Trace Id is missing

IT ja OT kokkupuutepunktid

Laadi alla
Ühiskasutus
Microsofti uus cyber signalsi aruanne

Ajakirja „Cyber Signals“ 3. väljaanne: Kriitilise tähtsusega taristute vastu suunatud küberriskide arv aina suureneb

Asjade Interneti (IoT) ja käidutehnoloogia (OT) seadmete levik, nõrkused ja pilveühenduvus kujutavad endast kiiresti laienevat, sageli kontrollimatut riskipinda, mis mõjutab laiemat hulka valdkondi ning organisatsioone. Kiiresti kasvav IoT loob ründajatele laiendatud sisenemispunkti ja ründepinna. Kuna OT liigub aina enam pilveühendusepõhiseks ja IT-OT vahe on sulgumas, avab juurdepääs vähem turvalisele OT-le ukse palju kahju tegevate taristurünnete jaoks
Microsoft tuvastas paikamata ja suure raskusastmega nõrkusi 75% kõige levinumatest tööstuslikest kontrolleritest klientide käidutehnoloogiavõrkudes.1
Vaadake Cyber Signalsi digitaalset infoülevaadet, kus Microsofti turbeteenuste osakonna asepresident Vasu Jakkal intervjueerib peamisi ohuteabe eksperte IoT ja OT nõrkuste ning nende keskkondade kaitstuna hoidmise teemal.

Digitaalne infoülevaade: IT ja OT kokkupuutepunktid

Vastased ohustavad IoT-ga seadmeid, et saada juurdepääs tundlikele ja kriitilise tähtsusega taristuvõrkudele.

Viimase aasta jooksul on Microsoft täheldanud seadmeid ära kasutavaid ohte peaaegu kõigis organisatsiooni jälgitavates ja nähtavates osades. Oleme neid ohte täheldanud traditsioonilistes IT-seadmetes, OT-kontrollerites ja IoT-seadmetes, näiteks ruuterites ja kaamerates. Ründajate kohaloleku kasvu nendes keskkondades ja võrkudes soodustab lähenemine ning ühenduvuse laad, mille paljud organisatsioonid on viimastel aastatel kasutusele võtnud.

Rahvusvahelise andmekorporatsiooni (IDC) hinnangul on 2025. aastaks 41,6 miljardit ühendatud IoT-seadet, mis ületab traditsiooniliste IT-seadmete kasvutempo. Kuigi IT-seadmete turvalisus on viimastel aastatel paranenud, ei ole IoT- ja OT-seadmete turvalisus suutnud samas tempos sammu pidada ning küberohustajad kasutavad neid seadmeid ära.

Oluline on meeles pidada, et ründajatel võivad olla erinevad motiivid, ohustades ka teisi seadmeid peale tavaliste sülearvutite ja nutitelefonide. Venemaa küberründed Ukraina vastu, aga ka muud riiklikult mahitatud ja rahastatud küberkuritegevused näitavad, et mõned riiklikult mahitatud organid peavad küberründeid kriitilise tähtusega taristu vastu sõjaliste ja majanduslike eesmärkide saavutamiseks soovitavaks.

Veebis on hetkel kättesaadaval 72% ründetarkvarast, mida kasutab Incontroller – Küberturbe ja Taristu Turbeagentuur (CISA) kirjeldab seda kui uudset riiklikult mahitatud, tööstuslikule juhtimissüsteemile (ICS) suunatud küberründetööriistade komplekti. Selline levik soodustab ka teiste küberohustajate laiemat ründetegevust, kuna hääbuvad teadmised ja muud sissesaamist takistavad tõkked.

Kuna küberkuritegelik majandus laieneb ja OT-süsteemidele suunatud ründetarkvara muutub levinumaks ja lihtsamini kasutatavaks, on küberohustajatel laiaulatuslike rünnete korraldamiseks mitmekülgsed võimalused. Lunavararünded, mida varem peeti pigem IT-le suunatud ründevektoriteks, mõjutavad tänapäeval OT-keskkondi, näiteks nagu oli Colonial Pipeline’i ründe puhul, kus OT-süsteemid ja konveieritoimingud suleti ajutiselt, samal ajal kui intsidentidele reageerijad töötasid selle nimel, et tuvastada ning ohjeldada lunavaralevikut ettevõtte IT-võrgus. Vastased mõistavad, et energiataristu ja ka muude kriitiliselt oluliste taristute sulgemise rahaline mõju ja väljapressimisvõimalused on palju suuremad kui teistes valdkondades.

OT-süsteemid hõlmavad peaaegu kõike, mis toetab füüsilisi toiminguid, hõlmates kümneid vertikaalseid valdkondi. OT-süsteemid ei piirdu ainult tööstusprotsessidega, need võivad olla mis tahes eriotstarbelised või arvutipõhised seadmed, näiteks HVAC-kontrollerid, liftid ja valgusfoorid. Erinevad turbesüsteemid kuuluvad OT-süsteemide kategooriasse.

Microsoft on täheldanud, et Hiinaga seotud küberohustajad sihivad nõrkustega kodu- ja väikekontori ruutereid, muutes need tugipostideks edasiseks ründeks ning andes neile seadmetele uue aadressiruumi, mis oleks uute rünnete alustamiseks vähem seostatavam eelmiste keskustega.

Kuigi IoT ja OT nõrkuste levimus kujutab endast väljakutset kõikidele organisatsioonidele, on kriitilise tähtsusega taristud alati suuremas ohus. Kriitiliste teenuste halvamine, sealjuures isegi mitte ilmtingimata teenuste täielik hävitamine, on võimas relv.

Soovitused:

  • Koostöö huvirühmadega: Ärikriitiliste varade kaardistamine IT- ja OT-keskkondades.
  • Seadme nähtavus: Tehke kindlaks, millised IoT- ja OT-seadmed on oma olemuselt ise kriitilised varad ja mis on seotud muude kriitiliste varadega.
  • Kriitiliste varade riskianalüüs: Keskenduge erinevate ründestsenaariumide mõjule ettevõttetegevuses, nagu on soovitanud MITER.
  • Strateegia määratlemine: Tooge luubi alla tuvastatud riskid, lähtudes ettevõtte tegevuse mõjust.

IoT on tulvil imelistest ärivõimalustest, ent see toob endaga kaasa ka suuri riske

 

Kuna IT ja OT lähenevad, et toetada laienevaid ärivajadusi, nõuab riskide hindamine ning IT ja OT vahelise turvalisema suhte loomine mitmete kontrollimeetmete kasutusele võtmise kaalumist. Õhkeraldatud seadmetest ja perimeetri turvalisusest ei piisa enam tänapäevaste ohtude (nt keeruka ründevara, sihitud rünnete ja pahatahtlike ettevõttesiseste ründajate) käsitlemiseks ning nende eest kaitsmiseks. Näiteks IoT ründevara ohtude kasv peegeldab selle maastiku laienemist ja potentsiaali nõrkustega süsteemidest mööduda. Analüüsides 2022. aasta ohuandmeid eri riikides, leidsid Microsofti teadlased, et suurim osa IoT ründevarast, 38% koguarvust, pärineb Hiina suurest võrgujalajäljest. Nakatunud serverid Ameerika Ühendriikides paigutavad USA teisele kohale 18 protsendiga täheldatud ründevara levitamisest.

Osavamad ründajad kasutavad OT-keskkondades mitut eri taktikat ja lähenemisviisi. Paljud neist lähenemisviisidest on IT-keskkondades üsna levinud, kuid on tõhusamad OT-keskkondades, nagu näiteks rünnete ees kaitsetute Interneti-poolsete süsteemide avastamine, töötajate sisselogimisteabe kuritarvitamine või kolmandatest osapooltest tarnijatele ja võrkudele antud juurdepääsu ärakasutamine.

IT-maailma sülearvutite, veebirakenduste ja hübriidtööruumide ning OT-maailma tehaste ja rajatiste juhtimissüsteemide vaheline lähenemine loob tõsiseid riskitagajärgi, pakkudes ründajatele võimalust „hüpata“ varem füüsiliselt isoleeritud ning nüüd õhkeraldatud süsteemide vahel. Riske võivad endaga kaasa tuua seega ka sellised IoT-seadmed nagu kaamerad või nutikad konverentsiruumid, mis pakuvad uusi sisenemiskohti tööruumidesse ja teistesse IT-süsteemidesse.

2022. aastal aitas Microsoft ründevarajuhtumit lahendada suurel ülemaailmsel toidu- ja joogitootjal, kes kasutas tehase toimingute haldamiseks väga vanu operatsioonisüsteeme. Teostades rutiinset hooldust seadmetes, mis hiljem Internetiga ühenduse loovad, levis ründevara tehasesüsteemidesse ründe ohvriks langenud töövõtja sülearvuti kaudu.

Kahjuks on see muutumas üsna levinud stsenaariumiks. Kuigi ICS-keskkonda saab õhkeraldada ja Internetist isoleerida, muutub see nõrkuseks hetkel, kui ründe ohvriks langenud sülearvuti ühendatakse varem turvalise OT-seadme või võrguga. Microsofti jälgitavates klientide võrkudes on 29 protsendil Windowsi operatsioonisüsteemidest versioonid, mida enam ei toetata. Oleme näinud näiteks kasutusel selliseid versioone nagu Windows XP ja Windows 2000, mis töötavad nõrkustega keskkondades.

Kuna vanemad operatsioonisüsteemid ei saa sageli võrkude turvalisuse tagamiseks vajalikke värskendusi ja paikamine on suurtes ettevõtetes või tootmisrajatistes keeruline, on IT-, OT- ja IoT-seadmete nähtavuse prioriseerimine oluline esimene samm nõrkuste haldamisel ja nende keskkondade kaitsmisel.

Täisusaldamatusel põhinev kaitse, kehtiva poliitika jõustamine ja pidev seire võivad aidata piirata potentsiaalset ohuplahvatuse raadiust ning vältida või ohjeldada selliseid intsidente pilvega ühendatud keskkondades.

OT-seadmete uurimine nõuab spetsiifilisi ainulaadseid teadmisi ning tööstuslike kontrollerite turvalisuse olukorra mõistmine on ülioluline. Microsoft andis kaitsjate kogukonnale välja avatud lähtekoodiga ekspertiisi tööriista, mis aitab intsidentidele reageerijatel ja turbespetsialistidel oma keskkonda paremini mõista ja võimalikke intsidente uurida.

Kui enamik peab kriitilise tähtsusega taristuteks teid ja sildu, ühistransporti, lennujaamu ning vee- ja elektrivõrke, siis soovitas CISA hiljuti, et kosmos ja biomajandus tuleks samuti liigitada kriitilise tähtsusega taristusektorite alla. Viidates võimalikele häiretele USA majanduse erinevates sektorites, mis avaldavad ühiskonnale kurnavat mõju. Arvestades, et maailm sõltub satelliidipõhistest funktsioonidest, võivad küberohtudel nendes sektorites olla globaalsed tagajärjed, mille mõõtmed võivad võtta palju suurema ulatuse kui varem.

Soovitused

  • Uute ja täiustatud poliitikate juurutamine: Täisusaldamatuse metoodikast ja headest tavadest tulenevad poliitikad pakuvad terviklikku lähenemisviisi, mis võimaldab katkematut turvalisust ning juhtimist kõigis teie seadmetes.
  • Kõikehõlmava ja spetsiaalse turbelahenduse kasutuselevõtmine: Tagage nähtavus, pidev jälgimine, ründepinna hindamine ning ohutuvastus ja -kõrvaldus.
  • Harivad koolitused: Turbemeeskonnad vajavad IoT/OT-süsteemidest pärinevate või neid sihikule võtvate ohtude jaoks spetsiifilist koolitust.
  • Olemasolevate turbetoimingute tugevdamisvõimalustega tutvumine: Tegelege IoT ja OT turbeprobleemidega, et saavutada ühtne IT ning OT/IoT SOC kõigis keskkondades.

Lugege lisateavet selle kohta, kuidas aidata oma organisatsiooni kaitsta, võttes aluseks teabe ja ülevaated David Atchilt, Microsofti ohuanalüüsi ja IoT/OT-turbeuuringute juhilt.

Populaarsete tarnijate toodetud tööstuslike juhtimisseadmete tõsiste nõrkuste avalikustamine suurenes 78% aastatel 2020–2022.1

Microsoft tuvastas paikamata ja suure raskusastmega nõrkusi 75% kõige levinumatest tööstuslikest kontrolleritest klientide OT-võrkudes.1

Üle ühe miljoni internetis avalikult nähtavas ühendatud seadmes töötab Boa veebiserver, mis on aegunud, toetamata tarkvara, mida kasutatakse endiselt laialdaselt IoT-seadmetes ja tarkvara arenduskomplektides (SDK).1
  1. [1]

    Metoodika: Hetktõmmiste andmete jaoks esitasid Microsofti platvormid (sh Microsoft Defender for IoT, Microsofti ohuanalüüsikeskus ja Microsoft Defenderi ohuteave) anonüümseid andmeid seadmete nõrkuste (nt konfiguratsiooniolekute ja versioonide) kohta ning andmeid komponentide ja seadmete vastu suunatud ohutegevuste kohta. Lisaks kasutasid teadlased andmeid avalikest allikatest, nagu riiklik nõrkuste andmebaas (NVD) ning küberturbe & ja taristuturbe agentuur (CISA). Statistika „paikamata, suure raskusastmega nõrkuste kohta 75% kõige levinumatest tööstuslikest kontrolleritest klientide käidutehnoloogiavõrkudes“ põhineb Microsofti sekkumistel 2022. aastal. Kriitilise tähtsusega keskkondade juhtimissüsteemid hõlmavad elektroonilisi või mehaanilisi seadmeid, mis kasutavad juhtimisahelaid tootmise, tõhususe ja ohutuse täiustamiseks.

Kübersignaalid Kübervastupanuvõime Seadmed ja taristu Nõrkused

Seotud artiklid

Eksperdi profiil: David Atch

Oma viimases eksperdiprofiilis rääkisime Microsofti IoT/OT-turbeuuringute juhi David Atchiga, et rääkida IoT- ja OT-ühenduvuse kasvavatest turberiskidest.
Lisateave

Kasvav küberoht vastuseks ioT/OT ühenduvuse suurenemisele

Oma viimases aruandes uurime, kuidas ioT/OT ühenduvuse suurenemine aitab organiseeritud küberohustajatel haavatavusi suuremini ja tõsisemalt ära kasutada.
Lisateave

Ajakirja „Cyber Signals“ 2. väljaanne: Väljapressimisel põhinev majandus

Meie eesliinieksperdid annavad ülevaate arengutest teenusena pakutava lunavara valdkonnas. Täpsemat teavet saate kõikvõimalike tööriistade, taktikate ja sihtmärkide kohta, mida küberkurjategijad eelistavad, programmidest ja lastidest alustades ning juurdepääsumaaklerite ja vahendajatega lõpetades. Samuti leiate siit juhiseid oma asutuse või ettevõtte kaitsmiseks.
Lisateave

Jälgige Microsofti turbeteenust