Trace Id is missing

IT- och DT-konvergens

Ny Cyber Signals-rapport från Microsoft

Cyber Signals, utgåva 3: Cyberriskerna för kritisk infrastruktur tilltar

Genomslagskraften, sårbarheten och molnanslutningen hos IoT- och DT-enheter utgör en snabbt växande, och ofta okontrollerad, riskyta som påverkar ett bredare spektrum av industrier och organisationer. Snabbt växande IoT skapar en utökad startpunkt och attackyta för angriparna. När DT blir mer uppkopplad mot molnet och IT-DT-gapet stängs, så öppnar tillgången till mindre säker DT dörren för skadliga infrastrukturattacker
Microsoft har identifierat okorrigerade, allvarliga sårbarheter i 75 % av de vanligaste industriella kontrollerna i kunders DT-nätverk.1
Se Cyber ​​Signals digitala sammanfattning där Vasu Jakkal, CVP för Microsoft Security intervjuar viktiga hotinformationsexperter angående IoT- och DT-sårbarheter och hur man ser till att hålla sig skyddad.

Digital sammanfattning: IT- och DT-konvergens

Hotaktörerna infiltrerar Internetanslutna enheter för att få tillgång till känsliga kritiska infrastrukturnätverk.

Under det senaste året har Microsoft observerat hot som utnyttjar enheter i nästan alla övervakade och synliga delar av olika organisationer. Vi har kunnat se dessa hot riktade mot såväl traditionell IT-utrustning, DT-kontroller som IoT-enheter, t.ex. routrar och kameror. Angriparnas närvaro i dessa miljöer och nätverk drivs av den konvergens och interkonnektivitet som många organisationer har anammat under de senaste åren.

IDC (International Data Corporation) uppskattar att det kommer att finnas 41,6 miljarder anslutna IoT-enheter år 2025, vilket är en tillväxttakt som är högre än den för traditionell IT-utrustning. Även om säkerheten för IT-utrustning har stärkts de senaste åren, har säkerheten för IoT- och DT-enheter inte hängt med, och därför utnyttjar hotaktörerna dessa enheter.

Det är viktigt att tänka på att angriparna kan ha varierande motiv när de väljer att attackera andra enheter än vanliga bärbara datorer och smartphones. Rysslands cyberattacker mot Ukraina, liksom annan cyberkriminell aktivitet som sponsras av olika nationalstater, visar att vissa nationalstater ser cyberattacker mot kritisk infrastruktur som ett självklart medel för att uppnå sina militära och ekonomiska mål.

72 % av de komprometterade program som används av "Incontroller", som CISA (Cybersecurity and Infrastructure Security Agency) beskriver som en ny uppsättning statligt sponsrade cyberattackverkyg med fokus på industriella styrsystem, är nu tillgängliga online. Sådan spridning främjar en bredare attackaktivitet eftersom den gör det möjligt även för aktörer, med mindre expertis och andra begränsningar, att genomföra attacker.

När den cyberkriminella ekonomin expanderar och skadlig programvara som riktar sig till DT-system blir alltmer utbredd och enklare att använda, så har hotaktörerna möjlighet att genomföra storskaliga attacker på flera olika sätt. Attacker med utpressningstrojaner, vilka tidigare sågs som en IT-fokuserad attackvektor, påverkar idag DT-miljöer, som man kunde se i Colonial Pipeline-attacken, där DT-system och pipelinedrift tillfälligt stängdes av medan incidentutredarna arbetade för att identifiera och begränsa spridningen av utpressningstrojanerna i företagets IT-nätverk. Angriparna är väl medvetna om att den ekonomiska påverkan och utpressningseffekten av att stänga ned energitillförsel och annan kritisk infrastruktur är mycket mer effektivt än attacker mot andra verksamheter.

OT-system kan vara nästan allt som stödjer fysisk verksamhet, och spänner över dussintals vertikala branscher. OT-system omfattar även annat än industriella processer. De kan vara avsedda för ett speciellt ändamål eller datoriserad utrustning, som VVS-kontroller, hissar och trafikljus. Diverse säkerhetssystem faller t.ex. inom kategorin DT-system.

Microsoft har observerat att hotaktörer med kopplingar till Kina riktar in sig mot sårbara routrar i hem och hos småföretag för att kompromettera dessa enheter så att den kan få fotfäste genom att få tillgång till nya adressutrymmen, som inte har några kopplingar till deras tidigare kampanjer, och från vilka de kan starta nya attacker.

Även om förekomsten av IoT- och DT-sårbarheter innebär en utmaning för alla organisationer, så löper kritisk infrastruktur en ökad risk. Att kunna inaktivera kritiska tjänster, utan att ens behöva förstöra dem, är en kraftfullt påtryckningsmedel.

Rekommendationer:

  • Arbeta med intressenter: Kartlägg affärskritiska tillgångar i IT- och DT-miljöer.
  • Synliggörande av enheter: Identifiera vilka IoT- och DT-enheter som är kritiska tillgångar i sig själva, och vilka som är associerade med andra kritiska tillgångar.
  • Genomför en riskanalys av kritiska tillgångar: Fokusera på olika attackscenariers effekter på företagen, så som MITRE föreslår.
  • Definiera en strategi: Ta itu med de identifierade riskerna, och undvik påverkan på verksamheten.

IoT innebär nya affärsmöjligheter – men även stora risker

 

I takt med att IT och DT konvergerar i syfte att stödja växande affärsbehov, så måste det göras en riskbedömning och etableras en säkrare relation mellan IT och DT, vilket kräver att flera kontrollåtgärder måste övervägas. Frånkopplade enheter och perimetersäkerhet är inte längre tillräckligt när man ska hantera och försvara sig mot moderna hot som sofistikerad skadlig programvara, riktade attacker och skadliga insiders. Tillväxten av hoten mot IoT med skadlig programvara speglar t.ex. detta hotlandskaps utvidgning och potential att ta över sårbara system. Genom att analysera hotdata från 2022 i olika länder fann Microsofts forskare att den största andelen av skadlig IoT-programvara, 38 % närmare bestämt, härrörde från Kinas omfattande nätverk. Antalet smittade servrar i USA innebär att USA hamnade på andra plats, med 18 % procent av all identifierad distribuerad skadlig programvara.

Avancerade angripare utnyttjar flera taktiker och tillvägagångssätt i DT-miljöerna. Många av dessa tillvägagångssätt är vanliga i IT-miljöer, men är mer effektiva i DT-miljöer, t.ex. när det gäller att upptäcka exponerade, Internetanslutna system, kompromettera anställdas inloggningsuppgifter och skaffa åtkomst som beviljats nätverkens tredjeparts​​leverantörer och -entreprenörer.

Konvergensen mellan IT-världens bärbara datorer, webbprogram och hybridarbetsytor, och DT-världens fabriks- och anläggningsbundna kontrollsystem kan medföra allvarliga risker eftersom den ger angriparen en möjlighet kompromettera tidigare fysiskt isolerade system. Därigenom gör man IoT-enheter som kameror och smarta konferensrum till riskkatalysatorer eftersom det skapas nya ingångar till arbetsplatser och andra IT-system.

År 2022 hjälpte Microsoft ett stort globalt livsmedels- och dryckesföretag, som använde ett mycket ålderdomligt operativsystem för att hantera driften av sina fabriker, att åtgärda en incident med skadlig programvara. Under ett rutinunderhåll av utrustning som senare skulle anslutas till Internet spreds skadlig programvara till fabrikssystemen via en komprometterad bärbar dator som tillhörde en konsult.

Tyvärr har detta kommit att bli ett ganska vanligt scenario. Även om en ICS-miljö kan vara avstängd och isolerad från Internet, blir den sårbar i samma ögonblick som en komprometterad bärbar dator ansluts till en tidigare säker DT-enhet eller nätverk. På de kundnätverk som Microsoft övervakar kunde vi notera att 29 % av Windows-operativsystemen var systemversioner som inte längre stöds. Vi har sett versioner som Windows XP och Windows 2000 användas i sårbara miljöer.

Eftersom äldre operativsystem ofta inte får de uppdateringar som krävs för att hålla nätverk säkra, och eftersom korrigeringar är en utmanande uppgift i stora företag eller tillverkningsanläggningar, så är ett viktigt första steg att prioritera IT-, DT- och IoT-enheternas synlighet om man ska kunna hantera sårbarheter och skydda dessa miljöer.

Ett försvar baserat på Nolltillit, effektiv policytillämpning och kontinuerlig övervakning kan bidra till att begränsa den potentiella räckvidden och förhindra eller stoppa incidenter som denna i molnanslutna miljöer.

Att undersöka DT-utrustning kräver specifika unika kunskaper och en förståelse av säkerhetsläget för industriella styrenheter. Microsoft släppte ett kriminaltekniskt verktyg med öppen källkod till försvarscommunityn, i syfte att hjälpa incidentbekämpare och säkerhetsspecialister att bli bättre på att förstå sina miljöer och undersöka potentiella incidenter.

De flesta av oss tänker på kritisk infrastruktur som något i stil med vägar och broar, kollektivtrafik, flygplatser och vatten- och elnät. Men nyligen rekommenderade CISA att även rymden och bioekonomin bör ses som nya sektorer för kritisk infrastruktur. Man hänvisade till risken för störningar inom olika sektorer av den amerikanska ekonomin med försvagande effekter på samhället som resultat. Med tanke på hur beroende världen är av satellitaktiverade kapaciteter, så kan cyberhot inom dessa sektorer få globala konsekvenser långt utöver vad vi har sett hittills.

Rekommendationer

  • Implementera nya och förbättrade principer: Policyer som härrör från Nolltillitsmetoden och regelverk erbjuder ett holistiskt tillvägagångssätt som möjliggör sömlös säkerhet och styrning på alla dina enheter.
  • Inför en heltäckande och dedikerad säkerhetslösning: Aktivera synlighet, kontinuerlig övervakning, attackyteutvärdering, hotidentifiering och svar.
  • Utbilda och träna: Säkerhetsteamen behöver specifik utbildning kring de hot som härrör från eller riktar sig till IoT-/OT-system.
  • Undersök vilka möjligheter det finna att förstärka befintliga säkerhetsåtgärder: Ta itu med IoT- och DT-säkerhetsproblemen och skapa ett gemensamt säkerhetscenter för IT och DT/IoT i alla miljöer.

Lär dig mer om hur du kan bidra till att skydda din organisation med hjälp av insikter från David Atch, Microsoft Threat Intelligence, Head of IoT/OT Security Research.

En 78 % ökning av antalet mycket allvarliga säkerhetsrisker från 2020 to 2022 när det gäller industriell kontrollutrustning tillverkad av populära leverantörer.1

Microsoft har identifierat okorrigerade, allvarliga sårbarheter i 75 % av de vanligaste industriella kontrollerna i kunders DT-nätverk.1

Mer än 1 miljon anslutna enheter som är offentligt synliga på Internet kör Boa, som är en föråldrad programvara som inte stöds, men som fortfarande används i stor utsträckning på IoT-enheter och i SDK:er.1
  1. [1]

    Metodik: När det gäller ögonblicksbilddata tillhandahöll Microsoft-plattformar som Microsoft Defender for IoT, Microsoft Threat Intelligence Center och Microsoft Defender Threat Intelligence anonymiserade data om enheters sårbarheter, t.ex. konfigurationstillstånd och versioner, och data om hotaktiviteter på komponenter och enheter. Dessutom använde forskare data från offentliga källor som National Vulnerability Database (NVD) och Cybersecurity & Infrastructure Security Agency (CISA). Statistiken om ”okorrigerade, allvarliga sårbarheter i 75 % av de vanligaste industriella kontrollerna i kunders drifttekniksnätverk” baseras på Microsofts åtaganden 2022. Styrsystem i kritiska miljöer omfattar elektroniska eller mekaniska enheter som använder styrslingor för att uppnå förbättrad produktion, effektivitet och säkerhet.

Relaterade artiklar

Expertprofil: David Atch

I vår senaste expertprofil mötte vi David Atch, forskningsansvarig inom IoT/DT-säkerhet på Microsoft, för att tala om de ökade säkerhetsriskerna med IoT- och DT-anslutningar.

Ökande cyberhot som en följd av den ökande IoT/OT-anslutningen

I vår senaste rapport belyser vi hur den ökande IoT/OT-anslutningen leder till större och allvarligare sårbarheter som de organiserade cyberhotaktörerna kan utnyttja.

Cyber Signals, utgåva 2: Affärsmodellen med utpressning

Hör om utvecklingen av utpressningstrojaner som en tjänst från experter i frontlinjen. Ta reda på mer om de verktyg, metoder och måltavlor cyberbrottslingarna utnyttjar, med beskrivningar av allt från program och nyttolaster till de aktörer som säljer och köper åtkomst, och få vägledning om hur du kan skydda din organisation.

Följ Microsoft Security