Конвергенція інформаційних та операційних технологій
Цифровий брифінг: конвергенція інформаційних та операційних технологій
Зловмисники уражають пристрої, підключені до Інтернету, щоб отримати доступ до секретних мереж критичної інфраструктури.
За останній рік спеціалісти Microsoft виявили загрози, реалізовані через пристрої, майже в кожній контрольованій і видимій частині організації. Ми спостерігаємо ці загрози на традиційному ІТ-обладнанні, OT-контролерах та пристроях Інтернету речей, таких як маршрутизатори й камери. Різке зростання присутності зловмисників у цих середовищах і мережах підживлюється конвергенцією технологій та міжмережевою взаємодією, які стали дуже поширеними протягом останніх кількох років.
За даними International Data Corporation (IDC), до 2025 року кількість підключених пристроїв IoT сягне 41,6 мільярда. Це значно швидше зростання порівняно з традиційним IT-обладнанням. Хоча за останні роки безпека ІТ-обладнання посилилася, захист пристроїв IoT й ОТ розвивається не так швидко, і зловмисники використовують ці пристрої у своїх цілях.
Важливо пам’ятати, що зловмисники можуть мати різні мотиви для ураження пристроїв, відмінних від ноутбуків і смартфонів, які є типовими об’єктами атак. Кібератаки Росії проти України, а також інші кіберзлочини, фінансовані державами, демонструють, що деякі держави розглядають кібератаки на об’єкти критичної інфраструктури як способи досягнення військових та економічних цілей.
Сімдесят два відсотки програмних експлойтів, які використовує Incontroller, – те, що Агентство з кібербезпеки та безпеки інфраструктури (CISA) описує як новий набір державних інструментів кібератак, орієнтованих на промислові системи керування (ПСК), – тепер доступні в Інтернеті. Таке розповсюдження сприяє посиленню зловмисної діяльності інших суб’єктів, оскільки досвід та інші бар’єри для входу втрачають свою актуальність.
Оскільки економіка кіберзлочинності розвивається, а шкідливе програмне забезпечення, націлене на системи OT, стає все поширенішим і простішим у використанні, зловмисники знаходять все більше різноманітних способів проведення масштабних атак. Атаки з використанням зловмисних програм із вимогою викупу, які раніше сприймалися як вектор, орієнтований на ІТ, сьогодні впливають на середовища OT, як це було під час атаки на Colonial Pipeline, коли системи OT та роботу трубопроводів було тимчасово зупинено, поки фахівці з реагування на інциденти працювали над виявленням і стримуванням розповсюдження зловмисних програм із вимогою викупу в ІТ-мережі компанії. Зловмисники розуміють, що фінансові ризики й дієвість шантажу, пов’язані з відключенням енергетичної та іншої критично важливої інфраструктури, набагато вищі, ніж в інших галузях.
Системи OT включають майже все, що підтримує фізичні операції, охоплюючи десятки вертикальних галузей. Системи OT не обмежуються лише промисловими процесами. Це може бути будь-яке спеціальне або комп’ютеризоване обладнання, наприклад, контролери опалення, вентиляції й кондиціонування повітря, ліфти та світлофори. До категорії ОТ також належать різні системи безпеки.
Спеціалісти Microsoft помітили, що пов’язані з Китаєм зловмисники націлюються на вразливі маршрутизатори, установлені в приватних оселях і малих офісах, щоб використати ці пристрої як плацдарм для нових атак, призначаючи їм новий адресний простір, менш пов’язаний із їхніми попередніми кампаніями.
Хоча поширеність уразливостей IoT і OT є проблемою для всіх організацій, критична інфраструктура наражається на підвищений ризик. Вимкнення критично важливих служб, навіть не обов’язково їх знищення, є потужним важелем.
Рекомендації:
- Взаємодіяти із зацікавленими сторонами. Скласти схему критично важливих для бізнесу ресурсів в ІТ- та ОТ-середовищах.
- Забезпечити видимість пристроїв. Визначте, які пристрої IoT та OT самі собою є критично важливими ресурсами, а які пов’язані з іншими критично важливими ресурсами.
- Провести аналіз ризиків для критично важливих ресурсів. Зосередьтеся на впливі на бізнес різних сценаріїв атак відповідно до матриці MITRE.
- Розробити стратегію. Відреагуйте на виявлені ризики, визначивши їх пріоритетність за впливом на бізнес.
IoT відкриває нові можливості для бізнесу, але також створює великий ризик
У зв’язку зі зближенням систем ІТ й ОТ для задоволення зростаючих потреб бізнесу оцінка ризиків і посилення захисту взаємодії між ІТ й ОТ вимагають застосування різних заходів із контролю. Фізичного розділення пристроїв і захисту периметра вже недостатньо для протидії сучасним загрозам, таким як складне шкідливе програмне забезпечення, цільові атаки та внутрішні зловмисники. Збільшення кількості загроз для IoT, наприклад, указує на розширення сфери використання зловмисних програм і їх потенціал для ураження вразливих систем. Проаналізувавши дані про загрози за 2022 рік у різних країнах, дослідники корпорації Майкрософт виявили, що найбільша частка шкідливого програмного забезпечення для IoT (38 відсотків від загальної кількості) походить із розгалуженої мережі Китаю. За кількістю заражених серверів США посіли друге місце (18 відсотків зафіксованих випадків розповсюдження шкідливого програмного забезпечення).
Досвідчені зловмисники використовують різні тактики та підходи в середовищі ОТ. Багато із цих підходів поширені в ІТ-середовищі, але більш ефективні в ОТ-середовищі, наприклад виявлення вразливих систем, підключених до Інтернету, викрадення облікових даних співробітників або використання доступу до мереж, наданого стороннім постачальникам і підрядникам.
Конвергенція між ноутбуками, веб-програмами й гібридними робочими просторами у світі ІТ та системами керування на заводах і підприємствах у світі ОТ призводить до серйозних ризиків, даючи зловмисникам змогу долати бар’єри, які раніше існували між фізично ізольованими системами. Таким чином, пристрої Інтернету речей, такі як камери та "розумні" конференц-зали, стають каталізаторами ризиків, створюючи нові можливості для проникнення в робочі простори та інші ІТ-системи.
У 2022 році корпорація Майкрософт допомогла великій світовій компанії з виробництва продуктів харчування та напоїв, яка використовувала дуже старі операційні системи для керування виробничими процесами, упоратися з інцидентом, спричиненим зловмисним програмним забезпеченням. Під час проведення планового технічного обслуговування обладнання, яке згодом буде підключено до Інтернету, шкідливе програмне забезпечення поширилося на заводські системи через уражений ноутбук підрядника.
На жаль, такий сценарій стає досить поширеним. Хоча середовище ПСК можна ізолювати від Інтернету, раніше захищений пристрій або мережа OT стають вразливими, щойно підключити до них уражений ноутбук. У мережах клієнтів, за якими стежить корпорація Майкрософт, 29 відсотків операційних систем Windows мають версії, які більше не підтримуються. Ми помічали, що у вразливих середовищах використовуються такі версії, як Windows XP та Windows 2000.
Оскільки старі операційні системи часто не отримують оновлень, необхідних для захисту мереж, а на великих підприємствах або виробничих об’єктах інсталювати виправлення складно, пріоритетність видимості пристроїв ІТ, OT та IoT є важливим першим кроком для усунення вразливостей і захисту безпеки цих середовищ.
Захист, заснований на нульовій довірі, ефективному впровадженні політики та постійному моніторингу, може допомогти обмежити потенційний радіус негативного впливу й стримати або локалізувати подібні інциденти в хмарних середовищах.
Дослідження обладнання для ОТ вимагає специфічних унікальних знань, а розуміння стану захищеності промислових контролерів має вирішальне значення. Корпорація Майкрософт випустила криміналістичний інструмент із відкритим вихідним кодом для спільноти захисників, щоб допомогти фахівцям із реагування на інциденти та спеціалістам із безпеки краще розуміти своє середовище й розслідувати потенційні порушення.
Хоча для більшості критична інфраструктура – це дороги та мости, громадський транспорт, аеропорти й водо- та електромережі, CISA нещодавно рекомендувало включити в число нових секторів критичної інфраструктури космос та біоекономіку. Слід звернути увагу на те, що збої в різних секторах економіки США можуть мати руйнівний вплив на суспільство. Ураховуючи залежність світу від супутникових засобів, кіберзагрози в цих секторах можуть мати глобальні наслідки, які виходять далеко за межі того, що ми бачили досі.
Рекомендації
- Упроваджувати нові та вдосконалені політики. Політики, засновані на методології нульової довіри та найкращих практиках, забезпечують цілісний підхід для постійного захисту й контролю всіх ваших пристроїв.
- Упровадити комплексне спеціалізоване рішення для захисту безпеки. Забезпечте видимість, безперервний моніторинг, оцінку векторів атаки, виявлення загроз і реагування на проникнення.
- Створити умови для навчання й тренування. Команди безпеки потребують спеціальної підготовки для протистояння загрозам, які походять із систем IoT/OT або націлені на них.
- Вивчати засоби посилення наявних механізмів безпеки. Реагуйте на проблеми безпеки IoT й OT, щоб створити єдиний центр оперативної безпеки для всіх середовищ.
Дізнайтеся більше про те, як захистити свою організацію, завдяки порадам від Девіда Атча, голови відділу дослідження безпеки IoT й OT (Аналіз загроз Microsoft).
Спеціалісти Microsoft виявили невиправлені вразливості високого рівня серйозності у 75% найпопулярніших галузевих контролерів у мережах операційних технологій клієнтів.1
- [1]
Методологія: Для даних знімка платформи Microsoft, зокрема Microsoft Defender для IoT, Центр Аналізу загроз Microsoft і Аналіз загроз Microsoft Defender надавали анонімні відомості про вразливості пристроїв, наприклад стан і версія конфігурації пристрою, а також дані про зловмисні дії щодо пристрою або певних елементів системи. Крім того, дослідники використовували дані з відкритих джерел, як-от Національна база даних уразливостей (National Vulnerability Database – NVD) та Агентство з питань кібербезпеки й захисту інфраструктури (Cybersecurity and Infrastructure Security Agency – CISA). Статистика про "невиправлені критичні вразливості в 75% найпопулярніших галузевих контролерів у мережах операційних технологій клієнтів" ґрунтуються на дослідженнях фахівців корпорації Майкрософт у 2022 році. Системи контролю в критичних галузях включають електронні або механічні пристрої, які використовують цикли керування для покращення продуктивності, ефективності й безпеки.
Підпишіться на новини про Захисний комплекс Microsoft