Microsoft – Kritikus infrastruktúra a célkeresztben

Bár az egymással összekapcsolt informatikai (IT) és műveleti (OT) technológia a dolgok internetére (IoT) csatlakozó valamennyi eszközzel együtt hathatósan segíti a vállalatokat munkakörnyezetük korszerűsítésében, az üzleti működés adatvezérelt átalakításában, a folyamatok automatizálásában és az infrastruktúra távoli felügyeletében, megfelelő védelem hiányában jelentősen növeli az eszközökhöz és hálózatokhoz való jogosulatlan hozzáférés kockázatát – mutat rá a Microsoft Cyber Signals jelentésének harmadik kiadásában (Risks to critical infrastructure on the rise), amelyet decemberben adott közre. A tanulmány a kiberbiztonsági trendekre hívja fel a figyelmet, amelyeket a szoftvercég 8500 szakértője a hálózatra csatlakozó eszközökről érkező napi 43 billió biztonsági jelzés elemzése során azonosított.

Az elmúlt évben a Microsoft a szervezetek szinte minden monitorozott és hálózaton látható területén a csatlakoztatott eszközök kihasználására indított támadásokat figyelt meg – a klasszikus értelemben vett informatikai környezetekben éppúgy, mint a műveleti technológia (a fizikai környezettel interakcióba lépő programozható rendszerek) és az IoT-eszközök, például útválasztók, kamerák térfelén. Utóbbiak, az OT és IoT környezetek fokozott sérülékenysége iparágtól függetlenül minden szervezet számára nagy kihívást jelent, a kritikus jelentőségű infrastruktúrák esetében azonban különösen nagy kockázatot hordoz, hangsúlyozza a Microsoft. A vállalatok és általában a társadalom működése szempontjából létfontosságú szolgáltatások puszta megzavarásával is súlyos csapás mérhető az áldozatra – vagy nagy váltságdíj zsarolható ki tőle -, ezért a változatos indíttatásokból cselekvő támadók különösen vonzó célpontot látnak az ilyen infrastruktúrákban.

Légrést átlépő támadások

Az energetikai, közlekedési, távközlési, ipari és más, kritikusan fontos infrastruktúrákat vezérlő OT, valamint az IT-rendszerek összekapcsolásával a két, korában egymástól elszigetelt világ közötti határok fellazulnak, ami jelentősen megnöveli a rajtuk átnyúló támadások kockázatát, a környezetek biztonsági kitettségét is. A Microsoft adatai szerint 2020 és 2022 között a legelterjedtebb ipari vezérlőrendszerekben felfedezett, súlyos sérülékenységek száma 78 százalékkal nőtt. Az interneten emellett több mint 1 millió olyan eszköz is látható, amelyen az elavult, már nem támogatott – de az IoT eszközökön és fejlesztőkészleteikben továbbra is széles körben használt – Boa szoftver fut. Még aggasztóbb, hogy a szoftvercég ennek ellenére a legelterjedtebb ipari vezérlők 75 százalékában olyan súlyos sérülékenységeket talált, amelyek megszüntetéséhez a vállalatok nem telepítették a javításokat.

Mutatják ezek az adatok is, hogy az IT és OT környezetek korábbi, légréses elválasztásának megszűnésével, a hálózathatárok eltűnésével a két világ közötti digitális kapcsolat kibervédelmét a szervezeteknek sürgősen meg kell erősíteniük – és a fejlett fenyegetésekkel, a kifinomult kártevő szoftverekkel, a célzott támadásokkal és a belső, rosszindulatú felhasználókkal szembeni, hatékony védekezéshez többféle intézkedésre is szükség lesz.

A fejlett támadásokat indító szereplők többféle megközelítést és taktikát is bevetnek, amelyek közül sok – az internetre csatlakozó, sérülékeny rendszerek felfedezése, az alkalmazotti azonosítókkal vagy a külső partnereknek adott hozzáférési jogosultságok történő visszaélés – az IT-környezetek világából már ismert, az OT környezetekben azonban még hatásosabb. A két, egymástól sokáig fizikailag elszigetelt világ közötti légrést a támadók például ma már könnyen átugorják ezekkel a módszerekkel. Elegendő ehhez egy külső partner – például az OT környezetben működő eszköz karbantartását végző szállító – laptopját megfertőzniük, és arról a legközelebbi kiszállás alkalmával a további, fejlettebb támadásnak ajtót nyitó, kártevő szoftvert máris az internetre nem csatlakozó, kritikus rendszerekbe juttathatják.

Mindent látó és szabályozó védelem

Az International Data Corporation (IDC) előrejelzése szerint 2025-ben már 41,6 milliárd IoT eszköz fog csatlakozni a dolgok internetére, vagyis számuk a következő pár évben a hagyományos IT-eszközökénél gyorsabb ütemben növekedhet. De míg utóbbiak kibervédelmét a szállítók és a felhasználók az elmúlt időszakban megerősítették, az IoT és az OT eszközök nem tartottak lépést ezzel a fejlődéssel, amit a támadók egyre szélesebb köre próbál kihasználni.

Dolgukat mindinkább megkönnyíti, hogy a kritikus infrastruktúra ellen nemzetállamok által indított kibertámadásokban bevetett, különösen fejlett és hatásos eszközök jelentős részéhez az alvilág más szereplői is meglehetősen gyorsan és könnyen hozzáférnek. Az amerikai CISA (Cybersecurity and Infrastructure Security Agency) ügynökség által ebbe a kategóriába sorolt Incontroller támadásokhoz használt eszközök 72 százaléka például már elérhető a kiberalvilág online piacterein.

A kiberbűnözés bővülő gazdaságában nemcsak a hasonló eszközök elérése, hanem használata is egyre könnyebbé, a belépési küszöb mind alacsonyabbá válik, így a szereplők még szélesebb köre veheti célba immár a kritikus infrastruktúrákat is. A zsarolóvírusos támadásokkal például, amelyeket korábban az informatikai környezet fenyegetéseként azonosítottunk, ma már az OT környezetekben is komoly zavarok idézhetők elő, ahogyan azt az egyesült államokbeli Colonial Pipeline 2021-es incidense is mutatja. Az olajvezeték-hálózat vezérlőrendszereit egy időre le kellett állítani, amíg a támadásra válaszoló csapatok a vállalat IT rendszereiben megtalálták és elhatárolták a bejuttatott zsarolóvírust, így átmenetileg az üzemanyag-ellátás is szünetelt.

Tovább növeli a kockázatot, hogy az internettől korábban elszigetelten működő OT környezetekben – amelyek az informatikai környezeteknél jóval töredezettebbek, és sokszor egyedi komponenseket is tartalmaznak – a szoftverjavítások telepítése hihetetlenül körülményes vagy egyenesen megoldhatatlan feladat elé állítja az üzemeltetőket. A gyártó vállalatok például nem állíthatják le egykönnyen a gépsoraikat pusztán azért, hogy a szoftverek valamelyikét sérülékenység-vizsgálatnak vessék alá, vagy javítócsomagot telepítsenek rá.

Nem jó hír az sem, hogy a Microsoft által monitorozott hálózatokban működő Windows operációs rendszerek közel harmada (29 százaléka) már nem támogatott verziójú alapszoftver. Az ilyen, Windows 2000 vagy XP operációs rendszerrel telepített eszközök ugyanis gyakran ipari vagy más, sérülékeny környezetben találhatók.

A kritikus infrastruktúra IT- és OT-kockázatainak kezeléséhez a vállalatoknak először teljes rálátást kell nyerniük az informatikai és a műveleti környezetben működő, valamint a dolgok internetére csatlakozó egyéb eszközeikre, azok kapcsolataira, továbbá arra is, hogy az eszközökről milyen adatok, erőforrások és szolgáltatások érhetők el – hívja fel a figyelmet jelentésében a Microsoft. Hasonlóan fontos, hogy a szervezetek dinamikusan, folyamatosan figyeljék és kiértékeljék a függőségek és a kockázatok változását is. Ennek hiányában aligha tudnák megakadályozni, hogy érzékeny adataik vagy a kritikus infrastruktúra vezérlőrendszereihez hozzáférést, kivételes jogosultságokat adó azonosítóik illetéktelen kezekbe kerüljenek.

Más szóval a dolgok internetére csatlakozó OT-környezetüket, ipari IoT-megoldásaikat a kritikus infrastruktúrát működtető szervezetek is zero trust biztonsági modellben védhetik a legeredményesebben, az ehhez szükséges architektúra követelményei azonban nem IoT-specifikusak. A hálózaton minden eszközt, felhasználót és tevékenységet látó és szabályozó, bizalmat nem előlegező kibervédelemhez a vállalatok egyértelmű és folyamatos azonosítással, a legrészletesebben szabályozott, minimálisan szükséges jogosultságokat adó hozzáférés-kezeléssel és valós idejű fenyegetésészleléssel láthatnak hozzá.

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!