"Suunnittelultaan epävarman" tietoturvan kulttuuri mainitaan virheiden täynnä olevien toimintateknologian laitteiden löytämisessä.
Tutkijat löysivät 56 haavoittuvuutta, jotka vaikuttavat 10 operatiivisen teknologian (OT) toimittajan laitteisiin, joista useimmat ovat pitäneet laitteiden luontaisista suunnitteluvirheistä ja löyhästä lähestymistavasta turvallisuuteen ja riskienhallintaan, jotka ovat vaivanneet alaa vuosikymmeniä, he sanoivat.
Tunnettujen myyjien Honeywell, Emerson, Motorola, Siemens, JTEKT, Bentley Nevada, Phoenix Contact, Omron, Yogogawa sekä nimeämätön valmistaja laitteista löytämät haavoittuvuudet vaihtelevat niiden ominaisuuksien ja uhkatekijöiden mahdollisuuksien mukaan. Forescout's Vedere Labsin tutkimuksen mukaan.
Kuitenkin kaiken kaikkiaan "kunkin haavoittuvuuden vaikutus riippuu suuresti kunkin laitteen tarjoamista toiminnoista", mukaan blogi tiistaina julkaistuista puutteista.
Tutkijat jakoivat kustakin tuotteesta löytämänsä puutteen neljään perusluokkaan: epävarmat suunnitteluprotokollat; heikko salaus tai rikkinäiset todennusjärjestelmät; epävarmat laiteohjelmistopäivitykset; tai etäkoodin suorittaminen alkuperäisen toiminnon kautta.
Toimintoja, joihin uhkatekijät voivat osallistua hyödyntämällä haavoittuneen laitteen puutteita, ovat: koodin etäsuoritus (RCE), jossa koodi suoritetaan erilaisissa erikoisprosessoreissa ja eri konteksteissa prosessorin sisällä; Palvelunesto (DoS), joka voi viedä laitteen kokonaan offline-tilaan tai estää pääsyn tiettyyn toimintoon; tiedostojen/laiteohjelmistojen/määritysten käsittely, jonka avulla hyökkääjä voi muuttaa laitteen tärkeitä ominaisuuksia; valtuustietojen kompromissi, joka mahdollistaa pääsyn laitteen toimintoihin; tai todennuksen ohitus, jonka avulla hyökkääjä voi vedota haluttuun toimintoon kohdelaitteella, tutkijat sanoivat.
Systeeminen ongelma
Se, että puutteet – joita tutkijat kutsuivat yhdessä OT:ICEFALLiksi viitaten Mount Everestiin ja vuoristolaitteiden valmistajien on kiivettävä turvallisuuden suhteen – ovat olemassa kriittistä infrastruktuuria ohjaavien verkkojen keskeisissä laitteissa, ja sinänsä on tarpeeksi huono.
Pahinta on kuitenkin se, että puutteet olisi voitu välttää, sillä 74 prosentilla tuoteperheistä, joihin haavoittuvuudet vaikuttavat, on jonkinlainen tietoturvasertifikaatti, joten ne on tarkistettu ennen markkinoille lähettämistä, tutkijat havaitsivat. Lisäksi useimmat niistä olisi pitänyt löytää "suhteellisen nopeasti perusteellisen haavoittuvuuden löytämisen aikana", he huomauttivat.
Tämä ilmaispassi, jonka OT-toimittajat ovat myöntäneet haavoittuville tuotteille, osoittaa, että koko teollisuudessa on jatkuvasti heikkoja ponnisteluja turvallisuuden ja riskienhallinnan suhteen, mitä tutkijat toivovat muuttavan valaisemalla ongelmaa, he sanoivat.
"Nämä ongelmat vaihtelevat jatkuvista epävarmasta suunnittelun käytännöistä turvallisuussertifioiduissa tuotteissa alamaisiin yrityksiin siirtyä niistä pois", tutkijat kirjoittivat viestissä. "[Tutkimuksemme] tavoitteena on havainnollistaa, kuinka näiden järjestelmien läpinäkymätön ja omistusoikeus, niitä ympäröivä epäoptimaalinen haavoittuvuuksien hallinta ja sertifikaattien tarjoama usein väärä turvallisuuden tunne vaikeuttavat merkittävästi OT-riskinhallintatoimia."
Turvallisuusparadoksi
Itse asiassa tietoturva-ammattilaiset panivat merkille myös myyjien löyhän turvallisuusstrategian paradoksin alalla, joka tuottaa kriittistä infrastruktuuria käyttäviä järjestelmiä, hyökkäyksiä joka voi olla katastrofaalinen ei vain verkoille, joissa tuotteet ovat olemassa, vaan koko maailmalle.
”Voidaan virheellisesti olettaa, että teolliset ohjaus- ja käyttötekniikan laitteet, jotka suorittavat joitakin tärkeimmistä ja herkimmistä tehtävistä kriittisen infrastruktuurin ympäristöt olisivat yksi maailman erittäin turvatuimmista järjestelmistä, mutta todellisuus on usein täysin päinvastainen”, huomautti Cerberus Sentinelin ratkaisuarkkitehtuurista vastaava varajohtaja Chris Clements Threatpostille lähettämässään sähköpostissa.
Itse asiassa, kuten tutkimus osoittaa, "liian monilla näissä rooleissa olevilla laitteilla on turvatarkastukset, jotka hyökkääjien on pelottavan helppo päihittää tai ohittaa saadakseen laitteet täydellisesti hallintaan", hän sanoi.
Tutkijoiden havainnot ovat jälleen yksi merkki siitä, että OT-teollisuudessa "on kauan odotettu kyberturvallisuuslaskenta", johon toimittajien on puututtava ensisijaisesti integroimalla tietoturva tuotannon perustasolle ennen kuin jatkavat eteenpäin, Clements huomautti.
"Herkien käyttöteknisten laitteiden valmistajien on omaksuttava kyberturvallisuuskulttuuri, joka alkaa suunnitteluprosessin alusta, mutta jatkuu lopputuotteen toteutumisen validointiin asti", hän sanoi.
Riskienhallinnan haasteita
Tutkijat hahmottelivat joitain syitä OT-laitteiden turvallisuussuunnitteluun ja riskienhallintaan liittyviin ongelmiin, jotka he ehdottavat valmistajien korjaavan nopeasti.
Yksi on epäyhtenäisyys eri laitteiden toimivuudessa, mikä tarkoittaa, että myös niiden luontainen tietoturvan puute vaihtelee suuresti ja tekee vianetsinnästä monimutkaista, he sanoivat. Esimerkiksi tutkiessaan kolmea pääreittiä RCE:n hankkimiseen tason 1 laitteilla alkuperäisten toimintojen avulla – logiikkalataukset, laiteohjelmistopäivitykset ja muistin luku-/kirjoitustoiminnot – tutkijat havaitsivat, että yksittäiset tekniikat käsittelivät näitä polkuja eri tavalla.
Mikään analysoiduista järjestelmistä ei tue logiikkaa allekirjoitusta, ja yli 50 prosenttia käänsi logiikkansa alkuperäiseen konekoodiin, he havaitsivat. Lisäksi 62 prosenttia järjestelmistä hyväksyy laiteohjelmiston lataukset Ethernetin kautta, kun taas vain 51 prosentilla on todennus tälle toiminnalle.
Samaan aikaan laitteen luontainen turvallisuus ei joskus ollut suoraan valmistajan vika, vaan toimitusketjun "suunniteltujen epävarmojen" komponenttien vika, mikä vaikeuttaa entisestään valmistajien riskienhallintaa, tutkijat havaitsivat.
"Jokainen valmistaja ei yleensä raportoi OT-toimitusketjun komponenttien haavoittuvuuksista, mikä lisää riskienhallinnan vaikeuksia", he sanoivat.
Pitkä tie eteenpäin
Itse asiassa riskienhallinnan hallinta OT- ja IT-laitteissa ja -järjestelmissä vaatii "yhteistä riskikieltä", jota on vaikea saavuttaa, koska toimittajien ja heidän tietoturva- ja tuotantostrategioidensa välillä on niin monia epäjohdonmukaisuuksia alalla, totesi Nick Sanna, toimitusjohtaja RiskLens.
Tämän korjaamiseksi hän ehdotti, että myyjät määrittävät riskit rahallisesti, mikä voi antaa riskienhallinnasta vastaaville ja laitosten johtajille mahdollisuuden priorisoida päätöksentekoa "haavoittuvuuksiin reagoimisesta – korjailusta, valvonnan lisäämisestä, vakuutuksen lisäämisestä – kaikki perustuu selkeään käsitykseen tappioalttiudesta sekä IT- että operatiiviset resurssit."
Vaikka toimittajat alkaisivat puuttua perushaasteisiin, jotka ovat luoneet OT:ICEFALL-skenaarion, heillä on edessään erittäin pitkä tie turvallisuusongelman kokonaisvaltaiseen lieventämiseen, Forescoutin tutkijat sanoivat.
"Täydellinen suojaus OT:ICEFALL:ia vastaan edellyttää, että myyjät käsittelevät nämä perusongelmat laitteen laiteohjelmiston ja tuettujen protokollien muutoksilla ja että omaisuuden omistajat ottavat muutokset (korjaukset) käyttöön omissa verkoissaan", he kirjoittivat. "Realistisesti tämä prosessi kestää hyvin kauan."
- blockchain
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- haavoittuvuuksia
- verkkosivuilla turvallisuus
- zephyrnet
