Как и в предыдущие годы, сообщество ICS/OT справлялось с растущим числом уязвимостей, многие из которых не принимали правильных мер, необходимых для снижения риска и поддержания операций. Тем временем электрические сети, нефте- и газопроводы, системы водоснабжения и производственные предприятия продолжали бороться с более сложными нормативными условиями, которые требуют заметного прогресса в укреплении защиты.
Шестое издание отчета Драгоша, которое дает представление о том, что происходит в промышленной сфере, содержит последние сведения об угрозах, связанных с действиями злоумышленников, нацеленных на операционные технологии (OT), а также последние обнаруженные вредоносные программы для АСУ ТП, данные для информировать о методах управления уязвимостями и контрольных показателях кибербезопасности для отраслей.
Вредоносное ПО PIPEDREAM-7th для ICS
PIPEDREAM — седьмое известное вредоносное ПО для АСУ ТП после STUXNET, HAVEX, BLACKENERGY2, CRASHOVERRIDE, TRISIS и Industroyer2. Он имеет потенциал для разрушительных и разрушительных кибератак. Драгос и наши сторонние партнеры обнаружили и проанализировали его возможности до того, как он был использован. В нынешнем виде злоумышленники могут использовать PIPEDREAM для поражения оборудования в различных секторах и отраслях. Учитывая модульный характер PIPEDREAM, злоумышленники могут адаптировать возможности вредоносного ПО для компрометации и нарушения работы более широкого набора целей в будущем.
PIPEDREAM — это первая масштабируемая межотраслевая платформа для атак на АСУ ТП. Он нацелен на три широко распространенных компонента программного обеспечения и демонстрирует риски современных цепочек поставок программного обеспечения, основанных на компонентах, где отдельные эксплойты и уязвимости могут иметь масштабное влияние на всю отрасль.
Ведение точной инвентаризации активов и обнаружение угроз на основе знаний о реальном поведении промышленных злоумышленников в рамках программы ICS Network Visibility упрощает обнаружение деструктивных угроз, таких как PIPEDREAM. Поэтому нас беспокоит тот факт, что 80 % обращений к службам Dragos по-прежнему не имеют прозрачности в сетях OT, что делает обнаружение, сортировку и реагирование невероятно сложными в масштабе. Мониторинг сетей ICS Восток-Запад с помощью технологий, поддерживающих протокол ICS, необходим для обнаружения PIPEDREAM в ваших средах ICS/OT.
Обнаружены две новые группы угроз
Драгос определил две новые группы угроз АСУ, нацеленные на промышленные системы управления и операционные технологии в 2022 году: ЧЕРНОВИТ и БЕНТОНИТ. Обе группы угроз демонстрируют изощренность и адаптируемость, а одна группа является разработчиком возможностей вредоносного ПО, которые достигают этапа 2 цепочки кибератак ICS и выполняют атаку ICS.
Группа CHERNOVITE Threat Group является разработчиком PIPEDREAM, седьмого вредоносного ПО для АСУ ТП и модульного межотраслевого инструментария. Для разработки PIPEDREAM компания CHERNOVITE продемонстрировала невиданную до сих пор широту знаний протоколов АСУ и методов проникновения, доступных для получения эффекта в средах ОТ. Драгош с высокой уверенностью оценивает, что CHERNOVITE обладает высокой мотивацией, хорошо финансируется и владеет методами разработки программного обеспечения. CHERNOVITE разработала возможности для достижения этапа 2 цепочки киберубийств ICS и выполнения атаки ICS.
БЕНТОНИТ
БЕНТОНИТ — это новая группа угроз, которая все чаще и чаще нацеливается на морскую нефть и газ (ОНГ); государственные, местные, племенные и территориальные (SLTT) правительства; и производственных секторов с 2021 года. BENTONITE проводит наступательные операции в шпионских и подрывных целях, выявляя уязвимости в открытых интернет-активах для облегчения доступа.
Обновления группы угроз
В отчет Dragos ICS/OT Cybersecurity за 2022 год включены выводы охотников за угрозами Dragos о деятельности шести известных групп угроз ICS, нацеленных на промышленные организации. Методы, используемые группами угроз для получения начального доступа, сигнализируют о важности безопасного удаленного доступа в средах ICS/OT, и тем не менее 44 % обращений за услугами включали обнаружение общих учетных данных в системах OT, наиболее распространенный метод горизонтального перемещения и привилегий. эскалации. Там, где многофакторная аутентификация (MFA) невозможна, рассмотрите альтернативные элементы управления, такие как переходы с целенаправленным мониторингом подключений в сетях OT и за их пределами.
Промышленный риск программ-вымогателей
Программы-вымогатели считаются главными финансовыми и операционными рисками для промышленных организаций. Из 57 групп программ-вымогателей, нацеленных на промышленные организации и инфраструктуры, Драгос на основе публичных инцидентов, сетевой телеметрии и ресурсов даркнета заметил, что только 39 групп были активны в 2022 году. Драгос выявил 605 атак программ-вымогателей против промышленных организаций в 2022 году, что на 87 процентов по сравнению с прошлым годом. На производство приходится самая высокая доля, ошеломляющие 72 процента, но атаки программ-вымогателей охватили многие отрасли, включая продукты питания и напитки, энергетику, фармацевтику, нефть и газ, водоснабжение, горнодобывающую промышленность и металлургию.
Программы-вымогатели представляют собой серьезную киберриск для промышленных организаций, особенно для тех, у которых нет защищенной архитектуры. Стратегии обеспечения безопасности ОТ часто начинаются с укрепления среды — удаления посторонних точек доступа к сети ОТ и обеспечения строгого контроля политик в точках интерфейса ИТ/ОТ. Сервисные задания Dragos включали обнаружение неправильной сегментации сети в 50 процентах случаев и обнаружение внешних подключений от OEM-производителей, ИТ-сетей или Интернета к сети OT в 53 процентах, что свидетельствует о том, что предстоит еще пройти долгий путь для защиты от риски программ-вымогателей.
Состояние уязвимостей АСУ ТП
В 2022 году количество зарегистрированных уязвимостей АСУ ТП существенно увеличилось на 27%, что свидетельствует о повышенном внимании и концентрации внимания исследователей безопасности на рисках для промышленной инфраструктуры. Команда Dragos Threat Intelligence проанализировала 2170 распространенных уязвимостей и экспозиций (CVE) в течение 2022 года по сравнению с 1703 CVE в 2021 году.
В то время как исправить ИТ-систему, такую как рабочий ноутбук, относительно легко, закрытие предприятия требует огромных затрат. Знание того, что и когда делать с уязвимостями, является важным компонентом эффективной программы управления уязвимостями на основе рисков. Для каждого CVE Dragos независимо оценивает, подтверждает и предоставляет исправления, чтобы помочь определить приоритеты уязвимостей и внедрить меры по снижению риска и поддерживать операции в средах ICS/OT.
Действуя сейчас, далее, никогда
Исследователи Dragos оценивают уязвимости, чтобы понять, насколько легко и часто они используются злоумышленниками, а также насколько серьезным может быть взлом в контексте сред ICS/OT. Драгос классифицирует их по категориям «Сейчас», «Далее» и «Никогда», чтобы не тратить ресурсы на ненужное исправление и сосредоточить внимание владельцев и защитников активов OT на наиболее важных рисках.
Проявите инициативу в разработке хорошо продуманного плана реагирования на инциденты (IRP) для ICS, отличного от плана ИТ. OT включает в себя различные устройства, протоколы связи, поведение злоумышленников и методы управления уязвимостями. Кибератаки могут привести к физическим воздействиям, а для проведения расследований требуется другой набор инструментов. Создайте специальный план, который включает в себя правильные точки соприкосновения и следующие шаги для конкретных сценариев в определенных местах.
Уроки, извлеченные на передовой
В течение последних шести лет компания Dragos использовала нашу команду профессиональных служб для разработки «на местах» понимания реалий, с которыми сталкивается промышленное сообщество, а также для извлечения идей и уроков, извлеченных из этой области. Драгош сообщает о четырех ключевых выводах, которые мы продолжаем отслеживать из года в год с 2019 года.
- 80% обращений к службам Dragos ограничивались отсутствием информации об их среде ICS/OT, что не показало существенных изменений по сравнению с 2019 годом.
- В 50 % обращений за услугами были выявлены проблемы с сегментацией сети из-за плохого периметра безопасности, что на 27 % меньше, чем в предыдущем году.
- Участие Драгоса, которое включало обнаружение внешних связей с OT в 2022 году, значительно снизилось с 70 до 53 процентов.
- 54 процента обращений к службам Dragos включали результаты, связанные с общими учетными данными, по сравнению с 44 процентами в 2021 году.
Отчет Dragos 2022 ICS/OT Cybersecurity Year in Review может помочь специалистам по промышленной безопасности выявлять критические промышленные угрозы, определять приоритеты уязвимостей и улучшать состояние кибербезопасности ICS/OT с помощью данных и аналитических данных за прошлый год.
Полный отчет и соответствующие диаграммы можно найти здесь
Читать полную новость на сайте
