Kiber-fizikai rendszerek biztonságának helyzete (Claroty)
A Claroty 2025. február 4-én arról számolt be, hogy a kritikus infrastruktúra létesítményeken belül az OT infrastruktúrákat érintő fenyegetések egyre agresszívabbá válnak. A fenyegetettségi helyzetet beárnyékolja, hogy a kínai kiberszereplők offenzív kibereszközöket építenek be az amerikai katonai és vállalati hálózatokba, amellett, hogy beszivárognak a távközlési és internetszolgáltatókba kémkedés céljából. Eközben az orosz kiberszereplők már régóta támadják Ukrajna elektromos hálózatát, míg Irán minden izraeli gyártmányú technológiát célba vesz a kibertérben.
A Claroty State of CPS Security: OT Exposures 2025 című jelentésében a Claroty Team82 kutatói nyilvánosságra hozták, hogy a vizsgált közel egymillió OT-eszköz közül 12 százalékuk rendelkezik ismert, kihasználható sérülékenységgel (Known Exploited Vulnerabilities, KEV), és a vizsgált szervezetek 40 százalékánál ezen eszközök egy része nem biztonságosan kapcsolódik az internethez. Az eszközök 7%-án vannak olyan KEV-ek, amelyek ismert ransomware mintákhoz és szereplőkhöz kapcsolódnak, és az elemzett szervezetek 31%-ánál ezek az eszközök nem biztonságos módon kapcsolódnak az internethez.
A jelentés megemlíti, hogy a kutatásban részt vevő szervezetek 12 százalékának volt olyan OT-eszköze, amely rosszindulatú domainekkel kommunikált, ami azt mutatja, hogy az ezeket az eszközöket érintő fenyegetések valósak. A jelentés azt is megállapította, hogy a gyártóiparban találták a legtöbb megerősített KEV-vel rendelkező eszközt (több mint 96 000), amelyeknek több mint 68 százaléka ransomware csoportokhoz köthető. A kiberszereplők egyre több időt és erőforrást fordítanak arra, hogy megcélozzák és kihasználják az OT-környezetek sérülékenységeit és többek között ransomware támadásokat indítanak a kritikus infrastruktúra ágazatok vállalatai ellen, veszélyeztetve a nemzetbiztonságot.
A Claroty kutatása rámutatott, hogy az OT-támadások kiindulópontja gyakran az internethez nem biztonságosan csatlakoztatott eszköz véletlen kitettsége, beleértve az olyan OT-eszközöket is, amelyek közvetlenül az internethez kapcsolódnak, nem pedig valamilyen biztonságos hozzáférési technológián keresztül. A támadók ezt kihasználhatják, és kommunikációs csatornákat hozhatnak létre a gyártási, a logisztikai és szállítási, valamint a természeti erőforrásokkal foglalkozó vállalatok hálózataihoz. Ez a három iparág közvetlenül befolyásolja tízmilliók életét. Amint a kiberszereplők megvetették a lábukat ezekben a rendszerekben, lehetőség nyílik az OT- vagy az IT hálózaton való oldalirányú mozgásra. Ezt követően kihasználják a mérnöki szoftverek, HMI-k vagy OT-kommunikációs protokollok sérülékenységeit, konfigurációs hiányosságait és így képesek szabotálni a kritikus folyamatokat, és potenciálisan hatást gyakoroljon a fizikai világra.
A gyártás a ransomware szereplők által következetesen megcélzott top szektor, valószínűleg azért, mert a termelés folytatása és a downtime minimalizálása érdekében a váltságdíjkövetelések teljesítésére való hajlandóság jóval magasabb, mint más szektorokban. Az egyik legnagyobb kockázatot hordozza magában az OT-eszközök közvetlen csatlakoztatása az internethez. Ezek az eszközök IP-címeket kapnak, és az olyan szolgáltatások, mint például a Shodan, feltérképezhetik őket. A támadók ezeket az információkat felhasználhatják arra, hogy azonosítsák a nyilvánosan elérhető eszközöket, például a PLC-ket és jelszófeltörő eszközöket használhatnak a gyenge vagy alapértelmezett hitelesítő adatok feltörésére. A szervezeteknek emellett megnőtt az igénye az OT és más CPS rendszerek távoli elérésére, mivel így jelentős termelékenység- és költségmegtakarítást érhetnek el.
Mindezen kockázatok csökkentése érdekében a szervezeteknek fel kell mérniük a legnagyobb kockázatot jelentő eszközeiket, és a kitettségeket távoli hozzáférés védelmével, hálózatközpontú védelmi intézkedésekkel (beleértve a szegmentálást) és további védelmi kontrollok bevezetésével kezelniük kell az OT és CPR rendszerek kitettségét.
