Beyond the Factory: Waarom operasionele tegnologierisiko oral is

Wanneer 'n verslag 56 nuwe kwesbaarhede in 10 operasionele tegnologie (OT) verskaffers se produkte verlede jaar aan die lig gebring het, het kenners dit as 'n wekroep vir die bedryf beskou. Die studie het 'n endemiese probleem met OT-toerusting uitgelig: 'n behoefte aan meer basiese sekuriteit-deur-ontwerp beste praktyke. Die feit dat driekwart van daardie produkte wat geassesseer is om kwesbaarhede te bevat geldige sekuriteitsertifisering gehad het, behoort verdere senuweeagtigheid onder IT/OT-bestuurders te veroorsaak.

Die kern van die saak is dat die kwessies wat in die verslag uitgelig word so diep strek dat dit onwaarskynlik is dat dit binnekort in die hele bedryf opgelos sal word. Dit plaas die onus op ondernemingsekuriteitsprogramme om te verseker dat OT-risiko met dieselfde aandag aan detail as IT bestuur word.

Die Wat En Hoekom Van OT

Terwyl IT-stelsels inligting en toepassings bestuur, dek OT die hardeware en sagteware wat gebruik word om die fisiese wêreld te monitor en te beheer. Dit kan enigiets wees van 'n OTM tot 'n industriële beheerstelsel (ICS), 'n fabrieksrobot tot 'n programmeerbare logiese beheerder (PLC). Die tegnologie kan die meeste op die fabrieksvloer gevind word. Maar dit strek oor 'n groot verskeidenheid nywerhede buite vervaardiging, insluitend gesondheidsorg, olie en gas, nutsdienste en vervoer.

Histories was OT-stelsels nie aan die internet gekoppel nie, en toestelle was geneig om doelgemaak te wees met gespesialiseerde sagteware. Dit het beteken sekuriteit is as 'n nagedagte hanteer. Die meeste toerusting het egter vandag konnektiwiteit, wat beteken dat afgeleë aanvallers dit vir kwesbaarhede kan ondersoek. Terselfdertyd loop dit dikwels Windows of ander kommersiële sagteware. Dit maak dit 'n aantreklike teiken.

Omdat OT fisiese prosesse beheer, kan sekuriteitsbreuke aanvallers in staat stel om kritieke bedrywighede te saboteer of te ontwrig. Kwesbare eindpunte kan selfs as 'n stapsteen in IT-netwerke gebruik word vir sensitiewe datadiefstal. Een 2022 verslag beweer 83% van organisasies het 'n OT-oortreding in die vorige 36 maande gely. Volgens syfers aangehaal deur McKinsey, kan die koste per voorval van ernstige aanvalle soveel as $140m wees. Dit is nie net finansiële risiko organisasies moet oorweeg nie. OT word ook gereguleer deur die NIS 2-richtlijn en die Britse ekwivalent daarvan.

Wat is die risiko's?

Die gespesialiseerde aard van OT beteken dat stelsels aan sekere kuberrisiko's blootgestel word wat dalk nie op IT-omgewings van toepassing is nie. Hulle sluit in:

• Gebruik van nalatenskap, onveilige kommunikasieprotokolle
• Verkopers wat nie genoeg ag slaan op kwesbaarheidsbestuur nie
• Hardeware lewensiklusse van 10+ jaar, wat beteken dat administrateurs gedwing word om verouderde bedryfstelsels/sagteware te laat loop
• Patching-uitdagings, aangesien toerusting dikwels nie vanlyn geneem kan word om opdaterings te toets nie (selfs al is dit beskikbaar)
• Toerusting wat te oud is om moderne sekuriteitsoplossings te ontplooi
• Sekuriteitsertifisering wat nie ernstige defekte herken nie, wat administrateurs 'n valse gevoel van sekuriteit gee
• Sekuriteit-deur-ontwerp kwessies wat nie gerapporteer/toegeken CVE's nie, wat beteken dat hulle onder die radar vlieg
• Gesileerde IT/OT-spanne, wat gapings in sigbaarheid, beskerming en opsporing kan skep
• Onveilige wagwoorde en wanopstellings (hoewel dit ook algemeen in IT-omgewings voorkom)

Vanuit 'n tegniese perspektief, die Forescout verslag wat vroeër aangehaal is, beklemtoon verskeie kategorieë van kwesbaarheid in baie OT-produkte:

• Onveilige ingenieursprotokolle
• Swak kriptografie of gebreekte verifikasieskemas
• Onveilige firmware-opdaterings
• Afgeleë kode uitvoering (RCE) via inheemse funksionaliteit

Hoe om risiko van OT-stelsels te verminder

Volgens IT-sekuriteit is diepte verdediging die beste manier om OT-kuberrisiko te verminder. Volgens Carlos Buenano, hoofoplossingsargitek vir operasionele tegnologie (OT) by Armis, begin dit met sigbaarheid van OT-bates en dan vinnige pleister.

"Aangesien dit baie algemeen is dat OT-omgewings kwesbare bates het, moet organisasies 'n omvattende bate-inventaris van hul netwerk skep en bykomende intelligensie hê oor wat daardie bates is en wat hulle eintlik doen," sê hy aan ISMS.online. "Kontekstuele data stel spanne in staat om te definieer watter risiko elke toestel vir die OT-omgewing inhou en hul besigheidsimpak te evalueer sodat hulle die remediëring van kritieke en/of gewapende kwesbaarhede kan prioritiseer om die aanvaloppervlak vinnig te verminder."

Hier is 'n vinnige kontrolelys vir organisasies:

Bate ontdekking/bestuur: Jy kan nie beskerm wat jy nie kan sien nie. So, verstaan ​​die volle omvang van OT in die onderneming.

Vinnige pleister en deurlopende skandering: OT-bates moet voortdurend geskandeer word vir kwesbaarhede sodra dit ontdek is. En 'n risiko-gebaseerde pleisterprogram sal verseker dat CVE's effektief geprioritiseer word. Oorweeg dit om 'n nie-kritieke toetsomgewing vir pleisters te bou. En as sekere bates nie reggemaak kan word nie, oorweeg alternatiewe, soos virtuele patching, netwerksegmentering, SIEM en integriteitsmonitering.

Identiteit en toegangsbestuur: Ontplooi rolgebaseerde toegangskontroles, volg die beginsel van minste voorreg en ondersteun multifaktor-verifikasie (MFA).

segmentering: Skei korporatiewe van OT-netwerke, en segmenteer OT-netwerke, om die verspreiding van wanware te bevat.

Bedreiging voorkoming: Ontplooi kontroles soos intrusion detection (IDS), AV-sagteware en lêerintegriteit-kontroleringnutsgoed om wanware te voorkom en op te spoor.

Enkripsie en rugsteun: Beskerm OT-data in rus en tydens vervoer en het rugsteun om die impak van losprysware te versag.

IT-OT-silo's af te breek

Namate OT- en IT-stelsels in baie organisasies saamvloei, word bedreigings wat eers tot IT beperk is, soos afgeleë kompromie, meer algemeen vir industriële stelsels. Daarom sal die voorkoming, opsporing en reaksie op sulke bedreigings meer interaksie tussen IT- en OT-spanne vereis. OT-spanne kan baie leer uit die ervaring wat IT oor die jare opgebou het t.o.v sekuriteitskontroles, en albei het 'n gevestigde belang in besigheidskontinuïteit.

"Deur saam te werk, kan IT- en OT-spanne kuberveiligheidsrisiko's identifiseer en verminder wat beide IT- en OT-omgewings raak, en sodoende die organisasie teen kuberaanvalle beskerm," het Trend Micro UK & Ireland tegniese direkteur, Bharat Mistry, aan ISMS.online gesê. “Boonop sal samewerking tussen die spanne die doeltreffendheid van sekuriteitsbedryfspanne verbeter en uiteindelik help om koste te verminder.”

Vanuit 'n voldoeningsperspektief kan dit vereis dat die organisasie verder gaan as die perke van ISO 27001 en aanvullende sertifisering in die OT-ruimte soek.

“Ons sien raamwerke soos ISO 27001 gebruik in ondernemings-IT en pasgemaakte of pasgemaakte raamwerke soos IEC 62443 vir OT,” verduidelik Mistry. "Op papier is daar 'n mate van oorvleueling tussen hierdie, maar in werklikheid is hierdie raamwerke beginpunte en word dikwels aangepas om by die organisasie se omgewing te pas."

Uiteindelik is dit in almal se beste belang om saam te werk, sê Armis se Buenano.

"Vanuit 'n organisatoriese perspektief moet 'n risiko-gebaseerde benadering tot kwesbaarheidsbestuur hand aan hand gaan met OT- en IT-afdelings wat saamwerk om te help om versagtingspogings te koördineer," sluit hy af. "Kruis-departementele projekte sal help om proses- en hulpbronbestuur te stroomlyn en groter voldoening en datasekuriteit te bereik."