Protext ČTKSpolečnost Kaspersky zjistila hlavní faktory napomáhající útokům APT v průmyslových firmách

Společnost Kaspersky zjistila hlavní faktory napomáhající útokům APT v průmyslových firmách

Praha 15. června 2023 (PROTEXT) – Mezi hlavní faktory, které přispívají k úspěchu operací pokročilých perzistentních hrozeb (APT) uvnitř sítí jejich obětí, patří lidský faktor, nedostatečná bezpečnostní opatření, problémy s aktualizacemi a konfigurací kybernetických bezpečnostních řešení a další pochybení. I když se některé z těchto příčin mohou zdát triviální, odborníci společnosti Kaspersky se s nimi při svých činnostech během reakcí na incidenty setkávají poměrně často. Členové týmu Kaspersky ICS CER proto sestavili seznam nejčastějších problémů, aby pomohli organizacím zmírnit příslušné hrozby a zajistit zavedení osvědčených postupů.

Nedostatečná izolace sítě provozních technologií (OT)

Během vyšetřování incidentů se odborníci společnosti Kaspersky stali svědky případů, kdy byly problémy s oddělením a zabezpečením sítě provozních technologií (OT). Šlo například o zařízení, jako jsou technologické pracovní stanice, které byly připojeny jak k běžné IT síti, tak k síti OT.

„V situacích, kdy izolace sítě OT závisí pouze na konfiguraci síťového vybavení, mohou zkušení útočníci toto vybavení vždy překonfigurovat ve svůj prospěch,“ řekl Jevgenij Gončarov, vedoucí týmu Industrial Control Systems Cyber Emergency Response Team (ICS CERT) společnosti Kaspersky. „Mohou je například přeměnit na proxy servery pro řízení fungování malwaru nebo je dokonce využít k ukládání a doručování malwaru do sítí, které byly považovány za izolované. Takové škodlivé aktivity jsme zaznamenali při více příležitostech.“

Na bezpečnostních incidentech se stále významně podílí lidský faktor

Při udělování přístupu k sítím OT, ať už vlastním zaměstnancům nebo externím dodavatelům, jsou často opomíjena opatření pro zabezpečení informací. Nástroje pro vzdálenou správu, jako je TeamViewer nebo Anydesk, které měly být použity pouze jednorázově, mohou zůstat aktivní, aniž by si toho někdo všiml. Je však třeba mít na paměti, že tyto kanály jsou snadno zneužitelné útočníky. V roce 2023 společnost Kaspersky vyšetřovala incident, kdy se dodavatel firmy pokusil o sabotáž, k níž využil vzdálený přístup do sítě ICS, který mu byl před několika lety legitimně udělen.

Tento příběh ukazuje, jak je důležité brát v úvahu lidský faktor, protože případní nespokojení zaměstnanci mohou být ovlivněni svým pracovním hodnocením, finančním příjmem nebo politickými motivy, což je může vést k zapojení do kybernetických kriminálních akcí. Možným řešením v takové situaci může být koncept nulové důvěry „Zero Trust“, který považuje uživatele, zařízení a aplikace v systému za a priori nedůvěryhodné. Na rozdíl od jiných řešení typu Zero Trust rozšiřuje společnost Kaspersky tento přístup až na úroveň operačního systému, a to svým řešením založeným na systému KasperskyOS.

Nedostatečná ochrana prostředků pro OT

Při analýze incidentů narazili odborníci společnosti Kaspersky na zastaralé databáze bezpečnostních řešení, chybějící licenční klíče, odstranění klíčů z podnětu uživatelů, zakázané bezpečnostní komponenty či nadměrné výjimky ze skenování a ochrany – to vše přispívá k šíření malwaru.

Například pokud databáze nejsou aktuální a bezpečnostní řešení nelze automaticky aktualizovat, může to umožnit rychlé a snadné šíření pokročilých hrozeb, jako je tomu u útoků APT, kdy se zkušení aktéři hrozeb snaží vyhnout odhalení.

Nezabezpečené konfigurace bezpečnostních řešení

Správné konfigurace bezpečnostního řešení jsou zásadní pro to, aby nedošlo k jeho vyřazení z funkce nebo dokonce zneužití – což je taktika, kterou často vídáme u skupin/aktérů APT. Mohou ukrást informace o síti oběti uložené v bezpečnostním řešení, aby se dostali do dalších částí systému nebo podnikli laterální útok za použití specializovaných nástrojů pro informační bezpečnost.

V roce 2022 zaznamenal tým Kaspersky ICS CERT nový trend v taktice šíření APT, kvůli kterému je správná konfigurace ještě důležitější. Například při hledání postupů laterálního průniku se útočníci již nezastavují u únosu kritických IT systémů, jako je řadič domény. Pokračují k dalšímu cíli – administračním serverům bezpečnostních řešení. Cíle mohou být různé – od umístění malwaru na seznam programů, které nebudou kontrolovány, až po využití nástrojů v bezpečnostním systému k šíření malwaru do dalších systémů, a to i těch, které mají být od infikované sítě zcela odděleny.

Absence kybernetické ochrany v sítích OT

Nechce se tomu skoro věřit, ale v některých sítích OT nejsou řešení kybernetické bezpečnosti na mnoha koncových bodech vůbec nainstalována. I když je síť OT zcela oddělena od ostatních sítí a není připojena k internetu, útočníci mají stále možnosti, jak do ní získat přístup. Mohou například vytvořit speciální verze malwaru, které se šíří například prostřednictvím vyměnitelných USB disků.

Problémy s aktualizacemi zabezpečení pracovních stanic a serverů

Průmyslové řídicí systémy mají specifický způsob fungování, kdy i tak jednoduché úkoly, jako je instalace bezpečnostních aktualizací na pracovních stanicích a serverech, vyžadují pečlivé testování. Toto testování probíhá obvykle během plánované údržby, což způsobuje, že aktualizace nebývají příliš časté. To dává aktérům hrozeb dostatek času na využití známých slabin a provedení útoků.

„V některých případech může aktualizace operačního systému serveru vyžadovat také aktualizaci specializovaného softwaru, například pro monitorování a sběr dat (SCADA), což může zase vyžadovat upgrade dalšího vybavení – to vše může být příliš nákladné. Proto se to často odkládá a v sítích průmyslových řídicích systémů přetrvávají zastaralé systémy,“ dodává Gončarov. „Překvapivě dokonce i systémy v průmyslových podnicích, které jsou orientované na internet a které lze relativně snadno aktualizovat, mohou zůstat po dlouhou dobu zranitelné.To vystavuje provozní technologie (OT) útokům a vážným rizikům, jak ukazují scénáře útoků v reálném světě.“

Další poznatky a rady, které se týkají například konfigurace a nastavení bezpečnostních řešení, izolace sítě OT, ochrany systémů, provozování zastaralých OS, aplikačního softwaru a firmwaru zařízení, obsahuje blog Kaspersky ICS CERT. Na ochranu vaší organizace před příslušnými hrozbami odborníci společnosti Kaspersky doporučují:

• Pokud má podnik provozní technologie (OT) nebo kritickou infrastrukturu, ujistěte se, že jsou odděleny od běžné firemní sítě nebo že alespoň neexistují žádná neoprávněná připojení.

• Provádějte pravidelné bezpečnostní audity systémů OT, abyste odhalili a odstranili případné zranitelnosti.

• Zaveďte proces průběžného vyhodnocování a správy zranitelností.

• Používejte řešení pro monitorování, analýzu a detekci síťového provozu průmyslových řídicích systémů (ICS) pro lepší ochranu před útoky potenciálně ohrožujícími technologické procesy a hlavní aktiva podniku.

• Zajistěte ochranu koncových bodů ve výrobním prostředí stejně jako v administrativě. Řešení Kaspersky Industrial CyberSecurity zahrnuje specializovanou ochranu koncových bodů a monitorování sítě pro odhalení jakékoli podezřelé a potenciálně škodlivé aktivity v průmyslové síti.

• Pro získání realističtější představy o rizicích spojených se zranitelnostmi v řešeních OT a podporu informovaného rozhodování o jejich zmírnění doporučujeme, abyste v závislosti na vašich technických možnostech a potřebách využívali službu Kaspersky ICS Vulnerability Intelligence ve formě lidmi čitelných zpráv nebo strojově čitelného datového kanálu.

• Uspořádejte specializované školení o zabezpečení ICS pro bezpečnostní týmy IT a inženýry provozních technologií, které má zásadní význam pro zlepšení reakce na nové a pokročilé kybernetické hrozby.

O společnosti Kaspersky

Kaspersky je globální společnost zaměřená na kybernetickou bezpečností a digitální soukromí, která vznikla v roce 1997. Odborné znalosti společnosti Kaspersky v oblasti bezpečnostních hrozeb a zabezpečení se neustále transformují v inovativní bezpečnostní řešení a služby na ochranu podniků, kritické infrastruktury, vlád a spotřebitelů po celém světě. Komplexní portfolio zabezpečení společnosti zahrnuje špičkovou ochranu koncových bodů, specializovaná bezpečnostní řešení a služby a také řešení Cyber Immune pro boj se sofistikovanými a neustále se vyvíjejícími digitálními hrozbami. Technologie společnosti Kaspersky chrání víc než 400 milionů uživatelů a víc než 220 000 firemním klientům pomáháme chránit vše, co je pro ně v digitální oblasti nejdůležitější. Další informace naleznete na adrese www.kaspersky.cz.

Doporučujeme

Nejvyšší soud odmítl Trumpovu snahu omezit zisk občanství dětem narozeným v USA

Nejvyšší soud USA dnes odmítl snahu amerického prezidenta Donalda Trumpa omezit automatické udělování amerického občanství všem dětem narozeným na území Spojených států. Informovala o tom agentura Reuters. Trump tento princip udělování občanství, který je zaručen 14. dodatkem americké ústavy, v minulosti tvrdě kritizoval a označoval ho mimo jiné za neštěstí Spojených států.

Británie chce po uprchlících zpětně vymáhat náklady na azyl. Zaplatit by mohli až 10 tisíc liber

Lidé, kterým bude ve Velké Británii udělen azyl, by podle plánů vlády mohli po nástupu do zaměstnání zaplatit přibližně 10 000 liber (asi 290 tisíc korun) jako příspěvek na náklady spojené s jejich ubytováním a podporou během azylového řízení.

Tisíce lidí protestují v Jihoafrické republice proti migrantům

V několika jihoafrických městech vyšly do ulic tisíce lidí požadujících odchod nelegálních migrantů. Úřady nasadily mimořádná bezpečnostní opatření, protože panovaly obavy z násilností a útoků na cizince.

Města hledají nové způsoby, jak ochránit obyvatele před extrémním horkem

Extrémní vedra se stávají běžnou součástí života ve stále větší části světa. Klimatická změna zvyšuje jejich četnost, intenzitu i délku trvání a nejcitelněji dopadají na města. Ta proto zavádějí varovné systémy, rozšiřují zeleň, upravují veřejný prostor a hledají další cesty, jak ochránit obyvatele před rostoucími teplotami.

Gudas se vrací na Floridu a pokračuje v NHL

Radko Gudas má velmi blízko k pokračování své dlouhé kariéry v NHL. Anaheim přenechal práva na zkušeného českého obránce Floridě, která s ním podle očekávání uzavře novou smlouvu ještě před otevřením trhu s volnými hráči.

Výbuch bomby v Monaku těžce zranil dva lidi, pachatel je na útěku

V centru Monaka vybuchla v pondělí večer podomácku vyrobená bomba, která vážně zranila ukrajinského oligarchu Vadyma Jermolajeva a jeho manželku. Podle francouzských médií byl při explozi lehce poraněn také jejich třináctiletý syn. Policie ve středomořském knížectví i ve Francii po útočníkovi pátrá. Podle posledních informací monackého ministra Christophea Mirmanda se však zdá, že již opustil území obou zemí. Francouzská i ukrajinská média se shodují, že za útokem pravděpodobně stojí organizovaný zločin. Policie případ nevyšetřuje jako terorismus.

Podezřelý z šestinásobné vraždy v Německu je muž tureckého původu. Zabíjel zřejmě kvůli sporu o dceru

Německá policie zveřejnila další informace o pondělní střelbě v zařízení pro péči o mládež ve městě Stade na severu země. Útok si vyžádal šest mrtvých, všichni byli zaměstnanci centra. Z útoku je podezřelý 45letý muž tureckého původu, narozený v Německu, který žil v Hannoveru.

Hormuzský průliv zůstal otevřený i přes víkendovou eskalaci

Doprava v Hormuzském průlivu se obnovuje bez ohledu na víkendové údery mezi USA a Íránem. Tato klíčová vodní trasa pro export ropy zůstává otevřená, shodují se dvě monitorovací společnosti.

Aligátoři na Floridě za týden napadli tři lidi, jedna žena zraněním podlehla

Aligátoři na Floridě v sérii útoků za jeden týden napadli tři lidi, jedna žena zraněním podlehla. Ke dvěma z incidentů došlo v rozmezí 24 hodin. Napadení aligátorem zůstává poměrně vzácné, vyplývá z dat Floridské komise pro ochranu ryb a divoké zvěře (FWC). Stát zaznamenává průměrně osm nevyprovokovaných pokousání ročně, uvádí komise, jež se ve státě zabývá stížnostmi na konkrétní aligátory, kteří by mohli představovat hrozbu pro lidi, domácí mazlíčky či majetek. Florida je podle odhadů domovem 1,3 milionu aligátorů. Informují o tom stanice CNN a ABC News.

Čínský miliardář v USA odsouzen k 30 letům vězení za podvody

Americký soud poslal na 30 let do vězení čínského miliardáře Kuo Wen-kueje. Kdysi jeden z nejbohatších čínských podnikatelů uprchl ze své vlasti po obvinění ze znásilnění, únosu a korupce. V USA se prezentoval jako kritik čínského komunistického režimu a na politické aktivity od svých příznivců vybral přes miliardu dolarů. Těmito prostředky financoval svůj luxusní životní styl.

Klimatická krize zdražuje pojištění a přináší nové riziko pro ekonomiku

Rostoucí počet extrémních výkyvů počasí začíná měnit fungování pojišťoven, bank i celé ekonomiky. Odborníci upozorňují, že dražší nebo hůře dostupné pojištění už nepředstavuje problém jen pro majitele domů a firem. Dopady se postupně přelévají také do investic, úvěrů a hospodářského růstu. Stále častěji proto zaznívají výzvy, aby vedle soukromého sektoru převzaly větší roli i vlády.

Rusko a Ukrajina informují o mrtvých a raněných po vzájemných útocích

Nejméně dva mrtvé si vyžádaly útoky ukrajinských dronů v Rusku, v Belgorodské oblasti a v Jegorjevsku u Moskvy, kde zahynulo půlroční dítě, uvedly dnes ruské úřady. V Dnipru na jihovýchodě Ukrajiny stoupl počet obětí pondělního ruského útoku z šesti na sedm poté, co dnes ráno v nemocnici podlehl zraněním 59letý muž, oznámil náčelník oblastní správy Oleksandr Hanža. Ruské útoky na Charkov a okolí si během uplynulého dne vyžádaly čtyři životy a 24 raněných, včetně dvou dětí, informoval náčelník regionální správy Oleh Syněhubov.

Německo po penaltách končí na mistrovství světa, Paraguay slaví velký postup

Německo se po dvanácti letech vrátilo do vyřazovací fáze mistrovství světa, jenže jeho cesta skončila hned v prvním kole play off. Po remíze 1:1 rozhodl penaltový rozstřel, ve kterém uspěla Paraguay poměrem 4:3. Jeden z favoritů turnaje tak odjíždí domů, zatímco jihoamerický tým čeká osmifinále proti vítězi souboje Francie se Švédskem.

Europoslanci tvrdí, že jim bylo znemožněno provést důkladnou inspekci italského zadržovacího centra pro migranty v Albánii

Delegace poslanců Evropského parlamentu tvrdí, že při návštěvě italského detenčního centra pro migranty v Albánii narazila na překážky a nemohla zařízení důkladně zkontrolovat. Spor přichází v době, kdy se Evropská unie posouvá k tvrdší migrační politice a zvažuje širší využití zařízení mimo své území.

Brazílie po obratu vyřadila Japonsko a jde do osmifinále

Brazílie vydřela postup do osmifinále mistrovství světa až v samotném závěru. Japonsko dlouho drželo překvapivé vedení a sahalo po historickém úspěchu, jenže favorit po změně stran přidal, vyrovnal a v nastaveném čase rozhodl o výhře 2:1. Hrdinou se stal Gabriel Martinelli.
Reklama
Reklama
Reklama
Reklama