Trace Id is missing

IT:n ja OT:n lähentyminen

Uusi Cyber signals -raportti Microsoftilta

Cyber Signals Issue 3: Kriittisen infrastruktuurin kyberriskit kasvussa

Esineiden internetin (IoT) ja operatiivisen tekniikan (OT) laitteiden yleisyys, haavoittuvuus ja pilviyhteydet muodostavat nopeasti kasvavan, usein hallitsemattoman riskipinnan, joka vaikuttaa yhä useampiin toimialoihin ja organisaatioihin. Nopeasti lisääntyvä IoT luo hyökkääjille entistä laajemman sisäänpääsyn ja hyökkäyspinnan. OT:n ollessa yhä enemmän yhteydessä pilvipalveluihin ja IT:n ja OT:n välisen kuilun kuroutuessa umpeen pääsy vähemmän suojattuun OT:hen avaa oven vahingollisille infrastruktuurihyökkäyksille
Microsoft havaitsi korjaamattomia, erittäin vakavia haavoittuvuuksia 75 prosentissa asiakkaiden OT-verkkojen yleisimmissä teollisuusohjaimissa.1
Katso Cyber Signalsin digitaalinen yleiskatsaus, jossa Vasu Jakkal, Microsoft Securityn CVP, haastattelee tärkeimpiä uhkatietämysasiantuntijoita IoT- ja OT-haavoittuvuuksista ja siitä, miten pysyä suojattuna.

Digitaalinen yleiskatsaus: IT:n ja OT:n lähentyminen

Hyökkääjät vaarantavat internetiin liitetyt laitteet päästäkseen käsiksi kriittisen infrastruktuurin arkaluonteisiin verkkoihin.

Viime vuoden aikana Microsoft on havainnut uhkia, jotka hyödyntävät laitteita lähes kaikissa valvotuissa ja näkyvissä organisaation osissa. Olemme havainneet näitä uhkia perinteisissä IT-laitteissa, OT-ohjaimissa ja IoT-laitteissa, kuten reitittimissä ja kameroissa. Hyökkääjien lisääntyminen näissä ympäristöissä ja verkoissa johtuu siitä, että monet organisaatiot ovat lähentyneet toisiaan ja liittyneet toisiinsa viime vuosina.

International Data Corporation (IDC) arvioi, että vuoteen 2025 mennessä yhdistettyjä IoT-laitteita on 41,6 miljardia, mikä ylittää perinteisten IT-laitteiden kasvuvauhdin. Vaikka IT-laitteiden tietoturva on vahvistunut viime vuosina, IoT- ja OT-laitteiden tietoturva ei ole pysynyt perässä, ja uhkaavat toimijat käyttävät näitä laitteita hyväkseen.

On tärkeää muistaa, että hyökkääjillä voi olla erilaisia motiiveja vaarantaa muitakin laitteita kuin tyypillisiä kannettavia tietokoneita ja älypuhelimia. Venäjän kyberhyökkäykset Ukrainaa vastaan sekä muu kansallisvaltioiden rahoittama tietoverkkorikollisuustoiminta osoittavat, että jotkin kansallisvaltiot pitävät elintärkeisiin infrastruktuureihin kohdistuvia kyberhyökkäyksiä haluttuna keinona saavuttaa sotilaallisia ja taloudellisia tavoitteita.

Seitsemänkymmentäkaksi prosenttia ohjelmistohyökkäyksistä, joita "Incontroller", jota Cybersecurity and Infrastructure Security Agency (CISA) kuvailee uudenlaiseksi joukoksi valtion tukemia, teolliseen valvontajärjestelmään (ICS) suuntautuneita kyberhyökkäystyökaluja, hyödyntää, on nyt saatavilla verkossa. Tällainen leviäminen edistää muiden toimijoiden laajempaa hyökkäystoimintaa, kun asiantuntemus ja muut pääsyn esteet vähenevät.

Kun tietoverkkorikollisuuden talous laajenee ja OT-järjestelmiin kohdistuvat haittaohjelmat yleistyvät ja niiden käyttö helpottuu, uhkaavilla toimijoilla on entistä monipuolisempia tapoja toteuttaa laajamittaisia hyökkäyksiä. Kiristysohjelmahyökkäykset, joita aiemmin pidettiin IT:hen keskittyvinä hyökkäysvektoreina, vaikuttavat nykyään myös OT-ympäristöihin, kuten osoitettiin Colonial Pipelinen hyökkäyksessä, jossa OT-järjestelmät ja putkitoiminnot pysäytettiin tilapäisesti, sillä aikaa kun tapahtumiin reagoivat tahot työskentelivät kiristysohjelman tunnistamiseksi ja sen leviämisen hillitsemiseksi yhtiön IT-verkossa. Vastustajat ymmärtävät, että energian ja muiden kriittisten infrastruktuurien alasajon taloudellinen vaikutus ja kiristysvaikutus on paljon suurempi kuin muilla teollisuudenaloilla.

OT-järjestelmiin kuuluu lähes kaikki fyysisiä toimintoja tukevat järjestelmät, jotka kattavat kymmeniä vertikaalisia toimialoja. OT-järjestelmät eivät rajoitu pelkästään teollisuusprosesseihin, vaan ne voivat olla mitä tahansa erityistarkoitukseen tarkoitettuja tai tietokoneistettuja laitteita, kuten LVI-säätimiä, hissejä ja liikennevaloja. Erilaiset turvajärjestelmät kuuluvat OT-järjestelmien luokkaan.

Microsoft on havainnut, että kiinalaisiin kytköksissä olevat uhkaavat toimijat kohdistavat hyökkäyksensä haavoittuviin koti- ja pienkonttorireitittimiin vaarantaakseen nämä laitteet, jolloin ne saavat uuden osoiteavaruuden, joka ei liity niin paljon aiempiin kampanjoihin, josta ne voivat käynnistää uusia hyökkäyksiä.

IoT- ja OT-haavoittuvuuksien yleisyys on haaste kaikille organisaatioille, mutta kriittisen infrastruktuurin riski on kasvanut. Kriittisten palvelujen poistaminen käytöstä, ei välttämättä edes niiden tuhoaminen, on tehokas keino.

Suositukset:

  • Yhteistyö sidosryhmien kanssa: Kartoita yrityksen kriittiset resurssit IT- ja OT-ympäristöissä.
  • Näkyvyys laitteisiin: Tunnista, mitkä IoT- ja OT-laitteet ovat kriittisiä resursseja itsessään ja mitkä liittyvät muihin kriittisiin resursseihin.
  • Suorita riskianalyysi kriittisestä resurssista: Keskity erilaisten hyökkäysskenaarioiden liiketoimintavaikutuksiin MITRE:n ehdotuksen mukaisesti.
  • Määritä strategia: Käsittele tunnistetut riskit ja aseta etusijalle liiketoimintavaikutukset.

IoT tuo mukanaan uusia liiketoimintamahdollisuuksia – mutta myös suuria riskejä

 

IT:n ja OT:n lähentyessä toisiaan liiketoiminnan laajenevien tarpeiden tukemiseksi riskien arviointi ja turvallisemman suhteen luominen IT:n ja OT:n välille edellyttävät useiden valvontatoimenpiteiden huomioon ottamista. Ilmavälillä erotetut laitteet ja alueen suojaus eivät enää riitä vastaamaan moderneihin uhkiin, kuten kehittyneisiin haittaohjelmiin, kohdennettuihin hyökkäyksiin ja haitallisiin sisäpiiriläisiin, ja puolustautumaan niiltä. Esimerkiksi IoT-haittaohjelmien uhkien kasvu kuvastaa tämän toimintaympäristön laajenemista ja potentiaalia vallata haavoittuvia järjestelmiä. Analysoidessaan vuoden 2022 uhkatietoja eri maista Microsoftin tutkijat havaitsivat, että suurin osa IoT-haittaohjelmista (38 prosenttia kokonaismäärästä) oli peräisin Kiinan suuresta verkkojalanjäljestä. Yhdysvalloissa sijaitsevien tartunnan saaneiden palvelimien ansiosta Yhdysvallat oli toiseksi suurin, 18 prosenttia havaitusta haittaohjelmien jakelusta.

Edistyneet hyökkääjät käyttävät useita taktiikoita ja lähestymistapoja OT-ympäristöissä. Monet näistä lähestymistavoista ovat yleisiä IT-ympäristöissä, mutta ne ovat tehokkaampia OT-ympäristöissä, kuten alttiiden, Internetiin avoinna olevien järjestelmien löytäminen, työntekijöiden kirjautumistietojen väärinkäyttö tai kolmansille osapuolille ja alihankkijoille myönnettyjen verkkoyhteyksien hyväksikäyttö.

IT-maailman kannettavien tietokoneiden, verkkosovellusten ja hybridityötilojen sekä OT-maailman tehtaiden ja laitosten valvontajärjestelmien lähentyminen toisiinsa tuo mukanaan vakavia riskiseurauksia, sillä se antaa hyökkääjille mahdollisuuden "hypätä" aiemmin fyysisesti eristettyjen järjestelmien välillä. Näin IoT-laitteista, kuten kameroista ja älykkäistä neuvotteluhuoneista, tulee riskikatalysaattoreita, jotka luovat uusia sisäänkäyntejä työtiloihin ja muihin IT-järjestelmiin.

Vuonna 2022 Microsoft avusti haittaohjelmatapauksessa suurta maailmanlaajuista elintarvike- ja juoma-alan yritystä, joka käytti hyvin vanhoja käyttöjärjestelmiä tehtaan toimintojen hallintaan. Tehdessään rutiinihuoltoa laitteille, jotka myöhemmin yhdistettäisiin Internetiin, haittaohjelma levisi tehtaan järjestelmiin urakoitsijan vaarantuneen kannettavan tietokoneen kautta.

Valitettavasti tästä on tulossa melko yleinen skenaario. Vaikka ICS-ympäristö voidaan eristää Internetistä, se muuttuu haavoittuvaksi heti, kun vaarantunut kannettava tietokone liitetään aiemmin suojattuun OT-laitteeseen tai -verkkoon. Microsoftin valvomissa asiakasverkoissa 29 prosentissa Windows-käyttöjärjestelmistä on versioita, joita ei enää tueta. Olemme nähneet Windows XP:n ja Windows 2000:n kaltaisten versioiden toimivan haavoittuvissa ympäristöissä.

Koska vanhempiin käyttöjärjestelmiin ei useinkaan saa päivityksiä, joita tarvitaan verkkojen turvallisuuden ylläpitämiseksi, ja korjaaminen on haastavaa suurissa yrityksissä tai tuotantolaitoksissa, IT-, OT- ja IoT-laitteiden näkyvyyden priorisointi on tärkeä ensimmäinen askel haavoittuvuuksien hallinnassa ja näiden ympäristöjen suojaamisessa.

Zero Trust -suojausmalliin, tehokkaaseen käytäntöjen täytäntöönpanoon ja jatkuvaan valvontaan perustuva puolustus voi auttaa rajoittamaan mahdollisen tapauksen leviämistä ja estämään tai hillitsemään tämänkaltaisia tapauksia pilvipalveluihin liitetyissä ympäristöissä.

OT-laitteiden tutkinta edellyttää ainutlaatuista erityistietämystä, ja teollisten ohjainten turvallisuustilanteen ymmärtäminen on ratkaisevan tärkeää. Microsoft on julkaissut avoimen lähdekoodin rikosteknisen työkalun puolustusyhteisölle auttaakseen tapahtumiin vastaavia tahoja ja tietoturva-asiantuntijoita ymmärtämään paremmin ympäristöjään ja tutkimaan mahdollisia vaaratilanteita.

Useimmat ajattelevat, että kriittinen infrastruktuuri tarkoittaa teitä ja siltoja, julkista liikennettä, lentoasemia sekä vesi- ja sähköverkkoja, mutta CISA suositteli hiljattain, että avaruudesta ja biotaloudesta tulisi uusia kriittisen infrastruktuurin aloja. Viitaten siihen, että Yhdysvaltojen talouden eri alojen häiriöt voivat aiheuttaa heikentäviä vaikutuksia yhteiskuntaan. Koska maailma on riippuvainen satelliittien tarjoamista ominaisuuksista, näillä aloilla esiintyvillä kyberuhkilla voi olla maailmanlaajuisia vaikutuksia, jotka ulottuvat paljon pidemmälle kuin mitä olemme tähän mennessä nähneet.

Suositukset

  • Ota käyttöön uusia ja parannettuja käytäntöjä: Zero Trust -suojausmalliin ja parhaisiin käytäntöihin perustuvat käytännöt tarjoavat kokonaisvaltaisen lähestymistavan, joka mahdollistaa saumattoman tietoturvan ja hallinnan kaikissa laitteissa.
  • Ota käyttöön kattava ja dedikoitu tietoturvaratkaisu: Mahdollistaa näkyvyyden, jatkuvan seurannan, hyökkäyspinnan arvioinnin, uhkien tunnistamisen ja niihin reagoimisen.
  • Kouluta: Tietoturvatiimit tarvitsevat koulutusta, joka koskee erityisesti IoT/OT-järjestelmistä peräisin olevia tai niihin kohdistuvia uhkia.
  • Tutki keinoja nykyisten turvatoimien tehostamiseksi: Käsittele IoT:n ja OT:n tietoturvaongelmat, jotta saavutetaan yhtenäinen IT- ja OT/IoT SOC kaikissa ympäristöissä.

Lue lisää siitä, miten voit suojata organisaatiosi David Atchin, Microsoft Threat Intelligence, Head of IoT/OT Security Research, näkemysten avulla.

78 prosentin kasvu erittäin vakavien haavoittuvuuksien paljastuksissa vuodesta 2020 vuoteen 2022 suosittujen toimittajien valmistamissa teollisuuden ohjauslaitteissa.1

Microsoft havaitsi korjaamattomia, erittäin vakavia haavoittuvuuksia 75 prosentissa asiakkaiden OT-verkkojen yleisimmissä teollisuusohjaimissa.1

Internetissä on julkisesti näkyvissä yli miljoona  yhdistettyä laitetta, joissa on käytössä Boa, joka on vanhentunut ohjelmisto, jota ei tueta. Sitä käytetään edelleen laajalti IoT-laitteissa ja ohjelmistokehityspaketeissa (SDK).1

  1. [1]

    Metodologia: Tilannekuvatietoja varten Microsoft-alustat (esimerkiksi Microsoft Defender for IoT, Microsoft Threat Intelligence Center ja Microsoft Defender Threat Intelligence) tarjosivat anonymisoituja tietoja laitteiden haavoittuvuuksista, kuten määritystiloista ja -versioista, sekä tietoja komponentteihin ja laitteisiin kohdistuvista uhkatoimista. Lisäksi tutkijat käyttivät julkisista lähteistä, kuten National Vulnerability Databasesta (NVD) ja CISA:sta (Cybersecurity & Infrastructure Security Agency) saatuja tietoja. Tilastotieto "korjaamattomat, erittäin vakavat haavoittuvuudet 75 prosentissa asiakkaiden OT-verkkojen yleisimmissä teollisuusohjaimissa" perustuu Microsoftin toimiin vuonna 2022. Kriittisissä ympäristöissä käytettäviin ohjausjärjestelmiin kuuluvat elektroniset tai mekaaniset laitteet, jotka hyödyntävät ohjaussilmukoita tuotannon, tehokkuuden ja turvallisuuden parantamiseksi.

Aiheeseen liittyviä artikkeleita

Asiantuntijan profiili: David Atch

Uusimmassa asiantuntijaprofiilissa keskustelimme Microsoftin IoT/OT-tietoturvatutkimuksen johtajan, David Atchin, kanssa IoT/OT-yhteyksien nousevista tietoturvariskeistä.

Laajentuvat IoT/OT-yhteydet johtavat kasvaviin kyberuhkiin

Uusimmassa raportissamme tutustumme siihen, miten lisääntyvät IoT/OT-yhteydet johtavat vakavampiin haavoittuvuuksiin, joita järjestäytyneet kyberuhkatoimijat voivat hyödyntää.

Cyber Signals Issue 2: Extortion Economics

Kuuntele etulinjan asiantuntijoiden mielipiteitä palveluina tarjottavien kiristysohjelmien kehityksestä. Ohjelmista ja kuormituksista laitonta pääsyä kauppaaviin kyberrikollisiin ja kumppaneihin: lue lisätietoja kyberrikollisten suosimista työkaluista, taktiikoista ja kohteista sekä vinkkejä organisaatiosi suojaamiseen.

Seuraa Microsoft Securitya