Vigadest tulvil töötehnoloogiliste seadmete avastamisel viidatakse „disainiga ebaturvalise” turvalisuse kultuurile.
Teadlased avastasid 56 haavatavust, mis mõjutavad kümne operatiivtehnoloogia (OT) müüja seadmeid, millest enamik on seostatud seadmete loomupäraste disainivigadega ning lõdva lähenemisega turvalisusele ja riskijuhtimisele, mis on tööstust aastakümneid vaevanud.
Tuntud müüjate Honeywelli, Emersoni, Motorola, Siemensi, JTEKT, Bentley Nevada, Phoenix Contact, Omron, Yogogawa ja ka nimetu tootja haavatavused, mille seadmetes leidsid, erinevad oma omaduste ja ohus osalejate võimaluste poolest. Forescouti Vedere Labsi uuringu kohaselt.
Kuid üldiselt on "iga haavatavuse mõju suurel määral sõltuv iga seadme pakutavatest funktsioonidest". blogi postitus teisipäeval avaldatud vigade kohta.
Teadlased jagasid igas tootes leitud vea tüübi nelja põhikategooriasse: ebaturvalised inseneriprotokollid; nõrk krüptograafia või katkised autentimisskeemid; ebaturvalised püsivara värskendused; või koodi kaugkäivitamine natiivse funktsiooni kaudu.
Tegevused, mida ohus osalejad saavad mõjutada mõjutatud seadme vigu ära kasutades, hõlmavad järgmist: koodi kaugkäivitamine (RCE), mille puhul kood käivitatakse erinevates spetsialiseeritud protsessorites ja protsessori erinevates kontekstides; teenuse keelamine (DoS), mis võib viia seadme täielikult võrguühenduseta või blokeerida juurdepääsu teatud funktsioonile; faili/püsivara/konfiguratsiooniga manipuleerimine, mis võimaldab ründajal muuta seadme olulisi aspekte; mandaadi kompromiss, mis võimaldab juurdepääsu seadme funktsioonidele; või autentimise ümbersõit, mis võimaldab ründajal sihtseadmes soovitud funktsioone käivitada, ütlesid teadlased.
Süsteemne probleem
See, et vead – mida teadlased nimetasid Mount Everestile ja mägiseadmete tootjatele ühiselt OT:ICEFALLiks, peavad turvalisuse osas tõusma – eksisteerivad kriitilist taristut kontrollivate võrkude võtmeseadmetes, on iseenesest piisavalt halb.
Kuid veelgi hullem on see, et vigu oleks saanud vältida, kuna 74 protsendil haavatavusest mõjutatud tooteperekondadel on mingisugune turvasertifikaat ja seega kontrolliti neid enne turule saatmist, leidsid teadlased. Veelgi enam, enamik neist oleks tulnud avastada "põhjaliku haavatavuse avastamise käigus suhteliselt kiiresti", märkisid nad.
See tasuta läbipääsuluba, mida OT-müüjad on haavatavatele toodetele andnud, näitab kogu tööstuse püsivat ebamäärast jõupingutust turvalisuse ja riskijuhtimise vallas, mida teadlased loodavad probleemile valgust heites muuta.
"Need probleemid ulatuvad püsivatest ebaturvalistest praktikatest turbesertifikaadiga toodetes kuni väiksemate katseteni neist eemalduda," kirjutasid teadlased postituses. "[Meie uurimistöö] eesmärk on illustreerida, kuidas nende süsteemide läbipaistmatu ja patenteeritud olemus, neid ümbritsev ebaoptimaalne haavatavuse haldamine ja sertifikaatide pakutav sageli vale turvatunne raskendavad oluliselt OT riskijuhtimise jõupingutusi."
Turvaparadoks
Tõepoolest, turbespetsialistid märkisid ka müüjate lõdva turvastrateegia paradoksi valdkonnas, mis toodab süsteeme, mis käitavad kriitilist infrastruktuuri. rünnakud mis võib olla katastroofiline mitte ainult võrkude jaoks, kus tooted eksisteerivad, vaid kogu maailma jaoks.
„Võib ekslikult eeldada, et tööstuslikud juhtimis- ja töötehnoloogia seadmed, mis täidavad mõningaid elulisemaid ja tundlikumaid ülesandeid kriitilise infrastruktuuri keskkonnad oleksid üks kõige tugevamalt turvatud süsteeme maailmas, kuid tegelikkus on sageli täpselt vastupidine,” märkis Cerberus Sentineli lahenduste arhitektuuri asepresident Chris Clements Threatpostile saadetud meilis.
Tõepoolest, nagu näitavad uuringud, "liiga paljudel seadmetel nendes rollides on turvakontrollid, mida ründajatel on hirmuäratavalt lihtne lüüa või neist mööda hiilida, et võtta seadmete üle täielik kontroll," ütles ta.
Clements märkis, et teadlaste leiud on järjekordne signaal, et OT-tööstus "kogeb ammu hilinenud küberjulgeolekuarvestust", millega müüjad peavad tegelema ennekõike turbe integreerimisega kõige elementaarsemal tootmistasandil.
"Tundlike töötehnoloogiliste seadmete tootjad peavad omaks võtma küberturvalisuse kultuuri, mis algab projekteerimisprotsessi algusest, kuid jätkub kuni lõpptoote rakendamiseni," ütles ta.
Riskijuhtimise väljakutsed
Teadlased tõid välja mõned OT-seadmete turvadisaini ja riskijuhtimisega seotud probleemide põhjused, mida nad soovitavad tootjatel kiiresti lahendada.
Üks on seadmete funktsionaalsuse ühtsuse puudumine, mis tähendab, et ka nende olemuslik turvapuudus on väga erinev ja muudab tõrkeotsingu keeruliseks, ütlesid nad. Näiteks, uurides kolme peamist võimalust RCE saamiseks 1. taseme seadmetes oma funktsioonide kaudu – loogika allalaadimine, püsivara värskendused ja mälu lugemis-/kirjutustoimingud – leidsid teadlased, et üksikud tehnoloogiad käsitlesid neid teid erinevalt.
Nad leidsid, et ükski analüüsitud süsteem ei toeta loogilist allkirjastamist ja enam kui 50 protsenti kompileeris oma loogika natiivseks masinkoodiks. Lisaks aktsepteerivad 62 protsenti süsteemidest püsivara allalaadimist Etherneti kaudu, samas kui ainult 51 protsendil on selle funktsiooni autentimine.
Vahepeal ei olnud seadme olemuslik turvalisus mõnikord otseselt tootja, vaid tarneahela "ebaturvaliste" komponentide süü, mis muudab tootjate riskijuhtimise veelgi keerulisemaks, leidsid teadlased.
"Kõik mõjutatud tootjad ei tea tavaliselt OT tarneahela komponentide haavatavustest, mis aitab kaasa riskijuhtimise raskustele," ütlesid nad.
Pikk tee Ees
Tõepoolest, nii OT- kui ka IT-seadmetes ja -süsteemides riskijuhtimise haldamiseks on vaja "ühist riskikeelt", mida on raske saavutada, kuna tarnijate ja nende turbe- ja tootmisstrateegiate vahel on nii palju ebakõlasid tööstuses, märkis ettevõtte tegevjuht Nick Sanna. RiskLens.
Selle parandamiseks soovitas ta müüjatel hinnata riske rahalises mõttes, mis võib võimaldada riskijuhtidel ja tehaste käitajatel seada prioriteediks otsuste tegemisel „haavatavusele reageerimine – paikamine, kontrollide lisamine, kindlustuse suurendamine – kõik see põhineb selgel arusaamal kahjudest. nii IT- kui ka tegevusvarad.
Isegi kui müüjad hakkavad tegelema põhiprobleemidega, mis on loonud OT:ICEFALLi stsenaariumi, seisab neil ees väga pikk tee turvaprobleemi igakülgseks leevendamiseks, ütlesid Forescouti teadlased.
"Täielik kaitse OT:ICEFALLi vastu nõuab, et müüjad lahendaksid need põhiprobleemid seadme püsivara ja toetatud protokollide muudatustega ning et varade omanikud rakendaksid muudatusi (plaastreid) oma võrkudes," kirjutasid nad. "Reaalselt võtab see protsess väga kaua aega."
- blockchain
- coingenius
- krüptovaluuta rahakotid
- krüptovahetus
- küberturvalisus
- küberkurjategijad
- Küberturvalisus
- sisejulgeoleku osakond
- digitaalsed rahakotid
- tulemüüri
- Kaspersky
- malware
- mcafee
- NexBLOC
- Platon
- plato ai
- Platoni andmete intelligentsus
- Platoni mäng
- PlatoData
- platogaming
- VPN
- Haavatavused
- kodulehel turvalisus
- sephyrnet
