Kultura varnosti 'nevarne po zasnovi' se omenja pri odkritju operativnih tehnoloških naprav, polnih hroščev.
Raziskovalci so odkrili 56 ranljivosti, ki so vplivale na naprave 10 prodajalcev operativne tehnologije (OT), večino pa so pripisali inherentnim konstrukcijskim napakam v opremi in ohlapnemu pristopu k varnosti in obvladovanju tveganj, ki že desetletja pestijo industrijo, so povedali.
Ranljivosti – odkrite v napravah priznanih proizvajalcev Honeywell, Emerson, Motorola, Siemens, JTEKT, Bentley Nevada, Phoenix Contact, Omron, Yogogawa ter neimenovani proizvajalec – se razlikujejo glede na njihove značilnosti in kaj omogočajo akterjem groženj, po raziskavi Forescoutovih laboratorijev Vedere.
Vendar pa je na splošno "vpliv vsake ranljivosti močno odvisen od funkcionalnosti, ki jo ponuja posamezna naprava", glede na blog post o pomanjkljivostih, objavljenih v torek.
Raziskovalci so vrsto napake, ki so jo našli v vsakem od izdelkov, razdelili v štiri osnovne kategorije: nevarni inženirski protokoli; šibka kriptografija ali pokvarjene sheme za preverjanje pristnosti; nevarne posodobitve vdelane programske opreme; ali oddaljeno izvajanje kode prek izvorne funkcionalnosti.
Med dejavnostmi, v katere se lahko vključijo akterji groženj z izkoriščanjem napak na prizadeti napravi, so: oddaljeno izvajanje kode (RCE), s kodo, ki se izvaja v različnih specializiranih procesorjih in različnih kontekstih znotraj procesorja; zavrnitev storitve (DoS), ki lahko popolnoma onemogoči napravo ali blokira dostop do določene funkcije; manipulacija datotek/vdelane programske opreme/konfiguracije, ki napadalcu omogoča spreminjanje pomembnih vidikov naprave; kompromis poverilnic, ki omogoča dostop do funkcij naprave; ali obvod za preverjanje pristnosti, ki napadalcu omogoča, da prikliče želeno funkcionalnost na ciljni napravi, so povedali raziskovalci.
Sistemski problem
Da napake – ki so jih raziskovalci skupaj poimenovali OT:LEDEPAD v zvezi z Mount Everestom in izdelovalci gorskih naprav, ki se morajo povzpeti v smislu varnosti – obstajajo v ključnih napravah v omrežjih, ki nadzorujejo kritično infrastrukturo samo po sebi, je dovolj slabo.
Še huje pa je, da bi se napakam lahko izognili, saj ima 74 odstotkov družin izdelkov, ki jih prizadenejo ranljivosti, nekakšen varnostni certifikat in so bili zato preverjeni, preden so bili poslani na trg, so ugotovili raziskovalci. Poleg tega bi morali večino od njih odkriti "razmeroma hitro med poglobljenim odkrivanjem ranljivosti," so opozorili.
Ta brezplačen dostop, ki so ga prodajalci OT dali ranljivim izdelkom, dokazuje vztrajno slabo prizadevanje industrije kot celote, ko gre za varnost in obvladovanje tveganja, kar raziskovalci upajo, da bodo spremenili z osvetlitvijo problema, so rekli.
"Te težave segajo od vztrajnih negotovih praks pri zasnovi izdelkov z varnostnim certifikatom do slabih poskusov odmika od njih," so raziskovalci zapisali v objavi. "Cilj [naše raziskave] je ponazoriti, kako nepregledna in lastniška narava teh sistemov, neoptimalno upravljanje ranljivosti, ki jih obdaja, in pogosto napačen občutek varnosti, ki ga ponujajo certifikati, znatno otežujejo prizadevanja za obvladovanje tveganja OT."
Varnostni paradoks
Pravzaprav so strokovnjaki za varnost opazili tudi paradoks ohlapne varnostne strategije prodajalcev na področju, ki proizvaja sisteme, ki poganjajo kritično infrastrukturo, napadi na katerih so lahko katastrofalni ne samo za omrežja, v katerih obstajajo izdelki, temveč za svet na splošno.
»Nekdo lahko napačno domneva, da industrijske krmilne in operativne tehnološke naprave, ki opravljajo nekatere najbolj vitalne in občutljive naloge v kritična infrastruktura okolja bi bila med najbolj varovanimi sistemi na svetu, vendar je resničnost pogosto ravno nasprotna,« je v elektronskem sporočilu za Threatpost opozoril Chris Clements, podpredsednik arhitekture rešitev za Cerberus Sentinel.
Kot je razvidno iz raziskave, ima "preveč naprav v teh vlogah varnostne kontrole, ki jih napadalci strašljivo enostavno premagajo ali zaobidejo, da prevzamejo popoln nadzor nad napravami," je dejal.
Ugotovitve raziskovalcev so še en znak, da industrija OT "doživlja dolgotrajen obračun kibernetske varnosti", ki ga morajo prodajalci obravnavati predvsem z integracijo varnosti na najosnovnejši ravni proizvodnje, preden nadaljujejo, je opazil Clements.
"Proizvajalci občutljivih operativnih tehnoloških naprav morajo sprejeti kulturo kibernetske varnosti, ki se začne na samem začetku procesa oblikovanja, vendar se nadaljuje do validacije nastale implementacije v končnem izdelku," je dejal.
Izzivi obvladovanja tveganj
Raziskovalci so orisali nekaj razlogov za inherentne težave z varnostno zasnovo in obvladovanjem tveganja v napravah OT, za katere predlagajo, da jih proizvajalci hitro odpravijo.
Eno je pomanjkanje enotnosti v smislu funkcionalnosti med napravami, kar pomeni, da se njihova inherentna pomanjkljiva varnost prav tako zelo razlikuje in otežuje odpravljanje težav, so povedali. Na primer, pri preučevanju treh glavnih poti do pridobitve RCE na napravah ravni 1 prek izvorne funkcionalnosti – prenosov logike, posodobitev vdelane programske opreme in operacij branja/pisanja v pomnilnik – so raziskovalci ugotovili, da posamezne tehnologije obravnavajo te poti drugače.
Noben od analiziranih sistemov ni podpiral logičnega podpisovanja in več kot 50 odstotkov jih je svojo logiko prevedlo v izvorno strojno kodo, so ugotovili. Poleg tega 62 odstotkov sistemov sprejema prenos vdelane programske opreme prek etherneta, medtem ko jih ima samo 51 odstotkov avtentikacijo za to funkcionalnost.
Medtem pa včasih inherentna varnost naprave ni bila neposredno krivda proizvajalca, ampak "nevarne po zasnovi" komponente v dobavni verigi, kar dodatno otežuje način, kako proizvajalci obvladujejo tveganje, so ugotovili raziskovalci.
"Ranljivosti v komponentah dobavne verige OT običajno ne poročajo vsi prizadeti proizvajalci, kar prispeva k težavam pri obvladovanju tveganja," so povedali.
Dolga pot pred nami
Upravljanje obvladovanja tveganja tako v napravah in sistemih OT kot IT zahteva »skupni jezik tveganja«, kar je težko doseči s toliko nedoslednostmi med prodajalci in njihovimi varnostnimi in proizvodnimi strategijami v industriji, je opozoril Nick Sanna, izvršni direktor podjetja RiskLens.
Da bi to odpravili, je predlagal, da prodajalci kvantificirajo tveganje v finančnem smislu, kar lahko upraviteljem tveganja in upravljavcem obratov omogoči, da dajo prednost odločanju o »odzivu na ranljivosti – popravkih, dodajanju kontrol, povečanju zavarovanja – vse na podlagi jasnega razumevanja izpostavljenosti izgube za IT in operativnih sredstev.«
Toda tudi če se prodajalci začnejo ukvarjati s temeljnimi izzivi, ki so ustvarili scenarij OT:ICEFALL, se soočajo z zelo dolgo potjo, da celovito ublažijo varnostni problem, so povedali raziskovalci Forescout.
"Popolna zaščita pred OT:ICEFALL zahteva, da prodajalci te temeljne težave obravnavajo s spremembami vdelane programske opreme naprave in podprtih protokolov ter da lastniki sredstev uporabijo spremembe (popravke) v svojih omrežjih," so zapisali. "Realno gledano bo ta proces trajal zelo dolgo."
- blockchain
- coingenius
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- Ranljivosti
- spletna varnost
- zefirnet
