Betriebstechnologie (OT) hat lange Zeit mit modernem zu kämpfen Cybersicherheit Anforderungen, aber die Betreiber stehen jetzt vor einer zunehmend schlechten Cyber-Bedrohung durch Akteure des Nationalstaates. OT ist für die Behandlung von Cyber-Physical-Systemen über Bereiche hinweg, einschließlich Fertigung, Transport und Energie, von wesentlicher Bedeutung, in die Visiere feindliche Schauspieler, die von China, Russland, dem Iran und vielem mehr gestützt werden.
Viele OT -Umgebungen sind jedoch zutiefst unvorbereitet auf die Bedrohung und kämpfen häufig mit wesentlichen Aktivitäten zur Verwundbarkeitsmanagement, die eine Grundlage für zuverlässige Sicherheit haben sollte.
OT-Sicherheitsteams sollten eine Umstellung auf eine Richtlinie des Expositionsmanagements in Betracht ziehen, einen intelligenteren Ansatz, der zuerst die ausbeudigsten, mit hohen Risiken prioritativen Schwachstellen priorisiert. Organisationen, die sich auf OT verlassen, müssen sich bewegen, um die betriebliche Belastung zu verringern und gleichzeitig die Lücken zu schließen, die ihre Systeme für feindliche staatlich unterstützte Akteure offen lassen.
Andrew Lintell
Soziale Links Navigation
Regionaler Vizepräsident bei Tufin.
Warum OT ein Hauptziel für Cyberangriffe des Nationalstaates ist
OT-Umgebungen sind Hauptziele für Akteure und Cyberkriminaler von Nationalstaaten und Cyberkriminellen, die die kritische nationale Infrastruktur (CNI) angreifen. Gegner haben eine Reihe von Zielen, von der Diebstahl von klassifizierten Daten und der Durchführung von Unternehmensspionage bis hin zur Störung der wirtschaftlichen Stabilität.
In den letzten Jahren wurden mehrere hochkarätige Vorfälle mit bekannten Bedrohungsgruppen in Verbindung gebracht. Zum Beispiel sind Volt Taifun und Salztyphoon zwei produktive Gruppen, die mit China verbunden sind und mehrere Angriffe auf die US -Infrastruktur durchgeführt haben.
Volt Typhoon hat eine kritische Infrastruktur einschließlich Kommunikation, Energie und Wasser infiltriert und ist dafür bekannt, dass sie heimliche Taktiken mit niedrigem und schleuderischem Taktik zur Nutzung nativer Werkzeuge und Systeme nutzt. In der Zwischenzeit wird angenommen, dass Salt Typhoon an Exfiltrierungsdaten von ISPs für die Verwendung chinesischer Geheimdienstvorgänge beteiligt ist.
Sandwurm, der eng mit dem militärischen Geheimdienst Russlands verbunden ist, ist eine weitere langjährige Auswahl auf kritische Infrastruktur. Es wird angenommen Malware Entwickelt für industrielle Geräte unter Verwendung spezifischer Protokolle. Sandwurm setzte auch die notorische Notpety -Ransomware aus.
Der Iran hat sich auch als wichtiger Akteur in internationalen Cyberangriffen erwiesen. Die Cyberav3ngers -Gruppe hat US -Wasseranlagen mit beeindruckenden SPS und HMIs angegriffen. Die Gruppe hat auch zivile Infrastruktur mit iocontrol, a Linux-Basis Backdoor für mehrere Standard -OT -Steuerungssysteme.
Während hochrangige APTs wie diese über die Ressourcen und das Know-how für fortschrittliche Tools und Taktiken verfügen, beginnen viele OT-Angriffe mit ungesicherten Geräten, die mit dem Internet verbunden sind und einen klaren Angriffspfad für die Festlegung von Fußgütern in kritischen Systemen bieten.
Nachdem wir fast eine Million OT -Geräte in 270 Organisationen in mehreren Bereichen bewertet hatten, fanden wir anhaltende Hinweise auf Malware in OT -Systemen. Beispielunternehmen in Fertigung, natürlichen Ressourcen sowie Logistik und Transport hatten mehr als 10% ihrer OT -Geräte, die mit böswilligen Bereichen kommunizieren.
Das Problem mit dem traditionellen Verwundbarkeitsmanagement
Das Verwundbarkeitsmanagement ist in den meisten Sektoren ein anhaltendes Problem, kann jedoch im Umgang mit OT -Umgebungen besonders schwierig sein. Zusätzlich zu den großen und kontinuierlich zunehmenden Anzahl von Schwachstellen, die sich ansprechen, müssen OT -Sicherheitsteams auch mit komplexen Netzwerken zu tun, die viele unterschiedliche Vermögenswerte enthalten, häufig mit ihrem eigenen Eigentum anhand ihres eigenen Eigentums Betriebssysteme. OT -Vermögenswerte sind selten mit dem Scannen und dem Scannen kompatibel IT -Management -Tools für Standard -IT -Netzwerke entwickelt.
Infolgedessen haben die Teams häufig Schwierigkeiten, den priorisierten, geordneten Ansatz für Schwachstellen umzusetzen, die erforderlich sind, um den feindlichen Angriffen voraus zu sein.
Von den 270 Organisationen, die wir bewertet haben, hatten 70% mindestens eine bekannte Nutzanfälligkeit (KEV) in ihren OT -Systemen. Zwölf Prozent der fast eine Million in der Studie enthaltenen Geräte enthielten einen KeV, der noch nicht gepatcht werden musste. Schlimmer noch, 40% der Organisationen haben nicht mit dem Internet verbunden, was einen direkten Weg für Cyberangriffe erstellt.
Sicherheitsteams verfolgen oft langsam und ineffizient Patch -Management Programme, denen eine klare Richtung fehlt. Die Priorisierung basiert normalerweise ausführlich auf CVSS-Werten, die den Kontext innerhalb des Unternehmens und damit die reale Ausbeutlichkeit und Auswirkungen der Verwundbarkeit nicht berücksichtigen. Gefährlichere Schwachstellen können übersehen werden, während weniger wichtige Probleme die Ressourcen entziehen.
Der Fall für das Expositionsmanagement
Der Umgang mit gefährdeten OT -Vermögenswerten erfordert einen dynamischeren Ansatz, der durch das tatsächliche Risiko für die Organisation und seine Infrastruktur priorisiert wird. Das Exposure-Management hat sich zu einer der effektivsten Strategien entwickelt, die es Teams ermöglicht, Schwachstellen mit dem bedeutendsten Potenzial für eine reale Ausbeutung zu identifizieren und auf sie zu konzentrieren.
Das Exposure -Management wiegt Prioritäten basierend auf mehreren Risikofaktoren, einschließlich der Identifizierung, welche KEVs in freier Wildbahn aktiv ausgenutzt werden und ob Vermögenswerte durch einen unsicheren Fernzugriff oder falsche Konfigurationen betroffen sind, die das Risiko erhöhen. Die Bewertung berücksichtigt auch die Kritikalität eines Geräts für Geschäftsbetriebe, beispielsweise diejenigen, die die Produktion stören oder Sicherheitsprobleme im Falle eines Verstoßes verursachen würden.
Das Ergebnis ist eine drastisch reduzierte und fokussiertere Aufgabenliste für Sicherheitsteams. Zum Beispiel haben unsere Forschungen rund 111.000 Geräte mit Kevs festgestellt. Aber die Liste durch Schwachstellen filtern, die mit verbunden sind Ransomware und Geräte mit unsicherer Konnektivität reduzieren die Gesamtzahl sofort auf 3.800. Plötzlich ist die Aufgabe um den Faktor 30 geschrumpft, noch bevor mehr Kontext für bestimmte Organisationen angewendet wird.
So beginnen Sie mit der Implementierung des Exposure -Managements in der OT -Sicherheit
Das Expositionsmanagement folgt einem fünfstufigen Prozess, um OT-Schwachstellen zu identifizieren, zu bewerten und zu lösen.
1. Scoping
Der erste Schritt besteht darin, diese OT -Vermögenswerte zu identifizieren, die für den Betrieb am wichtigsten sind, z. B. Produktionsleitungen in der Herstellung oder in der Planung von Steuerungssystemen im maritimen Transport. Dies ist besonders wichtig, um intensive Unternehmen mit einem großen Volumen an Geräten zu verwalten. Ziel ist es, die Anzahl der Vermögenswerte zu verringern, die eine kontinuierliche Sicherheitsinspektion benötigen.
2. Entdeckung
Als nächstes ist diese erste Liste der Vermögenswerte in ein detailliertes Inventar integriert, das sich auf die Geräte mit dem höchsten Risiko konzentriert. Dies muss eine sehr datengesteuerte Methode sein, während umfangreichere und komplexere Vorgänge einen automatisierten Ansatz benötigen, um Discovery überschaubar zu machen.
3. Priorisierung
Das Hochrisikoinventar kann jetzt auf der Grundlage der Schwere priorisiert werden. Wie erläutert, muss dieser Prozess über die grundlegenden CVSS -Werte hinausgehen, um das tatsächliche Risiko von KeVs, dem Konnektivitätsstatus des Vermögenswerts und den potenziellen Auswirkungen eines Verstoßes zu berücksichtigen. Bewertung der Exploit -Vorhersage und Bewertungen für die Wirtschaftsauswirkungen liefern mehr Datenpunkte, um diese Entscheidungen zu informieren.
4. Validierung
Bevor Maßnahmen ergriffen werden, ist es entscheidend, sicherzustellen, dass Schwachstellen ausnutzbar sind und nicht durch Elemente wie geschlossene Ports oder Firewalls blockiert werden. Dies vermeidet es, Ressourcen beim Patching von Schwachstellen zu verschwenden, die auf dem Papier schwerwiegend aussehen, in der Realität jedoch ein geringes Risiko sind.
5. Mobilisierung
Bei all dieser Vorbereitung ist es Zeit, sich zu bewegen. Es ist am besten, das Exposure -Management in vorhandene Sicherheitsworkflows wie Patching und Zugriffskontrolle zu integrieren, wo immer dies möglich ist, um die Dinge effizient zu halten. Organisationen sollten auch versuchen, die Zusammenarbeit zwischen IT, Sicherheit und Operationen durch die Cross-Team zu schaffen, da OT häufig von Standard-IT-Praktiken stark abgesaugt wird.
Verhärten von OT gegen fortgeschrittene Gegner
Das herkömmliche Verwundbarkeitsmanagement fällt nicht für OT -Sicherheitsteams, indem es sich darauf konzentriert, alles zu patchen, anstatt reale Bedrohungen anzugehen. Angesichts der zunehmend aggressiven staatlich unterstützten Akteure lässt dieser ineffiziente Ansatz kritische Infrastruktur anfällig für schwere Sicherheitsvorfälle.
Durch die Identifizierung und Priorisierung von Schwachstellen mit hohem Risiko durch einen Exposure-Management-Ansatz können diese Organisationen schnell und effizient verwaltet und die Abwehrkräfte gegen Nationalstaat Bedrohungen, Ransomware und Cyberkriminale drastisch verbessert.
Wir verfügen über das beste Netzwerküberwachungstool.
Dieser Artikel wurde als Teil des Expert Insights Channel von TechRadarPro produziert, in dem wir heute die besten und klügsten Köpfe in der Technologieindustrie bieten. Die hier geäußerten Ansichten sind die des Autors und nicht unbedingt die von TechRadarPro oder Future Plc. Wenn Sie daran interessiert sind, hier mehr zu ermitteln: https://www.techradar.com/news/submit-your-story-techradar-pro
