A Dragos összegezte az európai kritikus infrastruktúrák kiberfenyegetettségét

Folyamatosan nő az ipari vezérlőrendszerek (Industrial Control System – ICS) és általában az OT (Operation Technology – gyártási technológia) hálózatok ellen támadásokat indító fenyegetési csoportok száma, mégsem ez jelenti a fő kiberfenyegetést a kritikus szektorokra nézve ─ állítja a Dragos új jelentésében.

2022 februárjában az ipari biztonsággal foglalkozó cég legalább 10 olyan fenyegetési szereplőt (Xenotime, Magnallium, Electrum, Allanite, Chrysene, Kamacite, Covellite, Vanadinite, Parisite, Dymalloy) tartott számon, amelyek támadásokat indítottak európai ICS rendszerek ellen. Ezek egy része kínai, orosz és észak-koreai kötődésű. Mindazonáltal a Dragos – mérsékelt bizonyossággal – jelenleg azt az álláspontot képviseli, hogy az európai kritikus infrastruktúrák direkt pusztító célú kibertámadásokkal szembeni kitettsége viszonylag alacsony. A cég szerint ennek oka elsősorban a lehetséges politikai és gazdasági következményeknek tudható be.

A jelentés ugyanakkor arra is kitér, hogy egyes fenyegetéseket tanácsos kiemelten kezelni, mint például a zsarolóvírus támadások. A profitcélú ransomware támadások négy fő fenyegtést hordoznak magukban:

  1. Egy támadás hatására előfordulhat, hogy az OT hálózat védelmében – erre példa a Colonial Pipleline esete – le kell állítani a rendszereket, ami az üzletmenet-folytonosságban is fennakadást okozhat.
  2. A második probléma, hogy a „lapos” hálózati struktúra és az assetek átláthatatlansága elősegítik a ransomware-ek IT és OT rendszerek közötti terjedését.
  3. A harmadik lényeges tényező, hogy legalább 6 olyan zsarolóvírus család ismert, ami OT folyamatokat is leállító parancsokkal, ún. „kill listekkel” rendelkezik.
  4. Végül tekintetbe kell venni, hogy az IT rendszereket érintő adatszivárogtatások is tartalmazhatnak olyan szenzitív információkat, amelyek a támadók számára hasznosak lehetnek kifejezetten OT rendszerek elleni támadások indításához.

 

1. ábra: ICS-ek elleni ransomware támadások szektorális eloszlása 2021.01.01-12.31. között. Forrás: Dragos
2. ábra: ICS rendszereket ért ransomware áldozatok eloszlása országonként 2021.01.01-12.31. között. Forrás: Dragos

 

 

 

 

 

 

 

 

 

 

Az ICS rendszereket ért ransomware támadások európai áldozatait tekintve a leginkább veszélyeztetett szektor a gyártóipar (lásd: 1. ábra). Ez az országok eloszlásán is látszik, ott történt a legtöbb támadás, amelyek lényeges gyártóiparral rendelkeznek (lásd: 2. ábra).

A jelentés a humán tényezőt is kulcsfontosságú fenyegetési tényezőként említi, megkülönböztetve a szándékos rosszindulatú használatot, és a gondatlanságból eredő károkozást.

A védekezés kiemelten fontos eszközei a Purdue Modell-szerinti szigorú hálózati szegmentálás, illetve  a „zero-trust” elv biztonsági koncepció alkalmazása – különösen az OT rendszerekhez való távoli hozzáférések esetén, ám nagyon fontos a szoftversérülékenységek azonosítása és a megfelelő patch management, valamint a széleskörű naplózás –  hogy csak néhány javaslatot kiragadjunk.

(securityweek.com)