La cultura della sicurezza "non sicura per progettazione" è citata nella scoperta di dispositivi tecnologici operativi pieni di bug.
I ricercatori hanno scoperto 56 vulnerabilità che interessano i dispositivi di 10 fornitori di tecnologia operativa (OT), la maggior parte delle quali sono attribuite a difetti di progettazione intrinseci nelle apparecchiature e un approccio lassista alla sicurezza e alla gestione del rischio che affliggono il settore da decenni, hanno affermato.
Le vulnerabilità, riscontrate nei dispositivi di rinomati fornitori Honeywell, Emerson, Motorola, Siemens, JTEKT, Bentley Nevada, Phoenix Contact, Omron, Yogogawa e di un produttore anonimo, variano in termini di caratteristiche e di cosa consentono agli attori delle minacce di fare, secondo la ricerca di Vedere Labs di Forescout.
Tuttavia, nel complesso, "l'impatto di ciascuna vulnerabilità dipende in larga misura dalle funzionalità offerte da ciascun dispositivo", secondo un post sul blog sui difetti pubblicati martedì.
I ricercatori hanno suddiviso il tipo di difetto riscontrato in ciascuno dei prodotti in quattro categorie di base: protocolli ingegneristici non sicuri; crittografia debole o schemi di autenticazione non funzionanti; aggiornamenti firmware non sicuri; o esecuzione di codice remoto tramite funzionalità nativa.
Tra le attività che gli attori delle minacce possono intraprendere sfruttando i difetti su un dispositivo interessato includono: esecuzione di codice remoto (RCE), con codice eseguito in diversi processori specializzati e diversi contesti all'interno di un processore; Denial of Service (DoS) che può portare un dispositivo completamente offline o bloccare l'accesso a una determinata funzione; manipolazione di file/firmware/configurazione che consente a un utente malintenzionato di modificare aspetti importanti di un dispositivo; compromissione delle credenziali che consente l'accesso alle funzioni del dispositivo; o bypass dell'autenticazione che consente a un utente malintenzionato di invocare la funzionalità desiderata sul dispositivo di destinazione, hanno affermato i ricercatori.
Problema sistemico
Che i difetti, che i ricercatori hanno soprannominato collettivamente OT:ICEFALL in riferimento al Monte Everest e ai produttori di dispositivi di montagna di cui hanno bisogno per scalare in termini di sicurezza, esistano nei dispositivi chiave nelle reti che controllano l'infrastruttura critica in sé e per sé è già abbastanza grave.
Tuttavia, ciò che è peggio è che i difetti avrebbero potuto essere evitati, poiché il 74% delle famiglie di prodotti interessate dalle vulnerabilità dispone di una sorta di certificazione di sicurezza e quindi sono state verificate prima di essere immesse sul mercato, hanno scoperto i ricercatori. Inoltre, la maggior parte di loro avrebbe dovuto essere scoperta "relativamente rapidamente durante la scoperta approfondita delle vulnerabilità", hanno osservato.
Questo passaggio gratuito che i fornitori di OT hanno offerto ai prodotti vulnerabili dimostra uno sforzo persistente e poco brillante da parte dell'industria nel suo insieme quando si tratta di sicurezza e gestione del rischio, qualcosa che i ricercatori sperano di cambiare facendo luce sul problema, hanno affermato.
"Questi problemi vanno da pratiche persistenti non sicure in base alla progettazione nei prodotti certificati per la sicurezza a tentativi scadenti di allontanarsene", hanno scritto i ricercatori nel post. "L'obiettivo [della nostra ricerca] è illustrare come la natura opaca e proprietaria di questi sistemi, la gestione non ottimale delle vulnerabilità che li circonda e il spesso falso senso di sicurezza offerto dalle certificazioni complichino in modo significativo gli sforzi di gestione del rischio OT".
Paradosso della sicurezza
In effetti, i professionisti della sicurezza hanno anche notato il paradosso della strategia di sicurezza lassista dei fornitori in un campo che produce i sistemi che eseguono infrastrutture critiche, attacchi su cui può essere catastrofico non solo per le reti su cui esistono i prodotti ma per il mondo in generale.
“Si può erroneamente presumere che i dispositivi di controllo industriale e tecnologia operativa che svolgono alcuni dei compiti più vitali e sensibili infrastrutture critiche gli ambienti sarebbero tra i sistemi più protetti al mondo, eppure la realtà è spesso l'esatto opposto", ha osservato Chris Clements, vicepresidente dell'architettura delle soluzioni per Cerberus Sentinel, in un'e-mail a Threatpost.
Infatti, come evidenziato dalla ricerca, "troppi dispositivi in questi ruoli hanno controlli di sicurezza che sono spaventosamente facili da sconfiggere per gli aggressori o aggirare per assumere il controllo completo dei dispositivi", ha affermato.
I risultati dei ricercatori sono un altro segnale che l'industria OT "sta sperimentando una resa dei conti sulla sicurezza informatica attesa da tempo" che i fornitori devono affrontare innanzitutto integrando la sicurezza al livello più elementare di produzione prima di procedere oltre, ha osservato Clements.
"I produttori di dispositivi tecnologici operativi sensibili devono adottare una cultura della sicurezza informatica che inizia all'inizio del processo di progettazione ma continua fino alla convalida dell'implementazione risultante nel prodotto finale", ha affermato.
Sfide alla gestione del rischio
I ricercatori hanno delineato alcune delle ragioni dei problemi inerenti alla progettazione della sicurezza e alla gestione del rischio nei dispositivi OT che suggeriscono ai produttori di rimediare rapidamente.
Uno è la mancanza di uniformità in termini di funzionalità tra i dispositivi, il che significa che anche la loro intrinseca mancanza di sicurezza varia ampiamente e rende complicata la risoluzione dei problemi, hanno affermato. Ad esempio, studiando tre percorsi principali per ottenere RCE sui dispositivi di livello 1 tramite funzionalità native - download di logica, aggiornamenti del firmware e operazioni di lettura/scrittura della memoria - i ricercatori hanno scoperto che la tecnologia individuale gestiva questi percorsi in modo diverso.
Nessuno dei sistemi analizzati supporta la firma della logica e più del 50% ha compilato la propria logica in codice macchina nativo, hanno scoperto. Inoltre, il 62% dei sistemi accetta download di firmware tramite Ethernet, mentre solo il 51% dispone dell'autenticazione per questa funzionalità.
Nel frattempo, a volte la sicurezza intrinseca del dispositivo non era direttamente colpa del produttore, ma di componenti "insicuri per progettazione" nella catena di approvvigionamento, il che complica ulteriormente il modo in cui i produttori gestiscono il rischio, hanno scoperto i ricercatori.
"Le vulnerabilità nei componenti della catena di approvvigionamento OT tendono a non essere segnalate da tutti i produttori interessati, il che contribuisce alle difficoltà di gestione del rischio", hanno affermato.
Lunga strada avanti
In effetti, la gestione della gestione del rischio nei dispositivi e nei sistemi OT e IT richiede "un linguaggio comune del rischio", qualcosa che è difficile da ottenere con così tante incoerenze tra i fornitori e le loro strategie di sicurezza e produzione in un settore, ha osservato Nick Sanna, CEO di Lente di rischio.
Per rimediare a questo, ha suggerito ai fornitori di quantificare il rischio in termini finanziari, il che può consentire ai gestori del rischio e agli operatori degli impianti di dare la priorità al processo decisionale sulla "risposta alle vulnerabilità - patching, aggiunta di controlli, aumento dell'assicurazione - il tutto basato su una chiara comprensione dell'esposizione alle perdite per risorse sia IT che operative".
Tuttavia, anche se i fornitori iniziano ad affrontare le sfide fondamentali che hanno creato lo scenario OT:ICEFALL, devono affrontare una strada molto lunga per mitigare il problema di sicurezza in modo completo, hanno affermato i ricercatori di Forescout.
"La protezione completa contro OT:ICEFALL richiede che i fornitori affrontino questi problemi fondamentali con le modifiche al firmware del dispositivo e ai protocolli supportati e che i proprietari delle risorse applichino le modifiche (patch) nelle proprie reti", hanno scritto. "Realisticamente, quel processo richiederà molto tempo".
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- vulnerabilità
- sicurezza del sito Web
- zefiro
