A helyszíni fordításokhoz mesterséges intelligenciát használunk, és bár törekszünk a pontosságra, nem biztos, hogy mindig 100%-os pontosságúak. Megértését nagyra értékeljük.
Home/
Blog
/
Navigálás az ICS és az ICS kiberbiztonsági...
Navigálás az ICS és a OT hálózatok kiberbiztonsági tájképében: Meglátások és megoldások
Írta:
OPSWAT
Ossza meg ezt a bejegyzést
Bevezetés
A folyamatosan változó kiberbiztonsági világban Industrial (ICS) és az operatív technológiai (OT) hálózatok jelentős aggodalomra adnak okot. Ezek a rendszerek nemcsak az üzleti tevékenységek folytonosságának szempontjából létfontosságúak, hanem egy ország kritikus infrastruktúrájának szerves részét is képezik. OPSWAT MetaDefender (korábban Filescan Sandbox néven ismert) csapata szorgalmasan figyelemmel kíséri az ICS/OT kockázatokat, és tartós, potenciálisan nagy hatással bíró tevékenységeket észlelt.
A jelenlegi fenyegetettségi helyzet
A kiberbiztonsági fenyegetések legújabb mintái aggasztó támadási tendenciát mutatnak: az államilag támogatott csoportok elkezdtek specializálódni az ICS-re, mint például a Sandworm (Oroszország) és a Volt Typhoon (Kína), míg a kiberbűnözők tisztában vannak az ipari rendszerek elleni hatás súlyosságával. A biztonsági erők mindenhol felismerik ezeknek a fenyegetéseknek a fontosságát az összes iparági ágazat számára, ami közös jelentések és kampányok kiadásához vezetett, amelyek célja az ICS biztonságának megerősítése.
Fennmaradó problémák és ajánlások
A kockázatok mérséklésére az egyik régóta fennálló ajánlás a rendszer kitettségének csökkentése. A veszélyeztetett rendszerek elterjedtsége azonban továbbra is aggasztó probléma a kiberbiztonság területén. Ahogy a felderítési és kihasználási technikák egyre szélesebb körben elterjednek, úgy nő az opportunista támadások veszélye, ami lehetővé teszi, hogy a kevésbé kifinomult fenyegető szereplők hatást gyakoroljanak a kritikus rendszerekre. Egy szeptemberi jelentés riasztó tendenciára világított rá: OT/Az elmúlt három évben a kiberbiztonsági incidensek száma meghaladta az 1991 és 2000 között bejelentett incidensek számát. Ez a statisztika önmagában is kiemeli, hogy egyre nagyobb kihívásokkal kell szembenézniük azoknak, akik e környezetek biztonságáért felelősek.
Védekezés a fenyegetés ellen
Keretek és frissítések
Felismerve a speciális figyelem szükségességét, a MITRE vállalat kifejlesztett egy ICS-specifikus ATT&CK mátrixot, hogy közös nyelvet biztosítson az ágazatok közötti kommunikációhoz, és hogy az alulreprezentált ágazatok számára lehetővé tegye a leképezések felhasználását, elősegítve a kockázatokról és fenyegetésekről szóló értelmes kommunikációt. A viszonylag új változatot továbbra is aprólékosan frissítik, a legutóbbi változatot éppen a múlt hónapban adták ki.
Az IT és az OT összekapcsolódása
Az OPSWAT MetaDefender csapata, miközben lépést tart ezekkel a frissítésekkel, kiemeli az IT és az OT közötti szerves kapcsolatot, mivel az IT-eszközök a Purdue-modell minden szintjén jelen vannak, és nem csupán a legfelső szinten.
Kompromittált IT Összetett OT-hez vezet. A válaszadók túlnyomórészt olyan ICS incidensek miatt aggódnak, és tapasztaltak is ilyeneket, amelyek rosszindulatú fenyegetésekkel vagy az IT üzleti hálózatot behatoló támadókkal kapcsolatosak. Ezek a betörések gyakran lehetővé teszik az ICS/OT-környezetbe való bejutást és az oda való bejutást. Az IT rendszerek kompromittálódása, amely az OT/ICS-hálózatokba behatoló fenyegetésekhez vezet, a legmagasabb rangsorban szerepelt, amelyet a mérnöki munkaállomások és a külső távoli szolgáltatások kompromittálódása követett.
A SANS 2023 ICS/OT Cybersecurity Report (SANS 2023 ICS/ Kiberbiztonsági jelentés)
támogattaz OPSWAT
A közös nevező: Rosszindulatú fájlok
Az ICS-hez kapcsolódó kibertámadások teljes spektrumában a rosszindulatú fájlok jelenléte állandó tényező, függetlenül a behatolási vektortól – legyen szó akár IT-, akár OT-rendszerekről. Éppen itt jönnek képbe az olyan megoldások, mint a MetaDefender . Az ilyen eszközöket arra tervezték, hogy alaposan átvizsgálják a szervezet hálózatának meghatározott határain áthaladó fájlokat, és az optimális teljesítmény érdekében különböző környezetekhez igazodnak, beleértve az air-gapped környezetet is.
OPSWAT Adaptive Sandbox saját fejlesztésű elemzőket és más, széles körben elterjedt eszközöket – például a Yara-szabályokat – használva ötvözi a különböző fenyegetésjelző-készleteket. A korábban említett, a Volt Typhoon és a Sandworm támadások mindegyike nagymértékben támaszkodott a „Living-Off-the-Land” bináris fájlokra (LOLBINS), amelyekre vonatkozóan MetaDefender számos jelzőt implementál. A legkorábbi támadás azonban – a rendelkezésre álló mintáknak köszönhetően – jó példát nyújt a jelzők kombinált használatára. Az első jelentett hasznos teher egy batch szkript, amely egy base64-kódolt Powershell parancsot tartalmaz, amely többek között két érdekes indikátort vált ki ebben az esetben.
1. ábra A Volt Typhoon hasznos terhelésének elemzése Report Link
A korábban bemutatott mutató eredete a szkript emuláció, ahol más releváns mutatók is megfigyelhetők. A következő képernyőkép egy másik, magasabb súlyosságú indikátort mutat, amelyet a szkript dekódolt base64 tartalma vált ki. Ezenkívül mindkét azonosított elemet megfelelően leképezték a megfelelő MITRE ATT&CK technikákkal.
2. ábra A Volt Typhoon hasznos terhelésének elemzése Report Link
Ezen felül ez a támadás olyan Fast Reverse Proxy-minták felhasználásával történt, amelyeket MetaDefender – annak ellenére, hogy UPX-tömörítéssel voltak ellátva – sikeresen kicsomagolt, így a kibontott fájlban több további jelző is egyezett, ami lehetővé tette a fenyegetés azonosítását.
3. ábra Kicsomagolt Volt Typhoon FRP minta Report Link
ábra A Yara a kicsomagolt mintát FRP-ként azonosítja Report Link
Következtetés
Ahogy a fenyegetések világa változik, úgy kell változnia védelmi rendszerünknek is. OPSWAT továbbra is elkötelezett az ICS- és OT-hálózatok biztonsága iránt, a MetaDefender csapata pedig elkötelezett amellett, hogy folyamatosan frissített megoldásokat nyújtson az új kihívások kezelésére. Legyenek naprakészek, legyenek felkészültek, és vigyázzanak a biztonságukra!
