Основы промышленной кибербезопасности могут помочь защитить операторов операционных технологий в Азиатско-Тихоокеанском регионе: Драгос

По словам директора по реагированию на инциденты компании по кибербезопасности операционных технологий Драгоса Лесли Кархарта, промышленная кибербезопасность в Азиатско-Тихоокеанском регионе по-прежнему отстает от безопасности предприятий, однако наличие элементарной гигиены и плана действий — это «лучше на несколько световых лет», чем ничего.

Кархарт рекомендует операторам промышленных технологий, крупным и мелким в Азиатско-Тихоокеанском регионе, осознать, что все они могут стать целями, в том числе со стороны государственных субъектов, желающих украсть информацию или подготовиться к будущему геополитическому событию, а также разработать и протестировать планы реагирования на инциденты.

Зрелость промышленной кибербезопасности все еще отстает от предприятий

В такой стране, как Австралия, операторы промышленных технологий имеют средний уровень зрелости безопасности. По словам Кархарта, операторы часто знают, что необходимо сделать со стратегической точки зрения, и начали добиваться большей зрелости, но им все еще предстоит заполнить ряд пробелов.

«Возможно, они уже начали разрабатывать план, но еще не проверили его, чтобы убедиться, что каждая его часть работает. Существует искушение составить план и принять на себя возможности в области кибербезопасности, критической инфраструктуры, промышленных сред OT, не проверив их полностью самостоятельно».

Драгош видел организации, реализующие планы реагирования на инциденты и мониторинг безопасности; это ставит их на «световые годы впереди» тех, у кого нет плана, гонораров или команды по кибербезопасности, но Кархарт сказал, что им необходимо проверять предположения, чтобы делать тактические действия, лежащие в основе стратегии.

TechRepublic Premium: загрузите политику реагирования на инциденты прямо сейчас

«Часто встречаются стоп-блоки, где они могут сказать: «Мы предполагали, что у нас есть инвентаризация активов, но она не актуальна», или «мы предполагали, что у нас есть журналирование, но оно не является полным», или «мы предполагали, что у нас есть резервные копии, которые мы можем восстановить из в нашей промышленной среде», — уточнила она.

«В корпоративной среде это довольно зрелая ситуация — у них отличный персонал, зрелые программы, планы по кибербезопасности, — но когда вы переходите на OT, это другой ландшафт, другой уровень зрелости, и этого материала просто не существует. с тем же уровнем практического использования».

Три основные проблемы, влияющие на безопасность промышленных технологий

Существует ряд проблем, которые мешают операторам отраслевых технологических сред догнать предприятия, когда дело касается кибербезопасности.

Связь между промышленными процессами и кибербезопасностью

По словам Кархарта, между командами инженеров-технологов и теми, кто отвечает за кибербезопасность в сфере промышленных технологий, существуют «десятилетия недопонимания». Большая часть этой «человеческой проблемы» сводится к недопониманию «приоритетов и терминологии».

СМОТРИТЕ: Как перенапряжение в области кибербезопасности создает риск для организаций Азиатско-Тихоокеанского региона

«Мы пытались навязать корпоративные средства контроля кибербезопасности в производственных средах, но вы просто не можете этого сделать из-за таких вещей, как присутствие поставщика, возраст и чувствительность оборудования. Может быть трудно добиться прогресса в реализации современных средств контроля безопасности».

Технические проблемы из-за действующего технологического оборудования

Большая часть рынка промышленных технологий использует устаревшее оборудование, контролируемое поставщиками. Кархарт сказал, что из-за большого присутствия производителей оригинального оборудования в среде промышленных технологий это может ограничить возможности организаций в области кибербезопасности.

Чувствительность эксплуатационных технологических процессов и оборудования

По словам Кархарта, организации, эксплуатирующие промышленные технологии, «могут иметь только один перерыв в техническом обслуживании в год, когда они могут работать с оборудованием», и они имеют дело с оборудованием, которое часто используется в течение длительных периодов времени, часто со сроком службы до 20 лет.

«Вы, конечно, не можете внедрить современные средства контроля безопасности на основе агентов. Ни один из инструментов безопасности, которые вы видите на конференциях по безопасности для корпоративных сред, таких как инструменты XDR или EDR, не работает хорошо в технологических средах из-за всех этих вещей», — сказал Кархарт.

Три основные киберугрозы, с которыми столкнутся промышленные технологии в 2024 году

Есть три основные угрозы, с которыми сталкиваются операторы операционных технологий. На каждую группу приходится около трети угроз, с которыми, по мнению Драгоса, сталкиваются отрасли промышленности развитых стран.

Широко распространенное вредоносное ПО и программы-вымогатели

Промышленные организации являются основной мишенью для обычных вредоносных программ и программ-вымогателей. По словам Кархарта, они становятся «привлекательной мишенью для преступников», потому что они с большей вероятностью будут уязвимы для атак, и, поскольку они делают важные вещи, существует вероятность, что люди заплатят выкуп.

Кархарт сказал, что вредоносное ПО и программы-вымогатели влияют на промышленную среду из-за отсутствия инструментов безопасности и зрелости. Хотя они не обязательно могут напрямую влиять на технологическое оборудование, они могут нарушать работу таких устройств, как экраны, которые операторы используют, чтобы проверить, безопасно ли все работает.

Недавние данные отчета Dragos OT «Обзор кибербезопасности за 2023 год» показали, что 13 инцидентов с программами-вымогателями затронули промышленные организации страны. Атака LockBit 3.0 на DP World, хотя программа-вымогатель не была развернута, привела к остановке операций наземных портов на три дня и «привлекла внимание к возможности каскадного воздействия и воздействия программ-вымогателей на промышленные операции, цепочки поставок и потребителей», — говорится в заявлении Драгоса.

Инсайдерские угрозы

Инсайдерские угрозы часто не являются злонамеренными или преднамеренными, но все же могут иметь «огромные последствия», сказал Кархарт. В некоторых случаях работники могут неправильно применять меры безопасности, испытывать трудности из-за плохих человеческих отношений внутри компании или неправильно понимать, как правильно выполнять свою работу.

Примеры включают обход средств контроля ИТ-безопасности, например, когда система подключается напрямую к сотовому или двойному Интернет-соединению или кто-то вносит USB-накопитель. Эти угрозы могут повлиять на чувствительное технологическое оборудование и могут оставаться незамеченными в течение месяцев или лет.

Передовые преступные группы или государственные субъекты

Третья категория угроз исходит от продвинутых групп противника государственного типа. Они занимаются:

Промышленный шпионаж. Эта деятельность особенно наблюдается в таких отраслях, как производство и производство продуктов питания, где злоумышленники врываются, чтобы узнать, как выполняются процессы, а затем крадут их. Создание разведки и доступа: государственные субъекты закрепляются в отраслях и инфраструктуре, чтобы они могли что-то делать, когда это «геополитически целесообразно в будущем».

«Группы противников государства — и некоторые преступные группы — начали создавать большие базы данных с информацией о том, как настроена среда, поэтому, если есть причина сделать что-то вредоносное в будущем, они знают, как это сделать, и у них есть доступ к этому. — сказал Кархарт.

Все промышленные организации являются мишенью, независимо от их размера.

Промышленные операторы часто удивляются, когда сталкиваются с реальным киберинцидентом; Кархарт сказал, что они часто ставят галочки ради проверок или ради регулирования. В подобных случаях они никогда не тренировались, не тренировались и не имели плана, что делать в случае нападения.

Кархарт предупредила, что атака может застать врасплох любого. «Я не могу сосчитать количество случаев, когда люди говорили: «Мы не думали, что это случится с нами, мы не должны были быть целями, поэтому мы никогда толком не отрабатывали свой план», — сказала она.

Промышленные организации могут быть привлекательными целями по разным причинам.

Опыт Драгоса в этой области показывает, что небольшие организации часто становятся объектами нападения, потому что они являются легкой мишенью для преступников, которые могут легко заработать немного денег на многих организациях. «Они также являются объектом нападок со стороны штатов, потому что они служат хорошей проверкой против более крупных компаний или могут стать путем в более крупную компанию», — добавил Кархарт.

Более крупные компании могут думать, что они защищены большими командами и бюджетами по кибербезопасности. «Но наличие большой архитектуры может затруднить проведение комплексной киберхирургии, поскольку вы можете не знать о существовании частей вашей сети. А планирование на множестве различных промышленных объектов может быть очень трудным, как и мониторинг», — заключил Кархарт.

Советы Драгоса, как справиться с инцидентом в сфере промышленной кибербезопасности

Самое важное, что могут сделать операторы промышленных технологий и критически важной инфраструктуры для подготовки к киберинциденту и связанному с ним реагированию на инцидент, — это составить «какой-то план», — говорит Кархарт. Это связано с тем, что инциденты безопасности «никогда не происходят в подходящее время».

«Это всегда около 17:00 в пятницу или 2:00 в Рождество», — сказала она. «Прежде всего, это потому, что в технологической среде обычно все отключено или это скелетная группа, и у людей есть время действительно посмотреть на вещи и заметить, что что-то происходит», — объяснила она.

«А во-вторых, это потому, что плохие люди знают, когда никто не смотрит. Итак, вам нужно записать план; кризис очень быстро перерастает в кризис, все в панике, а высшее руководство дышит вам в затылок, что чрезвычайно сложно в маленькой организации».

Организации должны знать, что делать и кому звонить

Драгош рекомендует организациям четко документировать, как они будут реагировать на инциденты; это может включать обращение за помощью к организации государственной поддержки, партнерам, таким как фирмы по кибербезопасности, или коллегам, если существуют механизмы взаимопомощи.

TechRepublic Premium: улучшите меры безопасности с помощью нашей политики реагирования на проблемы безопасности.

«Это может быть так: «Мы знаем, от кого мы получим помощь, кто может оказать нам дешевую или бесплатную помощь», и это нормально. Это может быть так: «Мы укомплектованы и зрелы внутри компании, и у нас есть собственная группа реагирования на инциденты для ОТ, и именно так они будут функционировать и как они будут взаимодействовать с нашими инженерами-технологами». Или это может быть: «У нас есть коммерческий контракт с такой компанией, как Драгос или один из наших конкурентов». В любом случае у вас должен быть план», — сказала она.

5 шагов для достижения гигиены промышленной кибербезопасности

Генеральный директор Dragos Роберт М. Ли был соавтором технического документа 2022 года под названием «Пять критически важных элементов управления кибербезопасностью ICS». В нем описывается, как промышленные организации могут создать систему промышленного контроля или программу безопасности операционных технологий для снижения многих киберрисков.

Несмотря на базовую гигиену безопасности, Кархарт сказал, что в Драгосе будет гораздо меньше случаев, если они будут реализованы в инфраструктурных средах. «Эти рекомендации имеют большое значение для защиты, глубины и способности обнаружить злоумышленника до того, как он совершит что-то злонамеренное».

Пять рекомендаций, содержащихся в документе, следующие:

Реагирование на инциденты АСУ ТП

Организациям рекомендуется иметь план реагирования на инциденты, специфичный для АСУ ТП, с учетом сложностей и эксплуатационных потребностей их операционной среды. Им также следует проводить упражнения для закрепления сценариев риска и вариантов использования, адаптированных к их среде.

Защитная архитектура

Защищенные архитектуры предпочтительнее для снижения риска и облегчения усилий защитников. Сюда входят архитектуры, поддерживающие такие элементы, как видимость, сбор журналов, идентификация активов, сегментация систем и «промышленные демилитаризованные зоны» или буферные зоны.

Мониторинг видимости сети ICS

Ли и соавтор Тим Конвей предполагают, что непрерывный мониторинг сетевой безопасности среды АСУ ТП должен быть приоритетом, по возможности с использованием наборов инструментов, учитывающих протоколы, и возможностей анализа взаимодействия систем, которые могут информировать операции о потенциальных рисках, которые необходимо контролировать.

Безопасный удаленный доступ

Организациям рекомендуется идентифицировать и инвентаризировать все точки удаленного доступа и разрешенные среды назначения. Им также следует реализовать доступ по требованию и MFA, если это возможно, а также перейти к хостовой среде, чтобы обеспечить точки управления и мониторинга в безопасных сегментах.

Управление уязвимостями на основе рисков

Система управления ICS должна включать понимание существующих киберцифровых средств управления и условий эксплуатации устройств. Это может помочь в принятии решений по управлению уязвимостями на основе рисков при исправлении уязвимости, смягчении воздействия или мониторинге возможной эксплуатации.