Hatalarla dolu operasyonel teknoloji cihazlarının keşfinde "tasarım gereği güvensiz" güvenlik kültürüne atıfta bulunuluyor.
Araştırmacılar, çoğu ekipmandaki yapısal tasarım kusurlarına ve on yıllardır endüstriyi rahatsız eden güvenlik ve risk yönetimine yönelik gevşek bir yaklaşıma atfedilen 56 operasyonel teknoloji (OT) satıcısının cihazlarını etkileyen 10 güvenlik açığı keşfettiler.
Honeywell, Emerson, Motorola, Siemens, JTEKT, Bentley Nevada, Phoenix Contact, Omron, Yogogawa'nın yanı sıra isimsiz bir üreticinin cihazlarında bulunan güvenlik açıkları, özellikleri ve tehdit aktörlerinin yapmasına izin verdikleri şeyler açısından farklılık gösterir. Forescout'un Vedere Laboratuarlarından yapılan araştırmaya göre.
Bununla birlikte, genel olarak "her bir güvenlik açığının etkisi, her cihazın sunduğu işlevselliğe bağlı olarak yüksektir". Bir blog yazısı Salı günü yayınlanan kusurlar hakkında.
Araştırmacılar, ürünlerin her birinde buldukları kusur türünü dört temel kategoriye ayırdılar: güvensiz mühendislik protokolleri; zayıf şifreleme veya bozuk kimlik doğrulama şemaları; güvenli olmayan ürün yazılımı güncellemeleri; veya yerel işlevsellik aracılığıyla uzaktan kod yürütme.
Tehdit aktörlerinin etkilenen bir cihazdaki kusurlardan yararlanarak gerçekleştirebilecekleri faaliyetler arasında şunlar yer alır: kodun farklı özel işlemcilerde ve bir işlemci içindeki farklı bağlamlarda yürütüldüğü uzaktan kod yürütme (RCE); bir cihazı tamamen çevrimdışı duruma getirebilen veya belirli bir işleve erişimi engelleyebilen hizmet reddi (DoS); bir saldırganın bir aygıtın önemli yönlerini değiştirmesine izin veren dosya/ürün yazılımı/yapılandırma manipülasyonu; cihaz işlevlerine erişime izin veren kimlik bilgilerinden ödün verme; Araştırmacılar, bir saldırganın hedef cihazda istenen işlevselliği başlatmasına izin veren veya kimlik doğrulama atlaması olduğunu söyledi.
Sistemik Sorun
Araştırmacıların Everest Dağı'na ve dağ cihazı üreticilerinin güvenlik açısından tırmanması gereken topluca OT:ICEFALL olarak adlandırdığı kusurların, kendi içinde kritik altyapıyı kontrol eden ağlardaki kilit cihazlarda bulunması yeterince kötü.
Ancak daha da kötüsü, araştırmacılar, güvenlik açıklarından etkilenen ürün ailelerinin yüzde 74'ünün bir tür güvenlik sertifikasına sahip olması ve bu nedenle pazara gönderilmeden önce doğrulanması nedeniyle kusurlardan kaçınılabilirdi. Ayrıca, çoğunun "derinlemesine güvenlik açığı keşfi sırasında nispeten hızlı bir şekilde" keşfedilmesi gerektiğini belirttiler.
Güvenlik ve risk yönetimi söz konusu olduğunda, güvenlik ve risk yönetimi söz konusu olduğunda, endüstrinin bir bütün olarak sürekli ve cansız bir çaba gösterdiğini, araştırmacıların soruna ışık tutarak değiştirmeyi umduklarını söylediler.
Araştırmacılar, gönderide, "Bu sorunlar, güvenlik sertifikalı ürünlerdeki kalıcı, güvenli olmayan tasarım uygulamalarından, onlardan uzaklaşma girişimlerine kadar uzanıyor" dedi. "[Araştırmamızın] amacı, bu sistemlerin opak ve tescilli doğasının, onları çevreleyen optimal olmayan güvenlik açığı yönetiminin ve sertifikaların sunduğu çoğu zaman yanlış güvenlik duygusunun OT risk yönetimi çabalarını nasıl önemli ölçüde karmaşık hale getirdiğini göstermektir."
Güvenlik Paradoksu
Gerçekten de güvenlik uzmanları, kritik altyapı çalıştıran sistemleri üreten bir alandaki satıcıların gevşek güvenlik stratejisi paradoksuna da dikkat çekti. saldırılar sadece ürünlerin bulunduğu ağlar için değil, genel olarak dünya için felaket olabilir.
“En hayati ve hassas görevlerden bazılarını gerçekleştiren endüstriyel kontrol ve operasyonel teknoloji cihazlarının yanlış olduğu varsayılabilir. kritik altyapı ortamlar, dünyadaki en yüksek güvenlikli sistemler arasında olacaktır, ancak gerçek genellikle tam tersidir," dedi Cerberus Sentinel çözüm mimarisi başkan yardımcısı Chris Clements, Threatpost'a gönderdiği bir e-postada.
Gerçekten de, araştırmanın kanıtladığı gibi, "bu rollerdeki çok fazla cihaz, saldırganların cihazların tam kontrolünü ele geçirmek için yenmesi veya atlaması için korkutucu derecede kolay güvenlik kontrollerine sahip" dedi.
Clements, araştırmacıların bulgularının, OT endüstrisinin, satıcıların her şeyden önce güvenliği en temel üretim düzeyine entegre ederek ele alması gereken “uzun süredir gecikmiş bir siber güvenlik muhasebesi yaşadığının” bir başka işareti olduğunu gözlemledi.
"Hassas operasyonel teknoloji cihazlarının üreticileri, tasarım sürecinin en başında başlayan ancak nihai üründe ortaya çıkan uygulamayı doğrulamaya kadar devam eden bir siber güvenlik kültürünü benimsemelidir" dedi.
Risk Yönetiminin Zorlukları
Araştırmacılar, OT cihazlarında güvenlik tasarımı ve risk yönetimi ile ilgili üreticilerin hızlı bir şekilde çözüm bulmasını önerdikleri doğal sorunların bazı nedenlerini özetledi.
Biri, cihazlar arasında işlevsellik açısından tekdüzelik eksikliğidir; bu, doğal güvenlik eksikliklerinin de geniş ölçüde değiştiği ve sorun gidermeyi karmaşık hale getirdiği anlamına gelir. Örneğin, yerel işlevsellik (mantıksal indirmeler, donanım yazılımı güncellemeleri ve bellek okuma/yazma işlemleri) aracılığıyla seviye 1 cihazlarda RCE kazanmanın üç ana yolunu araştıran araştırmacılar, bireysel teknolojinin bu yolları farklı şekilde ele aldığını buldular.
Analiz edilen sistemlerin hiçbiri mantık imzalamayı desteklemiyor ve yüzde 50'den fazlası mantığını yerel makine koduna göre derledi. Ayrıca, sistemlerin yüzde 62'si Ethernet üzerinden bellenim indirmelerini kabul ederken, yalnızca yüzde 51'inde bu işlevsellik için kimlik doğrulaması var.
Bu arada, araştırmacılar, bazen cihazın doğal güvenliğinin doğrudan üreticinin hatası değil, tedarik zincirindeki "tasarım gereği güvensiz" bileşenlerin hatası olduğunu ve bunun da üreticilerin riski yönetme şeklini daha da karmaşık hale getirdiğini buldu.
"OT tedarik zinciri bileşenlerindeki güvenlik açıkları, etkilenen her üretici tarafından rapor edilmeme eğiliminde ve bu da risk yönetiminin zorluklarına katkıda bulunuyor" dedi.
Önümüzdeki Uzun Yol
Gerçekten de, OT ve BT cihazlarında ve sistemlerinde benzer şekilde risk yönetimini yönetmek, "ortak bir risk dili" gerektirir, bu da satıcılar ve bir sektördeki güvenlik ve üretim stratejileri arasındaki bu kadar çok tutarsızlıkla elde edilmesi zor bir şeydir, diyor CEO'su Nick Sanna risk merceği.
Bunu düzeltmek için, satıcılara, risk yöneticilerinin ve tesis operatörlerinin, "güvenlik açıklarına yanıt verme - yamalama, kontrol ekleme, sigortayı artırma - tümü için açık bir hasara maruz kalma anlayışına dayalı olarak karar vermeye öncelik vermelerini sağlayabilecek finansal terimlerle riski ölçmelerini önerdi. hem BT hem de operasyonel varlıklar.”
Ancak Forescout araştırmacılarına göre, satıcılar OT:ICEFALL senaryosunu oluşturan temel zorlukları ele almaya başlasalar bile, güvenlik sorununu kapsamlı bir şekilde azaltmak için önlerinde çok uzun bir yol var.
"OT:ICEFALL'a karşı tam koruma, satıcıların cihaz bellenimindeki ve desteklenen protokollerdeki değişikliklerle bu temel sorunları ele almalarını ve varlık sahiplerinin değişiklikleri (yamaları) kendi ağlarında uygulamalarını gerektirir" diye yazdılar. "Gerçekçi olarak, bu süreç çok uzun zaman alacak."
- blockchain
- zeka
- cryptocurrency cüzdanlar
- kripto değişimi
- siber güvenlik
- siber suçluların
- Siber güvenlik
- iç güvenlik bakanlığı
- dijital cüzdanlar
- güvenlik duvarı
- Kaspersky
- kötü amaçlı yazılım
- Mcafee
- NexBLOC
- Platon
- plato yapay zekası
- Plato Veri Zekası
- Plato Oyunu
- PlatoVeri
- plato oyunu
- VPN
- güvenlik açıkları
- web sitesi güvenliği
- zefirnet
