COLONIAL & JBS – az OT ransomware trend folytatódik

A Colonial Pipeline és a JBS húsfeldolgozó üzemek közelmúltbeli leállása csak a legújabb bizonyítéka egy folytatódó trendnek. A kibertámadások miatti összes OT-leállásért legalább 2020 eleje óta a ransomware-k a felelősek. A mai legfejlettebb zsarolóvíruscsoportok olyan eszközöket és technikákat használnak, amelyek néhány évvel ezelőtt még kizárólag a nemzetállami ellenfelek sajátjainak számítottak: parancsnoki és irányítóközpontok, kézi távműködtetés, hitelesítő adatok ellopása, oldalirányú mozgás, adatlopás és végül titkosítás és zsarolás.

Volt idő, amikor a tulajdonosok és üzemeltetők felismerték a nemzetállami támadások erejét, de azt gondolták magukban, hogy “igen, de én nem vagyok olyan fontos – miért is célozna meg engem egy nemzetállam?”. A válasz ma már egyértelmű: a profit.

A váltságdíjak több millió dolláros nagyságrendűek, amelyeket a zsarolóprogramok áldozatai rendszeresen fizetnek a nemzetállami eszközöket és technikákat használó bűnözőknek. Mely vállalkozások a mai célpontok? Mindenki, akinek pénze van.

Megelőző óvatosság

Ritka kivételektől eltekintve az OT leállások nem a fizikai műveleteket célzó támadók következményei. Ehelyett ezek a leállások vagy azért következnek be, mert a működéshez nélkülözhetetlen IT-rendszerek megbénultak, vagy mert az áldozat vállalat nem bízik eléggé az IT/OT védelmének erősségében. Ilyen bizalom nélkül a tulajdonosoknak és üzemeltetőknek le kell állítaniuk csővezetékeiket és gyártási rendszereiket, hogy megelőzzék az elfogadhatatlan fizikai következmények lehetőségét. Az ilyen leállásokról szóló nyilvános közlések általában olyan kulcsszavakat használnak, mint “megelőző” vagy “óvatosságból”.

Tendenciák: Támadó és védekező

Nem is olyan régen a fizikai működéseket fenyegető leggyakoribb kiberfenyegetés a véletlen leállások voltak, amelyek a hitelkártyalopó kártevők miatt következtek be, amelyeket USB-meghajtókon vittek be egy telephelyre, vagy közvetlenül az internetről töltöttek le egy ipari hálózatba. Ma a tűzfalszabályok, a vírusirtó rendszerek, a tudatossági programok és az eltávolítható adathordozók ellenőrzése drámaian csökkentette az ilyen incidensek gyakoriságát. Az elmúlt 18 hónapban nem érkezett jelentés ilyen támadási vektort használó zsarolóprogramról.

Ehelyett a zsarolóvírus-bandák fokozták a játéktempót. A legtöbb OT-következményekkel járó zsarolóvírus incidens az IT-hálózatok távvezérlését használja. A bandák néha lopott távoli hozzáférési hitelesítő adatokat használnak, hogy közvetlenül bejelentkezzenek az IT-hálózatokba. Gyakoribb, hogy távvezérlő eszközöket juttatnak be az internetnek kitett IT-hálózatokba e-mailes adathalász-támadásokkal vagy drive-by letöltésekkel. Ezek a távvezérlő eszközök visszakapcsolódnak egy interneten található parancsnoki központba, és a támadók kézzel működtetik a támadóeszközöket. Az eszközökkel oldalirányban mozognak az informatikai hálózatokon, amíg nagy értékű célpontokat nem találnak, majd adatokat lopnak és titkosítást indítanak el.

Ön veszélyben van?

Egyszerű módja annak, hogy megállapítsa, hogy a helyszínét fenyegeti-e az ilyen típusú OT-leállás veszélye, az irodai gyakorlat elvégzése. A gyakorlat elvégzésére hívja össze az informatikai, jogi, mérnöki és üzemeltetési csapatokat. Mondja el az IT-nek, hogy zsarolóvírust fedeztek fel a hálózatukon. Hogyan tudják azonosítani, hogy mely gépek érintettek? Meg tudják-e határozni, hogy mely hitelesítő adatokat lopták el, és ezek közül melyeket használták fel? Meg tudják állapítani, hogy ezek a hitelesítő adatok lehetővé tehetik-e a támadás terjedését az IT/OT védelmeken keresztül? Mi történik ezután?

Ha a gyakorlat eredménye az üzemeltetés leállítása, vagy több telephely leállítása, elfogadható ez?

Hogyan lehet nyerni

A legtöbb ipari vállalat elfogadhatatlannak tartja a zsarolóvírusok miatti termelésleállást. A kulcs annak megakadályozásához, hogy a zsarolóvírus az IT-hálózatokból átterjedjen az OT-hálózatokra, a robusztus hálózati szegmentáció:

  • Nézze meg alaposan a fizikai műveleteket. Milyen függőségek vannak az informatikai rendszerektől? Tényleg OT-rendszerekké kell-e válniuk ezeknek az IT-rendszereknek, és át kell-e helyezni őket az OT-hálózatokba? Vagy az ezekből az IT-rendszerekből érkező adatokat előzetesen át kellene továbbítani az OT-hálózatokba, és ott gyorsítótárba kellene helyezni – például egy vagy két hetes gyártási megrendeléseket, minőségellenőrzési megrendeléseket és szerződéses kötelezettségvállalásokat. Ahhoz, hogy egy OT-hálózat túléljen egy informatikai sérülést, tartalmaznia kell az összes olyan rendszert és adatot, amely szükséges ahhoz, hogy a hálózat önállóan működhessen, amíg az informatikai rendszer leáll.
  • Nézzük meg alaposan az IT/OT hálózati kapcsolatainkat. A vállalati tűzfalakat rendszeresen áttörik a célzott támadások, és az IT/OT tűzfalak nem hatékonyabbak, mint a vállalati tűzfalak. Bár a tűzfalaknak mind az IT-, mind az OT-hálózatokban van szerepük, ahhoz, hogy kialakítsuk azt a bizalmat, amelyre szükségünk van ahhoz, hogy a működés az IT-rendszerek megsértése esetén is működjön, az IT/OT interfészen a tűzfalnál erősebbre van szükségünk. A biztonságos helyszínek egyirányú biztonsági átjárókat használnak.

A Watefall Unidirectional Gateway-jei egyszerűek. A tűzfalakkal ellentétben az átjáró hardver fizikailag csak egy irányba képes információt küldeni, a védett OT hálózatokból az IT hálózatokba. És a tűzfalakkal ellentétben az átjárók nem továbbítják a hálózati forgalmat. Ehelyett az egyirányú átjárók másolatokat készítenek a kiszolgálókról. Az IT-hálózatokra másolt leggyakoribb szerverek az OT relációs adatbázisok, a historikus adatbázisok és az OPC-kiszolgálók. Az IT-felhasználók ezután egyszerűen, normálisan és kétirányúan férnek hozzá az IT-rendszerek másolataihoz.

Megjegyzés: A tűzfalakkal foglalkozó szakemberek ne lepődjenek meg, ha megtudják, hogy egyirányúan védett OT-hálózatokkal is használhatnak vírusirtó rendszereket és valóban biztonságos távoli hozzáférést. Végül is a Waterfall Unidirectional Gateway-eit rutinszerűen használják csővezetékek, erőművek, gyártóüzemek és sok más ipari telephelyen világszerte. Minden szokásos üzleti igényre van egyirányú megoldás.

Ne mérsékelje, hanem szüntesse meg
A Waterfall egyirányú átjárói nem mérséklik a célzott támadások kockázatát, hanem az átjárók kiküszöbölik ezeket a kockázatokat. Az enyhítéseket úgy határozzák meg, mint a kibertámadások valószínűségének vagy következményeinek csökkentésére tett kísérleteket. A Waterfall Unidirectional Gateway-jei fizikailag és feltörhetetlenül megakadályozzák, hogy a támadási információk bejussanak a védett OT-hálózatokba. Ha nincs mód arra, hogy az online támadási információk bejussanak az OT-hálózatokba, nem áll fenn annak a kockázata, hogy az online támadások az IT-n keresztül az OT-hálózatokba kerüljenek. A kockázat többé nem létezik.

A kockázat kiküszöbölése feltörhetetlen védelmi eszközökkel a kockázatkezelés olyan megközelítése, amely egyedülálló az OT-rendszerek esetében. A Security PHA Review például elmagyarázza, hogyan lehet a biztonsági rendszereket érintő OT kiberkockázatokat feltörhetetlen fizikai védelmekkel kiküszöbölni. A következményvezérelt, kibertudatos tervezés elmagyarázza, hogyan lehet a fizikai berendezéseket érintő OT kiberkockázatokat feltörhetetlen digitális védelmekkel kiküszöbölni. A biztonságos üzemeltetési technológia (SEC-OT) elmagyarázza, hogyan lehet a folyamatos működést érintő OT kiberkockázatokat feltörhetetlen egyirányú és egyéb fizikai védelemmel kiküszöbölni. Az OT kiberkockázat ilyen módon történő kiküszöbölése egyrészt robusztusabb, mint a kiberbiztonsági enyhítések, másrészt lehetővé teszi az OT kiberbiztonsági programok költségeinek és összetettségének csökkentését is.

A trend előtt

Minden jel arra mutat, hogy a zsarolóvírus-trend az elkövetkező években tovább fog romlani. A nyereségesség a bűnözői eszközök és technikák egyre kifinomultabbá válását eredményezi. A tűzfalakkal és behatolásérzékelő rendszerekkel próbáljuk csökkenteni ezeket a kockázatokat, ami évről évre macska-egér játék, A kockázatcsökkentő eszközök egyre okosabbak, de a támadások is ugyanígy.

Az OT-hálózatokat fenyegető zsarolóvírus kockázatok megelőzése érdekében ne a kiberkockázatokat mérsékelje, hanem szüntesse meg azokat a Waterfall Unidirectional Security Gateway-ekkel.

Ha többet szeretne megtudni a Waterfall egyirányú védelméről, vagy szeretné megvizsgálni, hogy az Ön OT-hálózati kialakításai hogyan profitálhatnak a célzott támadások kockázatának kiküszöböléséből, kérjük, lépjen kapcsolatba a velünk egy ingyenes konzultációért egy egyirányú megoldási tervezővel.

3 mód, ahogy a Ransomware leállíthatja a csővezetéket | Colonial Pipeline Attack Update

Forrás: waterfall-security.com