Trace Id is missing

Sammenfallet av IT og OT

Ny Cyber Signals-rapport fra Microsoft

Cyber Signals utgave 3: Cyberrisikoer for kritisk infrastruktur er på vei oppover

Gjennomtrengeligheten, sårbarheten og skytilkobligen til tingenes Internett- (IoT) og driftsteknologi (OT) -enheter representerer en raskt voksende, ofte ukontrollert risikooverflate som påvirker en større utvalg av bransjer og organisasjoner. Raskt voksende IoT skaper et utvidet tilgangspunkt og en større angrepsoverflate for angripere. OT blir mer skybasert og IT-OT-gapet blir mindre, slik at tilgangen til mindre sikker OT gir muligheten for skadelige angrep på infrastrukturen
Microsoft oppdaget sårbarheter av høy alvorsgrad som ikke var sikkerhetsoppdaterte i 75 % av de fleste industrielle kontrollerne i OT-nettverk hos kunder.1
Se den digitale orienteringen i Cyber Signals hvor Vasu Jakkal, visedirektør i Microsoft Sikkerhet, intervjuer viktige trusselinformasjoneksperter om IoT- og OT-sårbarheter og hvordan man holder seg beskyttet.

Digital orientering: Sammenfallet av IT og OT

Motstandere kompromitterer Internett-tilkoblede enheter for å få tilgang til sensitive kritiske infrastrukturnettverk.

Det siste året har Microsoft observert trusler som utnytter enheter, i nesten hver enste overvåkede og synlige del av en organisasjon. Vi har observert disse truslene på tvers av tradisjonelt IT-utstyr, OT-kontrollere og IoT-enheter som rutere og kameraer. Den kraftige økningen i angripernes tilstedeværelse i disse miljøene og nettverkene er drevet av sammenfallet og forbindelsen mange organisasjoner har tatt i bruk de siste årene.

The International Data Corporation (IDC) anslår at det finnes 41,6 milliarder tilkoblede IoT-enheter innen 2025. Det er en vekstrate som er høyere enn tradisjonelt IT-utstyr. Selv om sikkerheten til IT-utstyr er blitt forbedret de siste årene, har IoT- og OT-enhetssikkerheten ikke fulgt med, og trusselaktører utnytter disse enhetene.

Det er viktig å huske at angriperne kan ha varierende motiver for å kompromittere andre enheter enn bare vanlige bærbare datamaskiner og smarttelefoner. Russlands cyberangrep mot Ukraina, samt annen nasjonalstat-sponset cyberkriminalitet viser at noen nasjonalstater ser på cyberangrep mot kritisk infrastruktur som attraktive, for å oppnå militære og økonomiske mål.

72 prosent av programvareutnyttelsene som er tatt i bruk av «pipedream», det CISA (Cybersecurity and Infrastructure Security Agency) beskriver som et nytt sett med statssponset ICS (industrielt kontrollsystem) -orientert cyberangrepsverktøy, er nå tilgjengelige på nettet. En slik vekst legger til rette for større angrepsaktivitet av andre aktører, etter hvert som ekspertise og andre barrierer for tilgang, svekkes.

Etter hvert som økonomien til nettkriminelle utvides og skadelig programvare som retter seg mot OT-systemer blir mer fremtredende og enklere å bruke, har trusselaktørene mer varierende måter å sette inn store angrep på. Angrep med løsepengevirus, tidligere oppfattet som en IT-fokusert angrepsvektor, påvirker i dag OT-miljøer, som sett i Colonial Pipeline-angrepet, hvor OT-systemer og datasamlebåndsdriften ble stoppet midlertidig mens hendelsesrespondenter arbeidet for å identifisere og begrense spredningen av løsepengevirus i selskapets IT-nettverk. Motstandere innser at den økonomiske innvirkningen og utpressingskraften ved å stoppe strømmen og andre kritiske infrastrukturer er mye større enn i andre industrier.

OT-systemer omfatter nesten alt som støtter fysiske operasjoner, og strekker seg over dusinvis av vertikale industrier. OT-systemer er ikke bare begrenset til industrielle prosesser. De kan vært alle typer spesialutstyr eller datastyrt utstyr, slik som HVAC-kontrollere, heiser og trafikklys. Ulike sikkerhetssystemer havner i kategorien OT-systemer.

Microsoft har observert trusselaktører knyttet til Kina som retter seg mot sårbare rutere i hjemmet og på små kontorer, for å kompromittere disse enhetene som fotfester, og gir dem nytt adresseområde som er mindre forbundet med tidigere kampanjer, som nye angrep kan startes fra.

Selv om utbredelsen av IoT- og OT-sårbarheter utgjør en utfordring for alle organisasjoner, er kritisk infrastruktur i større fare. Deaktivering av kritiske tjenester, uten å nødvendigvis ødelegge dem, er et kraftfullt redskap.

Anbefalinger:

  • Arbeid med interessenter: Kartlegg forretningskritiske ressurser, i IT- og OT-miljøer.
  • Enhetssynlighet: Identifisert hvilke IoT- og OT-enheter som er kritiske ressurser i seg selv, og hvilke som er knyttet til andre kritiske ressurser.
  • Utfør en risikoanalyse på kritiske ressurser: Fokuser på innvirkningen på bedriften ved ulike angrepsscenarioer, som foreslått av MITRE.
  • Definer en strategi: Ta tak i risikoene som er identifisert, og driv prioritet fra innvirkningen på bedriften.

IoT presenterer nye bedriftsmuligheter –men også stor risiko

 

Etter hvert som IT og OT konvergerer mot støtte voksende bedriftsbehov, krever håndtering av risiko og etablering av en sikrere relasjon mellom IT og OT hensyn til flere kontrolltiltak. Enheter som er atskilt fra nettverket og perimetersikkerhet er ikke lenger tilstrekkelig for å håndtere og forsvare mot moderne trusler som kompleks skadelig programvare, målrettede angrep og interne brukere med onde hensikter. Veksten til skadelige IoT-programvaretrusler, for eksempel, gjenspeiler utvidelsen til dette landskapet og potensialet for å ta over sårbare systemer. Ved å analysere trusseldata for 2022 på tvers av ulike land fant Microsoft-forskere ut at den største andelen skadelig IoT-programvare, 38 prosent av totalen, kom fra Kinas store nettverksfotavtrykk. Infiserte servere i USA plasserer USA på andreplass med 18 prosent observert distribusjon av skadelig programvare.

Avanserte angripere tar i bruk flere taktikker og tilnærminger i OT-miljøer. Mange av disse tilnærmingene er vanlige i IT-miljøer, men er mer effektive i OT-miljøer, slik som oppdagelse av eksponerte Internett-tilkoblede systemer, misbruk av ansattes påloggingsinformasjon eller utnyttelse av tilgang gitt av tredjepartsleverandører og entreprenører til nettverkene.

Sammenfallet mellom IT-systemenes bærbare datamaskiner, nettprogrammer og hybride arbeidsområder og OT-systemenes fabrikk- og anleggsbundne kontrollsystemer innebærer alvorlige risikokonsekvenser ved å gi angriperne mulighet til å «hoppe» over spaltene mellom tidligere fysisk isolerte systemer. Dermed kan IoT-enheter som kameraer og smarte møterom, bli risikokatalysatorer ved å opprette nye inngangsporter til arbeidsområder og andre IT-systemer.

I 2022 hjalp Microsoft et stort globalt mat- og drikkevareselskap, som brukte svært gamle operativsystemer til å administrere fabrikkoperasjoner, med en hendelse med skadelig programvare. Under et rutinemessig vedlikehold av utstyr, som senere ble koblet til Internett, spredte skadelig programvare seg til fabrikksystemene via en kompromittert bærbar entreprenørdatamaskin.

Dessverre holder dette på å bli et ganske vanlig scenario. Selv om et ICS-miljø kan være atskilt fra nettverket og isolert fra Internett, blir en kompromittert bærbar datamaskin sårbar det øyeblikket den kobles til en OT-enhet eller et nettverk som tidligere var sikret. På tvers av kundenettverkene som Microsoft overvåker, har 29 % av operativsystemene til Windows versjoner som ikke lenger støttes. Vi har sett versjoner som Windows XP og Windows 2000 som drives i sårbare miljøer.

Siden eldre operativsystemer ofte ikke får oppdateringene som kreves for å holde nettverket sikkert, og sikkerhetsoppdatering er utfordrende i store virksomheter eller produksjonsanlegg, er prioritering av IT, OT og IoT-enhetssynlighet et viktig første skritt for å administrere sårbarheter og sikre disse miljøene.

Et forsvar basert på nulltillit, effektiv håndhevelse av policy og kontinuerlig overvåking kan bidra til å begrense det potensielle eksplosjonomfanget og forebygge eller begrense hendelser som dette i skybaserte miljøer.

Undersøkelse av OT-utstyr krever spesifikk unik kunnskap, og forståelse av sikkerhetstilstanden til industrielle kontroller er avgjørende. Microsoft lanserte et dataetterforskningsverktøy med åpen kilde til forsvarerfellesskapet, for å hjelpe hendelsesrespondenter og sikkerhetsspesialister med å forstå miljøene bedre og undersøke potensielle hendelser.

Selv om de fleste tenker på kritisk infrastruktur som veier og broer, offentlig transport, flyplasser, vannsystemer og strømnett, anbefalte CISA nylig at romfart og bioøkonomi blir nye sektorer for kritisk infrastruktur. Med henvisning til potensialet for avbrudd i ulike sektorer i den amerikanske økonomien for å forårsake svekket innvirkning på samfunnet. Med tanke på verdens avhengighet av satelittilknyttede funksjoner kan cybertrusler i disse sektorene ha globale implikasjoner langt utover det vi har sett så langt.

Anbefalinger

  • Implementere nye og forbedre policyer: Policyer som stammer fra nulltillitsmetodologien og anbefalte fremgangsmåter, gir en holistisk tilnærming til å aktivere sømløs sikkerhet og styring på tvers av enheter.
  • Ta i bruk en omfattende og dedikert sikkerhetsløsning: Aktiver synlighet, kontinuerlig overvåking, vurdering av angrepsoverflate, trusseloppdagelse og respons.
  • Utdanning og opplæring: Sikkerhetsteamene krever opplæring som er spesifikk for trusler som kommer fra eller retter seg mot IoT/OT-systemer.
  • Undersøke midler for å forsterke eksisterende sikkerhetsoperasjoner: Ta opp IoT- og OT-sikkerhetsbekymringer for å oppnå en enhetlig IT- og OT/IoT-SOC på tvers av alle miljøer.

Mer informasjon om hvordan du kan bidra til å beskytte organisasjonen md innsikt fra David Atch, leder for IoT/OT-sikkerhetsforskning hos Microsoft trusselinformasjon.

78 prosent økning i avdekking av alvorlige sårbarheter fra 2020 til 2022 i industrielt kontrollutstyr produsert av populære leverandører.1

Microsoft oppdaget sårbarheter av høy alvorsgrad som ikke var sikkerhetsoppdaterte i 75 % av de fleste industrielle kontrollerne i OT-nettverk hos kunder.1

Over 1 million tilkoblede enheter, som er offentlig synlige på Internett, kjører Boa-nettserveren, en utdatert programvare som ikke støttes, som fremdeles er mye brukt i IoT-enheter og programvareutviklingssett (SDK-er).1
  1. [1]

    Metode: Når det gjelder øyeblikksbildedata, leverte Microsoft-plattformer, blant annet Microsoft Defender for IoT, senteret for Microsoft trusselinformasjon og Microsoft Defender trusselinformasjon anonymiserte data om enhetssårbarheter, for eksempel konfigurasjonsstatus og -versjoner og data om trusselaktivitet på komponenter og enheter. I tillegg brukte forskere data fra offentlige kilder, blant annet National Vulnerability Database (NVD) og Cybersecurity & Infrastructure Security Agency (CISA). Statistikken for «ikke-sikkerhetsoppdaterte, svært alvorlige sårbarheter i 75 % av de vanligste industrielle kontrollerne i kundenes driftsteknologinettverker» er basert på Microsofts oppdrag i 2022. Kontrollsystemer i viktige miljøer omfatter elektroniske eller mekaniske enheter som bruker kontrollsløyfer for forbedret produksjon, effektivitet og sikkerhet.

Relaterte artikler

Ekspertprofil: David Atch

I forrige ekspertprofil snakket vi med David Atch, sjefen for forskning på IoT-/OT-sikkerhet i Microsoft, for å høre om de økende sikkerhetsrisikoene knyttet til IoT- og OT-tilkobling.

Økende cybertrusler som svar på utvidet IoT/OT-tilkobling

I den nyeste rapporten utforsker vi hvordan økt ioT/OT-tilkobling fører til større og mer alvorlige sårbarheter som organiserte trusselaktører kan utnytte.

Cyber Signals utgave 2: Utpressingsøkonomi

Hør om utviklingen innen løsepengevirus-som-en-tjeneste fra frontlinjeeksperter. Fra programmer og nyttelaster til tilgangsmeglere og partnere – lær om verktøyene, taktikkene og målene cyberkriminelle foretrekker, og få veiledning for å få hjelp til å beskytte organisasjonen.

Følg Microsoft Sikkerhet