วัฒนธรรมของการรักษาความปลอดภัย 'ไม่ปลอดภัยโดยการออกแบบ' ถูกอ้างถึงในการค้นพบอุปกรณ์เทคโนโลยีการดำเนินงานที่มีข้อบกพร่อง
นักวิจัยค้นพบช่องโหว่ 56 รายการที่ส่งผลกระทบต่ออุปกรณ์จากผู้จำหน่ายเทคโนโลยีปฏิบัติการ (OT) 10 ราย ซึ่งส่วนใหญ่เกิดจากข้อบกพร่องในการออกแบบอุปกรณ์และวิธีการที่หละหลวมในการรักษาความปลอดภัยและการจัดการความเสี่ยงที่สร้างปัญหาให้กับอุตสาหกรรมมานานหลายทศวรรษ
ช่องโหว่ที่พบในอุปกรณ์โดยผู้ค้าที่มีชื่อเสียงอย่าง Honeywell, Emerson, Motorola, Siemens, JTEKT, Bentley Nevada, Phoenix Contact, Omron, Yogogawa รวมถึงผู้ผลิตที่ไม่ระบุชื่อ จะแตกต่างกันไปตามลักษณะและสิ่งที่พวกเขาอนุญาตให้ผู้คุกคามทำ จากการวิจัยของ Vedere Labs ของ Forescout
อย่างไรก็ตาม โดยรวมแล้ว “ผลกระทบของช่องโหว่แต่ละรายการนั้นสูงขึ้นอยู่กับฟังก์ชันการทำงานที่อุปกรณ์แต่ละเครื่องนำเสนอ” อ้างอิงจาก โพสต์บล็อก เกี่ยวกับข้อบกพร่องที่เผยแพร่เมื่อวันอังคาร
นักวิจัยแบ่งประเภทของข้อบกพร่องที่พบในแต่ละผลิตภัณฑ์ออกเป็นสี่ประเภทพื้นฐาน: โปรโตคอลทางวิศวกรรมที่ไม่ปลอดภัย การเข้ารหัสที่อ่อนแอหรือรูปแบบการรับรองความถูกต้องที่ไม่สมบูรณ์ การอัปเดตเฟิร์มแวร์ที่ไม่ปลอดภัย หรือการเรียกใช้โค้ดจากระยะไกลผ่านฟังก์ชันการทำงานแบบเนทีฟ
กิจกรรมที่ผู้คุกคามสามารถมีส่วนร่วมได้โดยการใช้ประโยชน์จากจุดบกพร่องบนอุปกรณ์ที่ได้รับผลกระทบ ได้แก่ การเรียกใช้โค้ดจากระยะไกล (RCE) โดยมีโค้ดที่รันในโปรเซสเซอร์เฉพาะทางที่แตกต่างกันและบริบทที่แตกต่างกันภายในโปรเซสเซอร์ การปฏิเสธบริการ (DoS) ที่สามารถทำให้อุปกรณ์ออฟไลน์โดยสมบูรณ์หรือบล็อกการเข้าถึงฟังก์ชันบางอย่าง การจัดการไฟล์/เฟิร์มแวร์/การกำหนดค่าที่ช่วยให้ผู้โจมตีเปลี่ยนแปลงส่วนสำคัญของอุปกรณ์ได้ การประนีประนอมข้อมูลประจำตัวทำให้สามารถเข้าถึงฟังก์ชันของอุปกรณ์ได้ หรือการบายพาสการตรวจสอบสิทธิ์ที่ช่วยให้ผู้โจมตีสามารถเรียกใช้ฟังก์ชันที่ต้องการบนอุปกรณ์เป้าหมายได้ นักวิจัยกล่าว
ปัญหาทางระบบ
ข้อบกพร่อง ซึ่งนักวิจัยเรียกรวมกันว่า OT:ICEFALL โดยอ้างอิงถึง Mount Everest และผู้ผลิตอุปกรณ์บนภูเขาจำเป็นต้องปีนขึ้นไปในแง่ของความปลอดภัย ซึ่งมีอยู่ในอุปกรณ์หลักในเครือข่ายที่ควบคุมโครงสร้างพื้นฐานที่สำคัญในตัวมันเองนั้นไม่ดีพอ
อย่างไรก็ตาม ที่แย่กว่านั้นคือสามารถหลีกเลี่ยงข้อบกพร่องได้ เนื่องจาก 74% ของตระกูลผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่ดังกล่าวมีใบรับรองความปลอดภัยบางประเภท และได้รับการตรวจสอบก่อนที่จะส่งไปยังตลาด นอกจากนี้ ส่วนใหญ่ควรถูกค้นพบ “ค่อนข้างเร็วระหว่างการค้นพบช่องโหว่ในเชิงลึก” พวกเขาตั้งข้อสังเกต
ผู้ค้า OT แบบผ่านฟรีรายนี้ได้มอบผลิตภัณฑ์ที่มีช่องโหว่ แสดงให้เห็นถึงความพยายามที่ขาดความดแจ่มใสอย่างไม่หยุดยั้งของอุตสาหกรรมโดยรวม เมื่อพูดถึงการรักษาความปลอดภัยและการจัดการความเสี่ยง ซึ่งเป็นสิ่งที่นักวิจัยหวังว่าจะเปลี่ยนแปลงโดยให้ความกระจ่างเกี่ยวกับปัญหา พวกเขากล่าว
“ปัญหาเหล่านี้มีตั้งแต่การออกแบบที่ไม่ปลอดภัยโดยการออกแบบอย่างต่อเนื่องในผลิตภัณฑ์ที่ได้รับการรับรองความปลอดภัย ไปจนถึงความพยายามที่ต่ำกว่ามาตรฐานที่จะย้ายออกจากสิ่งเหล่านี้” นักวิจัยเขียนไว้ในโพสต์ “เป้าหมาย [ของการวิจัยของเรา] คือการแสดงให้เห็นว่าลักษณะทึบและเป็นกรรมสิทธิ์ของระบบเหล่านี้ การจัดการช่องโหว่ที่ไม่เหมาะสมที่อยู่รอบๆ ตัวพวกเขา และความรู้สึกด้านความปลอดภัยที่ผิดพลาดบ่อยครั้งที่เสนอโดยการรับรองนั้นทำให้ความพยายามในการบริหารความเสี่ยง OT ซับซ้อนขึ้นอย่างมาก”
ความขัดแย้งด้านความปลอดภัย
อันที่จริง ผู้เชี่ยวชาญด้านความปลอดภัยยังตั้งข้อสังเกตถึงความขัดแย้งของกลยุทธ์การรักษาความปลอดภัยที่หละหลวมของผู้ขายในด้านที่สร้างระบบที่ใช้โครงสร้างพื้นฐานที่สำคัญ การโจมตี ซึ่งอาจเป็นหายนะไม่เพียงสำหรับเครือข่ายที่มีผลิตภัณฑ์อยู่ แต่สำหรับโลกโดยรวม
“อาจมีคนเข้าใจผิดคิดว่าอุปกรณ์ควบคุมอุตสาหกรรมและเทคโนโลยีการดำเนินงานที่ทำงานที่สำคัญและละเอียดอ่อนบางอย่างใน โครงสร้างพื้นฐานที่สำคัญ สภาพแวดล้อมจะเป็นหนึ่งในระบบที่มีความปลอดภัยสูงที่สุดในโลก แต่ความเป็นจริงมักจะตรงกันข้าม" Chris Clements รองประธานฝ่ายสถาปัตยกรรมโซลูชันของ Cerberus Sentinel กล่าวในอีเมลถึง Threatpost
ตามหลักฐานจากการวิจัยพบว่า "อุปกรณ์จำนวนมากเกินไปในบทบาทเหล่านี้มีการควบคุมความปลอดภัยที่ง่ายอย่างน่ากลัวสำหรับผู้โจมตีที่จะเอาชนะหรือเลี่ยงผ่านเพื่อควบคุมอุปกรณ์ทั้งหมด" เขากล่าว
ผลการวิจัยของนักวิจัยเป็นอีกหนึ่งสัญญาณว่าอุตสาหกรรม OT "กำลังประสบกับการคำนวณความปลอดภัยทางไซเบอร์ที่ค้างชำระเป็นเวลานาน" ที่ผู้ขายต้องจัดการก่อนและสำคัญที่สุดโดยการรวมการรักษาความปลอดภัยที่ระดับพื้นฐานที่สุดของการผลิตก่อนที่จะดำเนินการต่อไป Clements ตั้งข้อสังเกต
“ผู้ผลิตอุปกรณ์เทคโนโลยีปฏิบัติการที่มีความละเอียดอ่อนจะต้องนำวัฒนธรรมการรักษาความปลอดภัยทางไซเบอร์ที่เริ่มต้นตั้งแต่เริ่มต้นกระบวนการออกแบบ แต่ยังคงดำเนินต่อไปเพื่อตรวจสอบการใช้งานที่เกิดขึ้นในผลิตภัณฑ์ขั้นสุดท้าย” เขากล่าว
ความท้าทายในการบริหารความเสี่ยง
นักวิจัยสรุปเหตุผลบางประการสำหรับปัญหาโดยธรรมชาติของการออกแบบความปลอดภัยและการจัดการความเสี่ยงในอุปกรณ์ OT ซึ่งพวกเขาแนะนำให้ผู้ผลิตแก้ไขอย่างรวดเร็ว
หนึ่งในนั้นคือการขาดความสม่ำเสมอในแง่ของการทำงานข้ามอุปกรณ์ ซึ่งหมายความว่าการขาดความปลอดภัยโดยธรรมชาติยังแตกต่างกันอย่างมากและทำให้การแก้ไขปัญหาซับซ้อน ตัวอย่างเช่น ในการตรวจสอบเส้นทางหลักสามวิธีในการรับ RCE บนอุปกรณ์ระดับ 1 ผ่านฟังก์ชันการทำงานดั้งเดิม เช่น การดาวน์โหลดลอจิก การอัปเดตเฟิร์มแวร์ และการดำเนินการอ่าน/เขียนหน่วยความจำ นักวิจัยพบว่าแต่ละเทคโนโลยีจัดการเส้นทางเหล่านี้ต่างกัน
ไม่มีระบบใดวิเคราะห์การเซ็นชื่อลอจิกสนับสนุน และมากกว่า 50 เปอร์เซ็นต์รวบรวมตรรกะของตนไปยังโค้ดเครื่องเนทีฟ พวกเขาพบว่า นอกจากนี้ 62 เปอร์เซ็นต์ของระบบยอมรับการดาวน์โหลดเฟิร์มแวร์ผ่านอีเทอร์เน็ต ขณะที่เพียง 51 เปอร์เซ็นต์เท่านั้นที่มีการตรวจสอบสิทธิ์สำหรับฟังก์ชันนี้
ในขณะเดียวกัน บางครั้งการรักษาความปลอดภัยโดยธรรมชาติของอุปกรณ์ไม่ใช่ความผิดของผู้ผลิตโดยตรง แต่เป็นความผิดพลาดของส่วนประกอบ "ที่ไม่ปลอดภัยโดยการออกแบบ" ในห่วงโซ่อุปทาน ซึ่งทำให้วิธีการจัดการความเสี่ยงของผู้ผลิตซับซ้อนยิ่งขึ้น
“ช่องโหว่ในส่วนประกอบของห่วงโซ่อุปทาน OT มักจะไม่ถูกรายงานโดยผู้ผลิตทุกรายที่ได้รับผลกระทบ ซึ่งทำให้เกิดปัญหาในการจัดการความเสี่ยง” พวกเขากล่าว
ถนนหน้ายาว
อันที่จริง การจัดการความเสี่ยงในอุปกรณ์ OT และ IT และระบบต่างๆ นั้นต้องการ “ภาษาทั่วไปของความเสี่ยง” ซึ่งเป็นเรื่องยากที่จะบรรลุได้ด้วยความไม่สอดคล้องกันมากมายจากผู้ขาย และกลยุทธ์ด้านความปลอดภัยและการผลิตในอุตสาหกรรม นิค ซานนา ซีอีโอของ เลนส์ความเสี่ยง.
เพื่อแก้ไขปัญหานี้ เขาแนะนำให้ผู้ค้าวัดปริมาณความเสี่ยงในแง่การเงิน ซึ่งสามารถช่วยให้ผู้จัดการความเสี่ยงและผู้ปฏิบัติงานในโรงงานจัดลำดับความสำคัญของการตัดสินใจใน "การตอบสนองต่อช่องโหว่ - การแก้ไข เพิ่มการควบคุม เพิ่มการประกัน - ทั้งหมดขึ้นอยู่กับความเข้าใจที่ชัดเจนของความเสี่ยงสำหรับ ทั้งด้านไอทีและการดำเนินงาน”
อย่างไรก็ตาม แม้ว่าผู้ค้าจะเริ่มจัดการกับความท้าทายพื้นฐานที่สร้างสถานการณ์ OT:ICEFALL พวกเขาก็ต้องเผชิญกับหนทางยาวไกลในการแก้ไขปัญหาด้านความปลอดภัยอย่างครอบคลุม นักวิจัยของ Forescout กล่าว
“การป้องกัน OT:ICEFALL อย่างสมบูรณ์นั้นต้องการให้ผู้ค้าแก้ไขปัญหาพื้นฐานเหล่านี้ด้วยการเปลี่ยนแปลงเฟิร์มแวร์ของอุปกรณ์และโปรโตคอลที่รองรับ และเจ้าของทรัพย์สินใช้การเปลี่ยนแปลง (แพตช์) ในเครือข่ายของตนเอง” พวกเขาเขียน “ตามความเป็นจริง กระบวนการนั้นจะใช้เวลานานมาก”
- blockchain
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ช่องโหว่
- ความปลอดภัยของเว็บไซต์
- ลมทะเล
