ניווט בנוף אבטחת הסייבר של רשתות ICS ו-OT: תובנות ופתרונות
עַל יְדֵי
OPSWAT
שתף את הפוסט הזה
מָבוֹא
בעולם של אבטחת סייבר, שמתפתח ללא הרף, Industrial רשתות מערכות בקרה (ICS) וטכנולוגיה תפעולית (OT) מייצגות תחום דאגה משמעותי. מערכות אלו אינן חיוניות רק להמשכיות הפעילות העסקית, אלא גם מרכיבים בלתי נפרדים של התשתית הקריטית של המדינה. MetaDefender Sandbox של OPSWAT (שנקרא בעבר...) Filescan Sandbox ) צוות מעקב שוטף אחר סיכוני ICS/OT וצפה בפעילויות מתמשכות ובעלות פוטנציאל גבוה.
נוף האיומים הנוכחי
דפוסים אחרונים באיומי סייבר הראו מגמה מדאיגה של התקפות: קבוצות בחסות מדינה החלו להתמחות במערכות ICS כגון Sandworm (רוסיה) ו-Volt Typhoon (סין), בעוד פושעי סייבר מודעים לחומרת ההשפעה על מערכות תעשייתיות. כוחות הביטחון בכל רחבי התעשייה מכירים בחשיבותם של איומים אלה לכל מגזרי התעשייה, מה שהוביל לפרסום דוחות וקמפיינים משותפים שמטרתם לחזק את אבטחת ה-ICS.
בעיות והמלצות מתמשכות
אחת ההמלצות ארוכות הטווח לצמצום סיכונים אלה היא להפחית את חשיפת המערכות. עם זאת, שכיחותן של מערכות חשופות ממשיכה להיות נושא מטריד בנוף אבטחת הסייבר. ככל שטכניקות לסיור וניצול מתפשטות באופן נרחב יותר, האיום של התקפות אופורטוניסטיות גובר, מה שמאפשר לגורמי איום בעלי רמת תחכום נמוכה יותר להשפיע על מערכות קריטיות. דו"ח מספטמבר הדגיש מגמה מדאיגה: אירועי אבטחת סייבר של OT/ICS בשלוש השנים האחרונות עברו את המספר הכולל שדווח בין השנים 1991 ל-2000. נתון זה לבדו מדגיש את האתגרים הגוברים העומדים בפני האחראים על אבטחת סביבות אלה.
הגנה מפני האיום
מסגרות ועדכונים
מתוך הכרה בצורך בתשומת לב מיוחדת, תאגיד MITRE פיתח מטריצת ATT&CK ספציפית ל-ICS, כדי לספק שפה משותפת לתקשורת בין-מגזרית, ולהעצים מגזרים תת-ייצוגיים למנף את המיפויים שלה, ולטפח תקשורת משמעותית בנוגע לסיכונים ואיומים. המטריצה החדשה יחסית ממשיכה להתעדכן בקפידה, כאשר הגרסה האחרונה שוחררה רק בחודש שעבר.
הקישוריות ההדדית בין IT ו-OT
ה OPSWAT MetaDefender Sandbox הצוות, תוך שהוא מתעדכן בעדכונים אלה, מדגיש את הקשר הפנימי בין IT ל-OT, שכן נכסי IT קיימים בכל הרמות של מודל פרדו, ולא רק בחלק העליון.
פגיעה ב-IT מובילה לפגיעה ב-OT. המשיבים מודאגים וחוו בעיקר מאירועי ICS הכוללים איומי תוכנות זדוניות או תוקפים שפורצים לרשת ה-IT העסקית. פרצות אלו מאפשרות לעתים קרובות גישה ומעבר לסביבת ICS/OT. פרצות במערכות IT המובילות לאיומים הנכנסים לרשתות OT/ICS דורגו במקום הגבוה ביותר, ואחריהן פרצות של תחנות עבודה הנדסיות ושירותים מרוחקים חיצוניים.
דוח אבטחת הסייבר של SANS לשנת 2023 בנושא ICS/OT
בחסות OPSWAT
המכנה המשותף: קבצים זדוניים
על פני ספקטרום מתקפות הסייבר הקשורות למערכות ICS, נוכחותם של קבצים זדוניים היא גורם עקבי, ללא קשר לווקטור הכניסה - בין אם מדובר במערכות IT או מערכות OT. כאן פתרונות כמו... MetaDefender Sandbox נכנסים לתמונה. כלים כאלה נועדו לבחון קבצים החוצים את הגבולות המוגדרים של רשת הארגון, מותאמים להקשרים שונים לקבלת ביצועים אופטימליים, כולל בסביבות עם פערים מרוחקים.
Sandbox Adaptive של OPSWAT משלב קבוצות שונות של אינדיקטורים לאיום באמצעות מנתחים פנימיים וכללים ידועים אחרים כמו כללי יארה. שתי ההתקפות שהוזכרו בעבר, כמו Volt Typhoon ו-Sandworm, הסתמכו במידה רבה על קבצים בינאריים של Living-Off-the-Land (LOLBINs), שעבורם... MetaDefender Sandbox מיישם אינדיקטורים רבים. עם זאת, ההתקפה המוקדמת ביותר מציגה דוגמה טובה לשילוב האינדיקטורים עקב זמינות הדגימות. המטען הראשון שדווח הוא סקריפט אצווה המכיל פקודת Powershell מקודדת ב-base64 אשר מפעילה שני אינדיקטורים מעניינים עבור מקרה זה, בין היתר.
מקורו של האינדיקטור שהוצג קודם לכן הוא אמולציית סקריפט, שם ניתן לצפות בו גם באינדיקטורים רלוונטיים אחרים. צילום המסך הבא מציג אינדיקטור שונה בעל חומרה גבוהה יותר, המופעל מתוכן base64 המפוענח של הסקריפט. בנוסף, שני האלמנטים שזוהו ממופים בהתאם באמצעות טכניקות MITRE ATT&CK המתאימות.
בנוסף, אותה התקפה כללה שימוש בדגימות Fast Reverse Proxy אשר, למרות היותן ארוזות ב-UPX, MetaDefender Sandbox הצליח לפרוק את הקובץ, מה שאפשר למספר אינדיקטורים נוספים להתאים בקובץ שחולץ ולזהות את האיום.
איור 3 דוגמת FRP ללא אריזה של Volt Typhoon קישור לדיווח
איור 4 יארה מזהה את הדגימה הלא פרוקה כ-FRP קישור לדיווח
מַסְקָנָה
ככל שנוף האיומים מתפתח, כך גם ההגנות שלנו חייבות להתפתח. OPSWAT המחויבות של לאבטחת רשתות ICS ו-OT נותרה איתנה, וה- MetaDefender Sandbox הצוות מחויב לספק פתרונות מעודכנים באופן פעיל המתמודדים עם אתגרים מתעוררים אלה. הישארו מעודכנים, הישארו מוכנים והישארו בטוחים.
