Beyond the Factory: Miksi operatiivisen teknologian riski on kaikkialla
Sisällysluettelo:
Kun raportti paljasti 56 uutta haavoittuvuutta 10 operatiivisen teknologian (OT) myyjän tuotteessa viime vuonna. Asiantuntijat pitivät sitä alan herätyksenä. Tutkimus nosti esiin endeemisen OT-laitteiden ongelman: tarpeen luoda enemmän perusturvallisuuden parhaita käytäntöjä. Se, että kolmella neljäsosalla haavoittuvuuksia sisältävistä tuotteista oli voimassa olevat turvallisuussertifikaatit, pitäisi aiheuttaa IT-/OT-johtajien hermostuneisuutta.
Lopputulos on, että raportissa korostetut ongelmat ovat niin syvällisiä, että niitä ei todennäköisesti ratkaista koko alan osalta lähiaikoina. Tämä asettaa yrityksen tietoturvaohjelmille taakan varmistaa, että OT-riskiä hallitaan samalla huomiolla yksityiskohtiin kuin IT:n.
Mitä ja miksi OT
IT-järjestelmät hallitsevat tietoa ja sovelluksia, kun taas OT kattaa laitteistot ja ohjelmistot, joita käytetään fyysisen maailman valvontaan ja hallintaan. Se voi olla mitä tahansa pankkiautomaatista teolliseen ohjausjärjestelmään (ICS), tehdasrobotista ohjelmoitavaan logiikkaohjaimeen (PLC). Tekniikka löytyy mitä ilmeisimmin tehtaan lattialta. Mutta se kattaa valtavan valikoiman toimialoja valmistuksen lisäksi, mukaan lukien terveydenhuolto, öljy ja kaasu, yleishyödylliset palvelut ja kuljetus.
Historiallisesti OT-järjestelmät eivät olleet yhteydessä Internetiin, ja laitteet olivat yleensä tarkoitukseen rakennettuja, ja niissä käytettiin erikoisohjelmistoja. Tämä tarkoitti, että turvallisuutta käsiteltiin jälkikäteen. Useimmissa laitteissa on kuitenkin nykyään yhteys, joten etähyökkääjät voivat tutkia sen haavoittuvuuksia. Samaan aikaan se käyttää usein Windowsia tai muita kaupallisia ohjelmistoja. Se tekee siitä houkuttelevan kohteen.
Koska OT hallitsee fyysisiä prosesseja, tietoturvaloukkaukset voivat antaa hyökkääjille mahdollisuuden sabotoida tai keskeyttää kriittisiä toimintoja. Haavoittuvia päätepisteitä voidaan jopa käyttää ponnahduslautana IT-verkkoihin arkaluontoisten tietojen varkauksissa. Yksi 2022 raportti väittää, että 83 % organisaatioista kärsi OT-rikkomuksesta viimeisten 36 kuukauden aikana. Mainitsemien lukujen mukaan McKinseyVakavien hyökkäysten kustannukset tapausta kohden voivat olla jopa 140 miljoonaa dollaria. Se ei ole vain taloudellista riskiä organisaatioiden on otettava huomioon. OT:tä säätelee myös NIS 2 -direktiivi ja sitä vastaava Yhdistyneessä kuningaskunnassa.
Mitkä ovat riskit?
OT:n erikoisuus tarkoittaa, että järjestelmät ovat alttiina tietyille kyberriskeille, jotka eivät välttämättä koske IT-ympäristöjä. Ne sisältävät:
- Vanhojen, turvattomien tietoliikenneprotokollien käyttö
- Myyjät, jotka eivät kiinnitä tarpeeksi huomiota haavoittuvuuksien hallintaan
- Laitteiston elinkaaret yli 10 vuotta, mikä tarkoittaa, että järjestelmänvalvojat pakotetaan käyttämään vanhentuneita käyttöjärjestelmiä/ohjelmistoja
- Korjaushaasteet, koska laitteita ei useinkaan voi ottaa offline-tilaan testaamaan päivityksiä (vaikka ne olisivat saatavilla)
- Laitteet, jotka ovat liian vanhoja nykyaikaisten tietoturvaratkaisujen käyttöönottamiseksi
- Turvasertifikaatit, jotka eivät tunnista vakavia vikoja, mikä antaa järjestelmänvalvojille väärän turvallisuuden tunteen
- Suunniteltuihin tietoturvaongelmiin, joista ei ilmoiteta/määrättyjä CVE:itä, eli ne lentävät tutkan alla
- Siled IT/OT-tiimit, jotka voivat luoda aukkoja näkyvyyteen, suojaukseen ja havaitsemiseen
- Epäturvalliset salasanat ja virheelliset määritykset (vaikka tämä on yleistä myös IT-ympäristöissä)
Teknisestä näkökulmasta katsottuna Forescout-raportti aiemmin siteerattu korostaa useita haavoittuvuuksia monissa OT-tuotteissa:
- Epäturvalliset suunnitteluprotokollat
- Heikko salaus tai rikkinäiset todennusjärjestelmät
- Epäturvalliset laiteohjelmistopäivitykset
- Etäkoodin suoritus (RCE) alkuperäisen toiminnon kautta
Kuinka vähentää OT-järjestelmien riskejä
IT-turvallisuuden kannalta syvällinen puolustus on paras tapa vähentää OT-kyberriskiä. Carlos Buenanon, Armisin operatiivisen teknologian (OT) pääratkaisuarkkitehti, mukaan se alkaa OT-resurssien näkyvyydestä ja sitten nopeasta korjauksesta.
"Koska on hyvin yleistä, että OT-ympäristöissä on haavoittuvia resursseja, organisaatioiden on luotava kattava omaisuusluettelo verkostostaan ja heillä on oltava lisätietoa siitä, mitä nämä omaisuuserät ovat ja mitä ne todella tekevät", hän kertoo ISMS.online-sivustolle. "Kontekstitietojen avulla tiimit voivat määrittää, millaisen riskin kukin laite aiheuttaa OT-ympäristölle ja arvioida niiden liiketoimintavaikutuksia, jotta he voivat priorisoida kriittisten ja/tai aseistettujen haavoittuvuuksien korjaamisen hyökkäyspinnan pienentämiseksi nopeasti."
Tässä on nopea tarkistuslista organisaatioille:
Omaisuuden löytäminen/hallinta: Et voi suojella sitä, mitä et näe. Joten ymmärrä OT:n koko laajuus yrityksessä.
Nopea korjaus ja jatkuva tarkistus: OT-resursseja tulee etsiä jatkuvasti haavoittuvuuksien varalta, kun ne havaitaan. Ja riskiin perustuva korjausohjelma varmistaa, että CVE:t priorisoidaan tehokkaasti. Harkitse ei-kriittisen testausympäristön rakentamista korjaustiedostoille. Ja jos tiettyä omaisuutta ei voida korjata, harkitse vaihtoehtoja, kuten virtuaalinen korjaus, verkon segmentointi, SIEM ja eheyden valvonta.
Henkilöllisyyden ja pääsyn hallinta: Ota käyttöön roolipohjaiset käyttöoikeudet, noudata vähiten etuoikeuksien periaatetta ja tue monitekijätodennusta (MFA).
segmentointi: Erottele yritys OT-verkoista ja segmentoi OT-verkot haittaohjelmien leviämisen estämiseksi.
Uhkien ehkäisy: Ota käyttöön hallintatyökaluja, kuten tunkeutumisen havaitseminen (IDS), AV-ohjelmisto ja tiedostojen eheyden tarkistustyökalut haittaohjelmien estämiseksi ja havaitsemiseksi.
Salaus ja varmuuskopiointi: Suojaa OT-tiedot levossa ja kuljetuksen aikana ja hanki varmuuskopioita lunnasohjelmien vaikutuksen vähentämiseksi.
IT-OT-siilojen purkaminen
Kun OT ja IT-järjestelmät lähentyvät monissa organisaatioissa, uhat, jotka kerran rajoittuvat IT:hen, kuten etäkompromissit, yleistyvät teollisuusjärjestelmissä. Siksi tällaisten uhkien ehkäiseminen, havaitseminen ja niihin vastaaminen vaatii enemmän vuorovaikutusta IT- ja OT-tiimien välillä. OT-tiimit voivat oppia paljon IT:n vuosien aikana keräämästä kokemuksista turvavalvonta, ja molemmilla on toiminnan jatkuvuus.
"Yhdessä työskentelemällä IT- ja OT-tiimit voivat tunnistaa ja lieventää kyberturvallisuusriskejä, jotka vaikuttavat sekä IT- että OT-ympäristöihin, ja näin suojella organisaatiota kyberhyökkäyksiltä", Trend Micro UK & Irelandin tekninen johtaja Bharat Mistry kertoo ISMS.online-sivustolle. "Lisäksi tiimien välinen yhteistyö parantaa tietoturvatoimintojen tiimien tehokkuutta ja auttaa viime kädessä alentamaan kustannuksia."
Vaatimustenmukaisuuden näkökulmasta tämä voi edellyttää, että organisaatio ylittää ISO 27001 -standardin rajat ja etsii täydentäviä sertifikaatteja OT-alueella.
"Näemme puitteet kuten ISO 27001 käytetään yritysten IT:ssä ja räätälöityjä tai räätälöityjä puitteita, kuten IEC 62443 for OT”, Mistry selittää. "Paperilla näiden välillä on jonkin verran päällekkäisyyttä, mutta todellisuudessa nämä viitekehykset ovat lähtökohtia ja ne räätälöidään usein organisaation ympäristöön sopiviksi."
Loppujen lopuksi on kaikkien etujen mukaista työskennellä yhdessä, sanoo Armis's Buenano.
"Organisaatiosta katsottuna riskiin perustuvan lähestymistavan haavoittuvuuden hallintaan tulee kulkea käsi kädessä OT- ja IT-osastojen kanssa, jotka työskentelevät yhdessä auttaakseen koordinoimaan torjuntatoimia", hän päättää. "Osatojen väliset projektit auttavat virtaviivaistamaan prosessien ja resurssien hallintaa sekä parantamaan vaatimustenmukaisuutta ja tietoturvaa."
