Protext ČTKSpolečnost Kaspersky zjistila hlavní faktory napomáhající útokům APT v průmyslových firmách

Společnost Kaspersky zjistila hlavní faktory napomáhající útokům APT v průmyslových firmách

Praha 15. června 2023 (PROTEXT) – Mezi hlavní faktory, které přispívají k úspěchu operací pokročilých perzistentních hrozeb (APT) uvnitř sítí jejich obětí, patří lidský faktor, nedostatečná bezpečnostní opatření, problémy s aktualizacemi a konfigurací kybernetických bezpečnostních řešení a další pochybení. I když se některé z těchto příčin mohou zdát triviální, odborníci společnosti Kaspersky se s nimi při svých činnostech během reakcí na incidenty setkávají poměrně často. Členové týmu Kaspersky ICS CER proto sestavili seznam nejčastějších problémů, aby pomohli organizacím zmírnit příslušné hrozby a zajistit zavedení osvědčených postupů.

Nedostatečná izolace sítě provozních technologií (OT)

Během vyšetřování incidentů se odborníci společnosti Kaspersky stali svědky případů, kdy byly problémy s oddělením a zabezpečením sítě provozních technologií (OT). Šlo například o zařízení, jako jsou technologické pracovní stanice, které byly připojeny jak k běžné IT síti, tak k síti OT.

„V situacích, kdy izolace sítě OT závisí pouze na konfiguraci síťového vybavení, mohou zkušení útočníci toto vybavení vždy překonfigurovat ve svůj prospěch,“ řekl Jevgenij Gončarov, vedoucí týmu Industrial Control Systems Cyber Emergency Response Team (ICS CERT) společnosti Kaspersky. „Mohou je například přeměnit na proxy servery pro řízení fungování malwaru nebo je dokonce využít k ukládání a doručování malwaru do sítí, které byly považovány za izolované. Takové škodlivé aktivity jsme zaznamenali při více příležitostech.“

Na bezpečnostních incidentech se stále významně podílí lidský faktor

Při udělování přístupu k sítím OT, ať už vlastním zaměstnancům nebo externím dodavatelům, jsou často opomíjena opatření pro zabezpečení informací. Nástroje pro vzdálenou správu, jako je TeamViewer nebo Anydesk, které měly být použity pouze jednorázově, mohou zůstat aktivní, aniž by si toho někdo všiml. Je však třeba mít na paměti, že tyto kanály jsou snadno zneužitelné útočníky. V roce 2023 společnost Kaspersky vyšetřovala incident, kdy se dodavatel firmy pokusil o sabotáž, k níž využil vzdálený přístup do sítě ICS, který mu byl před několika lety legitimně udělen.

Tento příběh ukazuje, jak je důležité brát v úvahu lidský faktor, protože případní nespokojení zaměstnanci mohou být ovlivněni svým pracovním hodnocením, finančním příjmem nebo politickými motivy, což je může vést k zapojení do kybernetických kriminálních akcí. Možným řešením v takové situaci může být koncept nulové důvěry „Zero Trust“, který považuje uživatele, zařízení a aplikace v systému za a priori nedůvěryhodné. Na rozdíl od jiných řešení typu Zero Trust rozšiřuje společnost Kaspersky tento přístup až na úroveň operačního systému, a to svým řešením založeným na systému KasperskyOS.

Nedostatečná ochrana prostředků pro OT

Při analýze incidentů narazili odborníci společnosti Kaspersky na zastaralé databáze bezpečnostních řešení, chybějící licenční klíče, odstranění klíčů z podnětu uživatelů, zakázané bezpečnostní komponenty či nadměrné výjimky ze skenování a ochrany – to vše přispívá k šíření malwaru.

Například pokud databáze nejsou aktuální a bezpečnostní řešení nelze automaticky aktualizovat, může to umožnit rychlé a snadné šíření pokročilých hrozeb, jako je tomu u útoků APT, kdy se zkušení aktéři hrozeb snaží vyhnout odhalení.

Nezabezpečené konfigurace bezpečnostních řešení

Správné konfigurace bezpečnostního řešení jsou zásadní pro to, aby nedošlo k jeho vyřazení z funkce nebo dokonce zneužití – což je taktika, kterou často vídáme u skupin/aktérů APT. Mohou ukrást informace o síti oběti uložené v bezpečnostním řešení, aby se dostali do dalších částí systému nebo podnikli laterální útok za použití specializovaných nástrojů pro informační bezpečnost.

V roce 2022 zaznamenal tým Kaspersky ICS CERT nový trend v taktice šíření APT, kvůli kterému je správná konfigurace ještě důležitější. Například při hledání postupů laterálního průniku se útočníci již nezastavují u únosu kritických IT systémů, jako je řadič domény. Pokračují k dalšímu cíli – administračním serverům bezpečnostních řešení. Cíle mohou být různé – od umístění malwaru na seznam programů, které nebudou kontrolovány, až po využití nástrojů v bezpečnostním systému k šíření malwaru do dalších systémů, a to i těch, které mají být od infikované sítě zcela odděleny.

Absence kybernetické ochrany v sítích OT

Nechce se tomu skoro věřit, ale v některých sítích OT nejsou řešení kybernetické bezpečnosti na mnoha koncových bodech vůbec nainstalována. I když je síť OT zcela oddělena od ostatních sítí a není připojena k internetu, útočníci mají stále možnosti, jak do ní získat přístup. Mohou například vytvořit speciální verze malwaru, které se šíří například prostřednictvím vyměnitelných USB disků.

Problémy s aktualizacemi zabezpečení pracovních stanic a serverů

Průmyslové řídicí systémy mají specifický způsob fungování, kdy i tak jednoduché úkoly, jako je instalace bezpečnostních aktualizací na pracovních stanicích a serverech, vyžadují pečlivé testování. Toto testování probíhá obvykle během plánované údržby, což způsobuje, že aktualizace nebývají příliš časté. To dává aktérům hrozeb dostatek času na využití známých slabin a provedení útoků.

„V některých případech může aktualizace operačního systému serveru vyžadovat také aktualizaci specializovaného softwaru, například pro monitorování a sběr dat (SCADA), což může zase vyžadovat upgrade dalšího vybavení – to vše může být příliš nákladné. Proto se to často odkládá a v sítích průmyslových řídicích systémů přetrvávají zastaralé systémy,“ dodává Gončarov. „Překvapivě dokonce i systémy v průmyslových podnicích, které jsou orientované na internet a které lze relativně snadno aktualizovat, mohou zůstat po dlouhou dobu zranitelné.To vystavuje provozní technologie (OT) útokům a vážným rizikům, jak ukazují scénáře útoků v reálném světě.“

Další poznatky a rady, které se týkají například konfigurace a nastavení bezpečnostních řešení, izolace sítě OT, ochrany systémů, provozování zastaralých OS, aplikačního softwaru a firmwaru zařízení, obsahuje blog Kaspersky ICS CERT. Na ochranu vaší organizace před příslušnými hrozbami odborníci společnosti Kaspersky doporučují:

• Pokud má podnik provozní technologie (OT) nebo kritickou infrastrukturu, ujistěte se, že jsou odděleny od běžné firemní sítě nebo že alespoň neexistují žádná neoprávněná připojení.

• Provádějte pravidelné bezpečnostní audity systémů OT, abyste odhalili a odstranili případné zranitelnosti.

• Zaveďte proces průběžného vyhodnocování a správy zranitelností.

• Používejte řešení pro monitorování, analýzu a detekci síťového provozu průmyslových řídicích systémů (ICS) pro lepší ochranu před útoky potenciálně ohrožujícími technologické procesy a hlavní aktiva podniku.

• Zajistěte ochranu koncových bodů ve výrobním prostředí stejně jako v administrativě. Řešení Kaspersky Industrial CyberSecurity zahrnuje specializovanou ochranu koncových bodů a monitorování sítě pro odhalení jakékoli podezřelé a potenciálně škodlivé aktivity v průmyslové síti.

• Pro získání realističtější představy o rizicích spojených se zranitelnostmi v řešeních OT a podporu informovaného rozhodování o jejich zmírnění doporučujeme, abyste v závislosti na vašich technických možnostech a potřebách využívali službu Kaspersky ICS Vulnerability Intelligence ve formě lidmi čitelných zpráv nebo strojově čitelného datového kanálu.

• Uspořádejte specializované školení o zabezpečení ICS pro bezpečnostní týmy IT a inženýry provozních technologií, které má zásadní význam pro zlepšení reakce na nové a pokročilé kybernetické hrozby.

O společnosti Kaspersky

Kaspersky je globální společnost zaměřená na kybernetickou bezpečností a digitální soukromí, která vznikla v roce 1997. Odborné znalosti společnosti Kaspersky v oblasti bezpečnostních hrozeb a zabezpečení se neustále transformují v inovativní bezpečnostní řešení a služby na ochranu podniků, kritické infrastruktury, vlád a spotřebitelů po celém světě. Komplexní portfolio zabezpečení společnosti zahrnuje špičkovou ochranu koncových bodů, specializovaná bezpečnostní řešení a služby a také řešení Cyber Immune pro boj se sofistikovanými a neustále se vyvíjejícími digitálními hrozbami. Technologie společnosti Kaspersky chrání víc než 400 milionů uživatelů a víc než 220 000 firemním klientům pomáháme chránit vše, co je pro ně v digitální oblasti nejdůležitější. Další informace naleznete na adrese www.kaspersky.cz.

Doporučujeme

Francouzi natírají okna křídou a hledají úlevu od veder

Extrémní vedra přiměla mnoho Francouzů sáhnout po překvapivě jednoduchém řešení. Na okna domů, škol i dalších budov nanášejí směs z rozdrcené křídy a vody, která pomáhá odrážet sluneční záření. Levný postup se rychle šíří po sociálních sítích a v některých obchodech už kvůli velkému zájmu dochází zásoby.

Artis Brno si zahraje první ligu

Brno bude mít po letech dva zástupce v nejvyšší fotbalové soutěži. Vedle Zbrojovky si premiérovou sezonu mezi elitou zahraje také Artis Brno, který přijal nabídku Ligové fotbalové asociace na administrativní doplnění soutěže po vyloučení Karviné.

Kvůli skandálu ve varšavské nemocnici odstoupily zástupkyně primátora

Dvě zástupkyně varšavského primátora dnes odstoupily ze svých funkcí, oznámil primátor Rafal Trzaskowski. Jde o o důsledek skandálu v jedné z varšavských nemocnic, kde se politici vládní strany a jejich příbuzní těšili protekčnímu zacházení a šéf pohotovosti pobíral horentní příjmy. Po odhalení následuje "politické zemětřesení" v hlavním městě, informují média. Další personální změny mohou následovat, pohrozil premiér Donald Tusk.

Spojené státy stáhly po operaci proti IS z Nigérie většinu svých vojenských sil

Spojené státy stáhly z Nigérie většinu vojenských sil, které nasadily při nedávné společné operaci proti bojovníkům teroristické organizace Islámský stát (IS). Nyní na žádost Abuji poskytují zpravodajskou podporu, uvedl podle agentury Reuters velitel velitelství amerických sil pro Afriku (AFRICOM) Dagvin Anderson.

Interpol pátrá po 39leté Ukrajince, je podezřelá z bombovému útoku v Monaku

Mezinárodní policejní organizace Interpol pátrá po devětatřicetileté Ukrajince Anastasiji Berezovské. Organizace to dnes oznámila na svém webu. Žena je podezřelá z bombového útoku, při kterém byl v pondělí zraněn ukrajinský oligarcha Vadym Jermolajev a další dva lidé. Vyšetřovatelé podle médií nevylučují, že za útokem stála cizí mocnost.

Havaj testuje silnice z plastového odpadu a rybářských sítí

Havaj hledá nové využití pro plastový odpad, který by jinak končil na skládkách nebo v oceánu. Výzkumníci zkoušejí přimíchávat recyklované plasty a vyřazené rybářské sítě do asfaltových směsí. První výsledky naznačují, že takové silnice neuvolňují více mikroplastů než běžné vozovky a mohou pomoci řešit dva problémy najednou, plastový odpad i mořské znečištění.

Sběratele vinylů děsí vlna veder. Mohou vysoké teploty zničit jejich desky?

V červnu velkou část Evropy sežehla tepelná kupole. Teploty místy dosahovaly až 40 stupňů Celsia. Takové extrémy vyvolávají obavy o zdraví. Nervózní jsou ale i vášniví sběratelé desek. Obávají se, že extrémní teploty mohou jejich vinyly poškodit či zničit.

USA se obávaly, že Izrael spáchá atentát na íránské vyjednavače

Američtí činitelé se obávali, že se Izrael chystá spáchat atentát na íránské vyjednavače, zatímco s nimi Spojené státy na jaře vedly citlivá jednání, při nichž dojednaly dočasnou mírovou dohodu. S odkazem na stávající a bývalé zástupce USA o tom napsal zpravodajský web deníku The New York Times (NYT).

Američané vzdávají hledání práce. Participace na trhu klesla nejníže za 50 let

Nezaměstnanost v USA klesla, ale není to dobrá zpráva. Část americké populace totiž přestala hledat zaměstnání, což znamená, že vypadla z trhu práce. Klesající nezaměstnanost tedy maskuje slabost trhu práce. Roli v tom hraje stárnoucí populace, zmenšující se populace migrantů a nepříznivá ekonomická situace.

Ukrajinské a ruské úřady informují o mrtvých a raněných po vzájemných útocích

Nejméně čtyři lidé, včetně dítěte a jeho matky, přišli o život při ruském útoku v Sumské oblasti na severovýchodě Ukrajiny, další oběť je hlášena z Dněpropetrovské oblasti, uvedly místní úřady. Gubernátoři regionů na západě Ruska informují o dvou obětech ukrajinských útoků. V Kyjevě je dnes smutek za oběti čtvrtečního útoku, jejichž počet po vyproštění tří těl z trosek stoupl na tři desítky. Ale další lidé, včetně patnáctileté dívky, se dosud pohřešují.

Krvavější než Stalingrad: Válka na Ukrajině dosáhla temné bilance

Válka na Ukrajině je krvavější než bitva o Stalingrad. S takto temnou bilancí přišlo Centrum pro strategická a mezinárodní studia (CSIS). Podle něj dosáhl počet obětí konfliktu 2 milionů, přičemž válka je mnohem nákladnější pro Rusko než Ukrajinu. Ani přes obrovské ztráty boje nepolevují.

Moldavský premiér překvapivě oznámil rezignaci, důvod neupřesnil

Moldavský premiér Alexandru Munteanu dnes překvapivě oznámil rezignaci, v čele vlády byl od loňského listopadu. Jeho odstoupení znamená pád celé vlády. Premiér neupřesnil, proč se takto rozhodl, uvedla agentura Reuters.

Výbuch v kavárně v Damašku zabil nejméně devět lidí

Nejméně devět obětí a dvacet zraněných si vyžádal čtvrteční výbuch v kavárně v centru Damašku. Podle prvních zjištění explodovala podomácku vyrobená nálož, k odpovědnosti se zatím nikdo nepřihlásil.

Počet obětí zemětřesení ve Venezuele vzrostl na 2595, pátrání pokračuje

Počet potvrzených obětí zemětřesení ve Venezuele vzrostl na 2595, uvedla podle světových agentur ve čtvrtek večer (dnes nad ránem SELČ) prozatímní prezidentka Delcy Rodríguez. Pátrání po přeživších po otřesech z 24. června stále pokračuje, dodala politička, podle níž živel zcela zničil 189 domů. Pohřešováno je několik desítek tisíc lidí.

Hasiči na jihu Francie bojují s požáry, ty podle úřadů spálily přes 1200 hektarů

Stovky hasičů dnes na různých místech ve Francii bojovaly proti lesním požárům. Ty zasáhly především jižní část země. Přes 3000 lidí bylo evakuováno u obce Canet-en-Roussillon na jihozápadě. Pod kontrolu se podařilo dostat požáry u Marseille, kde premiér Sébastien Lecornu řídil zasedání krizového štábu. Podle něj lesní požáry zničily ve Francii 8700 hektarů půdy, z toho 1200 hektarů jen za středu.
Reklama
Reklama
Reklama
Reklama