Armis визначає найбільш уразливі пристрої OT і ICS в галузях критично важливої інфраструктури

Підвищені ризики для промисловості, комунальних служб і транспорту

САН-ФРАНЦИСКО - 12 червня 2023 р. – Armis, провідна компанія в галузі контролю та безпеки активів, сьогодні опублікувала нове дослідження, в якому визначила найбільш ризиковані пристрої, що становлять загрозу для критично важливих галузей інфраструктури: промисловості, комунальних послуг та транспорту. Дані, проаналізовані на платформі Armis Asset Intelligence and Security Platform, яка відстежує понад три мільярди активів, показали, що пристрої операційних технологій (operational technology, OT) і промислових систем управління (ПСУ, industrial control systems, ICS), які становлять найбільший ризик для цих галузей, - це інженерні робочі станції, сервери SCADA, сервери автоматизації, архіватори та програмовані логічні контролери (ПЛК, programmable logic controllers, PLCs).

Розставлення пріоритетів та управління вразливостями залишається проблемою

Дослідження Armis показало, що інженерні робочі станції — це ОТ-пристрої, які зазнали найбільшої кількості спроб атак в галузі за останні два місяці, за ними йдуть SCADA-сервери. П'ятдесят шість відсотків інженерних робочих станцій мають щонайменше одну невиправлену вразливість критичного рівня (Common Vulnerabilities and Exposures, CVE), а 16% вразливі до щонайменше однієї уразливості, виявленої більш ніж 18 місяців тому, яка була використана як зброя.

Джерела безперебійного живлення (ДБЖ, Uninterruptible Power Supplies, UPS) є третім типом пристроїв, які зазнали найбільшої кількості спроб атак за останні два місяці. Попри те, що ДБЖ є критично важливими для забезпечення безперервності роботи у випадку відключення електроенергії, дані показали, що 60% пристроїв UPS мають щонайменше одну невиправлену вразливість критичного рівня, яка, як показав TLStorm, потенційно може призвести до того, що зловмисники завдадуть фізичної шкоди самому пристрою або іншим активам, підключеним до нього.

Іншим прикладом є програмовані логічні контролери (ПЛК, Programmable Logic Controllers, PLCs), 41% з яких мають щонайменше одну невиправлену вразливість критичного рівня. Ці застарілі пристрої є дуже важливими, оскільки атака на них може призвести до порушення основних операцій, але дослідження показало, що вони можуть бути вразливими до таких факторів ризику, як застаріле обладнання та застаріле програмно-апаратне забезпечення.

Ряд додаткових пристроїв становлять ризик для виробничих, транспортних та комунальних підприємств, оскільки вони мають щонайменше одну шпигунську CVE, виявлену до січня 2022 року: 85% зчитувачів штрих-кодів, 32% промислових керованих комутаторів, 28% IP-камер та 10% принтерів

Для галузей OT характерна наявність декількох локацій, декількох виробничих ліній і складних ліній дистрибуції з величезною кількістю як керованих, так і некерованих пристроїв у мережах. У цьому контексті розуміння того, звідки походить ризик і що потрібно для його усунення, є значним викликом і може стати перешкодою в управлінні вразливостями, створюючи точку входу для зловмисників.

У середовищі ІКС досить часто зустрічаються вразливі пристрої, тому фахівцям необхідно бачити, які активи є в їхній мережі, і мати додаткову інформацію про те, що ці пристрої насправді роблять. Контекстні дані дозволять командам визначити, який ризик кожен пристрій становить для середовища ОТ, щоб вони могли визначити пріоритетність усунення критичних та/або керованих вразливостей, щоб швидко зменшити поверхню атаки.

Існує потреба у співпраці між командами ОТ та ІТ

За останні роки індустрії ОТ значно змінилися завдяки конвергенції ОТ та інформаційних технологій (ІТ). Це зближення зумовлює новий етап індустріальної ери та уможливлює крос-доменну співпрацю, але на практиці уніфіковане управління обома середовищами ще не відбулося. Оскільки команди OT зосереджені на підтримці промислових систем управління, зменшенні ризиків для OT і забезпеченні загальної цілісності в операційних середовищах, обов'язки, пов'язані з ІТ, залишилися осторонь.

Чотири з п'яти найризикованіших пристроїв працюють під управлінням операційних систем Windows, що свідчить про те, що базове розуміння ризиків активів і захист вразливих активів все ще залишається проблемою для ІТ- та OT-команд.

Armis проаналізувала типи пристроїв і виявила, що багато з них є більш вразливими до зловмисних дій, оскільки використовують протокол SMBv.1, операційні системи, в яких закінчується підтримка (end-of-support), та багато відкритих портів. SMBv.1 — це застарілий, незашифрований і складний протокол з вразливостями, які були використані під час сумнозвісних атак Wannacry і NotPetya. Експерти з безпеки раніше радили організаціям повністю припинити його використання, але дані показують, що він все ще займає провідне місце в цій галузі.

З точки зору організації, застосування ризикоорієнтованого підходу до управління вразливостями має йти пліч-о-пліч зі спільною роботою відділів OT та ІТ, щоб допомогти координувати зусилля з пом'якшення наслідків вразливостей. Міжвідомчі проєкти допоможуть оптимізувати управління процесами та ресурсами, а також досягти більшого рівня відповідності та безпеки даних. Загалом, щоб впоратися з викликами нової індустріальної ери, фахівцям з безпеки потрібне рішення для конвергенції ІТ/ОТ, яке захищає всі активи, підключені до мережі.

Платформа Armis Unified Asset Intelligence Platform виявляє всі підключені активи, відображає комунікації та взаємозв'язки між ними, а також додає контекстну аналітику, щоб допомогти зрозуміти їх оточення і ризики, які вони можуть становити для бізнесу.

Платформа створена для захисту як ОТ-, так і ІТ-середовищ і може приймати значущі сигнали від сотень ІТ- та ОТ-платформ. Хмарний механізм виявлення загроз Armis використовує машинне навчання і штучний інтелект, щоб виявити, коли пристрій працює за межами своєї звичайної "відомої" базової лінії, і запускає автоматичну реакцію для полегшення управління загальною поверхнею атаки.

Armis була визнана ISG лідером у сфері ОТ-безпеки 3-й рік поспіль у звіті за 2022 рік “ISG Provider Manufacturing Security Services: OT Security Solutions”. А також була названа кращим постачальником 3-й рік поспіль в Gartner “Market Guide for Operational Technology Security.”

Armis зупиняє загрози та захищає глобальні організації, а також допомагає комунальним підприємствам, транспортним компаніям та провідним виробникам залишатися онлайн 24/7, 365 днів на рік.

Методологія

Компанія Armis розрахувала ризик пристроїв, проаналізувавши всі пристрої на платформі Armis Asset Intelligence and Security Platform і визначивши, які типи мають найбільш серйозні фактори ризику та/або загальні вразливості та загрози (CVE). Крім того, зважений вплив мали рівень впливу на бізнес і захист кінцевих точок.