Protext ČTKSpolečnost Kaspersky zjistila hlavní faktory napomáhající útokům APT v průmyslových firmách

Společnost Kaspersky zjistila hlavní faktory napomáhající útokům APT v průmyslových firmách

Praha 15. června 2023 (PROTEXT) – Mezi hlavní faktory, které přispívají k úspěchu operací pokročilých perzistentních hrozeb (APT) uvnitř sítí jejich obětí, patří lidský faktor, nedostatečná bezpečnostní opatření, problémy s aktualizacemi a konfigurací kybernetických bezpečnostních řešení a další pochybení. I když se některé z těchto příčin mohou zdát triviální, odborníci společnosti Kaspersky se s nimi při svých činnostech během reakcí na incidenty setkávají poměrně často. Členové týmu Kaspersky ICS CER proto sestavili seznam nejčastějších problémů, aby pomohli organizacím zmírnit příslušné hrozby a zajistit zavedení osvědčených postupů.

Nedostatečná izolace sítě provozních technologií (OT)

Během vyšetřování incidentů se odborníci společnosti Kaspersky stali svědky případů, kdy byly problémy s oddělením a zabezpečením sítě provozních technologií (OT). Šlo například o zařízení, jako jsou technologické pracovní stanice, které byly připojeny jak k běžné IT síti, tak k síti OT.

„V situacích, kdy izolace sítě OT závisí pouze na konfiguraci síťového vybavení, mohou zkušení útočníci toto vybavení vždy překonfigurovat ve svůj prospěch,“ řekl Jevgenij Gončarov, vedoucí týmu Industrial Control Systems Cyber Emergency Response Team (ICS CERT) společnosti Kaspersky. „Mohou je například přeměnit na proxy servery pro řízení fungování malwaru nebo je dokonce využít k ukládání a doručování malwaru do sítí, které byly považovány za izolované. Takové škodlivé aktivity jsme zaznamenali při více příležitostech.“

Na bezpečnostních incidentech se stále významně podílí lidský faktor

Při udělování přístupu k sítím OT, ať už vlastním zaměstnancům nebo externím dodavatelům, jsou často opomíjena opatření pro zabezpečení informací. Nástroje pro vzdálenou správu, jako je TeamViewer nebo Anydesk, které měly být použity pouze jednorázově, mohou zůstat aktivní, aniž by si toho někdo všiml. Je však třeba mít na paměti, že tyto kanály jsou snadno zneužitelné útočníky. V roce 2023 společnost Kaspersky vyšetřovala incident, kdy se dodavatel firmy pokusil o sabotáž, k níž využil vzdálený přístup do sítě ICS, který mu byl před několika lety legitimně udělen.

Tento příběh ukazuje, jak je důležité brát v úvahu lidský faktor, protože případní nespokojení zaměstnanci mohou být ovlivněni svým pracovním hodnocením, finančním příjmem nebo politickými motivy, což je může vést k zapojení do kybernetických kriminálních akcí. Možným řešením v takové situaci může být koncept nulové důvěry „Zero Trust“, který považuje uživatele, zařízení a aplikace v systému za a priori nedůvěryhodné. Na rozdíl od jiných řešení typu Zero Trust rozšiřuje společnost Kaspersky tento přístup až na úroveň operačního systému, a to svým řešením založeným na systému KasperskyOS.

Nedostatečná ochrana prostředků pro OT

Při analýze incidentů narazili odborníci společnosti Kaspersky na zastaralé databáze bezpečnostních řešení, chybějící licenční klíče, odstranění klíčů z podnětu uživatelů, zakázané bezpečnostní komponenty či nadměrné výjimky ze skenování a ochrany – to vše přispívá k šíření malwaru.

Například pokud databáze nejsou aktuální a bezpečnostní řešení nelze automaticky aktualizovat, může to umožnit rychlé a snadné šíření pokročilých hrozeb, jako je tomu u útoků APT, kdy se zkušení aktéři hrozeb snaží vyhnout odhalení.

Nezabezpečené konfigurace bezpečnostních řešení

Správné konfigurace bezpečnostního řešení jsou zásadní pro to, aby nedošlo k jeho vyřazení z funkce nebo dokonce zneužití – což je taktika, kterou často vídáme u skupin/aktérů APT. Mohou ukrást informace o síti oběti uložené v bezpečnostním řešení, aby se dostali do dalších částí systému nebo podnikli laterální útok za použití specializovaných nástrojů pro informační bezpečnost.

V roce 2022 zaznamenal tým Kaspersky ICS CERT nový trend v taktice šíření APT, kvůli kterému je správná konfigurace ještě důležitější. Například při hledání postupů laterálního průniku se útočníci již nezastavují u únosu kritických IT systémů, jako je řadič domény. Pokračují k dalšímu cíli – administračním serverům bezpečnostních řešení. Cíle mohou být různé – od umístění malwaru na seznam programů, které nebudou kontrolovány, až po využití nástrojů v bezpečnostním systému k šíření malwaru do dalších systémů, a to i těch, které mají být od infikované sítě zcela odděleny.

Absence kybernetické ochrany v sítích OT

Nechce se tomu skoro věřit, ale v některých sítích OT nejsou řešení kybernetické bezpečnosti na mnoha koncových bodech vůbec nainstalována. I když je síť OT zcela oddělena od ostatních sítí a není připojena k internetu, útočníci mají stále možnosti, jak do ní získat přístup. Mohou například vytvořit speciální verze malwaru, které se šíří například prostřednictvím vyměnitelných USB disků.

Problémy s aktualizacemi zabezpečení pracovních stanic a serverů

Průmyslové řídicí systémy mají specifický způsob fungování, kdy i tak jednoduché úkoly, jako je instalace bezpečnostních aktualizací na pracovních stanicích a serverech, vyžadují pečlivé testování. Toto testování probíhá obvykle během plánované údržby, což způsobuje, že aktualizace nebývají příliš časté. To dává aktérům hrozeb dostatek času na využití známých slabin a provedení útoků.

„V některých případech může aktualizace operačního systému serveru vyžadovat také aktualizaci specializovaného softwaru, například pro monitorování a sběr dat (SCADA), což může zase vyžadovat upgrade dalšího vybavení – to vše může být příliš nákladné. Proto se to často odkládá a v sítích průmyslových řídicích systémů přetrvávají zastaralé systémy,“ dodává Gončarov. „Překvapivě dokonce i systémy v průmyslových podnicích, které jsou orientované na internet a které lze relativně snadno aktualizovat, mohou zůstat po dlouhou dobu zranitelné.To vystavuje provozní technologie (OT) útokům a vážným rizikům, jak ukazují scénáře útoků v reálném světě.“

Další poznatky a rady, které se týkají například konfigurace a nastavení bezpečnostních řešení, izolace sítě OT, ochrany systémů, provozování zastaralých OS, aplikačního softwaru a firmwaru zařízení, obsahuje blog Kaspersky ICS CERT. Na ochranu vaší organizace před příslušnými hrozbami odborníci společnosti Kaspersky doporučují:

• Pokud má podnik provozní technologie (OT) nebo kritickou infrastrukturu, ujistěte se, že jsou odděleny od běžné firemní sítě nebo že alespoň neexistují žádná neoprávněná připojení.

• Provádějte pravidelné bezpečnostní audity systémů OT, abyste odhalili a odstranili případné zranitelnosti.

• Zaveďte proces průběžného vyhodnocování a správy zranitelností.

• Používejte řešení pro monitorování, analýzu a detekci síťového provozu průmyslových řídicích systémů (ICS) pro lepší ochranu před útoky potenciálně ohrožujícími technologické procesy a hlavní aktiva podniku.

• Zajistěte ochranu koncových bodů ve výrobním prostředí stejně jako v administrativě. Řešení Kaspersky Industrial CyberSecurity zahrnuje specializovanou ochranu koncových bodů a monitorování sítě pro odhalení jakékoli podezřelé a potenciálně škodlivé aktivity v průmyslové síti.

• Pro získání realističtější představy o rizicích spojených se zranitelnostmi v řešeních OT a podporu informovaného rozhodování o jejich zmírnění doporučujeme, abyste v závislosti na vašich technických možnostech a potřebách využívali službu Kaspersky ICS Vulnerability Intelligence ve formě lidmi čitelných zpráv nebo strojově čitelného datového kanálu.

• Uspořádejte specializované školení o zabezpečení ICS pro bezpečnostní týmy IT a inženýry provozních technologií, které má zásadní význam pro zlepšení reakce na nové a pokročilé kybernetické hrozby.

O společnosti Kaspersky

Kaspersky je globální společnost zaměřená na kybernetickou bezpečností a digitální soukromí, která vznikla v roce 1997. Odborné znalosti společnosti Kaspersky v oblasti bezpečnostních hrozeb a zabezpečení se neustále transformují v inovativní bezpečnostní řešení a služby na ochranu podniků, kritické infrastruktury, vlád a spotřebitelů po celém světě. Komplexní portfolio zabezpečení společnosti zahrnuje špičkovou ochranu koncových bodů, specializovaná bezpečnostní řešení a služby a také řešení Cyber Immune pro boj se sofistikovanými a neustále se vyvíjejícími digitálními hrozbami. Technologie společnosti Kaspersky chrání víc než 400 milionů uživatelů a víc než 220 000 firemním klientům pomáháme chránit vše, co je pro ně v digitální oblasti nejdůležitější. Další informace naleznete na adrese www.kaspersky.cz.

Doporučujeme

Mandát zesnulého senátora Lindseyho Grahama dočasně převezme jeho mladší sestra Darline

Po smrti amerického republikánského senátora Lindseyho Grahama bude jeho místo v Senátu Spojených států dočasně zastávat jeho mladší sestra Darline Graham Nordone. Do funkce ji v pondělí jmenoval guvernér Jižní Karolíny Henry McMaster.

Film o Michaelu Jacksonovi jako první životopisný snímek vydělal miliardu dolarů

Životopisný film Michael dosáhl historického úspěchu. Snímek o Michaelu Jacksonovi překonal v celosvětových kinech hranici jedné miliardy dolarů a stal se prvním životopisným filmem, kterému se to podařilo. Hlavní roli ztvárnil zpěvákův synovec Jaafar Jackson.

Horko zvyšuje riziko duševních potíží. Nejohroženější jsou děti a mladiství

Vysoké teploty máme spojené s dobrou náladou, když jsme na dovolené u moře nebo vysedáváme na zahrádkách. Zároveň je ovšem známo, že vedro zhoršuje naše kognitivní funkce i náladu a zvyšuje agresivitu. Nová studie teď zjistila, že během horkých dnů stoupá počet hospitalizací spojených s duševními problémy u dětí a mladistvých.

USA dokončily další vlnu úderů na Írán, oznámilo regionální velitelství

Americká armáda dokončila další vlnu úderů na Írán, kde útočila na pobřežní obranné systémy, odpalovací zařízení pro střely a drony a na námořnictvo. Na síti X to dnes nad ránem oznámilo americké velitelství CENTCOM, které koordinuje síly USA na Blízkém východě. Podle agentury Fars zahynuli při jednom z útoků tři lidé z téže rodiny.

Pesticid používaný v zemědělství může snižovat počet čmeláků

Čmeláci patří mezi nejvýznamnější opylovače zemědělských plodin i volně rostoucích rostlin. Nový výzkum ukazuje, že sulfoxaflor, běžně používaný pesticid proti savému hmyzu, může narušovat jejich rozmnožování už při nízkých dávkách. Změny se projevily přímo v aktivitě genů spojených s reprodukcí, což by při dlouhodobém působení mohlo přispívat k úbytku čmeláčích populací.

Volkswagen zvažuje zrušení dalších 50 tisíc pracovních míst

Volkswagen může v rámci rozsáhlé restrukturalizace zrušit dalších přibližně 50 tisíc pracovních míst. Šéf koncernu Oliver Blume zaměstnancům oznámil, že firma stále hledá způsob, jak snížit výrazně vyšší náklady a přiblížit se konkurenci. Konečný počet zrušených pozic zatím nebyl stanoven.

Rusko v noci udeřilo střelami a drony na Kyjev, oběti nejsou hlášeny

Rusko během noci na dnešek zaútočilo střelami a drony na ukrajinskou metropoli Kyjev. S odvoláním na představitele města o tom nad ránem informovala agentura Reuters, podle které byly hlášeny exploze a požáry, žádné oběti ale úřady neoznámily. Ukrajinská obrana sestřelila pět z osmi ruských balistických raket. Stalo se tak poprvé za měsíc, napsala agentura Unian s odvoláním na hlášení ukrajinského letectva a připomněla, že problémy souvisely s nedostatkem protiraketových střel.

Ceny ropy nepřestávají růst. Trh znervózňují americké kroky v Hormuzu

Ceny ropy vzrostly poté, co americký prezident Donald Trump oznámil plány na zavedení poplatků za přepravu v Hormuzském průlivu a obnovení blokády íránských přístavů. Tyto kroky na trhu vyvolaly další vlnu obav z narušení dodávek černého zlata. Zatímco USA trvají na tom, že Hormuzský průliv je otevřený pro plavbu, podle údajů o sledování lodní dopravy došlo k prudkému poklesu tranzitů.

Francie umožní Ukrajině licenční výrobu zbraní, Kyjev nakoupí 16 letounů Rafale

Francie umožní Ukrajině licenční výrobu francouzských řízených střel, přesně naváděných bomb a protivzdušných střel, zatímco Kyjev nakoupí francouzsko-italské systémy protivzdušné obrany nové generace a 16 stíhacích letounů Rafale. Po jednání koalice ochotných to dnes v Paříži oznámil francouzský prezident Emmanuel Macron.

USA ode dneška začnou vybírat poplatky za bezpečnou plavbu Hormuzským průlivem

Americký prezident Donald Trump uvedl, že Spojené státy obnovují blokádu vůči Íránu v Hormuzském průlivu a že budou od lodí za zajištění bezpečnosti vybírat poplatek ve výši 20 procent hodnoty přepravovaného nákladu. Šéf Bílého domu to dnes napsal na své sociální síti Truth Social. Hormuzským průlivem procházela pětina světových dodávek ropy a zemního plynu, než nad klíčovou lodní trasou na začátku konfliktu uplatnil kontrolu Írán.

Příměří se fakticky zhroutilo. USA udeřily na Írán, sirény se rozezněly v Jordánsku a Bahrajnu

Spojené státy v pondělí pozdě večer dokončily další vlnu leteckých úderů na cíle spojené s Íránem. Tentokrát americká armáda útočila na odpalovací systémy pro střely a drony, obranné systémy a námořnictvo. Sirény se následně rozezněly v Jordánsku a Bahrajnu. Americký prezident Donald Trump prohlásil, že USA kontrolují úžinu klíčovou pro světové dodávky ropy.

Maďarský parlament schválil ústavní dodatek, který má ukončit mandát prezidenta

Maďarský parlament dnes schválil ústavní dodatek, který má především ukončit mandát prezidenta Tamáse Sulyoka. Informovaly o tom světové tiskové agentury. Premiér Péter Magyar označuje prezidenta za loutku strany Fidesz bývalého předsedy vlády Viktora Orbána, který letos po 16 letech přišel o moc, a už po vítězství v dubnových parlamentních volbách Sulyoka vyzval, aby odstoupil.

Húsíové zaútočili na letiště v Saúdské Arábii

Jemenští Húsíové v pondělí zaútočili balistickými raketami a drony na mezinárodní letiště Abhá na jihu Saúdské Arábie. Saúdská protivzdušná obrana proti střelám zasáhla a úřady nehlásí žádné oběti. Útok představuje nejvážnější vyhrocení vztahů mezi oběma stranami od příměří uzavřeného v roce 2022.

Požár lesa v pařížském regionu zničil na 1000 hektarů a stále se šíří

Požár lesa u Fontainebleau nedaleko Paříže zničil na 1000 hektarů porostu, což je zhruba pět procent celého lesa. Dnes odpoledne to řekl šéf civilní ochrany Julien Marion. Na místě zasahuje na 800 hasičů z celé Francie. Podle francouzského ministra vnitra Laurenta Nuňeze je možné, že oheň někdo založil úmyslně, informovala agentura AFP.

EK a její partneři chtějí dát na podporu projektů v Gaze 883,6 milionu eur

Evropská komise dnes spolu s více než desítkou nejen členských zemí Evropské unie zahájila iniciativu, která poskytne 883,6 milionu eur (přibližně 21,4 miliardy Kč) na humanitární projekty v Pásmu Gazy. Komise v prohlášení uvedla, že "Team Gaza Initiative" podpoří projekty zaměřené na zajištění základních služeb pro obyvatele pásma, včetně vodohospodářské infrastruktury, odstraňování sutin a odpadu či obnovení zdravotnických, energetických a zemědělských systémů. Česká republika podle zveřejněného seznamu do iniciativy zapojena není.
Reklama
Reklama
Reklama
Reklama