Культура «незахищеної за проектом» безпеки згадується у відкритті операційних технологічних пристроїв із помилками.
Дослідники виявили 56 уразливостей, що впливають на пристрої від 10 постачальників операційних технологій (OT), більшість з яких вони пояснюють властивими недоліками конструкції в обладнанні та слабким підходом до безпеки та управління ризиками, які мучать галузь протягом десятиліть, вони сказали.
Уразливості, знайдені в пристроях відомих постачальників Honeywell, Emerson, Motorola, Siemens, JTEKT, Bentley Nevada, Phoenix Contact, Omron, Yogogawa, а також неназваного виробника, відрізняються за своїми характеристиками та тим, що вони дозволяють робити суб’єктам загрози, згідно з дослідженням Forescout's Vedere Labs.
Однак загалом «вплив кожної вразливості сильно залежить від функціональності, яку пропонує кожен пристрій», відповідно до блог про недоліки, опублікований у вівторок.
Дослідники розділили тип дефекту, який вони виявили в кожному з продуктів, на чотири основні категорії: незахищені інженерні протоколи; слабка криптографія або несправні схеми автентифікації; небезпечні оновлення прошивки; або віддалене виконання коду за допомогою нативної функції.
Серед дій, до яких можуть залучатися зловмисники, використовуючи недоліки на ураженому пристрої, можна віднести: віддалене виконання коду (RCE), коли код виконується в різних спеціалізованих процесорах і в різних контекстах усередині процесора; відмова в обслуговуванні (DoS), яка може повністю вивести пристрій з мережі або заблокувати доступ до певної функції; маніпулювання файлами/програмним забезпеченням/конфігурацією, що дозволяє зловмиснику змінювати важливі аспекти пристрою; компрометація облікових даних, що дозволяє отримати доступ до функцій пристрою; або обхід автентифікації, який дозволяє зловмиснику викликати бажану функціональність цільового пристрою, кажуть дослідники.
Системна проблема
Те, що недоліки, які дослідники спільно назвали OT:ICEFALL, маючи на увазі гору Еверест і виробників гірських пристроїв, які повинні піднятися з точки зору безпеки, існують у ключових пристроях у мережах, які самі по собі контролюють критичну інфраструктуру, це вже досить погано.
Однак найгірше те, що недоліків можна було б уникнути, оскільки 74 відсотки сімейств продуктів, уражених уразливістю, мають певний тип сертифікації безпеки, тому їх було перевірено перед надсиланням на ринок, виявили дослідники. Крім того, більшість із них мали бути виявлені «відносно швидко під час поглибленого виявлення вразливостей», зазначили вони.
Цей безкоштовний доступ, який постачальники OT надають уразливим продуктам, демонструє постійні мляві зусилля індустрії в цілому, коли справа доходить до безпеки та управління ризиками. Дослідники сподіваються змінити це, просвітивши проблему, за їх словами.
«Ці проблеми варіюються від постійних небезпечних практик у продуктах із сертифікацією безпеки до неадекватних спроб відмовитися від них», — пишуть дослідники в дописі. «Мета [нашого дослідження] полягає в тому, щоб проілюструвати, як непрозорий і закритий характер цих систем, неоптимальне управління вразливістю навколо них і часто помилкове відчуття безпеки, яке пропонують сертифікації, значно ускладнюють зусилля з управління ризиками OT».
Парадокс безпеки
Дійсно, спеціалісти з безпеки також відзначили парадокс слабкої стратегії безпеки постачальників у галузі, яка виробляє системи з критичною інфраструктурою, нападки на яких може бути катастрофічним не лише для мереж, у яких існують продукти, але й для світу в цілому.
«Можна помилково припустити, що пристрої промислового контролю та операційної техніки, які виконують деякі з найбільш важливих і чутливих завдань у критична інфраструктура середовища були б одними з найбільш захищених систем у світі, однак реальність часто є прямо протилежною», – зазначив Кріс Клементс, віце-президент із архітектури рішень Cerberus Sentinel, у електронному листі до Threatpost.
Дійсно, як засвідчило дослідження, «занадто багато пристроїв у цих ролях мають елементи керування безпекою, які зловмисникам надзвичайно легко перемогти або обійти, щоб отримати повний контроль над пристроями», — сказав він.
Висновки дослідників є ще одним сигналом того, що індустрія OT «переживає давно назрілий розрахунок кібербезпеки», який постачальники повинні розглянути в першу чергу шляхом інтеграції безпеки на найпростішому рівні виробництва, перш ніж продовжувати далі, зазначив Клементс.
«Виробники чутливих операційних технологічних пристроїв повинні прийняти культуру кібербезпеки, яка починається на самому початку процесу проектування, але продовжується до перевірки кінцевого продукту», — сказав він.
Проблеми управління ризиками
Дослідники окреслили деякі причини внутрішніх проблем із дизайном безпеки та управлінням ризиками в пристроях OT, які вони пропонують виробникам якнайшвидше усунути.
Одна з них полягає в відсутності одноманітності з точки зору функціональності різних пристроїв, що означає, що їх властива відсутність безпеки також сильно відрізняється і ускладнює усунення несправностей, сказали вони. Наприклад, досліджуючи три основні шляхи отримання RCE на пристроях рівня 1 через власну функціональність – завантаження логіки, оновлення мікропрограми та операції читання/запису пам’яті – дослідники виявили, що окремі технології обробляють ці шляхи по-різному.
Вони виявили, що жодна з проаналізованих систем не підтримує логічне підписання, а понад 50 відсотків скомпілювали свою логіку до рідного машинного коду. Крім того, 62 відсотки систем приймають завантаження прошивки через Ethernet, тоді як лише 51 відсоток мають аутентифікацію для цієї функції.
У той же час дослідники виявили, що інколи внутрішня безпека пристрою була не безпосередньою провиною виробника, а виною «незахищених за проектом» компонентів у ланцюжку постачання, що ще більше ускладнює те, як виробники керують ризиками, виявили дослідники.
«Про вразливі місця в компонентах ланцюга поставок OT, як правило, не повідомляють усі постраждалі виробники, що ускладнює управління ризиками», — сказали вони.
Довга дорога попереду
Дійсно, управління ризиками як у OT, так і в ІТ-пристроях і системах потребує «спільної мови ризиків», чого важко досягти через велику кількість неузгодженостей між постачальниками та їхніми стратегіями безпеки та виробництва в галузі, зазначив Нік Санна, генеральний директор компанії RiskLens.
Щоб виправити це, він запропонував постачальникам кількісно оцінити ризик у фінансовому вираженні, що може дозволити менеджерам із ризиків і операторам установок визначати пріоритетність прийняття рішень щодо «реагування на вразливості – виправлення, додавання засобів контролю, збільшення страховки – все це базується на чіткому розумінні ризику збитків для як ІТ, так і операційні активи».
Проте, навіть якщо постачальники почнуть вирішувати фундаментальні проблеми, які створили сценарій OT:ICEFALL, вони чекають дуже довгий шлях до комплексного пом’якшення проблеми безпеки, кажуть дослідники Forescout.
«Повний захист від OT:ICEFALL вимагає, щоб постачальники вирішували ці фундаментальні проблеми за допомогою змін у мікропрограмі пристрою та підтримуваних протоколах, а власники активів застосовували зміни (патчі) у своїх власних мережах», — написали вони. «Реально цей процес займе дуже багато часу».
