Kultura bezpieczeństwa „niepewnego w fazie projektowania” jest przywoływana w odkrywaniu przesyconych błędami urządzeń technologicznych.
Naukowcy odkryli 56 luk mających wpływ na urządzenia od 10 dostawców technologii operacyjnych (OT), z których większość przypisali nieodłącznym wadom konstrukcyjnym sprzętu oraz luźnemu podejściu do bezpieczeństwa i zarządzania ryzykiem, które nękają branżę od dziesięcioleci.
Luki — znalezione w urządzeniach przez renomowanych dostawców Honeywell, Emerson, Motorola, Siemens, JTEKT, Bentley Nevada, Phoenix Contact, Omron, Yogogawa, a także przez nienazwanego producenta — różnią się pod względem ich cech i tego, co umożliwiają cyberprzestępcom. według badań z Forescout's Vedere Labs.
Jednak ogólnie „wpływ każdej luki w zabezpieczeniach jest wysoki, zależny od funkcjonalności oferowanej przez każde urządzenie”, zgodnie z blogu o wadach opublikowano we wtorek.
Badacze podzielili rodzaj defektu, który znaleźli w każdym z produktów na cztery podstawowe kategorie: niezabezpieczone protokoły inżynierskie; słaba kryptografia lub zepsute schematy uwierzytelniania; niezabezpieczone aktualizacje oprogramowania; lub zdalne wykonanie kodu poprzez natywną funkcjonalność.
Wśród działań, które mogą podejmować cyberprzestępcy, wykorzystując luki na zaatakowanym urządzeniu, znajdują się: zdalne wykonanie kodu (RCE), z kodem wykonywanym na różnych wyspecjalizowanych procesorach i różnych kontekstach w procesorze; odmowa usługi (DoS), która może całkowicie wyłączyć urządzenie lub zablokować dostęp do określonej funkcji; manipulacja plikami/oprogramowaniem sprzętowym/konfiguracją, która umożliwia atakującemu zmianę ważnych aspektów urządzenia; złamanie poświadczeń umożliwiające dostęp do funkcji urządzenia; lub ominięcie uwierzytelniania, które umożliwia atakującemu wywołanie pożądanej funkcjonalności na urządzeniu docelowym, twierdzą naukowcy.
Problem systemowy
Wystarczająco złe jest to, że wady – które naukowcy wspólnie nazwali OT:ICEFALL w odniesieniu do Mount Everestu i producentów urządzeń górskich, którzy muszą się wspinać pod względem bezpieczeństwa – istnieją w kluczowych urządzeniach w sieciach, które same w sobie kontrolują infrastrukturę krytyczną.
Co gorsza, wad można było uniknąć, ponieważ 74 procent rodzin produktów, których dotyczyły luki, posiada jakiś rodzaj certyfikatu bezpieczeństwa, a zatem zostało zweryfikowanych przed wysłaniem na rynek. Co więcej, większość z nich powinna zostać wykryta „stosunkowo szybko podczas dogłębnego odkrywania luk w zabezpieczeniach”, zauważyli.
Ta bezpłatna przepustka, którą dostawcy usług OT obdarzają podatnymi na ataki produktami, pokazuje, że cała branża jako całość stara się nie wysilać, jeśli chodzi o bezpieczeństwo i zarządzanie ryzykiem, co naukowcy mają nadzieję zmienić, rzucając światło na problem.
„Problemy te wahają się od uporczywych, niepewnych praktyk projektowych w produktach z certyfikatem bezpieczeństwa, aż po słabsze próby odejścia od nich” – napisali badacze w poście. „Celem [naszych badań] jest zilustrowanie, w jaki sposób nieprzejrzysty i prawnie zastrzeżony charakter tych systemów, nieoptymalne zarządzanie lukami w ich otoczeniu oraz często fałszywe poczucie bezpieczeństwa oferowane przez certyfikaty znacząco komplikują wysiłki w zakresie zarządzania ryzykiem OT”.
Paradoks bezpieczeństwa
Rzeczywiście, specjaliści od bezpieczeństwa zauważyli również paradoks luźnej strategii bezpieczeństwa dostawców w dziedzinie, która produkuje systemy obsługujące infrastrukturę krytyczną, Ataki na których może być katastrofalne nie tylko dla sieci, w których istnieją produkty, ale dla całego świata.
„Można błędnie założyć, że urządzenia sterowania przemysłowego i techniki operacyjnej, które wykonują niektóre z najważniejszych i najbardziej wrażliwych zadań w infrastruktura krytyczna środowiska byłyby jednymi z najbardziej zabezpieczonych systemów na świecie, jednak rzeczywistość jest często dokładnie odwrotna” — zauważył w e-mailu do Threatpost Chris Clements, wiceprezes ds. architektury rozwiązań w Cerberus Sentinel.
Rzeczywiście, jak pokazują badania, „zbyt wiele urządzeń pełniących te role ma zabezpieczenia, które są przerażająco łatwe do pokonania lub ominięcia przez atakujących, aby przejąć pełną kontrolę nad urządzeniami” – powiedział.
Clements zauważył, że odkrycia badaczy są kolejnym sygnałem, że branża OT „doświadcza od dawna spóźnionych obliczeń dotyczących cyberbezpieczeństwa”, które dostawcy muszą rozwiązać przede wszystkim poprzez zintegrowanie zabezpieczeń na najbardziej podstawowym poziomie produkcji, zanim przystąpią do dalszych działań.
„Producenci wrażliwych urządzeń technologii operacyjnych muszą przyjąć kulturę cyberbezpieczeństwa, która zaczyna się na samym początku procesu projektowania, ale trwa aż do walidacji wynikowej implementacji w produkcie końcowym” – powiedział.
Wyzwania w zarządzaniu ryzykiem
Badacze przedstawili niektóre przyczyny nieodłącznych problemów związanych z projektowaniem zabezpieczeń i zarządzaniem ryzykiem w urządzeniach OT, które sugerują producentom, aby szybko zaradzić im.
Jednym z nich jest brak jednolitości pod względem funkcjonalności na różnych urządzeniach, co oznacza, że ich nieodłączny brak bezpieczeństwa również jest bardzo zróżnicowany i sprawia, że rozwiązywanie problemów jest skomplikowane. Na przykład, badając trzy główne ścieżki uzyskania RCE na urządzeniach poziomu 1 poprzez natywną funkcjonalność — pobieranie logiki, aktualizacje oprogramowania układowego oraz operacje odczytu/zapisu pamięci — naukowcy odkryli, że poszczególne technologie w różny sposób obsługują te ścieżki.
Żaden z analizowanych systemów nie obsługuje podpisywania logiki, a ponad 50 procent skompilowało swoją logikę do natywnego kodu maszynowego. Co więcej, 62 procent systemów akceptuje pobieranie oprogramowania układowego przez Ethernet, podczas gdy tylko 51 procent posiada uwierzytelnianie dla tej funkcji.
Tymczasem czasami nieodłączne bezpieczeństwo urządzenia nie wynikało bezpośrednio z winy producenta, ale z winy „niepewnych elementów konstrukcyjnych” w łańcuchu dostaw, co dodatkowo komplikuje sposób zarządzania ryzykiem przez producentów.
„Luki w elementach łańcucha dostaw OT zwykle nie są zgłaszane przez każdego dotkniętego problemem producenta, co przyczynia się do trudności w zarządzaniu ryzykiem” – powiedzieli.
Długa droga przed nami
Rzeczywiście, zarządzanie ryzykiem w urządzeniach i systemach OT i IT wymaga „wspólnego języka ryzyka”, co jest trudne do osiągnięcia przy tak wielu niespójnościach między dostawcami oraz ich strategiami bezpieczeństwa i produkcji w branży, zauważył Nick Sanna, dyrektor generalny Obiektyw ryzyka.
Aby temu zaradzić, zasugerował sprzedawcom kwantyfikację ryzyka w kategoriach finansowych, co może umożliwić menedżerom ryzyka i operatorom zakładów ustalenie priorytetów w podejmowaniu decyzji dotyczących „reagowania na luki w zabezpieczeniach – łatania, dodawania kontroli, zwiększania ubezpieczenia – wszystko w oparciu o jasne zrozumienie narażenia na straty dla zarówno zasoby informatyczne, jak i operacyjne.”
Jednak nawet jeśli dostawcy zaczną stawiać czoła podstawowym wyzwaniom, które stworzyły scenariusz OT:ICEFALL, mają przed sobą bardzo długą drogę, aby kompleksowo złagodzić problem bezpieczeństwa, twierdzą naukowcy z Forescout.
„Pełna ochrona przed OT:ICEFALL wymaga, aby dostawcy zajęli się tymi podstawowymi problemami, wprowadzając zmiany w oprogramowaniu sprzętowym urządzeń i obsługiwanych protokołach, a właściciele aktywów stosowali zmiany (łatki) we własnych sieciach” – napisali. „Realistycznie ten proces zajmie bardzo dużo czasu”.
- blockchain
- pomysłowość
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- Luki w zabezpieczeniach
- zabezpieczenia stron internetowych
- zefirnet
