Jak wynika z trzeciego dokumentu Claroty - Biannual ICS Risk & Vulnerability Report - głośne ataki, jak np. na oczyszczalnię ścieków na Florydzie i amerykański rurociąg naftowy Colonial Pipeline, przeniosły bezpieczeństwo ICS do głównego nurtu zainteresowań. Liczba wykrywanych luk w zabezpieczeniach rośnie - w ciągu całego 2020 r. wzrosła o 25% w porównaniu z rokiem 2019 i o 33% w porównaniu z 2018.
- Ponieważ coraz więcej przedsiębiorstw unowocześnia swoje procesy przemysłowe, łącząc je z chmurą, udostępniają one również cyberprzestępcom więcej sposobów na złamanie zabezpieczeń operacji przemysłowych poprzez oprogramowanie ransomware i ataki o charakterze wymuszenia. Niedawne głośne cyberataki na skalę przemysłową nie tylko pokazały kruchość infrastruktury krytycznej i środowisk produkcyjnych, ale także zainspirowały więcej badaczy bezpieczeństwa do skoncentrowania swoich wysiłków w szczególności na ICS - mówi Amir Preminger, wiceprezes ds. badań w Claroty.
Raport ujawnia również, że luki w oprogramowaniu są zabezpieczane znacznie szybciej niż błędy firmware'u. Około 26% wykrytych luk w zabezpieczeniach albo nie ma dostępnej poprawki, albo jest tylko częściowo naprawione, co wskazuje jak kluczowe jest wyzwanie dotyczące zabezpieczania środowisk OT, w porównaniu ze środowiskami IT.
Najważniejsze ustalenia raportu obejmują:
- 81% z 637 luk w zabezpieczeniach ICS wykrytych w pierwszej połowie 2021 r. zostało znalezionych przez źródła spoza danego dostawcy;
- 71% luk jest sklasyfikowanych na poziomie wysokim lub krytycznym, co odzwierciedla potencjalne ryzyko dla prowadzenia procesów;
- 90% charakteryzuje się podatnością na niską złożoność ataku, co oznacza, że atakujący może za każdym razem oczekiwać powtarzalnego sukcesu;
- 74% nie wymaga uprawnień, co oznacza, że atakujący nie potrzebuje dostępu do ustawień lub plików, a 66% nie potrzebuje interakcji z użytkownikiem, takich jak otwieranie wiadomości e-mail, klikanie linków lub załączników czy udostępnianie poufnych informacji osobistych lub finansowych;
- 61% można wykorzystać zdalnie, co pokazuje znaczenie zabezpieczania połączeń zdalnych;
- 65% luk może spowodować całkowitą utratę kontroli nad zakładem;
- 23,55% wykrytych luk w zabezpieczeniach dotyczyło produktów "zarządzania operacjami" (Poziom 3), takich jak bazy danych historii i serwery OPC, 15,23% dotyczyło produktów "podstawowej kontroli" (Poziom 1), a kolejne - produktów "kontroli nadzorczej" (Poziom 2), takich jak HMI, systemy Scada, stacje robocze i inny sprzęt, który komunikuje się bezpośrednio ze sterownikami PLC czy jednostkami RTU;
- najważniejsze kroki zmniejszające stopień narażenia na cyberataki obejmują segmentację sieci (która dotyczy 59% luk), bezpieczny dostęp zdalny (53%) oraz ochronę przed oprogramowaniem ransomware, phishingiem i spamem (33%);
- więcej badaczy niż kiedykolwiek szuka błędów w produktach ICS i protokołach OT - w pierwszej połowie 2021 r. braki zabezpieczeń ujawniło 42 nowych badaczy, a 20 dostawców ujawniło luki po raz pierwszy publicznie.
Claroty zwraca uwagę, że poprawki i aktualizacje produktów wymagają przestojów, które dla wielu użytkowników nie są akceptowalne. Dlatego środki ograniczające ryzyko mają znaczną wagę dla prowadzenia ochrony, przy czym segmentacja sieci i bezpieczny zdalny dostęp są w pierwszej połowie 2021 r. zaleceniami zdecydowanie przeważającymi.
Źródło: Drives & Controls
