Văn hóa bảo mật 'không an toàn theo thiết kế' được trích dẫn trong việc phát hiện ra các thiết bị công nghệ hoạt động có nhiều lỗi.
Các nhà nghiên cứu đã phát hiện ra 56 lỗ hổng ảnh hưởng đến thiết bị từ 10 nhà cung cấp công nghệ vận hành (OT), hầu hết đều do lỗi thiết kế cố hữu trong thiết bị và cách tiếp cận lỏng lẻo để bảo mật và quản lý rủi ro đã gây khó khăn cho ngành trong nhiều thập kỷ, họ nói.
Các lỗ hổng bảo mật – được tìm thấy trong các thiết bị của các nhà cung cấp có uy tín như Honeywell, Emerson, Motorola, Siemens, JTEKT, Bentley Nevada, Phoenix Contact, Omron, Yogogawa cũng như một nhà sản xuất giấu tên – khác nhau về đặc điểm và những gì họ cho phép các tác nhân đe dọa thực hiện, theo nghiên cứu từ Vedere Labs của Forescout.
Tuy nhiên, về tổng thể, "tác động của mỗi lỗ hổng phụ thuộc nhiều vào chức năng mà mỗi thiết bị cung cấp", theo một bài đăng blog về những sai sót được công bố hôm thứ Ba.
Các nhà nghiên cứu đã chia loại lỗi mà họ tìm thấy trong mỗi sản phẩm thành XNUMX loại cơ bản: giao thức kỹ thuật không an toàn; mật mã yếu hoặc sơ đồ xác thực bị hỏng; cập nhật phần sụn không an toàn; hoặc thực thi mã từ xa thông qua chức năng gốc.
Trong số các hoạt động mà các tác nhân đe dọa có thể tham gia bằng cách khai thác các lỗ hổng trên một thiết bị bị ảnh hưởng bao gồm: thực thi mã từ xa (RCE), với mã được thực thi trong các bộ xử lý chuyên biệt khác nhau và các ngữ cảnh khác nhau trong một bộ xử lý; từ chối dịch vụ (DoS) có thể đưa một thiết bị hoàn toàn ngoại tuyến hoặc chặn quyền truy cập vào một chức năng nhất định; thao tác tệp / phần sụn / cấu hình cho phép kẻ tấn công thay đổi các khía cạnh quan trọng của thiết bị; thỏa hiệp thông tin xác thực cho phép truy cập vào các chức năng của thiết bị; hoặc bỏ qua xác thực cho phép kẻ tấn công gọi chức năng mong muốn trên thiết bị mục tiêu, các nhà nghiên cứu cho biết.
Vấn đề hệ thống
Rằng những lỗ hổng — mà các nhà nghiên cứu gọi chung là OT: ICEFALL khi tham chiếu đến đỉnh Everest và các nhà sản xuất thiết bị leo núi cần phải vượt qua về mặt bảo mật — tồn tại trong các thiết bị quan trọng trong mạng kiểm soát cơ sở hạ tầng quan trọng trong và ngoài bản thân nó đã đủ tệ.
Tuy nhiên, điều tồi tệ hơn là các lỗ hổng có thể tránh được, vì 74% các họ sản phẩm bị ảnh hưởng bởi các lỗ hổng này có một số loại chứng nhận bảo mật và do đó đã được xác minh trước khi đưa ra thị trường, các nhà nghiên cứu nhận thấy. Hơn nữa, hầu hết chúng lẽ ra phải được phát hiện “tương đối nhanh chóng trong quá trình khám phá lỗ hổng chuyên sâu,” họ lưu ý.
Họ cho biết, việc các nhà cung cấp OT cung cấp vé miễn phí cho các sản phẩm dễ bị tấn công thể hiện nỗ lực mờ nhạt liên tục của toàn ngành khi đề cập đến vấn đề bảo mật và quản lý rủi ro, điều mà các nhà nghiên cứu hy vọng sẽ thay đổi bằng cách làm sáng tỏ vấn đề, họ nói.
Các nhà nghiên cứu đã viết trong bài đăng: “Những vấn đề này bao gồm từ các thực tiễn không an toàn liên tục theo thiết kế trong các sản phẩm được chứng nhận bảo mật cho đến nỗ lực loại bỏ chúng,” các nhà nghiên cứu viết trong bài đăng. “Mục tiêu [nghiên cứu của chúng tôi] là minh họa bản chất không rõ ràng và độc quyền của các hệ thống này, việc quản lý lỗ hổng bảo mật dưới mức tối ưu xung quanh chúng và cảm giác an toàn thường sai lầm do các chứng chỉ cung cấp làm phức tạp đáng kể các nỗ lực quản lý rủi ro OT.”
Nghịch lý bảo mật
Thật vậy, các chuyên gia bảo mật cũng lưu ý đến nghịch lý của chiến lược bảo mật lỏng lẻo của các nhà cung cấp trong lĩnh vực sản xuất các hệ thống chạy cơ sở hạ tầng quan trọng, các cuộc tấn công mà trên đó có thể là thảm họa không chỉ đối với các mạng mà các sản phẩm tồn tại mà còn đối với toàn thế giới nói chung.
“Người ta có thể giả định không chính xác rằng các thiết bị công nghệ vận hành và điều khiển công nghiệp thực hiện một số nhiệm vụ quan trọng và nhạy cảm nhất trong cơ sở hạ tầng quan trọng Chris Clements, phó chủ tịch kiến trúc giải pháp của Cerberus Sentinel, cho biết trong một email gửi tới Threatpost.
Thật vậy, bằng chứng của nghiên cứu, “quá nhiều thiết bị trong những vai trò này có các biện pháp kiểm soát bảo mật khiến những kẻ tấn công dễ dàng đánh bại hoặc bỏ qua để kiểm soát hoàn toàn các thiết bị một cách đáng sợ,” ông nói.
Phát hiện của các nhà nghiên cứu là một tín hiệu khác cho thấy ngành công nghiệp OT “đang trải qua thời kỳ tính toán an ninh mạng quá hạn lâu dài” mà các nhà cung cấp phải giải quyết đầu tiên và quan trọng nhất bằng cách tích hợp bảo mật ở mức sản xuất cơ bản nhất trước khi tiếp tục, Clements nhận xét.
Ông nói: “Các nhà sản xuất các thiết bị công nghệ hoạt động nhạy cảm phải áp dụng văn hóa an ninh mạng bắt đầu từ giai đoạn đầu của quá trình thiết kế nhưng vẫn tiếp tục xác nhận việc triển khai kết quả trong sản phẩm cuối cùng.
Những thách thức đối với quản lý rủi ro
Các nhà nghiên cứu đã chỉ ra một số lý do cho các vấn đề cố hữu với thiết kế bảo mật và quản lý rủi ro trong các thiết bị OT mà họ đề nghị các nhà sản xuất khắc phục nhanh chóng.
Một là sự thiếu đồng nhất về chức năng giữa các thiết bị, có nghĩa là sự thiếu bảo mật vốn có của chúng cũng rất khác nhau và làm cho việc khắc phục sự cố trở nên phức tạp, họ nói. Ví dụ: khi điều tra ba con đường chính để đạt được RCE trên thiết bị cấp 1 thông qua chức năng gốc – tải xuống logic, cập nhật chương trình cơ sở và hoạt động đọc / ghi bộ nhớ — các nhà nghiên cứu nhận thấy rằng công nghệ riêng lẻ xử lý các con đường này theo cách khác nhau.
Không có hệ thống nào được phân tích hỗ trợ ký logic và hơn 50% đã biên dịch logic của chúng sang mã máy gốc, họ phát hiện ra. Hơn nữa, 62 phần trăm hệ thống chấp nhận tải xuống phần sụn qua Ethernet, trong khi chỉ 51 phần trăm có xác thực cho chức năng này.
Trong khi đó, đôi khi tính bảo mật vốn có của thiết bị không trực tiếp do lỗi của nhà sản xuất mà là do các thành phần “không an toàn theo thiết kế” trong chuỗi cung ứng, điều này càng làm phức tạp thêm cách các nhà sản xuất quản lý rủi ro, các nhà nghiên cứu nhận thấy.
Họ nói: “Các lỗ hổng trong các thành phần chuỗi cung ứng OT có xu hướng không được báo cáo bởi mọi nhà sản xuất bị ảnh hưởng, điều này góp phần gây ra những khó khăn trong quản lý rủi ro.
Đường dài phía trước
Thật vậy, việc quản lý quản lý rủi ro trong OT cũng như các thiết bị và hệ thống CNTT như nhau đòi hỏi “một ngôn ngữ chung của rủi ro”, một điều khó đạt được với rất nhiều điểm mâu thuẫn giữa các nhà cung cấp và các chiến lược sản xuất và bảo mật của họ trong một ngành, Nick Sanna, Giám đốc điều hành của rủi roỐng kính.
Để khắc phục điều này, ông đề nghị các nhà cung cấp định lượng rủi ro về mặt tài chính, điều này có thể cho phép các nhà quản lý rủi ro và vận hành nhà máy ưu tiên ra quyết định về việc “ứng phó với các lỗ hổng - vá, bổ sung kiểm soát, tăng cường bảo hiểm - tất cả đều dựa trên sự hiểu biết rõ ràng về khả năng xảy ra tổn thất đối với cả CNTT và tài sản hoạt động. ”
Tuy nhiên, ngay cả khi các nhà cung cấp bắt đầu giải quyết những thách thức cơ bản đã tạo ra kịch bản OT: ICEFALL, họ phải đối mặt với một chặng đường rất dài phía trước để giảm thiểu vấn đề bảo mật một cách toàn diện, các nhà nghiên cứu của Forescout cho biết.
“Bảo vệ hoàn toàn khỏi OT: ICEFALL yêu cầu các nhà cung cấp giải quyết các vấn đề cơ bản này bằng các thay đổi trong chương trình cơ sở thiết bị và các giao thức được hỗ trợ và chủ sở hữu nội dung áp dụng các thay đổi (bản vá) trong mạng của riêng họ”, họ viết. "Thực tế, quá trình đó sẽ mất một thời gian rất dài."
