Когда вы читаете отчеты о кибератаках, затрагивающих операционные технологии (ОТ), легко увлечься шумихой и предположить, что каждая из них является сложной. Но действительно ли OT-среды по всему миру подвергаются постоянному шквалу сложных кибератак? Для ответа на этот вопрос потребуется проанализировать различные типы кибератак OT, а затем оглянуться назад на все исторические атаки, чтобы увидеть, как эти типы сравниваются.
Типы кибератак ОТ
За последние несколько десятилетий растет осознание необходимости совершенствования методов кибербезопасности в их менее известном аналоге - OT. Фактически, границы того, что представляет собой кибератака на ОТ, никогда не были четко определены, и, если уж на то пошло, со временем они еще больше размылись. Поэтому мы хотели бы начать этот пост с обсуждения способов, с помощью которых кибератаки могут быть нацелены на ОТ или просто влиять на них, и почему для нас может быть важно проводить различие в будущем.
Рисунок 1 Эталонная архитектура предприятия Purdue
Как мы определяем OT
Прежде чем мы дадим определение любому типу кибератаки OT, нам нужно определить, что мы рассматриваем как OT. Большинство операционных сред уникальны в силу нескольких факторов, таких как различные приложения и варианты использования, многочисленные экосистемы поставщиков и простой факт, что существует множество способов проектирования физического процесса, и это лишь некоторые из них. Поэтому полезно обратиться к эталонной архитектуре предприятия Purdue Enterprise Reference Architecture (PERA), широко известной как модель Пердью, изображенная на рисунке 1.
Начнем с описания уровней 4 и 5 как корпоративной зоны, где традиционно используются ИТ. Следующий уровень 3.5, Демилитаризованная зона (DMZ), которая действует как разделитель между НЕЙ и OT и, следовательно, периметр OT. Все остальные уровни ниже DMZ относятся к OT. Уровни 2 и 3 схожи в том, что они оба могут отслеживать, контролировать и даже настраивать физическую среду. Однако уровень 2 обычно специфичен для отдельной ячейки или процесса и, возможно, даже физически близок, тогда как уровень 3, как правило, централизован, особенно в географически распределенных организациях. Уровень 1 - это сердце OT, где устройства, такие как программируемые логические контроллеры (ПЛК), будут воспринимать физический мир и приводить его в действие в соответствии с предоставленной им логикой. Наконец, мы достигаем уровня 0, который, по сути, является физическим миром и содержит датчики и исполнительные механизмы, используемые ПЛК для управления им.
Навигатор безопасности 2024 здесь - Скачать сейчас
Недавно выпущенный Навигатор безопасности 2024 предлагает критическую информацию о текущих цифровых угрозах, документируя 129 395 инцидентов и 25 076 подтвержденных нарушений. Это больше, чем просто отчет, он служит руководством по навигации в более безопасном цифровом ландшафте.
Что внутри?
Получите свою копию прямо сейчас
Различные типы кибератак OT не обязательно определяются активами, на которые они воздействуют, а скорее активами, на которые они нацелены, и тем, как они нацелены. Точнее, точности, набора навыков и намерений, с которыми они нацелены. Хотя это различие может показаться педантичным, оно меняет ландшафт угроз, который необходимо учитывать защитникам, и затрудняет поддержание традиционных средств управления ИТ. Существует 5 типов кибератак OT, которые можно сгруппировать в две отдельные категории; давайте рассмотрим их.
Категория 1: ИТ-ТТП
Первая категория кибератак, которым подвергается OT, является наиболее частой в публичных отчетах. Для них характерно использование только ИТ-тактики, методов и процедур (TTP), но им все же удается каким-то образом повлиять на производство. В этой первой категории выделяют 3 типа кибератак OT.
Тип 1a: атака была нацелена на
Первый тип, 1a, возникает, когда противник даже не достигает среды ОТ. Таким образом, что касается противника, его атака не нацелена на ОТ жертвы. Вместо этого возникают каскадные последствия неконтролируемых ИТ-кибератак, таких как кибер-вымогательство (Cy-X), задерживающие системы доставки, которые требуют остановки производства. Последствия этого могут варьироваться от временной потери телеметрии до полной остановки производства и сложного, отнимающего много времени процесса ее восстановления в рабочем режиме. Важно отметить, что каждый тип ИТ-кибератаки также может привести к отключению или отключению среды OT в рамках усилий по реагированию и восстановлению, что в конечном итоге приведет к аналогичным последствиям.
Тип 1b: нацеленные на ИТ / ОТ
Второй тип, 1b, - это когда противник достигает ОТ либо случайно, либо просто потому, что мог. Продолжая проводить ИТ-ТТП, злоумышленник может внедрить программу-вымогатель или отфильтровать данные для двойного вымогательства. Однако, возможно, из-за слабой или несуществующей демилитаризованной зоны, атака противника может распространиться на некоторые активы OT на уровнях 2 или 3 модели Пердью. Затронутые активы OT могут включать такие устройства, как рабочие станции инженеров, человеко-машинные интерфейсы (HMI) на базе Windows и другие ИТ-технологии. Хотя злоумышленнику удалось напрямую повлиять на активы OT, нацеливание, как правило, не является преднамеренным. Последствия этого типа атак могут включать потерю конфигурируемости или даже контроля над средой OT.
Введите 1c: OT targeted
Третий тип в этой категории, 1с, является наиболее тонким и наиболее близким по своей природе к следующей категории. Здесь противник, практически не имеющий возможностей OT, может намеренно атаковать OT-активы организации на базе Windows с ИТ-TTP. Это может быть сделано для того, чтобы вызвать более активную реакцию со стороны жертвы или вызвать более серьезное воздействие, чем простое воздействие на НЕЕ. Этот тип атаки может быть преднамеренно нацелен на активы OT, но только на те, с которыми противник, ориентированный на ИТ, был бы знаком. В остальном в такой атаке нет намерения или использования, специфичного для OT, и нет никакой точности в том, как это влияет на производство. Как и в случае с типом 1b, последствия этого типа атак могут включать потерю конфигурируемости или контроля над средой OT, а на производительность, скорее всего, повлияют только каскадные эффекты или усилия по реагированию и восстановлению.
Категория 2: OT TTPS
Вторая категория включает два типа, которые, вероятно, приходят на ум всякий раз, когда упоминаются кибератаки OT. Они характеризуются включением TTP, специфичных для OT, и имеют основное намерение каким-либо образом напрямую повлиять на производство.
Тип 2a: нецелевые, грубые
Общий четвертый тип и первый из второй категории, 2a, иногда известен как "неприятная атака". Этот тип кибератаки основан на достижении противником ОТ, независимо от демилитаризованной зоны. В нем используются элементарные знания, относящиеся к OT, и TTP, но в грубой форме, с небольшой точностью или сложностью. Вместо того, чтобы просто нарушать работу ресурсов на базе Windows, таких как атаки категории 1, они могут быть нацелены на ресурсы OT на более глубоких уровнях модели Пердью, ближе к физическому процессу, такие как ПЛК и устройства удаленной телеметрии (RTU). Используемые методы, относящиеся к OT, являются грубыми и часто используют общеизвестные платформы эксплуатации и инструментарий. Воздействие этого типа кибератаки OT, как правило, будет включать остановку циклирования ПЛК или неточное изменение выходных данных ПЛК. Это, несомненно, повлияет на производство, но такие грубые атаки часто являются явными и требуют быстрого реагирования и усилий по восстановлению.
Тип 2b: нецелевые, изощренные
Последний тип, 2b, является наиболее продвинутым, но также и наиболее редко наблюдаемым. Благодаря использованию передовых возможностей OT, эти кибератаки точны и сложны как по исполнению, так и по воздействию. Они предполагают глубокое понимание процесса, специфичную для ОТ тактику сбора информации для понимания физической среды и того, как ОТ взаимодействует с ней. Противники разрабатывают атаку, адаптированную к среде ОТ, в которой они закрепились, и воздействуют на нее очень преднамеренным образом. Возможные последствия, вызванные этим типом кибератаки OT, практически безграничны, но в значительной степени зависят от рассматриваемого процесса. Маловероятно, что последствия будут явными или простыми, такими как остановка процесса, если только они не будут носить экстремальный и постоянный характер. Вместо этого предполагаемые воздействия, скорее всего, будут включать, например, скрытое ухудшение процесса или извлечение его деталей для воспроизведения в другом месте.
Почему это важно
Похоже, наблюдается перекос в сторону атак категории 1 (как мы указывали ранее в этом блоге), которые, возможно, спасают нас от столь хваленого апокалипсиса ОТ. Многие современные средства контроля и концепции кибербезопасности OT заимствованы из информационных технологий, и, как таковые, они лучше обнаруживают и предотвращают атаки категории 1. Однако по мере роста доступа к знаниям и оборудованию и по мере того, как противники наращивают возможности для целенаправленного использования ОТ, существует реальная вероятность того, что мы увидим растущее число атак категории 2. Разработка соответствующих средств контроля кибербезопасности OT для их обнаружения и предотвращения является первым шагом в подготовке к этому. Для этого нам необходимо различать категории и типы атак, чтобы лучше понять, как и когда эти атаки категории 2 набирают обороты.
35 лет кибератак OT
Типы кибератак OT, которые мы определили, и причины, по которым они важны, основаны на нескольких смелых утверждениях. Итак, вместо того, чтобы ожидать, что вы поверите нам на слово, мы решили проверить их на практике. Для этого мы собрали и проанализировали все опубликованные сообщения о кибератаках OT, которые нам удалось обнаружить с 1988 по 2023 год. Ниже приводится выдержка из нашего анализа; полную версию и прозрачную методологию можно найти в Навигаторе безопасности 2024.
Наиболее заметным аспектом 35-летних кибератак OT стал всплеск атак, совершенных киберпреступниками, начиная с 2020 года. Этот всплеск соответствует появлению двойного вымогательства и, следовательно, соответствует нашим данным Cy-X.
Рисунок 2 Количество секторов- жертв в год
Рост двойного вымогательства изменил не только общие типы противников, атакующих ОТ; это также изменило секторы пострадавших. Когда мы разбиваем пострадавшие сектора по годам, мы также видим значительный сдвиг от широкого спектра секторов к интенсивной ориентации на производство. Однако, учитывая, что Cy-X предпочитает ориентироваться на производство, это имеет смысл.
Рисунок 3 Меняется от года к году , от противника к категории , от типа к глубине поиска
На рисунке 3 показаны потоки кибератак ОТ. Год атаки, для наглядности сгруппированный по 5-летним интервалам, слева указывает на противника, который провел атаку. Поток атак продолжается от противника к категории кибератак OT, вплоть до типа. Наконец, тип атаки отражает самый глубокий уровень модели Пердью, которого достигла атака с точки зрения адресности (возможно, она полностью повлияла на ОТ, даже начиная с уровня 5).
Непосредственным результатом этой визуализации является резкое увеличение частоты атак в 2020 году, когда в подавляющем большинстве случаев преступники совершали ИТ-ТТП против ИТ-целей, разрешающиеся на уровнях 4 и 5 модели Пердью. Это подкрепляет две описанные нами истории, имевшие место до и после появления двойного вымогательства в 2020 году.
Углубляясь в анализ категорий и типов, становится ясно, что значительно большее количество кибератак, вызывающих воздействие ОТ, относятся к категории 1 и используют только ИТ-технологии (83% от общего числа). Этому способствует большая доля атак типа 1a (60% от общего числа), которые конкретно нацелены на ИТ, что означает уровни 4 и 5 модели Пердью. Для сравнения, атаки, которые включали использование OT TTP, были слабо представлены - 17% от общего числа.
Итак, что нам делать дальше? Что ждет нас в будущем? Являются ли кибератаки OT всего лишь ИТ-ТТП для ИТ-целей и косвенным воздействием OT? Или мы можем увидеть, как безжалостный натиск преступников сменится атаками категории 2 для большей жестокости?
Обратятся ли преступники к OT TTP?
Независимо от организаций, использующих OT, текущие атаки типа 1a Cy-X, по-видимому, являются относительно прибыльными для преступников, и настоящая пандемия может усугубиться, прежде чем станет лучше. Однако, если организации начнут повышать устойчивость к современным кибератакам, будь то с помощью надежных процессов резервного копирования или иным образом, логично, что криминальный образ действий (МО) изменится. Учитывая распространенность организаций, использующих OT в качестве жертв Cy-X, можем ли мы ожидать изменения в MO в сторону кибератак OT категории 2? К счастью, чтобы облегчить обсуждение этого вопроса, мы можем обратиться к теории рутинной деятельности (RAT).
RAT - это криминологическая теория, которая утверждает, что преступление, скорее всего, совершится при наличии трех элементов: мотивированного преступника, подходящей цели и отсутствия способного защитника. Здесь мы проведем краткое обсуждение каждого пункта, основываясь на том, что мы видели на данный момент.
Подходящая цель
Преступники, возможно, уже нацелены конкретно на организации, использующие ОТ, поскольку считают ценным влияние на производство. Если существующие методы для этого, такие как атаки Cy-X типа 1a, теряют надежность, преступники могут попытаться атаковать OT напрямую. По нашим данным, 40% всех кибератак OT и 16% тех, что были совершены преступниками, сумели достичь операционных технологий, чтобы повлиять на них. Это были кибератаки типа 1b, 1c, 2a или 2b OT. Злоумышленники и, в меньшей степени, преступники уже получают доступ к среде OT. Если им потребуется доступ для преднамеренного нацеливания на ОТ, не исключено, что преступники смогут этого добиться.
Одним из основных соображений относительно того, является ли ОТ подходящей целью, является незнакомый большинству преступников контекст. Однако, несмотря на то, что им потребуется развивать технические возможности, существует растущая база знаний по ОТ в области кибербезопасности в форме курсов, книг, бесед и даже специализированных конференций, на которых они могли бы учиться. Более того, устройства OT, такие как ПЛК и HMI, становятся менее дорогостоящими для обучения и возможного тестирования атак. Все это приводит к снижению барьеров для входа с технической точки зрения.
Наиболее фундаментальным моментом этого компонента является пригодность самой организации-жертвы. Эта пригодность включает в себя большую площадь атаки, доступное время для противника для проведения атаки и ценность, которую могут иметь конкретные активы для жертвы. Как мы можем видеть на примере исторических атак Cy-X, злоумышленники уже находят множество уязвимостей для использования в своих жертвах и явно не часто сталкиваются с тем, что можно было бы назвать передовой практикой кибербезопасности.
Время безотказной работы и эффективность среды ОТ часто хорошо поддаются количественной оценке, что означает, что значение воздействия ОТ, вероятно, не такое туманное, как зашифрованные или утекшие данные. Все это представляет собой явно подходящую цель для организаций, использующих ОТ.
Отсутствие способного защитника
Если преступники решат отказаться от проведения Cy-X категории 1 с использованием ИТ-ТТП, это будет в первую очередь ответом на эффективную защиту со стороны ИТ-органов управления кибербезопасностью. Следовательно, они могут перейти к использованию проблемы, возникшей при защите от ТТП OT, вызванной отсутствием доступных средств управления, специально предназначенных для ОТ.
Технический контроль безопасности, конечно, не единственная форма дееспособного опекуна. RAT рассматривает другие формы опеки, такие как неформальная (сообщество) и формальная. Последнее, формальная опека, подразумевает усилия, прилагаемые правоохранительными органами и правительствами. В конечном счете, ОТ столкнется с теми же проблемами при разрушении криминальной экосистемы, и поэтому отсутствие дееспособного стража или его эффективность в пресечении преступности являются реалистичным прогнозом.
POC: PLC мертвеца
Пока мы рассматривали возможность перехода к преступлениям, нацеленным на ОТ, с помощью кибератак категории 2, мы работали над некоторыми интересными, умозрительными исследованиями. Кульминацией стала новая и прагматичная технология Cy-X, специально предназначенная для устройств OT; в частности, ПЛК и сопутствующих им инженерных рабочих станций. Мы называем это ПЛК мертвеца.
ПЛК мертвеца начинается с рабочей станции инженера, актива, на котором инженеры будут создавать конфигурации и загружать их на ПЛК в среде OT. Как мы видели, нет недостатка в кибератаках OT, достигающих глубин модели Пердью, где могут располагаться рабочие станции инженеров – обычно уровней 2 или 3, в зависимости от множества факторов.
Когда преступник находится на рабочей станции инженера, он может просматривать существующий "живой" код ПЛК в своих файлах проекта, редактировать их и загружать новые конфигурации в ПЛК. ПЛК Dead Man использует эту возможность, а также существующую функциональность OT и редко используемые средства контроля безопасности, чтобы контролировать весь операционный процесс жертвы и, по доверенности, физический мир для получения выкупа.
ПЛК Мертвеца работает путем добавления к законному операционному коду ПЛК для создания скрытой сети мониторинга, в результате чего все ПЛК остаются функциональными, но постоянно опрашивают друг друга. Если сеть опроса обнаружит какую-либо попытку жертвы отреагировать на атаку, или жертва вовремя не заплатит выкуп, опрос прекратится, и ПЛК Мертвеца сработает подобно выключателю мертвеца и сдетонирует. Детонация включает в себя деактивацию легитимного кода ПЛК, который отвечает за контроль и автоматизацию операционного процесса, и активацию вредоносного кода, который наносит физический ущерб операционным устройствам. Это не оставляет жертве реального выбора, кроме как заплатить выкуп; их единственный альтернативный метод восстановления - это безболезненное отключение и замена всех затронутых ПЛК в их рабочем процессе, что будет стоить им потерянного производственного времени, поврежденных товаров и стоимости новых активов.
Если вы хотите узнать больше о ПЛК Dead Man и о том, как он работает, ознакомьтесь с его специальным исследовательским документом на эту тему.
Резюме: Что все это значит?
В этом анализе изучена история кибератак OT, чтобы понять меняющийся ландшафт и с чем мы можем столкнуться в ближайшем будущем. Последние данные за период с 2020 года, разделенные на категории и типы, показывают, что мы не должны верить шумихе о кибератаках ОТ. Вместо этого мы должны сосредоточиться на решении самой проблемы Cy-X в краткосрочной перспективе. Это означает повышение операционной устойчивости и уверенности в том, что наш OT сможет противостоять атакам на уровнях 4 и 5 модели Пердью. Однако мы понимаем, что это легче сказать, чем сделать.
Было бы неразумно прямо заявлять, что преступники собираются начать атаковать OT с использованием новых методов Cy-X в ответ на менее надежные выплаты выкупа.
Однако также было бы неразумно говорить, что этого никогда не произойдет. Рискуя остаться в стороне, мы скажем, что существует реальная вероятность того, что мы можем увидеть, как Cy-X эволюционирует для нацеливания на активы, специфичные для OT, просто для этого может потребоваться особенно инновационная группа Cy-X.
Это всего лишь сокращенная версия одной из историй, найденных в Навигаторе безопасности. Там же можно найти и другие интересные исследования, такие как изучение хактивизма и анализ всплеска кибератак на вымогательство (а также массу других интересных исследовательских тем). Это бесплатно, так что взгляните. Оно того стоит!
Примечание: Этот информационный материал был мастерски подготовлен и дополнен доктором Риком Дербиширем, старшим исследователем в области безопасности Orange Cyberdefense.
Типы кибератак ОТ
За последние несколько десятилетий растет осознание необходимости совершенствования методов кибербезопасности в их менее известном аналоге - OT. Фактически, границы того, что представляет собой кибератака на ОТ, никогда не были четко определены, и, если уж на то пошло, со временем они еще больше размылись. Поэтому мы хотели бы начать этот пост с обсуждения способов, с помощью которых кибератаки могут быть нацелены на ОТ или просто влиять на них, и почему для нас может быть важно проводить различие в будущем.
Рисунок 1 Эталонная архитектура предприятия Purdue
Как мы определяем OT
Прежде чем мы дадим определение любому типу кибератаки OT, нам нужно определить, что мы рассматриваем как OT. Большинство операционных сред уникальны в силу нескольких факторов, таких как различные приложения и варианты использования, многочисленные экосистемы поставщиков и простой факт, что существует множество способов проектирования физического процесса, и это лишь некоторые из них. Поэтому полезно обратиться к эталонной архитектуре предприятия Purdue Enterprise Reference Architecture (PERA), широко известной как модель Пердью, изображенная на рисунке 1.
Начнем с описания уровней 4 и 5 как корпоративной зоны, где традиционно используются ИТ. Следующий уровень 3.5, Демилитаризованная зона (DMZ), которая действует как разделитель между НЕЙ и OT и, следовательно, периметр OT. Все остальные уровни ниже DMZ относятся к OT. Уровни 2 и 3 схожи в том, что они оба могут отслеживать, контролировать и даже настраивать физическую среду. Однако уровень 2 обычно специфичен для отдельной ячейки или процесса и, возможно, даже физически близок, тогда как уровень 3, как правило, централизован, особенно в географически распределенных организациях. Уровень 1 - это сердце OT, где устройства, такие как программируемые логические контроллеры (ПЛК), будут воспринимать физический мир и приводить его в действие в соответствии с предоставленной им логикой. Наконец, мы достигаем уровня 0, который, по сути, является физическим миром и содержит датчики и исполнительные механизмы, используемые ПЛК для управления им.
Навигатор безопасности 2024 здесь - Скачать сейчас
Недавно выпущенный Навигатор безопасности 2024 предлагает критическую информацию о текущих цифровых угрозах, документируя 129 395 инцидентов и 25 076 подтвержденных нарушений. Это больше, чем просто отчет, он служит руководством по навигации в более безопасном цифровом ландшафте.
Что внутри?
Углубленный анализ: изучение тенденций, моделей атак и прогнозов. Изучайте тематические исследования в CyberSOC и Pentesting.
Готовность к будущему: ознакомьтесь с нашими прогнозами в области безопасности и результатами исследований.
Данные в режиме реального времени: от скрытого сетевого наблюдения до отраслевой статистики.
Получите свою копию прямо сейчасРазличные типы кибератак OT не обязательно определяются активами, на которые они воздействуют, а скорее активами, на которые они нацелены, и тем, как они нацелены. Точнее, точности, набора навыков и намерений, с которыми они нацелены. Хотя это различие может показаться педантичным, оно меняет ландшафт угроз, который необходимо учитывать защитникам, и затрудняет поддержание традиционных средств управления ИТ. Существует 5 типов кибератак OT, которые можно сгруппировать в две отдельные категории; давайте рассмотрим их.
Категория 1: ИТ-ТТП
Первая категория кибератак, которым подвергается OT, является наиболее частой в публичных отчетах. Для них характерно использование только ИТ-тактики, методов и процедур (TTP), но им все же удается каким-то образом повлиять на производство. В этой первой категории выделяют 3 типа кибератак OT.
Тип 1a: атака была нацелена на
Первый тип, 1a, возникает, когда противник даже не достигает среды ОТ. Таким образом, что касается противника, его атака не нацелена на ОТ жертвы. Вместо этого возникают каскадные последствия неконтролируемых ИТ-кибератак, таких как кибер-вымогательство (Cy-X), задерживающие системы доставки, которые требуют остановки производства. Последствия этого могут варьироваться от временной потери телеметрии до полной остановки производства и сложного, отнимающего много времени процесса ее восстановления в рабочем режиме. Важно отметить, что каждый тип ИТ-кибератаки также может привести к отключению или отключению среды OT в рамках усилий по реагированию и восстановлению, что в конечном итоге приведет к аналогичным последствиям.
Тип 1b: нацеленные на ИТ / ОТ
Второй тип, 1b, - это когда противник достигает ОТ либо случайно, либо просто потому, что мог. Продолжая проводить ИТ-ТТП, злоумышленник может внедрить программу-вымогатель или отфильтровать данные для двойного вымогательства. Однако, возможно, из-за слабой или несуществующей демилитаризованной зоны, атака противника может распространиться на некоторые активы OT на уровнях 2 или 3 модели Пердью. Затронутые активы OT могут включать такие устройства, как рабочие станции инженеров, человеко-машинные интерфейсы (HMI) на базе Windows и другие ИТ-технологии. Хотя злоумышленнику удалось напрямую повлиять на активы OT, нацеливание, как правило, не является преднамеренным. Последствия этого типа атак могут включать потерю конфигурируемости или даже контроля над средой OT.
Введите 1c: OT targeted
Третий тип в этой категории, 1с, является наиболее тонким и наиболее близким по своей природе к следующей категории. Здесь противник, практически не имеющий возможностей OT, может намеренно атаковать OT-активы организации на базе Windows с ИТ-TTP. Это может быть сделано для того, чтобы вызвать более активную реакцию со стороны жертвы или вызвать более серьезное воздействие, чем простое воздействие на НЕЕ. Этот тип атаки может быть преднамеренно нацелен на активы OT, но только на те, с которыми противник, ориентированный на ИТ, был бы знаком. В остальном в такой атаке нет намерения или использования, специфичного для OT, и нет никакой точности в том, как это влияет на производство. Как и в случае с типом 1b, последствия этого типа атак могут включать потерю конфигурируемости или контроля над средой OT, а на производительность, скорее всего, повлияют только каскадные эффекты или усилия по реагированию и восстановлению.
Категория 2: OT TTPS
Вторая категория включает два типа, которые, вероятно, приходят на ум всякий раз, когда упоминаются кибератаки OT. Они характеризуются включением TTP, специфичных для OT, и имеют основное намерение каким-либо образом напрямую повлиять на производство.
Тип 2a: нецелевые, грубые
Общий четвертый тип и первый из второй категории, 2a, иногда известен как "неприятная атака". Этот тип кибератаки основан на достижении противником ОТ, независимо от демилитаризованной зоны. В нем используются элементарные знания, относящиеся к OT, и TTP, но в грубой форме, с небольшой точностью или сложностью. Вместо того, чтобы просто нарушать работу ресурсов на базе Windows, таких как атаки категории 1, они могут быть нацелены на ресурсы OT на более глубоких уровнях модели Пердью, ближе к физическому процессу, такие как ПЛК и устройства удаленной телеметрии (RTU). Используемые методы, относящиеся к OT, являются грубыми и часто используют общеизвестные платформы эксплуатации и инструментарий. Воздействие этого типа кибератаки OT, как правило, будет включать остановку циклирования ПЛК или неточное изменение выходных данных ПЛК. Это, несомненно, повлияет на производство, но такие грубые атаки часто являются явными и требуют быстрого реагирования и усилий по восстановлению.
Тип 2b: нецелевые, изощренные
Последний тип, 2b, является наиболее продвинутым, но также и наиболее редко наблюдаемым. Благодаря использованию передовых возможностей OT, эти кибератаки точны и сложны как по исполнению, так и по воздействию. Они предполагают глубокое понимание процесса, специфичную для ОТ тактику сбора информации для понимания физической среды и того, как ОТ взаимодействует с ней. Противники разрабатывают атаку, адаптированную к среде ОТ, в которой они закрепились, и воздействуют на нее очень преднамеренным образом. Возможные последствия, вызванные этим типом кибератаки OT, практически безграничны, но в значительной степени зависят от рассматриваемого процесса. Маловероятно, что последствия будут явными или простыми, такими как остановка процесса, если только они не будут носить экстремальный и постоянный характер. Вместо этого предполагаемые воздействия, скорее всего, будут включать, например, скрытое ухудшение процесса или извлечение его деталей для воспроизведения в другом месте.
Почему это важно
Похоже, наблюдается перекос в сторону атак категории 1 (как мы указывали ранее в этом блоге), которые, возможно, спасают нас от столь хваленого апокалипсиса ОТ. Многие современные средства контроля и концепции кибербезопасности OT заимствованы из информационных технологий, и, как таковые, они лучше обнаруживают и предотвращают атаки категории 1. Однако по мере роста доступа к знаниям и оборудованию и по мере того, как противники наращивают возможности для целенаправленного использования ОТ, существует реальная вероятность того, что мы увидим растущее число атак категории 2. Разработка соответствующих средств контроля кибербезопасности OT для их обнаружения и предотвращения является первым шагом в подготовке к этому. Для этого нам необходимо различать категории и типы атак, чтобы лучше понять, как и когда эти атаки категории 2 набирают обороты.
35 лет кибератак OT
Типы кибератак OT, которые мы определили, и причины, по которым они важны, основаны на нескольких смелых утверждениях. Итак, вместо того, чтобы ожидать, что вы поверите нам на слово, мы решили проверить их на практике. Для этого мы собрали и проанализировали все опубликованные сообщения о кибератаках OT, которые нам удалось обнаружить с 1988 по 2023 год. Ниже приводится выдержка из нашего анализа; полную версию и прозрачную методологию можно найти в Навигаторе безопасности 2024.
Наиболее заметным аспектом 35-летних кибератак OT стал всплеск атак, совершенных киберпреступниками, начиная с 2020 года. Этот всплеск соответствует появлению двойного вымогательства и, следовательно, соответствует нашим данным Cy-X.
Рисунок 2 Количество секторов- жертв в год
Рост двойного вымогательства изменил не только общие типы противников, атакующих ОТ; это также изменило секторы пострадавших. Когда мы разбиваем пострадавшие сектора по годам, мы также видим значительный сдвиг от широкого спектра секторов к интенсивной ориентации на производство. Однако, учитывая, что Cy-X предпочитает ориентироваться на производство, это имеет смысл.
Рисунок 3 Меняется от года к году , от противника к категории , от типа к глубине поиска
На рисунке 3 показаны потоки кибератак ОТ. Год атаки, для наглядности сгруппированный по 5-летним интервалам, слева указывает на противника, который провел атаку. Поток атак продолжается от противника к категории кибератак OT, вплоть до типа. Наконец, тип атаки отражает самый глубокий уровень модели Пердью, которого достигла атака с точки зрения адресности (возможно, она полностью повлияла на ОТ, даже начиная с уровня 5).
Непосредственным результатом этой визуализации является резкое увеличение частоты атак в 2020 году, когда в подавляющем большинстве случаев преступники совершали ИТ-ТТП против ИТ-целей, разрешающиеся на уровнях 4 и 5 модели Пердью. Это подкрепляет две описанные нами истории, имевшие место до и после появления двойного вымогательства в 2020 году.
Углубляясь в анализ категорий и типов, становится ясно, что значительно большее количество кибератак, вызывающих воздействие ОТ, относятся к категории 1 и используют только ИТ-технологии (83% от общего числа). Этому способствует большая доля атак типа 1a (60% от общего числа), которые конкретно нацелены на ИТ, что означает уровни 4 и 5 модели Пердью. Для сравнения, атаки, которые включали использование OT TTP, были слабо представлены - 17% от общего числа.
Итак, что нам делать дальше? Что ждет нас в будущем? Являются ли кибератаки OT всего лишь ИТ-ТТП для ИТ-целей и косвенным воздействием OT? Или мы можем увидеть, как безжалостный натиск преступников сменится атаками категории 2 для большей жестокости?
Обратятся ли преступники к OT TTP?
Независимо от организаций, использующих OT, текущие атаки типа 1a Cy-X, по-видимому, являются относительно прибыльными для преступников, и настоящая пандемия может усугубиться, прежде чем станет лучше. Однако, если организации начнут повышать устойчивость к современным кибератакам, будь то с помощью надежных процессов резервного копирования или иным образом, логично, что криминальный образ действий (МО) изменится. Учитывая распространенность организаций, использующих OT в качестве жертв Cy-X, можем ли мы ожидать изменения в MO в сторону кибератак OT категории 2? К счастью, чтобы облегчить обсуждение этого вопроса, мы можем обратиться к теории рутинной деятельности (RAT).
RAT - это криминологическая теория, которая утверждает, что преступление, скорее всего, совершится при наличии трех элементов: мотивированного преступника, подходящей цели и отсутствия способного защитника. Здесь мы проведем краткое обсуждение каждого пункта, основываясь на том, что мы видели на данный момент.
Мотивированный преступник
Как видно из представленных нами здесь данных о кибератаках OT, по какой-либо причине преступники в настоящее время имеют склонность к организациям, которые случайно используют OT. Более того, то, как текущие атаки Cy-X бездумно влияют на внешнее окружение своих жертв, ясно показывает, что преступников не беспокоят физические последствия. Либо это, либо, возможно, они даже намеренно создают угрозы безопасности. Наконец, если мы увидим, что выплаты выкупа за Cy-X, ориентированные на ИТ, снизятся, это, вероятно, вынудит преступников сменить свою стратегию на что-то, к чему их жертвы менее подготовлены в плане защиты.Подходящая цель
Преступники, возможно, уже нацелены конкретно на организации, использующие ОТ, поскольку считают ценным влияние на производство. Если существующие методы для этого, такие как атаки Cy-X типа 1a, теряют надежность, преступники могут попытаться атаковать OT напрямую. По нашим данным, 40% всех кибератак OT и 16% тех, что были совершены преступниками, сумели достичь операционных технологий, чтобы повлиять на них. Это были кибератаки типа 1b, 1c, 2a или 2b OT. Злоумышленники и, в меньшей степени, преступники уже получают доступ к среде OT. Если им потребуется доступ для преднамеренного нацеливания на ОТ, не исключено, что преступники смогут этого добиться.
Одним из основных соображений относительно того, является ли ОТ подходящей целью, является незнакомый большинству преступников контекст. Однако, несмотря на то, что им потребуется развивать технические возможности, существует растущая база знаний по ОТ в области кибербезопасности в форме курсов, книг, бесед и даже специализированных конференций, на которых они могли бы учиться. Более того, устройства OT, такие как ПЛК и HMI, становятся менее дорогостоящими для обучения и возможного тестирования атак. Все это приводит к снижению барьеров для входа с технической точки зрения.
Наиболее фундаментальным моментом этого компонента является пригодность самой организации-жертвы. Эта пригодность включает в себя большую площадь атаки, доступное время для противника для проведения атаки и ценность, которую могут иметь конкретные активы для жертвы. Как мы можем видеть на примере исторических атак Cy-X, злоумышленники уже находят множество уязвимостей для использования в своих жертвах и явно не часто сталкиваются с тем, что можно было бы назвать передовой практикой кибербезопасности.
Время безотказной работы и эффективность среды ОТ часто хорошо поддаются количественной оценке, что означает, что значение воздействия ОТ, вероятно, не такое туманное, как зашифрованные или утекшие данные. Все это представляет собой явно подходящую цель для организаций, использующих ОТ.
Отсутствие способного защитника
Если преступники решат отказаться от проведения Cy-X категории 1 с использованием ИТ-ТТП, это будет в первую очередь ответом на эффективную защиту со стороны ИТ-органов управления кибербезопасностью. Следовательно, они могут перейти к использованию проблемы, возникшей при защите от ТТП OT, вызванной отсутствием доступных средств управления, специально предназначенных для ОТ.
Технический контроль безопасности, конечно, не единственная форма дееспособного опекуна. RAT рассматривает другие формы опеки, такие как неформальная (сообщество) и формальная. Последнее, формальная опека, подразумевает усилия, прилагаемые правоохранительными органами и правительствами. В конечном счете, ОТ столкнется с теми же проблемами при разрушении криминальной экосистемы, и поэтому отсутствие дееспособного стража или его эффективность в пресечении преступности являются реалистичным прогнозом.
POC: PLC мертвеца
Пока мы рассматривали возможность перехода к преступлениям, нацеленным на ОТ, с помощью кибератак категории 2, мы работали над некоторыми интересными, умозрительными исследованиями. Кульминацией стала новая и прагматичная технология Cy-X, специально предназначенная для устройств OT; в частности, ПЛК и сопутствующих им инженерных рабочих станций. Мы называем это ПЛК мертвеца.
ПЛК мертвеца начинается с рабочей станции инженера, актива, на котором инженеры будут создавать конфигурации и загружать их на ПЛК в среде OT. Как мы видели, нет недостатка в кибератаках OT, достигающих глубин модели Пердью, где могут располагаться рабочие станции инженеров – обычно уровней 2 или 3, в зависимости от множества факторов.
Когда преступник находится на рабочей станции инженера, он может просматривать существующий "живой" код ПЛК в своих файлах проекта, редактировать их и загружать новые конфигурации в ПЛК. ПЛК Dead Man использует эту возможность, а также существующую функциональность OT и редко используемые средства контроля безопасности, чтобы контролировать весь операционный процесс жертвы и, по доверенности, физический мир для получения выкупа.
ПЛК Мертвеца работает путем добавления к законному операционному коду ПЛК для создания скрытой сети мониторинга, в результате чего все ПЛК остаются функциональными, но постоянно опрашивают друг друга. Если сеть опроса обнаружит какую-либо попытку жертвы отреагировать на атаку, или жертва вовремя не заплатит выкуп, опрос прекратится, и ПЛК Мертвеца сработает подобно выключателю мертвеца и сдетонирует. Детонация включает в себя деактивацию легитимного кода ПЛК, который отвечает за контроль и автоматизацию операционного процесса, и активацию вредоносного кода, который наносит физический ущерб операционным устройствам. Это не оставляет жертве реального выбора, кроме как заплатить выкуп; их единственный альтернативный метод восстановления - это безболезненное отключение и замена всех затронутых ПЛК в их рабочем процессе, что будет стоить им потерянного производственного времени, поврежденных товаров и стоимости новых активов.
Если вы хотите узнать больше о ПЛК Dead Man и о том, как он работает, ознакомьтесь с его специальным исследовательским документом на эту тему.
Резюме: Что все это значит?
В этом анализе изучена история кибератак OT, чтобы понять меняющийся ландшафт и с чем мы можем столкнуться в ближайшем будущем. Последние данные за период с 2020 года, разделенные на категории и типы, показывают, что мы не должны верить шумихе о кибератаках ОТ. Вместо этого мы должны сосредоточиться на решении самой проблемы Cy-X в краткосрочной перспективе. Это означает повышение операционной устойчивости и уверенности в том, что наш OT сможет противостоять атакам на уровнях 4 и 5 модели Пердью. Однако мы понимаем, что это легче сказать, чем сделать.
Было бы неразумно прямо заявлять, что преступники собираются начать атаковать OT с использованием новых методов Cy-X в ответ на менее надежные выплаты выкупа.
Однако также было бы неразумно говорить, что этого никогда не произойдет. Рискуя остаться в стороне, мы скажем, что существует реальная вероятность того, что мы можем увидеть, как Cy-X эволюционирует для нацеливания на активы, специфичные для OT, просто для этого может потребоваться особенно инновационная группа Cy-X.
Это всего лишь сокращенная версия одной из историй, найденных в Навигаторе безопасности. Там же можно найти и другие интересные исследования, такие как изучение хактивизма и анализ всплеска кибератак на вымогательство (а также массу других интересных исследовательских тем). Это бесплатно, так что взгляните. Оно того стоит!
Примечание: Этот информационный материал был мастерски подготовлен и дополнен доктором Риком Дербиширем, старшим исследователем в области безопасности Orange Cyberdefense.
