Η κουλτούρα της ασφάλειας «ανασφαλούς κατά σχεδιασμό» αναφέρεται στην ανακάλυψη λειτουργικών τεχνολογικών συσκευών με σφάλματα.
Οι ερευνητές ανακάλυψαν 56 ευπάθειες που επηρεάζουν συσκευές από 10 προμηθευτές επιχειρησιακής τεχνολογίας (OT), τις περισσότερες από τις οποίες έχουν αποδώσει σε εγγενή σχεδιαστικά ελαττώματα στον εξοπλισμό και μια χαλαρή προσέγγιση για την ασφάλεια και τη διαχείριση κινδύνου που μαστίζουν τη βιομηχανία εδώ και δεκαετίες.
Τα τρωτά σημεία –που εντοπίστηκαν σε συσκευές από φημισμένους προμηθευτές Honeywell, Emerson, Motorola, Siemens, JTEKT, Bentley Nevada, Phoenix Contact, Omron, Yogogawa καθώς και από έναν ανώνυμο κατασκευαστή– ποικίλλουν ως προς τα χαρακτηριστικά τους και το τι επιτρέπουν στους παράγοντες απειλών να κάνουν. σύμφωνα με την έρευνα από τα εργαστήρια Vedere της Forescout.
Ωστόσο, συνολικά «ο αντίκτυπος κάθε ευπάθειας είναι υψηλός εξαρτάται από τη λειτουργικότητα που προσφέρει κάθε συσκευή», σύμφωνα με ένα blog post σχετικά με τα ελαττώματα που δημοσιεύθηκαν την Τρίτη.
Οι ερευνητές χώρισαν το είδος του ελαττώματος που βρήκαν σε καθένα από τα προϊόντα σε τέσσερις βασικές κατηγορίες: μη ασφαλή πρωτόκολλα μηχανικής. αδύναμη κρυπτογραφία ή κατεστραμμένα σχήματα ελέγχου ταυτότητας· μη ασφαλείς ενημερώσεις υλικολογισμικού. ή απομακρυσμένη εκτέλεση κώδικα μέσω εγγενούς λειτουργικότητας.
Μεταξύ των δραστηριοτήτων στις οποίες μπορούν να συμμετάσχουν οι φορείς απειλών εκμεταλλευόμενοι τα ελαττώματα σε μια επηρεαζόμενη συσκευή περιλαμβάνουν: απομακρυσμένη εκτέλεση κώδικα (RCE), με κώδικα που εκτελείται σε διαφορετικούς εξειδικευμένους επεξεργαστές και διαφορετικά περιβάλλοντα εντός ενός επεξεργαστή. άρνηση υπηρεσίας (DoS) που μπορεί να φέρει μια συσκευή εντελώς εκτός σύνδεσης ή να εμποδίσει την πρόσβαση σε μια συγκεκριμένη λειτουργία. χειραγώγηση αρχείου/υλικολογισμικού/ διαμόρφωσης που επιτρέπει σε έναν εισβολέα να αλλάξει σημαντικές πτυχές μιας συσκευής. συμβιβασμός διαπιστευτηρίων που επιτρέπει την πρόσβαση στις λειτουργίες της συσκευής. ή παράκαμψη ελέγχου ταυτότητας που επιτρέπει σε έναν εισβολέα να επικαλεστεί την επιθυμητή λειτουργικότητα στη συσκευή-στόχο, είπαν οι ερευνητές.
Συστημικό Πρόβλημα
Το ότι τα ελαττώματα - τα οποία οι ερευνητές ονόμασαν συλλογικά OT:ICEFALL σε μια αναφορά στο Έβερεστ και οι κατασκευαστές ορεινών συσκευών πρέπει να αναρριχηθούν από την άποψη της ασφάλειας - υπάρχουν σε βασικές συσκευές σε δίκτυα που ελέγχουν κρίσιμες υποδομές από μόνες τους είναι αρκετά κακό.
Ωστόσο, το χειρότερο είναι ότι τα ελαττώματα θα μπορούσαν να είχαν αποφευχθεί, καθώς το 74 τοις εκατό των οικογενειών προϊόντων που επηρεάζονται από τα τρωτά σημεία έχουν κάποιου είδους πιστοποίηση ασφαλείας και έτσι επαληθεύτηκαν πριν σταλούν στην αγορά, διαπίστωσαν οι ερευνητές. Επιπλέον, τα περισσότερα από αυτά θα έπρεπε να είχαν ανακαλυφθεί «σχετικά γρήγορα κατά τη διάρκεια της εις βάθος ανακάλυψης ευπάθειας», σημείωσαν.
Αυτό το δωρεάν πάσο που δίνουν οι πωλητές OT σε ευάλωτα προϊόντα καταδεικνύει μια επίμονη άτονη προσπάθεια από τη βιομηχανία ως σύνολο όσον αφορά την ασφάλεια και τη διαχείριση κινδύνου, κάτι που οι ερευνητές ελπίζουν να αλλάξουν ρίχνοντας φως στο πρόβλημα, είπαν.
«Αυτά τα ζητήματα κυμαίνονται από επίμονες ανασφαλείς πρακτικές σχεδιασμού σε προϊόντα με πιστοποίηση ασφάλειας έως υποβαθμισμένες προσπάθειες απομάκρυνσης από αυτά», έγραψαν οι ερευνητές στην ανάρτηση. «Ο στόχος [της έρευνάς μας] είναι να δείξουμε πώς η αδιαφανής και αποκλειστική φύση αυτών των συστημάτων, η μη βέλτιστη διαχείριση ευπάθειας που τα περιβάλλει και η συχνά λανθασμένη αίσθηση ασφάλειας που προσφέρουν οι πιστοποιήσεις περιπλέκουν σημαντικά τις προσπάθειες διαχείρισης κινδύνου ΟΤ».
Παράδοξο ασφαλείας
Πράγματι, οι επαγγελματίες ασφάλειας σημείωσαν επίσης το παράδοξο της χαλαρής στρατηγικής ασφάλειας των πωλητών σε έναν τομέα που παράγει τα συστήματα που εκτελούν υποδομές ζωτικής σημασίας, επιθέσεις που μπορεί να είναι καταστροφικό όχι μόνο για τα δίκτυα στα οποία υπάρχουν τα προϊόντα αλλά και για τον κόσμο γενικότερα.
«Μπορεί κανείς εσφαλμένα να υποθέσει ότι οι συσκευές βιομηχανικού ελέγχου και λειτουργικής τεχνολογίας που εκτελούν ορισμένες από τις πιο ζωτικές και ευαίσθητες εργασίες σε κρίσιμων υποδομών τα περιβάλλοντα θα ήταν από τα πιο βαριά ασφαλή συστήματα στον κόσμο, ωστόσο η πραγματικότητα είναι συχνά το ακριβώς αντίθετο», σημείωσε ο Chris Clements, αντιπρόεδρος αρχιτεκτονικής λύσεων για το Cerberus Sentinel, σε ένα email στο Threatpost.
Πράγματι, όπως αποδεικνύεται από την έρευνα, «πάρα πολλές συσκευές σε αυτούς τους ρόλους διαθέτουν ελέγχους ασφαλείας που είναι τρομακτικά εύκολο για τους εισβολείς να νικήσουν ή να παρακάμψουν για να πάρουν τον πλήρη έλεγχο των συσκευών», είπε.
Τα ευρήματα των ερευνητών είναι ένα ακόμη μήνυμα ότι η βιομηχανία OT «βιώνει έναν πολύ καθυστερημένο υπολογισμό κυβερνοασφάλειας» που οι πωλητές πρέπει να αντιμετωπίσουν πρώτα και κύρια ενσωματώνοντας την ασφάλεια στο πιο βασικό επίπεδο παραγωγής πριν προχωρήσουν περαιτέρω, παρατήρησε ο Clements.
«Οι κατασκευαστές συσκευών ευαίσθητης λειτουργικής τεχνολογίας πρέπει να υιοθετήσουν μια κουλτούρα κυβερνοασφάλειας που ξεκινά από την αρχή της διαδικασίας σχεδιασμού αλλά συνεχίζει μέχρι την επικύρωση της εφαρμογής που προκύπτει στο τελικό προϊόν», είπε.
Προκλήσεις στη Διαχείριση Κινδύνων
Οι ερευνητές περιέγραψαν ορισμένους από τους λόγους για τα εγγενή ζητήματα με το σχεδιασμό ασφάλειας και τη διαχείριση κινδύνου σε συσκευές OT που προτείνουν στους κατασκευαστές να επιλύσουν γρήγορα.
Το ένα είναι η έλλειψη ομοιομορφίας όσον αφορά τη λειτουργικότητα μεταξύ των συσκευών, πράγμα που σημαίνει ότι η εγγενής έλλειψη ασφάλειας ποικίλλει επίσης ευρέως και καθιστά την αντιμετώπιση προβλημάτων περίπλοκη, είπαν. Για παράδειγμα, κατά τη διερεύνηση τριών κύριων οδών για την απόκτηση RCE σε συσκευές επιπέδου 1 μέσω εγγενών λειτουργιών –λογικές λήψεις, ενημερώσεις υλικολογισμικού και λειτουργίες ανάγνωσης/εγγραφής μνήμης– οι ερευνητές διαπίστωσαν ότι η μεμονωμένη τεχνολογία χειρίστηκε διαφορετικά αυτά τα μονοπάτια.
Κανένα από τα συστήματα που αναλύθηκαν δεν υποστηρίζει λογική υπογραφή και περισσότερο από το 50 τοις εκατό μετέτρεψαν τη λογική τους σε εγγενή κώδικα μηχανής, βρήκαν. Επιπλέον, το 62 τοις εκατό των συστημάτων δέχεται λήψεις υλικολογισμικού μέσω Ethernet, ενώ μόνο το 51 τοις εκατό έχει έλεγχο ταυτότητας για αυτήν τη λειτουργία.
Εν τω μεταξύ, μερικές φορές η εγγενής ασφάλεια της συσκευής δεν έφταιγε άμεσα ο κατασκευαστής, αλλά τα «ανασφαλή-από-σχεδιαστικά» εξαρτήματα στην αλυσίδα εφοδιασμού, γεγονός που περιπλέκει περαιτέρω τον τρόπο με τον οποίο οι κατασκευαστές διαχειρίζονται τον κίνδυνο, διαπίστωσαν οι ερευνητές.
«Τα τρωτά σημεία στα εξαρτήματα της εφοδιαστικής αλυσίδας OT τείνουν να μην αναφέρονται από κάθε κατασκευαστή που επηρεάζεται, γεγονός που συμβάλλει στις δυσκολίες διαχείρισης κινδύνου», ανέφεραν.
Μακρύς δρόμος μπροστά
Πράγματι, η διαχείριση της διαχείρισης κινδύνου σε συσκευές και συστήματα OT και IT απαιτεί «μια κοινή γλώσσα κινδύνου», κάτι που είναι δύσκολο να επιτευχθεί με τόσες πολλές ασυνέπειες μεταξύ των προμηθευτών και των στρατηγικών ασφάλειας και παραγωγής τους σε έναν κλάδο, σημείωσε ο Nick Sanna, Διευθύνων Σύμβουλος της RiskLens.
Για να αντιμετωπιστεί αυτό, πρότεινε στους πωλητές να ποσοτικοποιήσουν τον κίνδυνο σε χρηματοοικονομικούς όρους, κάτι που μπορεί να επιτρέψει στους διαχειριστές κινδύνου και στους διαχειριστές εγκαταστάσεων να δώσουν προτεραιότητα στη λήψη αποφάσεων σχετικά με την «ανταπόκριση σε τρωτά σημεία - επιδιόρθωση, προσθήκη ελέγχων, αύξηση της ασφάλισης - όλα βασισμένα σε μια σαφή κατανόηση της έκθεσης σε ζημίες για τόσο IT όσο και λειτουργικά περιουσιακά στοιχεία».
Ωστόσο, ακόμα κι αν οι πωλητές αρχίσουν να αντιμετωπίζουν τις θεμελιώδεις προκλήσεις που δημιούργησαν το σενάριο OT:ICEFALL, αντιμετωπίζουν πολύ μακρύ δρόμο μπροστά για να μετριάσουν το πρόβλημα ασφάλειας συνολικά, είπαν οι ερευνητές της Forescout.
"Η πλήρης προστασία έναντι του OT:ICEFALL απαιτεί από τους πωλητές να αντιμετωπίζουν αυτά τα θεμελιώδη ζητήματα με αλλαγές στο υλικολογισμικό της συσκευής και στα υποστηριζόμενα πρωτόκολλα και ότι οι κάτοχοι περιουσιακών στοιχείων εφαρμόζουν τις αλλαγές (patch) στα δικά τους δίκτυα", έγραψαν. «Ρεαλιστικά, αυτή η διαδικασία θα διαρκέσει πολύ χρόνο».
- blockchain
- Coingenius
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- Θέματα ευπάθειας
- ιστοσελίδα της ασφάλειας
- zephyrnet
