Spajanje IT i OT
Kratki digitalni izveštaj: Spajanje IT i OT
Napadači ugrožavaju uređaje povezane na internet da bi dobili pristup osetljivim mrežama sa ključnom infrastrukturom.
Tokom prošle godine, korporacija Microsoft je primetila pretnje koje iskorišćavaju uređaje u skoro svakom praćenom i vidljivom delu organizacije. Primetili smo te pretnje na tradicionalnoj IT opremi, OT kontrolerima i IoT uređajima, kao što su ruteri i kamere. Porast prisutnosti napadača u tim okruženjima i na tim mrežama nastao je zbog spajanja i međusobne povezivosti koje su mnoge organizacije usvojile poslednjih godina.
International Data Corporation (IDC) procenjuje da će biti 41,6 milijardi povezanih IoT uređaja do 2025. godine, što je stopa rasta veća od stope rasta tradicionalne IT opreme. Iako je bezbednost IT opreme jača poslednjih godina, bezbednost IoT i OT uređaja nije ispratila ovaj tempo i zlonamerni akteri iskorišćavaju te uređaje.
Važno je zapamtiti da napadači mogu da imaju različite motive da ugroze i druge uređaje pored uobičajenih – laptop računara i pametnih telefona. Ruski kibernetički napadi na Ukrajinu, kao i druge aktivnosti kibernetičkih kriminalaca koje sponzorišu nacionalne države, pokazuju da neke nacionalne države vide kibernetičke napade na ključnu infrastrukturu kao poželjne za postizanje vojnih i ekonomskih ciljeva.
Sedamdeset i dva procenta softverskih zloupotreba koje koristi „Incontroller“, koji Agencija za kibernetičku bezbednost i bezbednost infrastrukture (CISA) opisuje kao novi skup alatki za kibernetičke napade koje sponzoriše država i koje su okrenute ka industrijskim kontrolnim sistemima (ICS), sada je dostupno na mreži. Taj porast omogućava šire napadačke aktivnosti drugih aktera jer se stručnost i druge prepreke za ulaz smanjuju.
Kako se ekonomija kibernetičkog kriminala širi, a zlonamerni softveri koji targetiraju OT sisteme postaju rasprostranjeniji i lakši za korišćenje, zlonamerni akteri imaju sve više načina da izvode napade širokih razmera. Napadi ransomvera, koji su se ranije smatrali vektorom napada usredsređenim na IT, danas utiču na OT okruženja, kao što je viđeno u napadu na Colonial Pipeline, kada su OT sistemi i rad cevovoda privremeno zatvoreni dok su se radnici zaduženi za reakciju na incident trudili da otkriju i ograniče širenje ransomvera na IT mrežu kompanije. Napadači shvataju da su finansijske posledice i prednosti iznude pri zatvaranju energetike i drugih ključnih infrastruktura mnogo veći nego u drugim sektorima.
OT sistemi obuhvataju skoro sve što potpomaže fizičke operacije u desetinama vertikalnih sektora. OT sistemi nisu ograničeni samo na industrijske procese, već mogu da imaju bilo koju posebnu namenu ili da obuhvataju kompjuterizovanu opremu, npr. kontrolere grejanja, ventilaciju i klima uređaje, liftove i semafore. Razni bezbednosni sistemi spadaju u kategoriju OT sistema.
Korporacija Microsoft je primetila zlonamerne aktere povezane sa Kinom koji targetiraju ranjive kućne i manje kancelarijske rutere kako bi ugrozili te uređaje i napravili od njih uporišta. Tako dobijaju novi adresni prostor, koji se manje dovodi u vezu sa prethodnim kampanjama, a sa kojeg mogu da pokrenu nove napade.
Iako rasprostranjena ranjivosti interneta stvari i operativne tehnologije predstavlja izazov svim organizacijama, ključna infrastruktura je pod povećanim rizikom. Onemogućavanje ključnih usluga, koje čak ni ne podrazumeva nužno i uništenje, predstavlja moćno oružje.
Preporuke:
- Radite sa zainteresovanim stranama: Mapirajte resurse ključne za poslovanje u IT i OT okruženjima.
- Vidljivost uređaja: Odredite koji su IoT i OT uređaji ključni resursi sami po sebi, a koji su povezani sa drugim ključnim resursima.
- Analizirajte ključne resurse u pogledu rizika: Fokusirajte se na uticaj različitih scenarija napada na poslovanje, prema predlozima korporacije MITRE.
- Razvijte strategiju: Pozabavite se uočenim rizicima, a prioritet odredite prema uticaju na poslovanje.
IoT daje nove poslovne prilike, ali i veći rizik
Pošto se IT i OT spajaju kako bi se pokrile sve veće poslovne potrebe, procena rizika i uspostavljanje bezbednije veze između interneta stvari i operativne tehnologije zahtevaju razmatranje nekoliko mera kontrole. Uređaji koji nisu fizički povezani sa internetom i bezbednost perimetra više nisu dovoljni za odbranu od modernih pretnji, kao što su sofisticirani zlonamerni softveri, ciljani napadi i zlonamerni insajderi. Rast pretnji od zlonamernih softvera na IoT, na primer, odslikava širenje tog pejzaža i potencijal za preuzimanje ranjivih sistema. Analizom podataka o pretnjama u različitim zemljama iz 2022. godine, Microsoft istraživači su otkrili da najveći udeo IoT zlonamernih softvera, 38% od ukupnog broja, potiče iz velikog otiska na mreži koji ima Kina. Zbog zaraženih servera u Sjedinjenim Američkim Državama, ta država se nalazi na drugom mestu, sa 18% rasprostranjenosti posmatranih zlonamernih softvera.
Napredni napadači koriste razne taktike i pristupe u OT okruženjima. Mnogi od tih pristupa su uobičajeni u IT okruženjima, ali efikasniji u OT okruženjima, npr. otkrivanje izloženih javnih sistema, zloupotreba akreditiva za prijavu zaposlenih ili iskorišćavanje pristupa mreži datog nezavisnim dobavljačima i izvođačima.
Spajanje laptop računara, veb aplikacija i hibridnih radnih prostora iz sveta IT i kontrolnih sistema vezanih za fabrike i objekte iz sveta OT nosi ozbiljne i rizične posledice jer se tako napadačima daje prilika da „premoste jaz“ između sistema koji su nekada bili fizički izolovani. Tako IoT uređaji, kao što su kamere i pametne konferencijske sobe, postaju katalizatori rizika stvaranjem novih ulaza u radne prostore i druge IT sisteme.
Godine 2022. Microsoft je pomogao velikoj svetskoj kompaniji za hranu i piće, koja koristi veoma stare operativne sisteme za upravljanje poslovima u fabrici, sa incidentom u vezi sa zlonamernim softverom. Tokom redovnog održavanja opreme koja je kasnije povezana na internet, zlonamerni softver se proširio na fabričke sisteme preko ugroženog laptop računara izvođača.
Nažalost, to postaje poprilično česta situacija. Dok okruženje industrijskog kontrolnog sistema može da se izoluje od interneta i da se prekine fizička veza sa njim, čim se ugroženi laptop poveže na OT uređaj ili mrežu koji su nekada bili bezbedni, oni postaju ranjivi. Na mrežama klijenata koje Microsoft posmatra, 29% operativnih sistema Windows ima verzije koje se više ne podržavaju. U ranjivim okruženjima, videli smo da se koriste verzije kao što su Windows XP i Windows 2000.
Pošto stariji operativni sistemi često nemaju potrebna ažuriranja koja mreže čine bezbednim, a krpljenje teže ide u velikim preduzećima ili proizvodnim objektima, davanje prioriteta vidljivosti IT, OT i IoT uređaja važan je prvi korak ka upravljanju ranjivostima i obezbeđivanju tih okruženja.
Odbrana zasnovana na nultoj pouzdanosti, sprovođenje važećih smernica i stalno nadgledanje mogu da doprinesu ograničenju razmera potencijalnog napada i sprečavanju ili zadržavanju takvih incidenata u okruženju povezanom na oblak.
Istraživanje OT opreme zahteva konkretno jedinstveno znanje, a ključno je razumevanje bezbednosnog stanja industrijskih kontrolera. Microsoft je izdao forenzičku alatku otvorenog koda za zajednicu zaštitnika kao pomoć onima koji su zaduženi da reaguju na incidente i stručnjacima za bezbednost da bolje razumeju svoja okruženja i istražuju potencijalne incidente.
Iako mnogi pod ključnom infrastrukturom podrazumevaju puteve i mostove, javni prevoz, aerodrome i vodovodne i električne mreže, CISA je nedavno preporučila da svemirski program i bioekonomija postanu novi sektori ključne infrastrukture. Navode da bi potencijal za ometanje u raznim granama privrede SAD oslabio čitavo društvo. S obzirom da se svet oslanja na funkcije omogućene satelitima, kibernetičke pretnje u tim sektorima bi mogle da imaju globalne posledice mnogo veće od onih koje smo do sada videli.
Preporuke
- Sprovedite nove i bolje smernice: Smernice koje proističu iz metodologije i najboljih praksi nulte pouzdanosti pružaju sveobuhvatni pristup radi omogućavanja neometane bezbednosti i upravljanja na svim uređajima.
- Usvojite sveobuhvatno i namensko bezbednosno rešenje: Omogućite vidljivost, stalni nadzor, procenu površine napada, otkrivanje pretnji i reagovanje na njih.
- Edukujte i obučavajte: Bezbednosnim timovima je potrebna obuka o pretnjama koje potiču od IoT/OT sistema ili koje ih targetiraju.
- Razmotrite načine povećanja trenutnih bezbednosnih operacija: Bavite se bezbednosnim pitanjima na IoT i OT da biste postigli jedinstveni SOC za IT i OT/IoT u svim okruženjima.
Saznajte više o tome kako možete da zaštitite svoju organizaciju pomoću uvida Dejvida Ača, rukovodioca istraživanja bezbednosti na internetu stvari i u operativnoj tehnologiji za Microsoft informacije o pretnjama.
Korporacija Microsoft je pronašla nezakrpljene i veoma ozbiljne ranjivosti kod 75% najčešćih industrijskih kontrolera na OT mrežama klijenata.1
- [1]
Metodologija: Za dobijanje podataka iz snimka izveštaja, Microsoft platforme uključujući Microsoft Defender za IoT, Microsoft centar za informacije o pretnjama i Informacije o pretnjama za Microsoft Defender obezbedile su anonimne podatke o ranjivosti uređaja, kao što su status i verzije konfiguracija, kao i podaci o pretećim aktivnostima na komponentama i uređajima. Pored toga, istraživači su koristili podatke iz javnih izvora, kao što su Nacionalna baza podataka o ranjivostima (NVD) i & Agencija za bezbednost infrastrukture (CISA). Statistički podaci o „nezakrpljenim ranjivostima sa visokim stepenom ozbiljnosti u 75% najčešćih industrijskih kontrolora na korisničkim OT mrežama“ zasnivaju se na angažmanu korporacije Microsoft u 2022. godini. Kontrolni sistemi u kritičnim okruženjima sastoje se od elektronskih ili mehaničkih uređaja koji koriste kontrolne petlje za poboljšanje proizvodnje, efikasnosti i bezbednosti.
Pratite Microsoft bezbednost