Budaya keamanan 'tidak aman-oleh-desain' dikutip dalam penemuan perangkat teknologi operasional yang penuh bug.
Para peneliti menemukan 56 kerentanan yang memengaruhi perangkat dari 10 vendor teknologi operasional (OT), sebagian besar dikaitkan dengan kelemahan desain yang melekat pada peralatan dan pendekatan yang lemah terhadap keamanan dan manajemen risiko yang telah mengganggu industri selama beberapa dekade, kata mereka.
Kerentanan-ditemukan di perangkat oleh vendor terkenal Honeywell, Emerson, Motorola, Siemens, JTEKT, Bentley Nevada, Phoenix Contact, Omron, Yogogawa serta produsen yang tidak disebutkan namanya-bervariasi dalam hal karakteristik mereka dan apa yang mereka izinkan untuk dilakukan oleh pelaku ancaman, menurut penelitian dari Forescout's Vedere Labs.
Namun, secara keseluruhan "dampak dari setiap kerentanan sangat bergantung pada fungsionalitas yang ditawarkan setiap perangkat," menurut posting blog tentang kekurangan yang diterbitkan Selasa.
Para peneliti membagi jenis cacat yang mereka temukan di setiap produk menjadi empat kategori dasar: protokol rekayasa yang tidak aman; kriptografi yang lemah atau skema otentikasi yang rusak; pembaruan firmware tidak aman; atau eksekusi kode jarak jauh melalui fungsionalitas asli.
Di antara aktivitas yang dapat dilakukan oleh aktor ancaman dengan mengeksploitasi kelemahan pada perangkat yang terpengaruh meliputi: eksekusi kode jarak jauh (RCE), dengan kode yang dieksekusi dalam prosesor khusus yang berbeda dan konteks yang berbeda dalam prosesor; penolakan layanan (DoS) yang dapat membuat perangkat sepenuhnya offline atau memblokir akses ke fungsi tertentu; manipulasi file/firmware/konfigurasi yang memungkinkan penyerang mengubah aspek penting perangkat; kompromi kredensial yang memungkinkan akses ke fungsi perangkat; atau bypass otentikasi yang memungkinkan penyerang menjalankan fungsionalitas yang diinginkan pada perangkat target, kata para peneliti.
Masalah Sistemik
Bahwa kekurangan—yang oleh para peneliti secara kolektif dijuluki OT:ICEFALL dalam referensi ke Gunung Everest dan pembuat perangkat gunung perlu mendaki dalam hal keamanan—ada di perangkat utama dalam jaringan yang mengontrol infrastruktur penting di dalam dan dari dirinya sendiri sudah cukup buruk.
Namun, yang lebih buruk adalah bahwa kekurangannya dapat dihindari, karena 74 persen dari keluarga produk yang terpengaruh oleh kerentanan memiliki semacam sertifikasi keamanan dan dengan demikian telah diverifikasi sebelum dikirim ke pasar, para peneliti menemukan. Selain itu, sebagian besar dari mereka seharusnya ditemukan “relatif cepat selama penemuan kerentanan mendalam,” catat mereka.
Vendor OT izin gratis yang telah diberikan kepada produk yang rentan ini menunjukkan upaya terus-menerus yang tidak bersemangat oleh industri secara keseluruhan dalam hal keamanan dan manajemen risiko, sesuatu yang peneliti harapkan untuk diubah dengan menyoroti masalah tersebut, kata mereka.
“Masalah ini berkisar dari praktik desain yang tidak aman yang terus-menerus dalam produk bersertifikat keamanan hingga upaya di bawah standar untuk menjauh darinya,” tulis para peneliti dalam posting tersebut. “Tujuan [penelitian kami] adalah untuk menggambarkan bagaimana sifat buram dan eksklusif dari sistem ini, manajemen kerentanan suboptimal di sekitarnya, dan rasa aman yang sering salah yang ditawarkan oleh sertifikasi secara signifikan memperumit upaya manajemen risiko PL.”
Paradoks Keamanan
Memang, para profesional keamanan juga mencatat paradoks dari strategi keamanan yang longgar dari vendor di bidang yang menghasilkan sistem yang menjalankan infrastruktur kritis, serangan di mana dapat menjadi bencana tidak hanya untuk jaringan di mana produk itu ada tetapi untuk dunia pada umumnya.
“Orang mungkin salah berasumsi bahwa kontrol industri dan perangkat teknologi operasional yang melakukan beberapa tugas paling vital dan sensitif di infrastruktur kritis lingkungan akan menjadi salah satu sistem yang paling aman di dunia, namun kenyataannya seringkali sebaliknya,” kata Chris Clements, wakil presiden arsitektur solusi untuk Cerberus Sentinel, dalam email ke Threatpost.
Memang, sebagaimana dibuktikan oleh penelitian, "terlalu banyak perangkat dalam peran ini memiliki kontrol keamanan yang sangat mudah bagi penyerang untuk mengalahkan atau memotong untuk mengambil kendali penuh dari perangkat," katanya.
Temuan para peneliti adalah sinyal lain bahwa industri OT “mengalami perhitungan keamanan siber yang telah lama tertunda” yang harus ditangani vendor pertama dan terutama dengan mengintegrasikan keamanan pada tingkat produksi paling dasar sebelum melangkah lebih jauh, Clements mengamati.
“Produsen perangkat teknologi operasional yang sensitif harus mengadopsi budaya keamanan siber yang dimulai sejak awal proses desain tetapi terus berlanjut hingga memvalidasi implementasi yang dihasilkan dalam produk akhir,” katanya.
Tantangan Manajemen Risiko
Para peneliti menguraikan beberapa alasan untuk masalah yang melekat dengan desain keamanan dan manajemen risiko pada perangkat OT yang mereka sarankan untuk diperbaiki oleh produsen dengan cara cepat.
Salah satunya adalah kurangnya keseragaman dalam hal fungsionalitas di seluruh perangkat, yang berarti bahwa kurangnya keamanan yang melekat juga sangat bervariasi dan membuat pemecahan masalah menjadi rumit, kata mereka. Misalnya, dalam menyelidiki tiga jalur utama untuk mendapatkan RCE pada perangkat level 1 melalui fungsionalitas asli – unduhan logika, pembaruan firmware, dan operasi baca/tulis memori—para peneliti menemukan bahwa masing-masing teknologi menangani jalur ini secara berbeda.
Tak satu pun dari sistem yang dianalisis mendukung penandatanganan logika dan lebih dari 50 persen mengkompilasi logika mereka ke kode mesin asli, mereka menemukan. Selain itu, 62 persen sistem menerima unduhan firmware melalui Ethernet, sementara hanya 51 persen yang memiliki otentikasi untuk fungsi ini.
Sementara itu, terkadang keamanan yang melekat pada perangkat tidak secara langsung merupakan kesalahan pabrikan, tetapi kesalahan komponen "tidak aman berdasarkan desain" dalam rantai pasokan, yang semakin memperumit cara produsen mengelola risiko, menurut temuan para peneliti.
“Kerentanan dalam komponen rantai pasokan OT cenderung tidak dilaporkan oleh setiap produsen yang terpengaruh, yang berkontribusi pada kesulitan manajemen risiko,” kata mereka.
Jalan Panjang Ke Depan
Memang, mengelola manajemen risiko di perangkat dan sistem OT dan TI sama-sama membutuhkan "bahasa risiko yang sama," sesuatu yang sulit dicapai dengan begitu banyak inkonsistensi di seluruh vendor dan strategi keamanan dan produksi mereka dalam suatu industri, kata Nick Sanna, CEO of Lensa Risiko.
Untuk memperbaiki ini, dia menyarankan vendor untuk mengukur risiko dalam istilah keuangan, yang dapat memungkinkan manajer risiko dan operator pabrik untuk memprioritaskan pengambilan keputusan pada "menanggapi kerentanan - menambal, menambahkan kontrol, meningkatkan asuransi - semua berdasarkan pemahaman yang jelas tentang eksposur kerugian untuk baik TI maupun aset operasional.”
Namun, bahkan jika vendor mulai mengatasi tantangan mendasar yang telah menciptakan skenario OT:ICEFALL, mereka menghadapi jalan yang sangat panjang ke depan untuk mengurangi masalah keamanan secara komprehensif, kata peneliti Forescout.
“Perlindungan lengkap terhadap OT:ICEFALL mengharuskan vendor mengatasi masalah mendasar ini dengan perubahan firmware perangkat dan protokol yang didukung dan pemilik aset menerapkan perubahan (tambalan) di jaringan mereka sendiri,” tulis mereka. “Realistisnya, proses itu akan memakan waktu yang sangat lama.”
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Departemen Keamanan Dalam Negeri
- dompet digital
- firewall
- Kaspersky
- malware
- mcafe
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- VPN
- Kerentanan
- website security
- zephyrnet.dll
