Microsoft σχετικά με απειλές, Επικεφαλής Έρευνας Ασφάλειας IoT/OT.
Η Microsoft εντόπισε μη επιδιορθωμένες, υψηλής σοβαρότητας ευπάθειες στο 75% των πιο κοινών βιομηχανικών ελεγκτών σε δίκτυα OT πελατών.1
- [1]
Μεθοδολογία: Για δεδομένα στιγμιότυπων, οι πλατφόρμες της Microsoft, συμπεριλαμβανομένων των Microsoft Defender for IoT, Πληροφορίες της Microsoft σχετικά με απειλές και Πληροφορίες του Microsoft Defender σχετικά με απειλές παρείχαν ανώνυμα δεδομένα σχετικά με τρωτά σημεία της συσκευής, και δεδομένα σχετικά με τη δραστηριότητα απειλής σε εξαρτήματα και συσκευές. Επιπλέον, οι ερευνητές χρησιμοποίησαν δεδομένα από δημόσιες πηγές, όπως η National Vulnerability Database (NVD) και η Cybersecurity & Infrastructure Security Agency (CISA). Τα στατιστικά στοιχεία σχετικά με «μη επιδιορθωμένα, υψηλής σοβαρότητας τρωτά σημεία στο 75% των πιο κοινών βιομηχανικών ελεγκτών σε δίκτυα OT πελατών» βασίζεται στις δεσμεύσεις της Microsoft το 2022. Τα συστήματα ελέγχου σε κρίσιμα περιβάλλοντα περιλαμβάνουν ηλεκτρονικές ή μηχανικές συσκευές που χρησιμοποιούν βρόχους ελέγχου για βελτιωμένη παραγωγή, απόδοση και ασφάλεια.
Ακολουθήστε την Ασφάλεια της Microsoft