Операционные технологии (OT) должны долго бороться с современными требованиями к кибербезопасности, но в настоящее время операторы ожидают все более плохой кибер -угрозы со стороны субъектов в национальном государстве. OT имеет важное значение для лечения киберфизических систем в разных областях, включая производство, транспорт и энергию, в козырьках враждебных субъектов, которые поддерживаются Китаем, Россией, Ираном и многом другом.
Тем не менее, многие среды OT глубоко не готовы к угрозе и часто борются с важными действиями для управления ранениями, что должно иметь основу для надежной безопасности.
ОТ команды безопасности должны рассмотреть вопрос о переходе на руководство по управлению воздействием, более интеллектуальным подходом, который впервые приоритет наиболее неудачным, с высокими приоритетными недостатками. Организации, которые полагаются на ОТ, должны двигаться, чтобы уменьшить эксплуатационный стресс и в то же время закрывают пробелы, которые оставляют их системы открытыми для враждебных государств, поддерживаемых субъектами.
Региональный вице -президент в Туфине.
Содержание
Почему ОТ является главной целью кибератаций национального государства
ОТВЕТСТВЕННАЯ СРЕДНАЯ СРЕДНАЯ ДЛЯ ОСНОВНЫХ ЦЕЛЕЙ ДЛЯ АКТОРЫ И КИБАРИНГИИ СТВОДИТЕЛЬНЫХ СТВОТРИИ И КИБАРИМИНАЛА, которые нападают на критическую национальную инфраструктуру (CNI). Противники имеют ряд целей, от кражи классифицированных данных и реализации шпионажа компании до нарушения экономической стабильности.
В последние годы несколько лучших инцидентов были связаны с хорошо известными угрозами. Например, Volt Taifun и Salzyphoon — две продуктивные группы, связанные с Китаем, и совершали несколько атак на инфраструктуру США.
Volt Typhoon проник в критическую инфраструктуру, включая связь, энергию и воду, и известен тем, что использует секретную тактику с низкой и вращающейся тактикой для использования собственных инструментов и систем. Тем временем предполагается, что соляный тайфун участвует в данных эксфильтрации из интернет -провайдеров для использования китайских разведывательных процессов.
Sandworm, который тесно связан с военной секретной службой в России, представляет собой еще один длинный выбор критической инфраструктуры. Считается, что в последнее десятилетие эта группа была за несколькими атаками на Украинную силовую сеть и создала промышленные и промышленные устройства -2 -2 -2 -Mallie с использованием конкретных протоколов. Sandworm также остановил печально известную вымогательную программу.
Иран также оказался важным игроком в международных кибератак. Группа CyberAV3Ngers атаковала американские водоснабжения с впечатляющим ПЛК и HMIS. Группа также нацелена на гражданскую инфраструктуру с iocontrol, задним дверью на основе Linux, разработанной для нескольких стандартных систем управления.
В то время как высокопоставленные APT, подобные этой, имеют ресурсы и ноу-хау для продвинутых инструментов и тактики, многие атаки OT начинаются с необеспеченных устройств, которые подключены к Интернету и предлагают четкий атакующий путь для определения футбольных мячей в критических системах.
После того, как почти миллион устройств OT в 270 организациях в нескольких областях мы нашли постоянные ссылки на вредоносные программы в системах OT. Выборочные компании в области производства, природных ресурсов, а также логистики и транспорта имели более 10% своих устройств OT, которые общаются со злыми районами.
Проблема с традиционным управлением уязвимостью
Управление уязвимость является постоянной проблемой в большинстве секторов, но может быть особенно трудным при работе со средами OT. В дополнение к большому и постоянно растущему количеству пробелов в безопасности, которые имеют дело с группами безопасности, команды OT также должны иметь дело со сложными сетями, которые содержат много различных активов, которые часто используют свои собственные запатентованные операционные системы. ОТ Активы редко совместимы с инструментами сканирования и ИТ -управления, которые были разработаны для стандартных сетей.
В результате команды часто испытывают трудности с внедрением приоритетного, упорядоченного подхода к слабостям, которые необходимы для того, чтобы опережать атаки противника.
Из 270 организаций, которые мы оценили, 70% имели хотя бы одну известную полезную восприимчивость (KEV) в своих системах OT. Двенадцать процентов из почти миллиона устройств, содержащихся в исследовании, содержали KEV, который еще не пришлось исправить. Хуже того, 40% организаций не подключены к Интернету, что создает прямой способ кибер -атак.
Команды безопасности часто выполняют медленные и неэффективные программы управления исправлениями, в которых отсутствует четкое направление. Приоритизация обычно основана на значениях CVSS, которые не учитывают контекст в компании и, следовательно, реальную эксплуатацию и последствия уязвимости. Опасные слабости можно упускать из виду, в то время как менее важные проблемы снимают ресурсы.
Случай для управления воздействием
Работа с исчезающими активами OT требует более динамичного подхода, который определяется фактический риск организации и ее инфраструктуры. Управление воздействием превратилось в одну из наиболее эффективных стратегий, которые позволяют командам выявлять слабости с наиболее важным потенциалом для реальной эксплуатации и сосредоточиться на них.
Управление воздействием взвешивает приоритеты на основе нескольких факторов риска, в том числе идентификация, которые активно используются в дикой природе, и влияют ли на активы небезопасные удаленные добычи или неверные конфигурации, которые увеличивают риск. Оценка также учитывает критику устройства для бизнес -компаний, таких как те, кто нарушает производство или вызовет проблемы безопасности в случае нарушения.
Результатом является резко сокращенный и более сфокусированный список задач для команд безопасности. Например, наше исследование обнаружило около 111 000 устройств с KEV. Фильтрация списка по слабостям, которые связаны с вымогательными программами и устройствами с неопределенным подключением, сразу же уменьшает общее количество до 3800. Внезапно задача сократилась в 30 лет, даже до того, как для определенных организаций используется больше контекста.
Вот как вы начинаете реализовывать управление экспозицией в OT Security
Управление воздействием следует пятиэтапному процессу для выявления, оценки и решения слабых точек OT.
1.
Первым шагом является определение этих активов OT, которые наиболее важны для работы, например, B. Управление производством в производстве или в планировании систем контроля в морском транспорте. Это особенно важно для управления интенсивными компаниями с большим объемом устройств. Цель состоит в том, чтобы уменьшить количество активов, которые требуют непрерывной проверки безопасности.
2. Discovery
Далее этот первый список активов интегрирован в подробный инвентарь, который фокусируется на устройствах с самым высоким риском. Это должен быть метод, контролируемый данными, в то время как более обширные и сложные процессы нуждаются в автоматическом подходе, чтобы сделать Discovery управляемым.
3. Приоритет
Инвентаризация высокого риска теперь может быть приоритетом на основе тяжести. Как объяснено, этот процесс должен выходить за рамки основных значений CVSS, чтобы учитывать фактический риск KEV, статус подключения финансовой ценности и потенциальные последствия нарушения. Оценка прогнозирования эксплуатации и оценки экономических последствий обеспечивает больше точек данных для информирования этих решений.
4. Валидация
Прежде чем принять меры, крайне важно убедиться, что недостатки могут быть использованы и не заблокированы такими элементами, как закрытые порты или брандмауэры. Это избегает траты ресурсов при исправлении слабых мест, которые выглядят серьезно на бумаге, но в действительности, однако, риска мало.
5. Мобилизация
При всей этой подготовке пришло время двигаться. Лучше всего интегрировать управление воздействием в существующие потоки безопасности, такие как исправление и контроль доступа, где бы это ни было, чтобы сохранить эффективные вещи. Организации также должны попытаться создать сотрудничество между ИТ, безопасностью и операциями команды Cross, поскольку OT часто отсоединяется стандартными ИТ -практиками.
Утверждение OT против продвинутых противников
Традиционное управление Уордесом не влюбляется в команды безопасности OT, сосредотачиваясь на исправлении всего, а не на то, чтобы справиться с реальными угрозами. Ввиду все более агрессивных актеров, поддерживаемых государством, этот неэффективный подход делает критическую инфраструктуру восприимчивой к серьезным инцидентам безопасности.
Благодаря идентификации и приоритету слабостей с высоким риском благодаря подходу к управлению воздействием эти организации могут управлять быстро и эффективно и радикально улучшать иммунную систему против национального государства, вымогателей и киберпреступных.
У нас лучший инструмент мониторинга сети.
Эта статья была произведена в рамках канала Expert Insights Techradarpro, в котором мы сегодня предлагаем лучшие и умные руководители в технологической индустрии. Взгляды, выраженные здесь, относятся к авторскому и не обязательно мнениям Techradarpro или Future PLC. Если вы заинтересованы в том, чтобы определить больше здесь:
