תרבות של אבטחה 'לא מאובטחת לפי תכנון' מצוטטת בגילוי של התקני טכנולוגיה תפעולית מלאי באגים.
חוקרים גילו 56 נקודות תורפה המשפיעות על מכשירים מ-10 ספקי טכנולוגיות תפעוליות (OT), שאת רובן הם ייחסו לפגמי תכנון מובנים בציוד וגישה רופפת לאבטחה וניהול סיכונים שמטרידים את התעשייה במשך עשרות שנים.
הפגיעויות - שנמצאו במכשירים על ידי הספקים הנחשבים Honeywell, Emerson, Motorola, Siemens, JTEKT, Bentley Nevada, Phoenix Contact, Omron, Yogogawa וכן יצרן ללא שם - משתנות מבחינת המאפיינים שלהם ומה שהם מאפשרים לשחקני איום לעשות, על פי מחקר ממעבדות Vedere של Forescout.
עם זאת, בסך הכל "ההשפעה של כל פגיעות גבוהה תלויה בפונקציונליות שכל מכשיר מציע", לפי בלוג על הפגמים שפורסמו ביום שלישי.
החוקרים פירקו את סוג הפגם שמצאו בכל אחד מהמוצרים לארבע קטגוריות בסיסיות: פרוטוקולים הנדסיים לא מאובטחים; קריפטוגרפיה חלשה או סכימות אימות שבורות; עדכוני קושחה לא מאובטחים; או ביצוע קוד מרחוק באמצעות פונקציונליות מקורית.
בין הפעילויות שגורמי איומים יכולים לעסוק בהן על ידי ניצול הפגמים במכשיר מושפע כוללות: ביצוע קוד מרחוק (RCE), כאשר קוד מבוצע במעבדים מיוחדים שונים ובהקשרים שונים בתוך מעבד; מניעת שירות (DoS) שיכול להעביר מכשיר לא מקוון לחלוטין או לחסום גישה לפונקציה מסוימת; מניפולציה של קבצים/קושחה/תצורה המאפשרת לתוקף לשנות היבטים חשובים של מכשיר; פשרה של אישור המאפשר גישה לפונקציות המכשיר; או מעקף אימות המאפשר לתוקף להפעיל את הפונקציונליות הרצויה במכשיר היעד, אמרו החוקרים.
בעיה מערכתית
שהפגמים - שחוקרים כינו יחד OT:ICEFALL בהתייחסות להר האוורסט ויצרניות מכשירי ההרים צריכים לטפס מבחינת אבטחה - קיימים במכשירי מפתח ברשתות השולטות בתשתית קריטית כשלעצמה, זה גרוע מספיק.
עם זאת, מה שגרוע יותר הוא שניתן היה למנוע את הפגמים, שכן ל-74 אחוזים ממשפחות המוצרים המושפעות מהחולשות יש איזושהי אישור אבטחה ולכן אומתו לפני שנשלחו לשוק, מצאו חוקרים. יתרה מכך, רובם היו צריכים להתגלות "במהירות יחסית במהלך גילוי פגיעות מעמיק", הם ציינו.
ספקי ה-OT החופשי הזה שנתנו למוצרים פגיעים מוכיחים מאמץ מתמשך חסר ברק של התעשייה כולה בכל הנוגע לאבטחה וניהול סיכונים, משהו שחוקרים מקווים לשנות על ידי הדלקת אור על הבעיה, לדבריהם.
"הנושאים הללו נעים בין שיטות מתמשכות לא מאובטחות לפי תכנון במוצרים עם אישורי אבטחה ועד ניסיונות נמוכים להתרחק מהם", כתבו החוקרים בפוסט. "המטרה [של המחקר שלנו] היא להמחיש כיצד האופי האטום והקנייני של מערכות אלו, ניהול הפגיעות הלא אופטימלי המקיף אותן ותחושת האבטחה המוטעית לעתים קרובות שמציעות אישורים מסבכים באופן משמעותי את מאמצי ניהול הסיכונים של OT."
פרדוקס אבטחה
ואכן, אנשי מקצוע בתחום האבטחה ציינו גם את הפרדוקס של אסטרטגיית האבטחה הרופסת של ספקים בתחום המייצר את המערכות המפעילות תשתית קריטית, התקפות שעליו יכולים להיות קטסטרופליים לא רק עבור הרשתות שבהן קיימים המוצרים אלא עבור העולם כולו.
"אפשר להניח בטעות שמכשירי הבקרה התעשייתיים והטכנולוגיה התפעולית שמבצעים כמה מהמשימות החיוניות והרגישות ביותר ב תשתיות קריטיות סביבות יהיו בין המערכות המאובטחות ביותר בעולם, אך המציאות היא לרוב הפוכה בדיוק", ציין כריס קלמנטס, סגן נשיא לארכיטקטורת פתרונות עבור Cerberus Sentinel, בדוא"ל ל-Threatpost.
ואכן, כפי שעולה מהמחקר, "למכשירים רבים מדי בתפקידים אלה יש בקרות אבטחה שקל להחריד לתוקפים להביס או לעקוף כדי להשתלט על המכשירים", אמר.
הממצאים של החוקרים הם אות נוסף לכך שתעשיית ה-OT "חווה חשבון אבטחת סייבר שאחריו היה מזמן", שהספקים חייבים לטפל בו בראש ובראשונה על ידי שילוב אבטחה ברמה הבסיסית ביותר של הייצור לפני שתמשיך הלאה, ציין קלמנטס.
"יצרנים של התקני טכנולוגיה תפעולית רגישים חייבים לאמץ תרבות של אבטחת סייבר שמתחילה ממש בתחילת תהליך התכנון, אך ממשיכה עד לאימות היישום המתקבל במוצר הסופי", אמר.
אתגרים לניהול סיכונים
חוקרים תיארו כמה מהסיבות לבעיות המובנות בתכנון אבטחה וניהול סיכונים במכשירי OT, שהם מציעים ליצרנים לתקן בצורה מהירה.
האחד הוא חוסר האחידות במונחים של פונקציונליות בין מכשירים, מה שאומר שגם חוסר האבטחה המובנה שלהם משתנה מאוד והופך את פתרון הבעיות למסובך, אמרו. לדוגמה, בחקירת שלושה מסלולים עיקריים להשגת RCE במכשירים ברמה 1 באמצעות פונקציונליות מקורית - הורדות לוגיקה, עדכוני קושחה ופעולות קריאה/כתיבה בזיכרון - חוקרים גילו שטכנולוגיה בודדת טיפלה במסלולים אלה בצורה שונה.
אף אחת מהמערכות לא ניתחה תומכת בחתימה לוגית ויותר מ-50% הידור הלוגיקה שלה לקוד מכונה מקורי, הם גילו. יתרה מכך, 62 אחוז מהמערכות מקבלים הורדות קושחה דרך אתרנט, בעוד שרק ל-51 אחוזים יש אימות לפונקציונליות זו.
בינתיים, לפעמים האבטחה המובנית של המכשיר לא הייתה באשמת היצרן אלא באשמת רכיבים "בלתי מאובטחים לפי עיצוב" בשרשרת האספקה, מה שמקשה עוד יותר על אופן ניהול הסיכונים של היצרנים, מצאו חוקרים.
"פגיעויות ברכיבי שרשרת האספקה של OT נוטות לא להיות מדווחות על ידי כל יצרן מושפע, מה שתורם לקשיים בניהול סיכונים", אמרו.
דרך ארוכה קדימה
אכן, ניהול ניהול סיכונים במכשירי ומערכות OT ו-IT כאחד דורש "שפה משותפת של סיכונים", דבר שקשה להשיג עם כל כך הרבה חוסר עקביות בין ספקים ואסטרטגיות האבטחה והייצור שלהם בתעשייה, ציין ניק סאנה, מנכ"ל RiskLens.
כדי לתקן זאת, הוא הציע לספקים לכמת סיכונים במונחים פיננסיים, מה שיכול לאפשר למנהלי סיכונים ולמפעילי מפעלים לתעדף קבלת החלטות לגבי "היענות לנקודות תורפה - תיקון, הוספת בקרות, הגדלת ביטוח - הכל על בסיס הבנה ברורה של חשיפה להפסדים עבור גם נכסי IT וגם נכסים תפעוליים."
עם זאת, גם אם הספקים יתחילו להתמודד עם האתגרים הבסיסיים שיצרו את תרחיש OT:ICEFALL, הם עומדים בפני דרך ארוכה מאוד כדי להפחית את בעיית האבטחה באופן מקיף, אמרו חוקרי Forescout.
"הגנה מלאה מפני OT:ICEFALL מחייבת שהספקים יטפלו בבעיות היסודיות הללו בשינויים בקושחת המכשיר ובפרוטוקולים הנתמכים ושבעלי הנכסים יחילו את השינויים (הטלאים) ברשתות שלהם", כתבו. "באופן מציאותי, התהליך הזה ייקח הרבה מאוד זמן."
