Търсене
Close this search box.

Siemens и Rockwell Automation предприемат стъпки за подобряване на киберсигурността в индустриалните организации, но убеждаването на клиентите да инсталират системи за сигурност и да модернизират ICS все още може да бъде предизвикателство.

SecurityWeek разговаря с представители на индустриалните гиганти Siemens и Rockwell Automation, за да разбере как те помагат на клиентите да се справят с някои от най-належащите предизвикателства в областта на киберсигурността.

Кибератаките могат да причинят значителни смущения и загуби на организациите, които разчитат на индустриални системи за управление (ICS) или други оперативни технологии (OT), независимо дали са насочени директно към ICS, като например в случая с неотдавнашните атаки във водния сектор, или засягат ICS непряко, като например при атаките с ransomware, при които въздействието може да се разпространи от ИТ средата.

Siemens ProductCERT, който управлява въпросите на сигурността, свързани с продуктите и услугите на Siemens, заяви пред SecurityWeek, че често се наблюдава кибератаки, които водят до нарушаване на неприкосновеността на личния живот и спиране на производството.

Основната причина при много инциденти е свързана с липсваща или недобра защита на паролите, което често е резултат от това, че интеграторите не използват парола или използват една и съща – често проста – парола в много случаи в опит да опростят обслужването.

Експертите по сигурността на Siemens често виждат системи, които не са актуализирани от години, както и системи, които не са защитени и са изложени на интернет.

Разследванията на индустриалния гигант обикновено разкриват, че фокусът е върху ИТ средата около компонентите на ОТ, а не върху нападателите, които използват уязвимости в самите компоненти на ОТ.

И все пак Siemens ProductCERT е наясно, че използването на уязвимост в продукт, използван от много организации по света, може да бъде опустошително, както показа атаката с рансъмуер WannaCry през 2017 г., която засегна предимно ИТ системите, но представляваше риск и за ICS.

Атаката WannaCry, която експлоатираше уязвимост в SMB, наречена EternalBlue, засегна медицински устройства от няколко доставчици, включително Siemens, които тогава пуснаха кръпки, за да предотвратят експлоатирането.

Същият експлойт EternalBlue беше използван няколко седмици след атаката WannaCry в атаката със зловреден софтуер NotPetya, която причини значителни загуби на много големи компании.

За Джошуа Нютън, който се занимава с продуктова сигурност в групата за услуги през жизнения цикъл на Rockwell Automation, атаката NotPetya е най-добрият пример за значителна атака, засегнала ICS средите, тъй като кибератаката наруши цялостната дейност на производителите и оказа сериозно въздействие върху глобалната верига за доставки.

„При повечето обстоятелства ИТ мрежата е векторът на атаката, а непоправените или излезли от употреба операционни системи Windows за индустриални системи за управление са лесни мишени, които могат да причинят смущения, ако не и щети“, каза Нютон пред SecurityWeek.

От тези изявления става ясно, че глобални събития като WannaCry и NotPetya са основна грижа за гигантите в областта на индустриалната автоматизация. И така, какво правят Siemens – по-конкретно неговият екип ProductCERT – и Rockwell Automation, за да помогнат за защитата на клиентите от подобни инциденти?

Първоначално ICS не е била проектирана с оглед на киберсигурността – мнозина твърдят, че такива устройства не могат да бъдат хакнати поради това, че са напълно изолирани от останалата част на мрежата – но сближаването между ИТ и ОТ и нарастващата необходимост от отдалечен достъп до индустриалните системи накара доставчиците на ICS да възприемат нов подход и да инвестират значителни ресурси в киберсигурността.

В допълнение към създаването на собствени екипи и звена за киберсигурност, предоставящи услуги и решения за сигурност на клиентите, индустриални гиганти като Siemens и Rockwell Automation се обединиха със специализирани фирми за цялостна индустриална киберсигурност.

Siemens, например, работи с Palo Alto Networks и Nozomi Networks, докато Rockwell работи с Claroty, Dragos и Fortinet, а миналата година дори придоби компанията за ICS/OT сигурност Verve.

Целта на звеното ProductCERT на Siemens е да повиши прозрачността и да помогне на клиентите да вземат информирани решения по отношение на обработката на уязвимости.

Siemens ProductCERT публикува съвети за сигурност всеки Patch Tuesday, като се занимава със стотици уязвимости всяка година, което според него е по-скоро доказателство за фокуса на компанията върху сигурността, отколкото индикация, че нейните продукти са по-уязвими от тези на други производители.

„Броят на проблемите със сигурността, които Siemens открива, обработва и разкрива на интеграторите и клиентите, е сравним с този на големите ИТ доставчици и превъзхожда повечето доставчици на продукти за операционната техника“, заявиха от Siemens ProductCERT.

ProductCERT работи с други продуктови екипи за разширяване на процеса на обработка на уязвимостите с помощта на автоматизация, като същевременно е в крак с новите стандарти и нуждите на клиентите.

По-конкретно, препоръките на Siemens са налични в машинночетим CSAF формат в опит да се поддържат автоматизирани процеси.

„Клиентите, които се интересуват от сигурността на своята система, вече могат да имат яснота, че без пачове и ъпгрейд в инсталацията им се натрупват сериозен брой уязвимости за много кратко време“, заяви екипът на Siemens ProductCERT.

Той добави: „Това документирано състояние на тяхната система е важно. Сега ръководството може да го съпостави с разходите за актуализация и да вземе решение. Без подходяща прозрачност на уязвимостите хората, отговорни за системата, биха били слепи в това отношение“.

В крайна сметка обаче все още зависи от клиента дали ще внедри пачове за сигурност, а много индустриални организации все още се колебаят поради потенциалните смущения, причинени от актуализациите.

На първо място, Siemens ProductCERT отбеляза, че оценката на въздействието и експозицията на дадена уязвимост по веригата на доставки може да бъде скъпа задача, която често трябва да се извършва ръчно. „Индустрията все още не е открила по-ефикасен начин за постигане на тази цел“, заяви тя.

„Дори и след инвестиране на бюджет за създаване на осведоменост относно текущата позиция по отношение на сигурността и състоянието на софтуерните пачове, прилагането на идентифицираните пачове може да бъде предизвикателство, тъй като може да бъде засегната наличността на системите“, обясниха от Siemens ProductCERT. „Голямото разнообразие на видовете кръпки между производителите също предполага риск от въвеждане на несъвместимости в работеща преди това система. Заедно с това съществува и опасението, че определени конфигурации могат да бъдат засегнати, тъй като производителят няма как да гарантира, че всички възможни сценарии се поддържат специално за наследените системи.“

„Трябва да вземем предвид и това, че най-важното колебание изглежда е свързано с финансовите и бизнес изискванията. Поддържането и актуализирането на инфраструктурата се разглежда като фактор, свързан с разходите, а не като неотменна необходимост за поддържане на бизнеса“, се казва още в доклада. „И няма стимул или мандат за някакъв прозорец за поддръжка на кръпките.“

Rockwell Automation обърна внимание на друг аспект на сигурността на ICS/OT: убеждаването на клиентите да приемат сигурността сериозно и да инвестират в нея.

Първо, убеждаването на клиентите да отделят средства за киберсигурност на ОТ, което според Нютон от Rockwell всъщност е разговор за риска.

„Цената на едно събитие, въз основа на потенциалното въздействие върху производството. Това е нещо, което може да се определи количествено. През годините ми като консултант по мрежова сигурност на ОТ това бяха разговори, основани на качествени предположения, и се използваха за вземане на проектни решения в реално време. Клиентите обаче стават все по-изтънчени и преминават към по-количествена, основана на данни обосновка за профилиране на риска“, обяснява Нютон.

Травис Тидуел, старши мениджър продажби в звеното за услуги за киберсигурност на Rockwell Automation, даде пример от окопите.

„Неотдавна във водещ производител на потребителски стоки извършихме оценка на риска в заводите, интервюирахме заинтересованите страни на ниво завод, изготвихме стратегия с директора по сигурността на информационните системи, прегледахме мрежовите архитектури на заводите и дестилирахме тази работа до идентифициране на най-рисковите елементи“, каза Тидуел. „Тъй като беше направена бизнес обосновка, екипът успя да създаде и одобри бюджет и програма за сигурност въз основа на тези усилия.“

По-големият проблем е да се убедят клиентите да подменят старото и несигурно оборудване и да се преодолее манталитетът „не е необходимо да се подменя, докато все още работи“, който е широко разпространен в много индустриални организации.

„Това все още е разговор за риска, но в някои отношения е по-труден“, казва Нютон. „При повечето обстоятелства модернизирането на системите за управление не е просто. Фамилиите системи за управление са плътно вплетени в поддръжката на версиите и функционалността си и обикновено ще изискват обновяване на цялата система, а не само на едно устройство.“

Тидуел добави: „Освен това проектът за модернизация на оборудването обикновено попада в бюджета на управителя на завода и може да изисква сътрудничество между управителя на завода и CISO за финансиране на проекта. Въвеждането на контрол върху сигурността най-вероятно е по-евтино от проекта за модернизация. Следователно може да се наложи контролът върху сигурността да бъде въведен, докато се работи по плана за по-големия проект за модернизация.“

Което води до убеждаване на организациите да внедряват продукти за киберсигурност и до уверяването им, че те няма да предизвикат смущения в промишлените процеси.

„Исторически погледнато, методологията е била да се избягва внедряването на контроли за сигурност, които имат възможност да повлияят на производството или да станат причина за престой на предприятието. Ето защо системите за откриване на прониквания (IDS) като Claroty и Dragos бяха толкова популярни. Друг популярен метод е сегментирането, но винаги трябва да разясняваме, че сегментирането не е контрол на сигурността сам по себе си, а средство за прилагане на контрол на сигурността“, каза Нютон.

„Въпреки това през последните няколко години има клиенти, които узряват за по-превантивни контроли, като например функции за откриване и реагиране на крайни точки (Endpoint Detection & Response – EDR) и защитна стена от следващо поколение, които имат способността да блокират потенциално злонамерена дейност“, добави той.

От друга страна, експертът казва, че това все още е преобладаващо предизвикателство. „Средата на ОТ все още се бори с най-основните мерки за намаляване на риска, като пачове и актуализации. Дори доверените консултанти по киберсигурност на OT с доказан опит обикновено не са достатъчни“, обясни Нютон.

Най-добрият подход според Нютон „е чрез ангажименти за доказване на концепцията (Proof of Concept – PoC), при които представителна подгрупа от системата се тества с технология за сигурност и чрез успеха на този PoC може бавно да се изгради доверие.“

Източник: SecurityWeek 

Източник: По материали от Интернет

Подобни публикации

2 декември 2024

Две болници в Англия са засегнати от кибератаки...

Миналата седмица две болници на Националната здравна служба (NHS) в...
2 декември 2024

Арестуваха Михаил Павлович Матвеев

Руските власти съобщават, че са арестували Михаил Павлович Матвеев,...
2 декември 2024

6 ключови действия за спазване на разпоредбите ...

NIS2, PCI DSS, GDPR, HIPAA или CMMC… този дълъг списък от сък...
2 декември 2024

Микролайнерът на този стартъп обещава по-евтин ...

Годината беше трудна за стартиращите компании за въздушни таксита. ...
1 декември 2024

Evil Twin WiFi Attack: Ръководство "Стъпка по с...

Добре дошли в задълбоченото изследване на WiFi атаките на злите бли...
1 декември 2024

Клуб от италианската Серия А стана жертва на ра...

Футболен клуб „Болоня 1909“ потвърди, че е претърпял атака с цел от...
30 ноември 2024

Загубите от хакове и измами с криптовалути прод...

През ноември загубите на криптовалута от хакове и измами  отново на...
30 ноември 2024

Интервю с Anonymous

В случая с хакера, известен като SPYDIRBYTE, може да се каже, че зл...
Бъдете социални
Още по темата
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
01/12/2024

Evil Twin WiFi Attack: Ръко...

Добре дошли в задълбоченото изследване на...
26/11/2024

Коя стратегия за ъпдейтване...

Тъй като атаките стават все по-непредсказуеми...
Последно добавени
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!