APT37, קבצי LNK, ו- USB סיכון בסביבות עם מרווחי אוויר
עַל יְדֵי
OPSWAT
שתף את הפוסט הזה
מידע מודיעיני עדכני על APT37 הדגיש את המציאות הקריטית לפיה ארגונים רבים עדיין מתייחסים לרשתות מנותקות כאל בלתי חדירות, למרות הראיות המעידות על ההפך. כאשר נמנעים מהתוקפים נקודות כניסה מבוססות-רשת, הם פונים לנתיבי תקיפה פיזיים. בסביבות תעשייתיות, ביטחוניות ותשתיות קריטיות, נתיב זה הוא כמעט תמיד מדיה נשלפת.
USB נותרים הכרחיים מבחינה תפעולית למשימות כגון עדכוני קושחה, חילוץ יומנים, תחזוקה על ידי הספק והעברת קבצים הנדסיים. השימוש של APT37 בקבצי קיצור דרך LNK זדוניים מהווה דוגמה מובהקת לאופן שבו ניתן לנצל נקודת תורפה זו במינימום מורכבות טכנית ובמקסימום השפעה תפעולית.
מדוע קבצי LNK מהווים איום משמעותי על סביבות מבודדות
קובץ LNK הוא קיצור דרך מקורי של Windows. מבחינה ויזואלית, אי אפשר להבחין בינו לבין תיקייה או מסמך לגיטימיים, וזו נקודה שתוקף עלול לנצל בכוונה.
מתחת למראה התמים שלו, קובץ LNK שנפרץ מסוגל:
הפעלת PowerShell או מתורגמנים מובנים אחרים של המערכת
הפעלת סקריפטים מוסתרים המאוחסנים במכשיר הנשלף
הכנה והפעלה של מטענים מבלי להזדקק לחיבור חיצוני
ניצול כלי עזר מהימנים של מערכת ההפעלה כדי לחמוק מזיהוי
אף אחד ממסלולי ההפעלה הללו אינו מצריך גישה לרשת, אישור מאקרו מצד המשתמש או נוכחות של קובץ בינארי עצמאי של תוכנה זדונית. עובדה זו הופכת את קיצור הדרך עצמו למנגנון להפצת האיום, דבר שעלול להיות בעל השפעה משמעותית בסביבה מנותקת מרשת. לדוגמה, מפעיל מחבר USB , לוחץ פעמיים על קובץ שנראה כמסמך הנדסי שגרתי, והפריצה מתחילה בשקט בתוך הסביבה המקומית, מבלי לעורר התראות מיידיות.
המציאות התפעולית של Media נשלפות
הבעיה העיקרית אינה קיומה של טכנולוגיית USB , אלא היעדר פיקוח על השימוש בה. בסביבות OT רבות, המצב הנוכחי משקף פער משמעותי בבקרה:
אמצעי אחסון נשלפים מוכנסים ישירות לתחנות העבודה של מחלקות הייצור וההנדסה ללא סינון מוקדם
הקבצים נפתחים מבלי לעבור כל סוג של בדיקת תוכן
אין תמונת מצב מרכזית לגבי אילו נתונים הועברו, מתי או על ידי מי
המדיניות הנוגעת לסוגי קבצים הניתנים להפעלה, כגון קבצי LNK, EXE או קבצי סקריפט, אינה קיימת או אינה נאכפת באופן עקבי
גורמי איום מתוחכמים אינם נדרשים לעקוף אמצעי בקרה טכניים כאשר נהלי העבודה מספקים להם נתיב גישה חופשי. זהו ההבדל בין APT37 לבין גורמים דומים המנצלים זאת באופן פעיל.
ההנחה המסוכנת ביותר בתחום אבטחת OT היא שהבידוד הפיזי מהווה הגנה. בכל סביבת תשתית קריטית שעבדתי בה, אמצעי אחסון נשלפים הם הכרחיים מבחינה תפעולית, והצורך הזה הוא בדיוק מה שעליו מסתמכים גורמי האיום. כאשר USB עוקף את הבדיקה ומגיע לתחנת עבודה הנדסית, כבר לא מדובר בבעיה ברשת. אלא בהשלכות של אותה בעיה.
איתי גליק
מנהל כללי, OT Security Hardware
מדוע Kiosk USB Kiosk אמצעי בקרה חיוני
הסתמכות על זיהוי בנקודת קצה לאחר חיבור USB לנכס ייצור היא גישה תגובתית. בסביבות OT, גישה תגובתית גורמת לכך שיהיה מאוחר מדי לבלום את הפרצה. הגישה הנכונה ביותר מבחינה תפעולית היא לאכוף בדיקת תוכן לפני שמדיה נשלפת מגיעה לכל מערכת ייצור.
קיוסק USB הוא פתרון המקים נקודת ביקורת מבוקרת וחובה בין הסביבה החיצונית לגבול רשת ה-OT/ICS. מכיוון שמדיה נשלפת עוברת בדיקה בתחנת בדיקה מתאימה לפני השימוש, כל מכשיר עובר את התהליכים הבאים:
סריקת תוכנות זדוניות באמצעות מספר מנועים לאיתור איומים ידועים
נטרול תוכן קבצים ובנייתם מחדש כדי לנטרל תוכן פעיל בתוך קבצים
אכיפת מדיניות סוגי קבצים כדי למנוע כניסת פורמטים לא מאושרים לסביבה
בדיקה ברמת המכשיר כדי להעריך את תקינות המדיה עצמה
תיעוד ביקורת מקיף לשמירה על שרשרת אחריות מלאה עבור כל העברה
ארכיטקטורה זו מפרידה פיזית בין תהליך הבדיקה למערכות הייצור, ומבטיחה שתוכן בעל סיכון גבוה ינוטרל בטרם יגיע לכל נכס תפעולי.
כיצד קיוסקים מצמצמים באופן ישיר שרשראות תקיפה המבוססות על LNK
תהליך עבודה של עמדת סריקה שהוגדר כהלכה מתייחס לקבצי LNK ולפריטים דומים בעלי יכולת הפעלה כאל אובייקטים בסיכון גבוה כברירת מחדל. מבחינה תפעולית, משמעות הדבר היא:
קובצי קיצורי דרך וקובצי סקריפט נחסמים אוטומטית בשלב הבדיקה
תוכן הניתן להפעלה מוסר מסוגי קבצים מאושרים
מבני פקודה חשודים המוטמעים בקבצים מזוהים ומנוטרלים
רק סוגי קבצים שהוסמכו במפורש רשאים לעבור לסביבת ה-OT
אם גורם זדוני משלב מטען זדוני בתוך קובץ LNK, הוא ייתפס ויטופל עוד בטרם יגיע USB לתחנת העבודה של המהנדס. אם מדיניות הארגון אוסרת לחלוטין על קבצי קיצורי דרך, הם יוסרו בסינון בקיוסק, ושרשרת התקיפה תנותק עוד בטרם תתחיל.
אבטחת הגבול הפיזי
"מרווחי אוויר" מספקים את רמת האבטחה הגבוהה ביותר כאשר מוטמעים אמצעי בקרה בשכבת החומרה. עמדת USB מספקת לארגונים:
אכיפה מרכזית של מדיניות בכל המתקנים והאתרים התפעוליים הפזורים
שימוש עקבי בבקרות המפחית את התלות בשיקול הדעת של כל משתמש
נראות תפעולית מלאה של כל הפעילות במדיות הניתנות להסרה
תיעוד המותאם לביקורת לצורך עמידה בדרישות הרגולטוריות ובמסגרות התעשייתיות
הפחתת החשיפה לסיכונים בתחנות עבודה הנדסיות, במערכות בטיחות ובנכסים אחרים בעלי השלכות חמורות
דבר זה קריטי במיוחד בסביבות שבהן נקודת קצה אחת שנפרצה עלולה להתפשט ולפגוע ברציפות התפעול, בבטיחות העובדים או באמינות הרשת.
בדיקה לפני ההכנסה אינה השיטה המומלצת. זוהי השיטה היחידה שמצמצמת את הפער.
איתי גליק
מנהל כללי, OT Security Hardware
כיצד OPSWAT Secure התשתית הקריטית Secure
סביבות מנותקות מרשת אינן נפגעות בגלל שהן מחוברות. הן נפגעות משום שמדיה נשלפת נחשבת כבטוחה כברירת מחדל. לנוכח מתקפות מתוחכמות וממוקדות נגד תשתיות קריטיות, הנחה זו מהווה סיכון שארגונים כבר אינם יכולים להרשות לעצמם לשאת. כאשר מדיה נשלפת מהווה חלק מתהליך העבודה התפעולי שלכם, פתרונות Media היקפי Media נשלפת OPSWAT מספקים בקרות רב-שכבתיות הסוגרות את הפרצה הזו.
MetaDefender Kiosk™: Secure Media שמקורם Media Secure בנקודת הכניסה
כדי להתגונן מפני וקטורי תקיפה USB, MetaDefender Kiosk משמש כתחנת סריקה פיזית להגנה על נכסי הארגון. הוא משתלב עם פתרונות וטכנולוגיות מוכחים ומובילים בתעשייה כדי לנקות נתונים לפני כניסתם לסביבות קריטיות. בשילוב עם פתרונות כמו MetaDefender File Transfer™ (MFT) MetaDefender Media , MetaDefender Kiosk בשכבות הגנה נוספות שניתן להוסיף כדי לתמוך בהעברת קבצים בטוחה ולאכוף מדיניות סריקה.
MetaDefender Endpoint™: הגנה לפני הפעלה ובקרת מכשירים
MetaDefender Endpoint מחזק את אבטחת נקודות הקצה ומספק הגנה על התקנים היקפיים ומדיה נשלפת בסביבות קריטיות. הוא מזהה וחוסם באופן אקטיבי התקני מדיה נשלפים עד שהם נסרקים ביסודיות ונבדקים ונמצאו נקיים, לפני שהוא מעניק להם גישה למערכת.
Media אימות כשכבת הגנה נוספת
OPSWAT פתרונות נוספים התומכים באסטרטגיית הגנה רב-שכבתית, המאפשרת הגנה רב-שכבתית באמצעות אימות מדיה ואכיפת מדיניות סריקה וניקוי.
MetaDefender Media Firewall הוא פתרון חומרה קל לשימוש להגנה על מערכות מארח קריטיות מפני איומים המועברים באמצעות מדיה נשלפת. הוא פועל בשילוב עם MetaDefender Kiosk פיזי בסביבות OT כדי להבטיח שאף מדיה נשלפת שלא נסרקה לא תוכל לעקוף את נקודות הכניסה.
MetaDefender Validation הוא כלי קל משקל המותקן על נקודות קצה ומשמש כנקודת בקרה כדי להבטיח שרק קבצים שנסרקו על ידי MetaDefender Kiosk להיפתח, להועתק, להיבחר ולהיות נגישים על ידי נקודת הקצה.
טכנולוגיות מובילות בתעשייה
הן MetaDefender Kiosk MetaDefender Endpoint בטכנולוגיות מוכחות ואמינות ברמה עולמית, כגון Metascan™ Multiscanning, המשיגות שיעורי זיהוי תוכנות זדוניות של 99.2% באמצעות למעלה מ-30 מנועי אנטי-וירוס. כמו כן, הן משתמשות בטכנולוגיית Deep CDR™ כדי להסיר באופן יזום תוכן זדוני מקבצים מבלי לפגוע בפונקציונליות. בנוסף לביצוע הערכות פגיעות לזיהוי פגמים ידועים בתוכנה במדיה נשלפת ולמתן הגנה חזקה מפני דליפת נתונים רגישים, שני הפתרונות מספקים הגנה מעמיקה ורב-שכבתית לרשתות IT/OT מפני איומים שמקורם במדיה היקפית ונשלפת.
נקודות מרכזיות למנהלים
APT37 לא הצליחה לעקוף את בידוד ה-air-gap על ידי פריצה לארכיטקטורת אבטחת הרשת. היא ניצלה פונקציונליות של מערכת ההפעלה ותהליכי עבודה הקשורים למדיה נשלפת, הנמצאים כולם תחת שליטת הארגון.
כדי להתמודד עם אתגר זה, יש לנקוט באמצעי מניעה עוד בטרם תגיע הפעולה לנקודת הסיום, אם אמצעי אחסון נשלפים מהווים חלק מתהליך העבודה התפעולי שלכם. ברוב סביבות ה-OT/ICS, זהו המצב. לפיכך, יש לנהל אותם בקפדנות, כמו כל בקרה על גבולות הרשת:
יש לבדוק לפני ההטמעה: אף מכשיר לא אמור להגיע למערכת הייצור ללא בדיקה מוקדמת
תיעוד לפני ההעברה: כל אינטראקציה עם מדיה צריכה להניב תיעוד הניתן לבדיקה
יש לטפל בבעיה לפני הגישה: יש לנטרל את הסיכון כבר בשלב הראשוני, ולא לאתר אותו בדיעבד
כדי ללמוד כיצד OPSWAT לסייע לכם לנטרל איומים שמקורם במדיות נשלפות ובציוד היקפי לפני שהם מגיעים לסביבה הקריטית שלכם, פנו עוד היום למומחה.
