Trace Id is missing
Przejdź do głównej zawartości
Security Insider

Konwergencja IT i OT

Pobierz
Udostępnij
Nowy raport Cyber Signals firmy Microsoft

Cyber Signals: numer 3: Zagrożenia cybernetyczne dla krytycznej infrastruktury są coraz częstsze

Rozprzestrzenienie, podatność na ataki i łączność z chmurą urządzeń Internetu rzeczy (IoT) i Technologii operacyjnej (OT) doprowadziło do powstania obszaru w coraz większym stopniu podatnego na ryzyko, któremu często trudno zapobiegać i które wywiera coraz większy wpływ na branże i organizacje. Intensywnie rosnący sektor IoT to szeroki obszar podatności na zagrożenia, otwierający liczne punkty wejścia atakującym. Rosnący stopień łączności systemów OT z chmurą i narastająca zbieżność IT-OT otwiera atakującym dostęp do gorzej zabezpieczonych urządzeń OT, zwiększając częstotliwość ataków infrastrukturę
Firma Microsoft zidentyfikowała znaczne, niezałatane luki w zabezpieczeniach 75% najpopularniejszych sterowników przemysłowych w sieciach OT klientów.1
Zapoznaj się z naszym cyfrowym raportem Cyber Signals, w którym kierowniczka ds. zabezpieczeń w firmie Microsoft, Vasu Jakkal, prowadzi rozmowy z czołowymi ekspertami w dziedzinie analizy zagrożeń na temat luk w zabezpieczeniach IoT i OT oraz metod zwiększania bezpieczeństwa organizacji.

Raport cyfrowy: Konwergencja IT i OT

Atakujący naruszają bezpieczeństwo urządzeń połączonych z Internetem w celu uzyskania dostępu do krytycznej infrastruktury.

W ciągu ostatniego roku firma Microsoft zaobserwowała naruszenia bezpieczeństwa urządzeń w prawie każdym monitorowanym, widocznym systemie organizacji. Zaobserwowaliśmy, że zagrożenia te dotykają zarówno tradycyjnych urządzeń IT, jak i sterowników OT i IoT, takich jak routery i kamery. Gwałtowny wzrost zainteresowania atakujących tymi środowiskami i sieciami wynika z narastającej konwergencji i łączności rozwiązań wdrażanych przez wiele organizacji w ciągu ostatnich kilku lat.

Firma International Data Corporation (IDC) szacuje, że do roku 2025 używanych będzie 41,6 miliardów urządzeń IoT – jest to skala wzrostu przekraczająca odpowiednie wskaźniki dla tradycyjnych sprzętów IT. Choć zabezpieczenia sprzętu IT uległy poprawie w ciągu ostatnich lat, zabezpieczenia urządzeń IoT i OT pozostały nieco w tyle, umożliwiając źródłom zagrożeń wykorzystanie takich luk w zabezpieczeniach.

Warto pamiętać, że atakujący mogą z różnych powodów naruszać bezpieczeństwo urządzeń innych niż typowe laptopy czy smartfony. Rosyjskie cyberataki na Ukrainę, podobnie jak działania innych sponsorowanych przez państwa cyberprzestępców, wskazują, że niektóre z tych państw postrzegają cyberataki na krytyczną infrastrukturę jako dogodny sposób na osiągnięcie swoich celów militarnych lub ekonomicznych.

72% programów wykorzystujących luki bezpieczeństwa wchodzących w skład pakietu „Incontroller” – opisanego przez Agencję Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) nowatorskiego, sponsorowanego przez państwa narzędzia cyberataków wymierzonych w przemysłowe systemy sterowania (ICS) – jest obecnie dostępnych w Internecie. Rozpowszechnienie tych narzędzi zwiększa częstotliwość ataków ze strony innych źródeł, choćby dlatego, że wymagane umiejętności techniczne, podobnie jak inne bariery dostępu do tych narzędzi, są obecnie niższe.

W miarę rozwoju rynku cyber­przestępczości złośliwe oprogramowanie wymierzone w systemy OT staje się coraz łatwiej dostępne i coraz łatwiejsze w użyciu,a źródła zagrożeń wynajdują coraz bardziej zróżnicowane techniki ataków na dużą skalę. Ataki z użyciem oprogramowania ransomware, postrzegane wcześniej jako wektor skierowany głównie w systemy IT, obecnie dotykają także środowisk OT. Można to było zaobserwować w przypadku ataku na rurociąg Colonial Pipeline, w którym systemy OT i operacje rurociągu zostały tymczasowo zatrzymane, podczas gdy grupy reagujące starały się zatrzymać rozprzestrzenianie oprogramowania ransomware w sieci IT firmy. Cyberprzestępcy zdają sobie sprawę, że ogromne straty finansowe wynikające z potencjalnego zatrzymania infrastruktury energetycznej są w znaczącą kartą przetargową w wymuszaniu okupu.

Systemy OT obejmują prawie wszystkie elementy obsługi operacji fizycznych w dziesiątkach branż. Stosuje się je nie tylko w procesach przemysłowych – mogą to być dowolne specjalistyczne lub sterowane komputerowo sprzęty, np. sterowniki instalacji klimatyzacyjnych, windy, a nawet światła drogowe. Do kategorii systemów OT zaliczają się także różne systemy zabezpieczeń.

Firma Microsoft zaobserwowała ataki powiązanych z Chinami źródeł zagrożeń wycelowane w routery gospodarstw domowych i niewielkich firm w celu naruszenia bezpieczeństwa urządzeń i pozyskania nowej przestrzeni adresowej – w mniejszym stopniu powiązanej z wcześniejszymi atakami i stanowiącej platformę dla dalszych.

Choć częste luki zabezpieczeń systemów IoT i OT stanowią wyzwanie dla wszystkich organizacji, krytyczna infrastruktura jest szczególnie narażona na zagrożenia. Groźba wyłączenia kluczowych usług jest wystarczającą kartą przetargową – nie jest konieczne niszczenie instalacji.

Rekomendacje:

  • Współpraca z zainteresowanymi: Mapowanie zasobów o krytycznym znaczeniu w środowiskach IT i OT.
  • Widoczność urządzeń: Należy zidentyfikować urządzenia IoT i OT, które stanowią krytyczne zasoby lub są z nimi powiązane.
  • Analiza zagrożenia krytycznych zasobów: Należy skupić się na skutkach biznesowych różnych scenariuszy ataku zgodnie z zaleceniami MIRTRE.
  • Opracowanie strategii: Należy wprowadzić odpowiednie czynności w zakresie stwierdzonych zagrożeń i przyznać priorytety na podstawie wpływu biznesowego.

IoT niesie ze sobą nowe możliwości biznesowe – ale także duże ryzyko

 

W obliczu coraz większej konwergencji IT i OT na potrzeby rosnących potrzeb biznesowych, analiza ryzyka i lepsze zabezpieczenie powiązań między systemami IT i OT oznacza rozważenie kilku mechanizmów zróżnicowanej kontroli dostępu. Fizycznie odłączone urządzenia i zabezpieczenia obwodowe już nie są wystarczającą odpowiedzią na nowoczesne zagrożenia w postaci zaawansowanego złośliwego oprogramowania, ukierunkowane ataki lub zagrożenia wewnętrzne. Rozwój zagrażającego systemom IoT złośliwego oprogramowania zmiany w krajobrazie zagrożeń i nowych możliwości pokonywania zabezpieczeń systemów. Analizując dane dotyczące zagrożeń z różnych krajów dla roku 2022, badacze firmy Microsoft zauważyli, że największy udział złośliwego oprogramowania – wynoszący 38% całości – miał znamiona pochodzenia z chińskiej sieci. Odpowiednia wartość dla serwerów w Stanach Zjednoczonych – 18% – daje temu krajowi drugie miejsce w dystrybucji złośliwego oprogramowania.

Zaawansowane ataki stosują różne taktyki i metody przeznaczone dla do środowisk OT. Wiele z nich jest typowych dla środowisk IT, ale są one skuteczniejsze w przypadku środowisk OT, ponieważ obejmują takie techniki, jak wykrywanie eksponowanych, widocznych z Internetu systemów oraz wykorzystywanie nadużyć poświadczeń logowania przez pracowników lub dostępu do sieci udzielonego innym podmiotom, np. dostawcom lub podwykonawcom.

Konwergencja między stosowanymi w IT laptopami, aplikacjami internetowymi i środowiskami hybrydowymi a charakterystycznymi dla świata OT systemami sterowania zakładowymi instalacjami niesie ze sobą znaczne zagrożenia, umożliwiając atakującym „wstrzelenie się” między wcześniej zupełnie odrębne systemy. W ten sposób nawet takie urządzenia IoT, jak kamery i inteligentne urządzenia stosowane w salach konferencyjnych, stają się czynnikami ryzyka, otwierając nowe punkty dostępu do środowisk roboczych i innych systemów IT.

W 2022 roku firma Microsoft udzieliła wsparcia globalnemu producentowi żywności i napojów, który do zarządzania operacjami fabryk używał bardzo przestarzałych systemów operacyjnych, w incydencie związanym ze złośliwym oprogramowaniem. Podczas rutynowej konserwacji sprzętów, które miały zostać podłączone do Internetu, zauważono rozprzestrzenianie złośliwego oprogramowania w systemach fabryki przez naruszony laptop podwykonawcy.

Niestety, taki scenariusz staje się coraz powszechniejszy. Choć środowisko ICS można odizolować fizycznie i odłączyć od Internetu, podłączenie do bezpiecznego jak dotąd systemu laptopa z naruszonymi zabezpieczeniami oznacza natychmiastowe zagrożenie całej sieci OT. 29% używanych przez klientów wersji systemów Windows w sieciach monitorowanych przez firmę Microsoft nie jest już objętych pomocą techniczną. Zauważyliśmy, że narażone na ataki środowiska były obsługiwane przez takie systemy, jak Windows XP i Windows 2000.

Wiele starszych wersji systemów operacyjnych nie otrzymuje już zwiększających bezpieczeństwo sieci aktualizacji, a ręczne instalowanie poprawek jest dość trudne w większych firmach lub zakładach produkcyjnych, gdzie dużą rolę odgrywają systemy IT, a widoczność urządzeń OT i IoT stanowi ważny krok w usuwaniu luk w zabezpieczeniach odpowiednich środowisk.

Ochrona oparta na metodologii Zero Trust, skuteczne egzekwowanie zasad oraz stały monitoring pozwala ograniczyć skutki potencjalnych ataków lub ograniczyć ich zasięg w środowiskach pracujących w chmurze.

Badanie sprzętów OT wymaga określonej wiedzy, a zrozumienie stanu zabezpieczeń sterowników przemysłowych ma tu kluczowe znaczenie. Firma Microsoft opublikowała badawcze narzędzie typu open source, aby wspierać grupy odpowiadające na zagrożenia i specjalistów ds. zabezpieczeń w lepszym rozumieniu odpowiednich środowisk i badaniu potencjalnych incydentów.

Większości z nas określenie „krytyczna infrastruktura” kojarzy się z mostami, transportem publicznym, lotniskami i sieciami wodociągowymi lub elektrycznymi. Tymczasem jednak Agencja ds. Cyberbezpieczeństwa i Zabezpieczeń Infrastruktury (CISA) wydała ostatnio zalecenie, aby uznać przestrzeń kosmiczną oraz bioekonomię za nowe sektory krytycznej infrastruktury. Oparła się przy tym na potencjalnie katastrofalnych społecznych skutkach ewentualnego naruszenia tej infrastruktury różnych sektorów gospodarczych Stanów Zjednoczonych. Biorąc pod uwagę powszechne na całym świecie korzystanie z funkcji opartych na satelitach, cyberzagrożenia dla tych sektorów mogą mieć globalne skutki, znacznie wykraczające poza wszystko, co widzieliśmy do tej pory.

Rekomendacje

  • Wdrażanie nowych, lepszych zasad: Zasady oparte na metodologii Zero Trust oraz wdrożenie najlepszych rozwiązań to holistyczne podejście, które umożliwia płynne wdrażanie zabezpieczeń i bezproblemowe zarządzanie całym inwentarzem urządzeń.
  • Wdrożenie kompleksowego dedykowanego rozwiązania zabezpieczeń: Zwiększona widoczność, stałe monitorowanie, analiza obszarów podatnych na ataki, wykrywanie zagrożeń i reagowanie.
  • Edukacja i szkolenie: Zespoły ds. bezpieczeństwa potrzebują odpowiednich szkoleń, przygotowujących na obecne zagrożenia pochodzące z systemów IoT/OT lub w nie wymierzone.
  • Badanie sposobów na poprawę aktualnych operacji zabezpieczeń: Identyfikacja problemów w zakresie bezpieczeństwa sieci IoT i OT pozwala opracować ujednolicone centrum zabezpieczeń urządzeń OT/IOT w dowolnym środowisku.

Dowiedz się więcej o sposobach ochrony organizacji – David Atch z Centrum analizy zagrożeń Microsoft, kierownik. ds badań nad zabezpieczeniami IoT/OT dzieli się spostrzeżeniami.

78-procentowy wzrost liczby ujawnień luk w zabezpieczeniach w latach 2020–2022 stanowiących duże ryzyko w przemysłowych urządzeniach produkowanych przez popularnych dostawców.1

Firma Microsoft zidentyfikowała znaczne, niezałatane luki w zabezpieczeniach 75% najpopularniejszych sterowników przemysłowych w sieciach OT klientów.1

Ponad 1 milion widocznych w Internecie urządzeń jest wciąż obsługiwanych przez system Boa – przestarzały, nieobjęty wsparciem technicznym program wciąż szeroko używany w urządzeniach IoT i zestawach SDK.1
  1. [1]

    Metodologia: Platformy firmy Microsoft, w tym usługa Microsoft Defender for IoT, Centrum analizy zagrożeń Microsoft i usługa Microsoft Defender Threat Intelligence, udostępniły dla danych migawki zanonimizowane dane dotyczące luk w zabezpieczeniach urządzeń, takie jak stany i wersje konfiguracji, oraz dane dotyczące aktywności zagrożeń w składnikach i na urządzeniach. Ponadto badacze wykorzystali dane ze źródeł publicznych, takich jak Krajowa Baza Danych Luk w Zabezpieczeniach (NVD) i Agencja ds. Cyberbezpieczeństwa & Zabezpieczeń Infrastruktury (CISA). Statystyki dotyczące luk w zabezpieczeniach o wysokim stopniu ryzyka, dla których nie zastosowano poprawek, występujących w 75% najpopularniejszych sterowników przemysłowych w sieciach OT klientów są oparte na zobowiązaniach firmy Microsoft w 2022 r. Systemy kontroli w krytycznych środowiskach obejmują urządzenia elektroniczne i mechaniczne, które wykorzystują pętle kontroli na potrzeby zwiększonej produkcji, wydajności i bezpieczeństwa.

Cyber Signals Cyberochrona Urządzenia i infrastruktura Luki w zabezpieczeniach

Powiązane artykuły

Profil eksperta: David Atch

W najnowszym profilu eksperta naszym gościem był David Atch, dyrektor badań nad bezpieczeństwem IoT/OT w firmie Microsoft. Rozmawialiśmy o rosnących zagrożeniach dla bezpieczeństwa związanych z łącznością IoT i OT.
Dowiedz się więcej

Rosnąca liczba cyberzagrożeń w reakcji na rozwój łączności IoT/OT

W najnowszym raporcie badamy, jak rosnąca łączność Internetu rzeczy (IoT) i technologii operacyjnej (OT) prowadzi do powstawania większych i poważniejszych luk w zabezpieczeniach, które mogą wykorzystać zorganizowane źródła cyberzagrożeń.
Dowiedz się więcej

Cyber Signals, wydanie 2: Zarabianie na wymuszeniach

Dowiedz się więcej o tworzeniu oprogramowania ransomware jako usługi od ekspertów pierwszej linii. Od programów i ładunków po brokerów dostępu i powiązane podmioty — zapoznaj się z preferowanymi narzędziami, taktykami i celami cyberprzestępców oraz uzyskaj wskazówki, które ułatwią ochronę Twojej organizacji.
Dowiedz się więcej

Obserwuj rozwiązania zabezpieczające firmy Microsoft