Konvergencija IT-ja i OT-ja
Digitalno izvješće: Konvergencija IT-ja i OT-ja
Protivnici ugrožavaju uređaje spojene na internet radi dobivanja pristupa povjerljivim ključnim infrastrukturnim mrežama.
U protekloj je godini Microsoft opazio prijetnje u kojima se iskorištavaju uređaji u gotovo svakom nadziranom i vidljivom dijelu tvrtke ili ustanove. Uočili smo ove prijetnje u tradicionalnoj IT opremi, OT kontrolerima i IoT uređajima kao što su usmjerivači i kamere. Nagli porast u prisutnosti napadača u ovim okruženjima i mrežama potaknut je konvergencijom i međupovezivosti koje su mnoge organizacije usvojile proteklih nekoliko godina.
International Data Corporation (IDC) procjenjuje da će biti 41,6 milijardi povezanih IoT uređaja do 2025. godine, što je stopa rasta veća od stope tradicionalne IT opreme. Iako se sigurnost IT oprema pojačala nedavnih godina, sigurnost IoT i OT uređaja nije držala korak s time i zlonamjerni akteri iskorištavaju te uređaje.
Važno je zapamtiti da napadači imaju razne motive za ugrožavanje i drugih uređaja, ne samo tipičnih prijenosnih računala i pametnih telefona. Ruski računalni napadi protiv Ukrajine, kao i druga aktivnost računalnih zločina koju sponzorira država, pokazuju da neke države vide računalne napade protiv ključne infrastrukture kao poželjne za ostvarenje vojnih i gospodarskih ciljeva.
Sedamdeset i dva posto iskorištavanja softvera koje koristi „Incontroller”, ono što Agencija za računalnu sigurnosti i sigurnost infrastrukture (CISA) opisuje kao novi skup alata za računalne napade, koji su sponzorirani od strane države te su usmjereni na industrijski kontrolni sustav (ICS), sada su dostupna na mreži. Takav porast podržava širu aktivnost napada od strane drugih aktera, kako se stručnost i druge prepreke ulasku smanjuju.
Budući da se ekonomija računalnog zločina širi i ciljanje OT sustava zlonamjernim softverom postaje još više prevladava i lakše ga je koristiti, zlonamjerni akteri imaju više različitih načina za organiziranje opsežnih napada. Napadi ucjenjivačkim softverom, koji su se prethodno smatrali vektorom napada usredotočenim na IT, danas utječu na IT okruženja kao što smo vidjeli u napadu Colonial Pipeline, gdje su OT sustavi i operacije u kanalima privremeno bili zatvoreni dok su osobe koje odgovaraju na incident utvrđivale ucjenjivački softver i suzbijale njegovo širenje na IT mreži poduzeća. Protivnici shvaćaju da su financijski učinak i iskorištavanje iznuđivanja koji proizlaze iz zatvaranja energije i druge ključne infrastrukture daleko veći nego u drugim industrijama.
OT sustavi obuhvaćaju gotovo sve što podržava fizičke operacije i šire se na desetke vertikalnih industrija. OT sustavi nisu isključivo ograničeni na industrijske procese, mogu biti bilo koje posebne vrste ili kompjuterizirana oprema, kao što su HVAC kontroleri, dizala i semafori. Razni sigurnosni sustavi spadaju u kategoriju OT sustava.
Microsoft je promatrao zlonamjerne aktere povezane s Kinom kojima su meta bili usmjerivači u kućnim i malim uredima kako bi se ugrozili ti uređaji kao uporišta, davajući im novi prostor adrese koji je manje povezan s njihovim prethodnim kampanjama, a s kojeg bi pokrenuli nove napade.
Dok pretežnost IoT i OT ranjivosti predstavlja izazov za sve organizacije, ključna infrastruktura je pod povećanim rizikom. Onemogućivanje ključnih usluga, koje nužno nije ni potrebno uništiti, snažno je sredstvo.
Preporuke:
- Radite s dionicima: Mapirajte resurse ključne za poslovanje, u IT i OT okruženjima.
- Vidljivost uređaja: Utvrdite koji su IoT i OT uređaji ključni resursi sami po sebi, a koji su povezani s drugim ključnim resursima.
- Napravite analizu rizika ključnih resursa: Fokusirajte se na utjecaj na poslovanje različitih scenarija napada kako je predložio MITRE.
- Definirajte strategiju: Rješavajte utvrđene rizike, davajući prioritet utjecaju na poslovanje.
IoT donosi nove poslovne mogućnosti – ali i veliki rizik
Zbog konvergencije IT-ja i OT-ja radi podrške rastućim poslovnim potrebama, procjena rizika i uspostavljanje sigurnijeg odnosa između IT-ja i OT-ja zahtijevaju razmatranje nekoliko kontrolnih mjera. Uređaji s prekinutom fizičkom vezom s internetom i sigurnost vanjske granice više nisu dovoljni za rješavanje modernih prijetnji i obranu od njih kao što su sofisticirani zlonamjerni softveri, ciljani napadi i zlonamjerni interni akteri. Rast IoT zlonamjernih prijetnji, na primjer, odraz je širenja ovog krajolika i potencijala preuzimanja ranjivih sustava. Analizirajući podatke o prijetnjama u 2022. u različitim zemljama, Microsoftovi istražitelji pronašli su najveći udio IoT zlonamjernog softvera, ukupno 38 posto, iz velikog kineskog otiska na mreži. Zahvaćeni poslužitelji u Sjedinjenim Američkim Državama stavili su SAD na drugo mjesto, s 18 posto opažene distribucije zlonamjernog softvera.
Napredni napadači iskorištavaju više taktika i pristupa u OT okruženjima. Mnogi od ovih pristupa česti su u IT okruženjima, ali su učinkovitiji u OT okruženjima, kao pronalazak izloženih sustava okrenutih internetu, zloupotreba vjerodajnica za prijavu zaposlenika ili iskorištavanje pristupa mrežama odobrenog dobavljačima i ugovarateljima trećih strana.
Konvergencija između prijenosnih računala, aplikacija i hibridnih radnih prostora iz IT svijeta te kontrolnih sustava vezanih za tvornice i objekte OT svijeta donosi ozbiljne rizične posljedice jer se napadačima pruža prilika da „preskoče” zračne praznine između prethodno fizički izoliranih sustava. Tako IoT uređaji, kao što su kamere i pametne konferencijske sobe, postaju katalizatori rizika stvaranjem novih ulaza u radne prostore i druge IT sustave.
Microsoft je 2022. pomogao velikom globalnom poduzeću za hranu i piće, koje je koristilo stare operacijske sustave za upravljanje operacijama tvornice, s incidentom sa zlonamjernim softverom. Dok se provodilo rutinsko održavanje opreme koja će se kasnije spojiti na internet, zlonamjerni softver proširio se na sustave tvornice preko ugroženog prijenosnog računala ugovaratelja.
Nažalost, ovo postaje prilično česti scenarij. Dok ICS okruženje može biti imati prekinutu fizičku vezu s internetom i izolirano od interneta, onaj trenutak kada se prijenosno računalo spoji na prethodno siguran OT uređaj ili mrežu, isti postaje ranjiv. Među mrežama klijenata koje Microsoft nadzire, 29 posto operacijskih sustava Windows imaju verzije koje više nisu podržane. U ranjivim smo okruženjima vidjeli verzije kao što su Windows XP i Windows 2000.
Budući da stariji operacijski sustavi često ne dobivaju ažuriranja potrebna da bi mreže bile sigurne, a krpanje je izazovno u velikim tvrtkama ili objektima za proizvodnju, davanje prioriteta IT, OT i IoT vidljivosti uređaja važan je prvi korak za upravljanje ranjivostima i zaštitu ovih okruženja.
Obrana koja se temelji na modelu „svi su nepouzdani”, provedba važećih pravilnika i stalni nadzor mogu pomoći u ograničavanju potencijalnog promjera udara te spriječiti ili suzbiti incidente poput ovog u okruženjima povezanima u oblaku.
Istraživanje OT opreme zahtijeva posebno, jedinstveno znanje te je razumijevanje stanja sigurnosti industrijskih kontrolera ključno. Microsoft je objavio forenzički alat otvorenog koda zajednici branitelja kako bi pomogao osobama koje odgovaraju na incident i stručnjacima u području sigurnosti da bolje razumiju svoja okruženja i istraže potencijalne incidente.
Dok mnogi vide ceste i mostove, javni prijevoz, zrakoplovne luke, vodene i električne mreže kao ključnu infrastrukturu, CISA je nedavno preporučio da svemir i bioekonomija postanu novi ključni infrastrukturni sektori. Citirajući potencijal za prekidanje u raznim sektorima američke ekonomija što znatno oslabilo društvo. Uzimajući u obzir oslanjanje svijeta na mogućnosti omogućene satelitima, računalne prijetnje u ovim sektorima mogle bi imati globalne implikacije daleko iznad onih koje smo dosad vidjeli.
Preporuke
- Implementirajte nove i poboljšane pravilnike: Pravilnici koji proizlaze iz metodologije modela „svi su nepouzdani” i najbolje prakse pružaju holistički pristup za omogućivanje besprijekorne sigurnosti i upravljanja na svim vašim uređajima.
- Usvojite sveobuhvatno i namjensko sigurnosno rješenje: Omogućite vidljivost, kontinuirani nadzor, procjenu površine za napad, otkrivanje prijetnji i odgovor.
- Obrazujte i obučavajte: Sigurnosnim je timovima potrebna obuka specifična za računalne prijetnje koje proizlaze iz IoT/OT sustava ili u kojima su ti sustavi meta.
- Proučite sredstva za povećanje postojećih sigurnosnih operacija: Rješavajte probleme vezane uz sigurnost IoT-ja i OT-ja kako biste ostvarili objedinjeni IT i OT/IoT SOC na svim okruženjima.
Saznajte više o tome kako pomoći u zaštiti svoje tvrtke ili ustanove s uvidima Davida Atcha, Microsoftovo obavještavanje o prijetnjama, voditelj istraživanja za IoT/OT sigurnost.
Microsoft je utvrdio nezakrpane ranjivosti visoke razine ozbiljnosti u75 % najčešćih industrijskih kontrolerau OT mrežama klijenata.1
- [1]
Metodologija: Za podatke snimke stanja Microsoftove platforme, uključujući Microsoft Defender za IoT, Microsoftov centar za obavještavanje o prijetnjama i Obavještavanje o prijetnjama za Microsoft Defender, pružile su anonimne podatke o ranjivostima, kao što su stanja i verzije konfiguracija te podatke o aktivnosti prijetnji na komponentama i uređajima. Pored toga, istraživači su koristili podatke iz javnih izvora, kao što su Nacionalna baza podataka ranjivosti (NVD) i Agencija za & sigurnost infrastrukture (CISA). Statistika o „nezakrpanim ranjivostima visoke razine ozbiljnosti u 75 % najčešćih industrijskih kontrolera u korisničkim OT mrežama” temelji se na Microsoftovim angažmanima u 2022. Sustav kontrole u ključnim okruženjima obuhvaća elektroničke ili mehaničke uređaje u kojima se koriste kontrolne petlje za poboljšanu proizvodnju, učinkovitost i sigurnost.
Pratite Microsoft Security