operationel teknologi risiko blog

Beyond the Factory: Hvorfor operationel teknologirisiko er overalt

Når en indberette afslørede 56 nye sårbarheder i 10 operationel teknologi (OT) leverandørers produkter sidste år, hyldede eksperter det som et wake-up call for industrien. Undersøgelsen fremhævede et endemisk problem med OT-udstyr: et behov for mere grundlæggende sikkerhed-by-design bedste praksis. Det faktum, at tre fjerdedele af de produkter, der vurderes at indeholde sårbarheder, havde gyldige sikkerhedscertificeringer, burde forårsage yderligere nervøsitet blandt IT/OT-chefer.

Den nederste linje er, at de problemer, der er fremhævet i rapporten, stikker så dybt, at det er usandsynligt, at de bliver løst i hele branchen snart. Det pålægger virksomhedens sikkerhedsprogrammer at sikre, at OT-risikoen styres med samme opmærksomhed på detaljer som IT.

Hvad og hvorfor af OT

Hvor it-systemer administrerer information og applikationer, dækker OT hardware og software, der bruges til at overvåge og kontrollere den fysiske verden. Det kan være alt fra en pengeautomat til et industrielt kontrolsystem (ICS), en fabriksrobot til en programmerbar logisk controller (PLC). Teknologien findes tydeligst på fabriksgulvet. Men det spænder over en lang række industrier ud over fremstilling, herunder sundhedspleje, olie og gas, forsyningsselskaber og transport.

Historisk set var OT-systemer ikke internetforbundne, og enheder havde en tendens til at være specialbyggede og kørte med specialiseret software. Det betød, at sikkerheden blev behandlet som en eftertanke. Det meste udstyr har dog forbindelse i dag, hvilket betyder, at fjernangribere kan undersøge det for sårbarheder. Samtidig kører den ofte Windows eller anden kommerciel software. Det gør det til et attraktivt mål.

Fordi OT kontrollerer fysiske processer, kan sikkerhedsbrud gøre det muligt for angribere at sabotere eller forstyrre kritiske operationer. Sårbare endepunkter kan endda blive brugt som et springbræt ind i it-netværk for følsomme datatyveri. En rapport 2022 hævder, at 83 % af organisationerne har lidt et OT-brud i de foregående 36 måneder. Ifølge tal citeret af McKinsey, kan omkostningerne pr. hændelse af alvorlige angreb være så meget som $140 mio. Det er ikke kun finansielle risici, organisationer skal overveje. OT er også reguleret af NIS 2-direktivet og dets tilsvarende i Storbritannien.

Hvad er risikoen?

Den specialiserede karakter af OT betyder, at systemer er udsat for visse cyberrisici, som muligvis ikke gælder for it-miljøer. De omfatter:

  • Brug af ældre, usikre kommunikationsprotokoller
  • Leverandører, der ikke tager nok hensyn til sårbarhedshåndtering
  • Hardware-livscyklusser på 10+ år, hvilket betyder, at administratorer er tvunget til at køre forældede operativsystemer/software
  • Patch-udfordringer, da udstyr ofte ikke kan tages offline for at teste opdateringer (selvom de er tilgængelige)
  • Udstyr, der er for gammelt til at implementere moderne sikkerhedsløsninger
  • Sikkerhedscertificeringer, som ikke genkender alvorlige defekter, hvilket giver administratorer en falsk følelse af sikkerhed
  • Security-by-design problemer, der ikke er rapporteret/tildelt CVE'er, hvilket betyder, at de flyver under radaren
  • Siled IT/OT-teams, som kan skabe huller i synlighed, beskyttelse og detektion
  • Usikre adgangskoder og fejlkonfigurationer (selvom dette også er almindeligt i it-miljøer)

 

Fra et teknisk perspektiv er Forscout rapport citeret tidligere fremhæver flere kategorier af sårbarhed i mange OT-produkter:

  • Usikre tekniske protokoller
  • Svag kryptografi eller ødelagte autentificeringsskemaer
  • Usikre firmwareopdateringer
  • Fjernudførelse af kode (RCE) via indbygget funktionalitet

Sådan mindskes risikoen fra OT-systemer

Ifølge IT-sikkerhed er dybdeforsvar den bedste måde at mindske OT-cyberrisikoen på. Ifølge Carlos Buenano, Principal Solutions Architect for Operational Technology (OT) hos Armis, starter det med synlighed af OT-aktiver og derefter hurtig patching.

"Da det er meget almindeligt, at OT-miljøer har sårbare aktiver, er organisationer nødt til at skabe en omfattende aktivopgørelse over deres netværk og have yderligere efterretninger om, hvad disse aktiver er, og hvad de rent faktisk gør," siger han til ISMS.online. "Kontekstdata gør det muligt for teams at definere, hvilken risiko hver enhed udgør for OT-miljøet og vurdere deres virksomhedspåvirkning, så de kan prioritere udbedring af kritiske og/eller våbenbaserede sårbarheder for hurtigt at reducere angrebsoverfladen."

Her er en hurtig tjekliste for organisationer:

Opdagelse/administration af aktiver: Du kan ikke beskytte det, du ikke kan se. Så forstå det fulde omfang af OT i virksomheden.

Hurtig patching og kontinuerlig scanning: OT-aktiver skal løbende scannes for sårbarheder, når de først er opdaget. Og et risikobaseret patching-program vil sikre, at CVE'er prioriteres effektivt. Overvej at bygge et ikke-kritisk testmiljø for patches. Og hvis visse aktiver ikke kan lappes, så overvej alternativer, f.eks virtuel patching, netværkssegmentering, SIEM og integritetsovervågning.

Identitets- og adgangsstyring: Implementer rollebaserede adgangskontroller, følg princippet om mindste privilegier og understøt multifaktorautentificering (MFA).

Segmentering: Adskil virksomheder fra OT-netværk, og segmenter OT-netværk, for at begrænse spredningen af ​​malware.

Forebyggelse af trusler: Implementer kontroller såsom indtrængen detektion (IDS), AV-software og filintegritetskontrolværktøjer for at forhindre og opdage malware.

Kryptering og backup: Beskyt OT-data i hvile og under transport, og hav sikkerhedskopier for at afbøde virkningen af ​​ransomware.

Nedbrydning af IT-OT-siloer

Efterhånden som OT- og it-systemer konvergerer i mange organisationer, bliver trusler, der engang var begrænset til it, såsom fjernkompromis, mere almindelige for industrielle systemer. Derfor vil forebyggelse, opdagelse og reaktion på sådanne trusler kræve mere interaktion mellem it- og OT-teams. OT-teams kan lære meget af den erfaring IT har opbygget gennem årene vedr sikkerhedskontrol, og begge har en egeninteresse i forretningskontinuitet.

"Ved at arbejde sammen kan IT- og OT-teams identificere og afbøde cybersikkerhedsrisici, der påvirker både IT- og OT-miljøer, og dermed beskytte organisationen mod cyberangreb," siger Trend Micro UK & Ireland teknisk direktør, Bharat Mistry, til ISMS.online. "Derudover vil samarbejde mellem holdene forbedre effektiviteten af ​​sikkerhedsoperationshold og i sidste ende hjælpe med at reducere omkostningerne."

Fra et compliance-perspektiv kan dette kræve, at organisationen går ud over grænserne for ISO 27001 og opsøger supplerende certificeringer i OT-området.

”Vi ser rammer som ISO 27001 bruges i virksomheds-IT og skræddersyede eller skræddersyede rammer som IEC 62443 for OT,” forklarer Mistry. "På papiret er der en vis overlapning mellem disse, men i virkeligheden er disse rammer udgangspunkter og er ofte skræddersyet til at passe til organisationens miljø."

I sidste ende er det i alles bedste interesse at arbejde sammen, siger Armis' Buenano.

"Fra et organisatorisk perspektiv skal det at have en risikobaseret tilgang til sårbarhedshåndtering gå hånd i hånd med OT- og IT-afdelinger, der arbejder sammen for at hjælpe med at koordinere afhjælpningsindsatsen," slutter han. "Projekter på tværs af afdelinger vil hjælpe med at strømline proces- og ressourcestyring og opnå større compliance og datasikkerhed."

Forfatter

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Se alle indlæg af Phil Muncaster

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!