A helyszíni fordításokhoz mesterséges intelligenciát használunk, és bár törekszünk a pontosságra, nem biztos, hogy mindig 100%-os pontosságúak. Megértését nagyra értékeljük.
Home/
Blog
/
Navigálás az ICS és az ICS kiberbiztonsági...
Navigálás az ICS és a OT hálózatok kiberbiztonsági tájképében: Meglátások és megoldások
a
OPSWAT
Ossza meg ezt a bejegyzést
Bevezetés
A kiberbiztonság folyamatosan fejlődő világában az Industrial vezérlőrendszerek (ICS) és az operatív technológiai (OT) hálózatok jelentős aggodalomra okot adó területet jelentenek. Ezek a rendszerek nemcsak az üzleti műveletek folyamatossága szempontjából létfontosságúak, hanem a nemzet kritikus infrastruktúrájának is szerves részét képezik. AzOPSWAT MetaDefender Sandbox (korábbi nevén Filescan Sandbox) csapata szorgalmasan figyelte az ICS/OT kockázatokat, és tartós és potenciálisan nagy hatású tevékenységeket figyelt meg.
A jelenlegi fenyegetettségi helyzet
A kiberbiztonsági fenyegetések legújabb mintái aggasztó támadási tendenciát mutatnak: az államilag támogatott csoportok elkezdtek specializálódni az ICS-re, mint például a Sandworm (Oroszország) és a Volt Typhoon (Kína), míg a kiberbűnözők tisztában vannak az ipari rendszerek elleni hatás súlyosságával. A biztonsági erők mindenhol felismerik ezeknek a fenyegetéseknek a fontosságát az összes iparági ágazat számára, ami közös jelentések és kampányok kiadásához vezetett, amelyek célja az ICS biztonságának megerősítése.
Fennmaradó problémák és ajánlások
A kockázatok mérséklésére az egyik régóta fennálló ajánlás a rendszer kitettségének csökkentése. A veszélyeztetett rendszerek elterjedtsége azonban továbbra is aggasztó probléma a kiberbiztonság területén. Ahogy a felderítési és kihasználási technikák egyre szélesebb körben elterjednek, úgy nő az opportunista támadások veszélye, ami lehetővé teszi, hogy a kevésbé kifinomult fenyegető szereplők hatást gyakoroljanak a kritikus rendszerekre. Egy szeptemberi jelentés riasztó tendenciára világított rá: OT/Az elmúlt három évben a kiberbiztonsági incidensek száma meghaladta az 1991 és 2000 között bejelentett incidensek számát. Ez a statisztika önmagában is kiemeli, hogy egyre nagyobb kihívásokkal kell szembenézniük azoknak, akik e környezetek biztonságáért felelősek.
Védekezés a fenyegetés ellen
Keretek és frissítések
Felismerve a speciális figyelem szükségességét, a MITRE vállalat kifejlesztett egy ICS-specifikus ATT&CK mátrixot, hogy közös nyelvet biztosítson az ágazatok közötti kommunikációhoz, és hogy az alulreprezentált ágazatok számára lehetővé tegye a leképezések felhasználását, elősegítve a kockázatokról és fenyegetésekről szóló értelmes kommunikációt. A viszonylag új változatot továbbra is aprólékosan frissítik, a legutóbbi változatot éppen a múlt hónapban adták ki.
Az IT és az OT összekapcsolódása
az OPSWAT MetaDefender Sandbox csapat, miközben lépést tart ezekkel a frissítésekkel, hangsúlyozza az IT és az OT közötti belső kapcsolatot, mivel az IT eszközök a Purdue-modell minden szintjén jelen vannak, nem csak a csúcson.
Kompromittált IT Összetett OT-hez vezet. A válaszadók túlnyomórészt olyan ICS incidensek miatt aggódnak, és tapasztaltak is ilyeneket, amelyek rosszindulatú fenyegetésekkel vagy az IT üzleti hálózatot behatoló támadókkal kapcsolatosak. Ezek a betörések gyakran lehetővé teszik az ICS/OT-környezetbe való bejutást és az oda való bejutást. Az IT rendszerek kompromittálódása, amely az OT/ICS-hálózatokba behatoló fenyegetésekhez vezet, a legmagasabb rangsorban szerepelt, amelyet a mérnöki munkaállomások és a külső távoli szolgáltatások kompromittálódása követett.
A SANS 2023 ICS/OT Cybersecurity Report (SANS 2023 ICS/ Kiberbiztonsági jelentés)
támogattaz OPSWAT
A közös nevező: Rosszindulatú fájlok
Az ICS-hez kapcsolódó kibertámadások teljes spektrumában a rosszindulatú fájlok jelenléte következetes tényező, függetlenül a behatolás vektorától - legyen az IT vagy OT-rendszerek. Itt jönnek a képbe az olyan megoldások, mint a MetaDefender Sandbox . Az ilyen eszközöket úgy tervezték, hogy a szervezet hálózatának meghatározott peremén áthaladó fájlokat vizsgálják, az optimális teljesítmény érdekében különböző kontextusokra szabva, beleértve az air-gapped környezeteket is.
AzOPSWAT Adaptive Sandbox a fenyegetésjelzők különböző készleteit kombinálja a házon belüli elemzők és más, széles körben ismert, például Yara-szabályok segítségével. Mindkét korábban említett támadás a Volt Typhoon és a Sandworm esetében nagymértékben támaszkodott a Living-Off-the-Land bináris programokra (LOLBINS), amelyekhez MetaDefender Sandbox számos indikátort implementál. A legkorábbi támadás azonban jó példát szolgáltat az indikátorok kombinációjára a minták elérhetősége miatt. Az első bejelentett hasznos teher egy base64 kódolású Powershell parancsot tartalmazó kötegelt szkript, amely többek között két érdekes indikátort indít el ebben az esetben.
1. ábra A Volt Typhoon hasznos terhelésének elemzése Report Link
A korábban bemutatott mutató eredete a szkript emuláció, ahol más releváns mutatók is megfigyelhetők. A következő képernyőkép egy másik, magasabb súlyosságú indikátort mutat, amelyet a szkript dekódolt base64 tartalma vált ki. Ezenkívül mindkét azonosított elemet megfelelően leképezték a megfelelő MITRE ATT&CK technikákkal.
2. ábra A Volt Typhoon hasznos terhelésének elemzése Report Link
Ezen kívül ugyanez a támadás Fast Reverse Proxy mintákat is tartalmazott, amelyeket annak ellenére, hogy UPX csomagolást kaptak, a MetaDefender Sandbox képes volt kicsomagolni, így számos további indikátorral lehetett azonosítani a kinyert fájlt és azonosítani a fenyegetést.
3. ábra Kicsomagolt Volt Typhoon FRP minta Report Link
ábra A Yara a kicsomagolt mintát FRP-ként azonosítja Report Link
Következtetés
Ahogyan a fenyegetettségi környezet fejlődik, úgy kell a védelmünknek is fejlődnie. OPSWAT Az ICS és a OT hálózatok biztonsága iránti elkötelezettségünk továbbra is töretlen, és a MetaDefender Sandbox csapata elkötelezett az iránt, hogy aktívan frissített megoldásokat kínáljon, amelyek megfelelnek ezeknek az új kihívásoknak. Maradjon tájékozott, maradjon felkészült és maradjon biztonságban.
