Культура «небезопасной по дизайну» безопасности упоминается в обнаружении пронизанных ошибками операционных технологических устройств.
По их словам, исследователи обнаружили 56 уязвимостей, затрагивающих устройства от 10 поставщиков операционных технологий (OT), большинство из которых они приписали врожденным конструктивным недостаткам оборудования и небрежному подходу к безопасности и управлению рисками, которые преследуют отрасль на протяжении десятилетий.
Уязвимости, обнаруженные в устройствах известных поставщиков Honeywell, Emerson, Motorola, Siemens, JTEKT, Bentley Nevada, Phoenix Contact, Omron, Yogogawa, а также неназванного производителя, различаются по своим характеристикам и тому, что они позволяют злоумышленникам делать. Согласно исследованию Vedere Labs компании Forescout.
Однако в целом «воздействие каждой уязвимости сильно зависит от функций, предлагаемых каждым устройством», согласно блог о недостатках опубликовано во вторник.
Исследователи разделили типы недостатков, которые они обнаружили в каждом из продуктов, на четыре основные категории: небезопасные инженерные протоколы; слабая криптография или неработающие схемы аутентификации; небезопасные обновления прошивки; или удаленное выполнение кода с помощью встроенной функциональности.
Среди действий, которые злоумышленники могут выполнять, используя недостатки на уязвимом устройстве, включают: удаленное выполнение кода (RCE), когда код выполняется на разных специализированных процессорах и в разных контекстах внутри процессора; отказ в обслуживании (DoS), который может полностью отключить устройство или заблокировать доступ к определенной функции; манипулирование файлами/микропрограммами/конфигурацией, позволяющее злоумышленнику изменить важные аспекты устройства; компрометация учетных данных, позволяющая получить доступ к функциям устройства; или обход аутентификации, который позволяет злоумышленнику вызывать желаемую функциональность на целевом устройстве, говорят исследователи.
Системная проблема
То, что недостатки, которые исследователи коллективно назвали OT:ICEFALL в связи с горой Эверест и производителями горных устройств, которые должны подняться с точки зрения безопасности, существуют в ключевых устройствах в сетях, которые сами по себе контролируют критически важную инфраструктуру, уже достаточно плохо.
Однако хуже всего то, что недостатков можно было бы избежать, поскольку 74% семейств продуктов, затронутых уязвимостями, имеют какую-либо сертификацию безопасности и, таким образом, были проверены перед отправкой на рынок, как обнаружили исследователи. Более того, большинство из них должны были быть обнаружены «относительно быстро при углубленном обнаружении уязвимостей», отметили они.
Этот свободный доступ, который поставщики OT предоставляют уязвимым продуктам, демонстрирует постоянные вялые усилия отрасли в целом, когда дело доходит до безопасности и управления рисками, что исследователи надеются изменить, пролив свет на проблему, говорят они.
«Эти проблемы варьируются от постоянных небезопасных практик в продуктах, сертифицированных по безопасности, до некачественных попыток отойти от них», — написали исследователи в своем посте. «Цель [нашего исследования] — проиллюстрировать, как непрозрачный и проприетарный характер этих систем, неоптимальное управление уязвимостями, окружающее их, и часто ложное ощущение безопасности, предлагаемое сертификатами, значительно усложняют усилия по управлению рисками OT».
Парадокс безопасности
Действительно, специалисты по безопасности также отметили парадокс слабой стратегии безопасности поставщиков в области, которая производит системы, на которых работает критически важная инфраструктура, нападки на которых может быть катастрофическим не только для сетей, в которых существуют продукты, но и для мира в целом.
«Можно ошибочно предположить, что устройства промышленного контроля и технологии эксплуатации, выполняющие одни из самых важных и деликатных задач в критическая инфраструктура среды были бы одними из самых защищенных систем в мире, но на самом деле часто бывает прямо противоположное», — отметил Крис Клементс, вице-президент по архитектуре решений Cerberus Sentinel, в электронном письме Threatpost.
Действительно, как показало исследование, «слишком много устройств в этих ролях имеют элементы управления безопасностью, которые злоумышленникам пугающе легко обойти или обойти, чтобы получить полный контроль над устройствами», — сказал он.
Выводы исследователей являются еще одним сигналом о том, что индустрия OT «переживает давно назревшую расплату за кибербезопасность», которую поставщики должны решить в первую очередь путем интеграции безопасности на самом базовом уровне производства, прежде чем двигаться дальше, заметил Клементс.
«Производители чувствительных операционных технологических устройств должны внедрить культуру кибербезопасности, которая начинается с самого начала процесса проектирования и продолжается до проверки итоговой реализации в конечном продукте», — сказал он.
Проблемы управления рисками
Исследователи изложили некоторые причины проблем, присущих дизайну безопасности и управлению рисками в устройствах OT, которые, по их мнению, производители должны оперативно устранять.
По их словам, одним из них является отсутствие единообразия с точки зрения функциональности устройств, а это означает, что присущий им недостаток безопасности также сильно различается и усложняет устранение неполадок. Например, при изучении трех основных путей получения RCE на устройствах уровня 1 с помощью собственных функций — загрузки логики, обновлений прошивки и операций чтения/записи памяти — исследователи обнаружили, что отдельные технологии обрабатывают эти пути по-разному.
Они обнаружили, что ни одна из проанализированных систем не поддерживает логическую подпись, и более 50% скомпилировали свою логику в собственный машинный код. Более того, 62% систем принимают загрузку прошивки через Ethernet, и только 51% имеют аутентификацию для этой функции.
Между тем, иногда присущая устройству безопасность была не по вине непосредственно производителя, а по вине «небезопасных по дизайну» компонентов в цепочке поставок, что еще больше усложняет то, как производители управляют рисками, обнаружили исследователи.
«Об уязвимостях в компонентах цепочки поставок OT, как правило, не сообщает каждый затронутый производитель, что усугубляет трудности управления рисками», — сказали они.
Долгий путь вперед
Действительно, управление рисками в устройствах и системах ОТ и ИТ требует «общего языка рисков», чего трудно достичь с таким количеством несоответствий между поставщиками и их стратегиями безопасности и производства в отрасли, отметил Ник Санна, генеральный директор Рисковая линза.
Чтобы исправить это, он предложил поставщикам количественно оценивать риск в финансовом выражении, что может позволить менеджерам по управлению рисками и операторам установок расставлять приоритеты при принятии решений по «реагированию на уязвимости — исправлению, добавлению средств контроля, увеличению страховки — все это основано на четком понимании подверженности убыткам для как ИТ, так и операционные активы».
Тем не менее, даже если поставщики начнут решать фундаментальные проблемы, которые создали сценарий OT:ICEFALL, им предстоит пройти очень долгий путь, чтобы всесторонне смягчить проблему безопасности, говорят исследователи Forescout.
«Полная защита от OT:ICEFALL требует, чтобы поставщики решали эти фундаментальные проблемы с помощью изменений прошивки устройств и поддерживаемых протоколов, а владельцы активов применяли изменения (исправления) в своих собственных сетях», — написали они. «На самом деле, этот процесс займет очень много времени».
- блокчейн
- Coingenius
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- Уязвимости
- безопасности веб-сайтов
- зефирнет
