En kultur med "insikker-by-design" sikkerhet er sitert i oppdagelsen av feilfylte operasjonsteknologienheter.
Forskere oppdaget 56 sårbarheter som påvirker enheter fra 10 leverandører av operasjonell teknologi (OT), hvorav de fleste har tilskrevet iboende designfeil i utstyr og en slapp tilnærming til sikkerhet og risikostyring som har plaget industrien i flere tiår, sa de.
Sårbarhetene – funnet i enheter av anerkjente leverandører Honeywell, Emerson, Motorola, Siemens, JTEKT, Bentley Nevada, Phoenix Contact, Omron, Yogogawa samt en navngitt produsent – varierer med hensyn til deres egenskaper og hva de tillater trusselaktører å gjøre, ifølge forskningen fra Forescouts Vedere Labs.
Imidlertid er "påvirkningen av hver sårbarhet høy avhengig av funksjonaliteten hver enhet tilbyr," ifølge et blogginnlegg om feilene publisert tirsdag.
Forskere delte ned typen feil som de fant i hvert av produktene i fire grunnleggende kategorier: usikre tekniske protokoller; svak kryptografi eller ødelagte autentiseringsordninger; usikre fastvareoppdateringer; eller ekstern kjøring av kode via innebygd funksjonalitet.
Blant aktivitetene som trusselaktører kan engasjere seg i ved å utnytte feilene på en berørt enhet inkluderer: ekstern kjøring av kode (RCE), med kode utført i forskjellige spesialiserte prosessorer og forskjellige kontekster i en prosessor; tjenestenekt (DoS) som kan ta en enhet helt offline eller blokkere tilgang til en bestemt funksjon; fil-/fastvare-/konfigurasjonsmanipulering som lar en angriper endre viktige aspekter ved en enhet; kompromiss med legitimasjon som gir tilgang til enhetsfunksjoner; eller autentiseringsbypass som lar en angriper påkalle ønsket funksjonalitet på målenheten, sa forskere.
Systemisk problem
At feilene – som forskere samlet kalte OT:ICEFALL i en referanse til Mount Everest og produsentene av fjellenheter må klatre når det gjelder sikkerhet – eksisterer i nøkkelenheter i nettverk som kontrollerer kritisk infrastruktur i seg selv, er ille nok.
Det som er verre er imidlertid at feilene kunne vært unngått, ettersom 74 prosent av produktfamiliene som er berørt av sårbarhetene har en slags sikkerhetssertifisering og dermed ble verifisert før de ble sendt til markedet, fant forskere. Dessuten skulle de fleste av dem ha blitt oppdaget "relativt raskt under dyptgående sårbarhetsoppdagelse," bemerket de.
Dette gratispasset OT-leverandører har gitt til sårbare produkter viser en vedvarende mangelfull innsats fra industrien som helhet når det gjelder sikkerhet og risikostyring, noe forskere håper å endre ved å kaste lys over problemet, sa de.
"Disse problemene spenner fra vedvarende usikker-by-design-praksis i sikkerhetssertifiserte produkter til underordnede forsøk på å komme seg bort fra dem," skrev forskere i innlegget. "Målet [med forskningen vår] er å illustrere hvordan den ugjennomsiktige og proprietære naturen til disse systemene, den suboptimale sårbarhetshåndteringen rundt dem og den ofte falske følelsen av sikkerhet som tilbys av sertifiseringer betydelig kompliserer OT risikostyringsarbeid."
Sikkerhetsparadoks
Sikkerhetseksperter bemerket faktisk også paradokset med den slappe sikkerhetsstrategien til leverandører på et felt som produserer systemene som kjører kritisk infrastruktur, angrep som kan være katastrofalt ikke bare for nettverkene produktene eksisterer på, men for hele verden.
"Man kan feilaktig anta at de industrielle styrings- og operasjonsteknologiske enhetene som utfører noen av de mest vitale og sensitive oppgavene i kritisk infrastruktur miljøer vil være blant de mest sikrede systemene i verden, men virkeligheten er ofte den stikk motsatte,» bemerket Chris Clements, visepresident for løsningsarkitektur for Cerberus Sentinel, i en e-post til Threatpost.
Faktisk, som det fremgår av forskningen, "har for mange enheter i disse rollene sikkerhetskontroller som er skremmende enkle for angripere å beseire eller omgå for å ta fullstendig kontroll over enhetene," sa han.
Funnene til forskere er nok et signal om at OT-industrien "opplever en forlenget cybersikkerhetsregning" som leverandører må ta tak i først og fremst ved å integrere sikkerhet på det mest grunnleggende produksjonsnivået før de fortsetter videre, observerte Clements.
"Produsenter av sensitive operasjonsteknologiske enheter må ta i bruk en cybersikkerhetskultur som starter helt i begynnelsen av designprosessen, men fortsetter til validering av den resulterende implementeringen i sluttproduktet," sa han.
Utfordringer for risikostyring
Forskere skisserte noen av årsakene til de iboende problemene med sikkerhetsdesign og risikostyring i OT-enheter som de foreslår at produsenter avhjelper på en rask måte.
Den ene er mangelen på enhetlighet når det gjelder funksjonalitet på tvers av enheter, noe som betyr at deres iboende mangel på sikkerhet også varierer mye og gjør feilsøking komplisert, sa de. For eksempel, ved å undersøke tre hovedveier for å oppnå RCE på nivå 1-enheter via innebygd funksjonalitet – logikknedlastinger, fastvareoppdateringer og minnelese-/skriveoperasjoner – fant forskerne at individuell teknologi håndterte disse banene forskjellig.
Ingen av systemene som ble analysert støtter logisk signering, og mer enn 50 prosent kompilerte logikken sin til innebygd maskinkode, fant de. Dessuten aksepterer 62 prosent av systemene fastvarenedlastinger via Ethernet, mens bare 51 prosent har autentisering for denne funksjonaliteten.
I mellomtiden, noen ganger var den iboende sikkerheten til enheten ikke direkte produsentens feil, men den til "usikre-by-design" komponenter i forsyningskjeden, noe som ytterligere kompliserer hvordan produsenter håndterer risiko, fant forskere.
"Sårbarheter i OT-forsyningskjedekomponenter har en tendens til å ikke rapporteres av alle berørte produsenter, noe som bidrar til vanskelighetene med risikostyring," sa de.
Lang vei videre
Å administrere risikostyring både i OT- og IT-enheter og -systemer krever "et felles risikospråk", noe som er vanskelig å oppnå med så mange inkonsekvenser på tvers av leverandører og deres sikkerhets- og produksjonsstrategier i en bransje, bemerket Nick Sanna, administrerende direktør i RiskLens.
For å bøte på dette foreslo han leverandørene å kvantifisere risiko i økonomiske termer, noe som kan gjøre det mulig for risikoledere og anleggsoperatører å prioritere beslutningstaking om å "reagere på sårbarheter - lappe, legge til kontroller, øke forsikringen - alt basert på en klar forståelse av tapseksponering for både IT og driftsmidler.»
Men selv om leverandører begynner å ta tak i de grunnleggende utfordringene som har skapt OT:ICEFALL-scenarioet, står de overfor en veldig lang vei fremover for å redusere sikkerhetsproblemet på en omfattende måte, sa Forescout-forskere.
"Fullstendig beskyttelse mot OT:ICEFALL krever at leverandører adresserer disse grunnleggende problemene med endringer i enhetsfastvare og støttede protokoller, og at eiendeler bruker endringene (patchene) i sine egne nettverk," skrev de. "Realistisk sett vil denne prosessen ta veldig lang tid."
- blockchain
- coingenius
- cryptocurrency lommebøker
- kryptoverveksling
- cybersikkerhet
- nettkriminelle
- Cybersecurity
- innenriksdepartementet
- digitale lommebøker
- brannmur
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- plato ai
- Platon Data Intelligence
- Platon spill
- PlatonData
- platogaming
- VPN
- Sikkerhetsproblemer
- nettside sikkerhet
- zephyrnet
