כאשר ל לדווח חשף 56 נקודות תורפה חדשות ב-10 מוצרים של ספקי טכנולוגיה תפעולית (OT) בשנה שעברה, מומחים שיבחו זאת כקריאת השכמה לתעשייה. המחקר הדגיש בעיה אנדמית בציוד OT: צורך בשיטות עבודה מומלצות בסיסיות יותר של אבטחה לפי עיצוב. העובדה שלשלושה רבעים מאותם מוצרים שהוערכו מכילים נקודות תורפה היו בעלי אישורי אבטחה תקפים אמורה לגרום לעצבנות נוספת בקרב מנהלי IT/OT.
השורה התחתונה היא שהבעיות המודגשות בדוח כל כך עמוקות שסביר שלא יפתרו בכל התעשייה בקרוב. זה מטיל את האחריות על תוכניות אבטחה ארגוניות כדי להבטיח שסיכון OT מנוהל באותה תשומת לב לפרטים כמו ה-IT.
מה ולמה של OT
בעוד שמערכות IT מנהלות מידע ויישומים, OT מכסה את החומרה והתוכנה המשמשות לניטור ובקרה על העולם הפיזי. זה יכול להיות כל דבר, החל מכספומט למערכת בקרה תעשייתית (ICS), רובוט מפעל ועד לבקר לוגי ניתן לתכנות (PLC). ניתן למצוא את הטכנולוגיה בצורה הברורה ביותר ברצפת המפעל. אבל זה משתרע על מגוון עצום של תעשיות מעבר לייצור, כולל שירותי בריאות, נפט וגז, שירותים ותחבורה.
מבחינה היסטורית, מערכות OT לא היו מחוברות לאינטרנט, והמכשירים נטו להיות בנויים ייעודיים ומריצים תוכנות מיוחדות. משמעות הדבר היא שהתייחסו לאבטחה כאל מחשבה שלאחר מכן. עם זאת, לרוב הציוד יש קישוריות כיום, כלומר תוקפים מרוחקים יכולים לחקור אותו לאיתור נקודות תורפה. במקביל, הוא מריץ לעתים קרובות את Windows או תוכנות מסחריות אחרות. זה הופך אותו למטרה אטרקטיבית.
מכיוון ש-OT שולט בתהליכים פיזיים, פרצות אבטחה עלולות לאפשר לתוקפים לחבל או לשבש פעולות קריטיות. נקודות קצה פגיעות עשויות לשמש אפילו כאבן דרך לרשתות IT לגניבת נתונים רגישים. אחד דו"ח 2022 טוען ש-83% מהארגונים סבלו מהפרת OT ב-36 החודשים הקודמים. על פי נתונים שצוטטו על ידי מקינזי, העלות לאירוע של התקפות חמורות יכולה להגיע עד 140 מיליון דולר. זה לא רק ארגוני סיכונים פיננסיים חייבים לשקול. OT מוסדר גם על ידי 2 ש"ח דירקטיב ומקבילה בבריטניה.
מהן הסיכונים?
האופי המיוחד של OT פירושו שמערכות חשופות לסיכוני סייבר מסוימים שאולי לא חלים על סביבות IT. הם כוללים:
- שימוש בפרוטוקולי תקשורת מדור קודם ובלתי מאובטחים
- ספקים שלא שמים לב מספיק לניהול פגיעות
- מחזורי חיים של חומרה של 10+ שנים, כלומר מנהלי מערכת נאלצים להפעיל מערכות הפעלה/תוכנות מיושנות
- אתגרי תיקון, מכיוון שלעתים קרובות לא ניתן לקחת ציוד במצב לא מקוון כדי לבדוק עדכונים (גם אם הם זמינים)
- ציוד ישן מכדי לפרוס אליו פתרונות אבטחה מודרניים
- אישורי אבטחה שאינם מזהים פגמים חמורים, ומעניקים למנהלים תחושת ביטחון מזויפת
- בעיות אבטחה לפי תכנון שאינן מדווחות/מוקצות CVE, כלומר הן עפות מתחת לרדאר
- צוותי IT/OT מוצקים, שיכולים ליצור פערים בנראות, בהגנה ובזיהוי
- סיסמאות לא מאובטחות ותצורות שגויות (אם כי זה נפוץ גם בסביבות IT)
מנקודת מבט טכנית, ה דוח פורסקאוט שצוטט קודם מדגיש מספר קטגוריות של פגיעות במוצרי OT רבים:
- פרוטוקולים הנדסיים לא מאובטחים
- קריפטוגרפיה חלשה או סכימות אימות שבורות
- עדכוני קושחה לא מאובטחים
- ביצוע קוד מרחוק (RCE) באמצעות פונקציונליות מקורית
כיצד להפחית סיכונים ממערכות OT
לפי אבטחת IT, הגנה לעומק היא הדרך הטובה ביותר לצמצם את סיכוני הסייבר של OT. לדברי קרלוס בואננו, ארכיטקט פתרונות ראשי לטכנולוגיה תפעולית (OT) בארמיס, זה מתחיל בנראות של נכסי OT ולאחר מכן תיקון מהיר.
"מכיוון שזה נפוץ מאוד שלסביבות OT יש נכסים פגיעים, ארגונים צריכים ליצור מלאי נכסים מקיף של הרשת שלהם ולקבל מידע נוסף על מה הם הנכסים האלה ומה הם בעצם עושים", הוא אומר ל-ISMS.online. "נתונים קונטקסטואליים מאפשרים לצוותים להגדיר איזה סיכון כל מכשיר מהווה לסביבת ה-OT ולהעריך את ההשפעה העסקית שלהם, כך שהם יכולים לתעדף תיקון של פגיעויות קריטיות ו/או מנוצלות בנשק כדי לצמצם את משטח ההתקפה במהירות."
להלן רשימת בדיקה מהירה לארגונים:
גילוי/ניהול נכסים: אתה לא יכול להגן על מה שאתה לא יכול לראות. אז, הבן את ההיקף המלא של OT בארגון.
תיקון מהיר וסריקה רציפה: יש לסרוק באופן רציף נכסי OT לאיתור נקודות תורפה לאחר גילוי. ותוכנית תיקון מבוססת סיכונים יבטיח ש-CVEs יועדפו ביעילות. שקול לבנות סביבת בדיקה לא קריטית עבור תיקונים. ואם לא ניתן לתקן נכסים מסוימים, שקול חלופות, כמו תיקון וירטואלי, פילוח רשת, SIEM וניטור שלמות.
ניהול זהות וגישה: פרוס בקרות גישה מבוססות תפקידים, עקוב אחר העיקרון של מינימום הרשאות ותמך באימות רב-גורמי (MFA).
הִתפַּלְגוּת: הפרד ארגונית מרשתות OT, ופלח רשתות OT, כדי להכיל את התפשטות תוכנות זדוניות.
מניעת איומים: פרוס פקדים כגון זיהוי חדירה (IDS), תוכנת AV וכלים לבדיקת תקינות הקבצים כדי למנוע ולזהות תוכנות זדוניות.
הצפנה וגיבוי: הגן על נתוני OT במצב מנוחה ובמעבר וקבל גיבויים כדי להפחית את ההשפעה של תוכנות כופר.
פירוק ממגורות IT-OT
ככל שמערכות OT ו-IT מתלכדות בארגונים רבים, איומים שפעם היו מוגבלים ל-IT, כגון פשרה מרחוק, הופכים שכיחים יותר עבור מערכות תעשייתיות. לכן, מניעה, זיהוי והתגובה לאיומים כאלה ידרשו יותר אינטראקציה בין צוותי IT ו-OT. צוותי OT יכולים ללמוד הרבה מהניסיון ש-IT בנה במהלך השנים בנושא בקרות אבטחה, ולשניהם יש אינטרס מובהק בהמשכיות עסקית.
"על ידי עבודה משותפת, צוותי IT ו-OT יכולים לזהות ולצמצם סיכוני אבטחת סייבר המשפיעים הן על סביבות ה-IT והן על OT, ובכך להגן על הארגון מפני התקפות סייבר", אומר המנהל הטכני של Trend Micro UK & Ireland, Bharat Mistry, ל-ISMS.online. "בנוסף, שיתוף פעולה בין הצוותים ישפר את היעילות של צוותי תפעול האבטחה ובסופו של דבר יעזור להפחית עלויות."
מנקודת מבט של ציות, הדבר עשוי לדרוש מהארגון לחרוג מהמגבלות של ISO 27001 ולחפש אישורים משלימים בתחום ה-OT.
"אנחנו רואים מסגרות כמו ISO 27001 בשימוש ב-IT ארגוני ובמסגרות מותאמות או מותאמות כמו IEC 62443 עבור OT", מסביר מיסטרי. "על הנייר, יש חפיפה מסוימת בין אלה, אבל במציאות, המסגרות הללו הן נקודות התחלה ולעיתים מותאמות אישית כדי להתאים לסביבת הארגון".
בסופו של דבר, זה האינטרס של כולם לעבוד יחד, אומר Buenano של ארמיס.
"מנקודת מבט ארגונית, גישה מבוססת סיכונים לניהול פגיעות חייבת ללכת יד ביד עם מחלקות OT ו-IT שעובדות יחד כדי לסייע בתיאום מאמצי הפחתה", הוא מסכם. "פרויקטים חוצי-מחלקות יסייעו לייעל את ניהול תהליכים ומשאבים ולהשיג תאימות ואבטחת נתונים גדולים יותר."
