En kultur med "insikker-by-design"-sikkerhed citeres i opdagelsen af fejlbehæftede operationelle teknologienheder.
Forskere opdagede 56 sårbarheder, der påvirker enheder fra 10 leverandører af operationel teknologi (OT), hvoraf de fleste har tilskrevet iboende designfejl i udstyr og en slap tilgang til sikkerhed og risikostyring, som har plaget industrien i årtier, sagde de.
Sårbarhederne – fundet i enheder af anerkendte leverandører Honeywell, Emerson, Motorola, Siemens, JTEKT, Bentley Nevada, Phoenix Contact, Omron, Yogogawa samt en unavngiven producent – varierer med hensyn til deres egenskaber og hvad de tillader trusselsaktører at gøre, ifølge forskningen fra Forescouts Vedere Labs.
Men samlet set er "påvirkningen af hver sårbarhed høj afhængig af den funktionalitet, hver enhed tilbyder," ifølge et blog-indlæg om fejlene offentliggjort tirsdag.
Forskere opdelte den type fejl, som de fandt i hvert af produkterne, i fire grundlæggende kategorier: usikre tekniske protokoller; svag kryptografi eller brudte autentificeringsskemaer; usikre firmwareopdateringer; eller fjernudførelse af kode via indbygget funktionalitet.
Blandt de aktiviteter, som trusselsaktører kan engagere sig i ved at udnytte fejlene på en berørt enhed omfatter: fjernudførelse af kode (RCE), med kode udført i forskellige specialiserede processorer og forskellige kontekster inden for en processor; denial of service (DoS), der kan tage en enhed helt offline eller blokere adgang til en bestemt funktion; fil/firmware/konfigurationsmanipulation, der tillader en angriber at ændre vigtige aspekter af en enhed; kompromis med legitimationsoplysninger, der giver adgang til enhedsfunktioner; eller autentificeringsomgåelse, der tillader en angriber at påberåbe sig ønsket funktionalitet på målenheden, sagde forskere.
Systemisk problem
At fejlene – som forskere i fællesskab kaldte OT:ICEFALL i en reference til Mount Everest og producenterne af bjergenheder skal klatre med hensyn til sikkerhed – eksisterer i nøgleenheder i netværk, der kontrollerer kritisk infrastruktur i sig selv, er slemt nok.
Hvad værre er dog, er, at fejlene kunne have været undgået, da 74 procent af produktfamilierne, der er berørt af sårbarhederne, har en form for sikkerhedscertificering og dermed blev verificeret, før de blev sendt på markedet, fandt forskere. Desuden skulle de fleste af dem være blevet opdaget "relativt hurtigt under dybdegående sårbarhedsopdagelse," bemærkede de.
Dette free pass OT-leverandører har givet til sårbare produkter viser en vedvarende mangelfuld indsats fra industrien som helhed, når det kommer til sikkerhed og risikostyring, noget forskerne håber at ændre ved at kaste lys over problemet, sagde de.
"Disse problemer spænder fra vedvarende usikre-by-design-praksis i sikkerhedscertificerede produkter til underordnede forsøg på at komme væk fra dem," skrev forskere i indlægget. "Målet [med vores forskning] er at illustrere, hvordan den uigennemsigtige og proprietære karakter af disse systemer, den suboptimale sårbarhedsstyring omkring dem og den ofte falske følelse af sikkerhed, som certificeringer tilbyder, markant komplicerer OT risikostyringsindsatsen."
Sikkerhedsparadoks
Sikkerhedsprofessionelle bemærkede faktisk også paradokset i den slappe sikkerhedsstrategi for leverandører på et felt, der producerer systemerne, der kører kritisk infrastruktur, angreb som kan være katastrofalt ikke kun for de netværk, som produkterne findes på, men for hele verden.
"Man kan fejlagtigt antage, at de industrielle styrings- og driftsteknologiske enheder, der udfører nogle af de mest vitale og følsomme opgaver i kritisk infrastruktur miljøer ville være blandt de mest sikrede systemer i verden, men virkeligheden er ofte den stik modsatte,” bemærkede Chris Clements, vicepræsident for løsningsarkitektur for Cerberus Sentinel, i en e-mail til Threatpost.
Faktisk, som det fremgår af forskningen, "har for mange enheder i disse roller sikkerhedskontroller, der er skræmmende lette for angribere at besejre eller omgå for at tage fuldstændig kontrol over enhederne," sagde han.
Forskernes resultater er endnu et signal om, at OT-industrien "oplever en for længst forsinket cybersikkerhedsregning", som leverandører først og fremmest skal forholde sig til ved at integrere sikkerhed på det mest basale produktionsniveau, før de går videre, bemærkede Clements.
"Producenter af følsomme operationelle teknologienheder skal indføre en cybersikkerhedskultur, der starter helt i begyndelsen af designprocessen, men fortsætter til validering af den resulterende implementering i det endelige produkt," sagde han.
Udfordringer til risikostyring
Forskere skitserede nogle af årsagerne til de iboende problemer med sikkerhedsdesign og risikostyring i OT-enheder, som de foreslår, at producenterne afhjælper på en hurtig måde.
Den ene er manglen på ensartethed med hensyn til funktionalitet på tværs af enheder, hvilket betyder, at deres iboende mangel på sikkerhed også varierer meget og gør fejlfinding kompliceret, sagde de. For eksempel ved at undersøge tre hovedveje til at opnå RCE på niveau 1-enheder via indbygget funktionalitet – logiske downloads, firmwareopdateringer og hukommelseslæse-/skriveoperationer – fandt forskerne ud af, at individuel teknologi håndterede disse veje forskelligt.
Ingen af de analyserede systemer understøtter logisk signering, og mere end 50 procent kompilerede deres logik til indbygget maskinkode, fandt de. Desuden accepterer 62 procent af systemerne firmware-downloads via Ethernet, mens kun 51 procent har godkendelse til denne funktionalitet.
I mellemtiden var den iboende sikkerhed af enheden nogle gange ikke direkte producentens skyld, men den af "insikker-by-design" komponenter i forsyningskæden, hvilket yderligere komplicerer, hvordan producenter håndterer risici, fandt forskere.
"Sårbarheder i OT-forsyningskædekomponenter har en tendens til ikke at blive rapporteret af alle berørte producenter, hvilket bidrager til vanskelighederne med risikostyring," sagde de.
Long Road Ahead
Faktisk kræver styring af risikostyring i både OT- og IT-enheder og -systemer "et fælles risikosprog", noget der er svært at opnå med så mange uoverensstemmelser på tværs af leverandører og deres sikkerheds- og produktionsstrategier i en branche, bemærkede Nick Sanna, CEO for RiskLens.
For at afhjælpe dette foreslog han leverandører at kvantificere risiko i økonomiske termer, hvilket kan gøre det muligt for risikoledere og anlægsoperatører at prioritere beslutningstagning om "at reagere på sårbarheder - patching, tilføjelse af kontroller, øge forsikringer - alt sammen baseret på en klar forståelse af tabseksponering for både it- og driftsaktiver.”
Men selvom leverandører begynder at løse de grundlæggende udfordringer, der har skabt OT:ICEFALL-scenariet, står de over for en meget lang vej frem for at afbøde sikkerhedsproblemet omfattende, sagde Forescout-forskere.
"Fuldstændig beskyttelse mod OT:ICEFALL kræver, at leverandører løser disse grundlæggende problemer med ændringer i enhedsfirmware og understøttede protokoller, og at aktivejere anvender ændringerne (patches) i deres egne netværk," skrev de. "Realistisk set vil den proces tage meget lang tid."
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- VPN
- Sårbarheder
- website sikkerhed
- zephyrnet
