Protext ČTKSpolečnost Kaspersky zjistila hlavní faktory napomáhající útokům APT v průmyslových firmách

Společnost Kaspersky zjistila hlavní faktory napomáhající útokům APT v průmyslových firmách

Praha 15. června 2023 (PROTEXT) – Mezi hlavní faktory, které přispívají k úspěchu operací pokročilých perzistentních hrozeb (APT) uvnitř sítí jejich obětí, patří lidský faktor, nedostatečná bezpečnostní opatření, problémy s aktualizacemi a konfigurací kybernetických bezpečnostních řešení a další pochybení. I když se některé z těchto příčin mohou zdát triviální, odborníci společnosti Kaspersky se s nimi při svých činnostech během reakcí na incidenty setkávají poměrně často. Členové týmu Kaspersky ICS CER proto sestavili seznam nejčastějších problémů, aby pomohli organizacím zmírnit příslušné hrozby a zajistit zavedení osvědčených postupů.

Nedostatečná izolace sítě provozních technologií (OT)

Během vyšetřování incidentů se odborníci společnosti Kaspersky stali svědky případů, kdy byly problémy s oddělením a zabezpečením sítě provozních technologií (OT). Šlo například o zařízení, jako jsou technologické pracovní stanice, které byly připojeny jak k běžné IT síti, tak k síti OT.

„V situacích, kdy izolace sítě OT závisí pouze na konfiguraci síťového vybavení, mohou zkušení útočníci toto vybavení vždy překonfigurovat ve svůj prospěch,“ řekl Jevgenij Gončarov, vedoucí týmu Industrial Control Systems Cyber Emergency Response Team (ICS CERT) společnosti Kaspersky. „Mohou je například přeměnit na proxy servery pro řízení fungování malwaru nebo je dokonce využít k ukládání a doručování malwaru do sítí, které byly považovány za izolované. Takové škodlivé aktivity jsme zaznamenali při více příležitostech.“

Na bezpečnostních incidentech se stále významně podílí lidský faktor

Při udělování přístupu k sítím OT, ať už vlastním zaměstnancům nebo externím dodavatelům, jsou často opomíjena opatření pro zabezpečení informací. Nástroje pro vzdálenou správu, jako je TeamViewer nebo Anydesk, které měly být použity pouze jednorázově, mohou zůstat aktivní, aniž by si toho někdo všiml. Je však třeba mít na paměti, že tyto kanály jsou snadno zneužitelné útočníky. V roce 2023 společnost Kaspersky vyšetřovala incident, kdy se dodavatel firmy pokusil o sabotáž, k níž využil vzdálený přístup do sítě ICS, který mu byl před několika lety legitimně udělen.

Tento příběh ukazuje, jak je důležité brát v úvahu lidský faktor, protože případní nespokojení zaměstnanci mohou být ovlivněni svým pracovním hodnocením, finančním příjmem nebo politickými motivy, což je může vést k zapojení do kybernetických kriminálních akcí. Možným řešením v takové situaci může být koncept nulové důvěry „Zero Trust“, který považuje uživatele, zařízení a aplikace v systému za a priori nedůvěryhodné. Na rozdíl od jiných řešení typu Zero Trust rozšiřuje společnost Kaspersky tento přístup až na úroveň operačního systému, a to svým řešením založeným na systému KasperskyOS.

Nedostatečná ochrana prostředků pro OT

Při analýze incidentů narazili odborníci společnosti Kaspersky na zastaralé databáze bezpečnostních řešení, chybějící licenční klíče, odstranění klíčů z podnětu uživatelů, zakázané bezpečnostní komponenty či nadměrné výjimky ze skenování a ochrany – to vše přispívá k šíření malwaru.

Například pokud databáze nejsou aktuální a bezpečnostní řešení nelze automaticky aktualizovat, může to umožnit rychlé a snadné šíření pokročilých hrozeb, jako je tomu u útoků APT, kdy se zkušení aktéři hrozeb snaží vyhnout odhalení.

Nezabezpečené konfigurace bezpečnostních řešení

Správné konfigurace bezpečnostního řešení jsou zásadní pro to, aby nedošlo k jeho vyřazení z funkce nebo dokonce zneužití – což je taktika, kterou často vídáme u skupin/aktérů APT. Mohou ukrást informace o síti oběti uložené v bezpečnostním řešení, aby se dostali do dalších částí systému nebo podnikli laterální útok za použití specializovaných nástrojů pro informační bezpečnost.

V roce 2022 zaznamenal tým Kaspersky ICS CERT nový trend v taktice šíření APT, kvůli kterému je správná konfigurace ještě důležitější. Například při hledání postupů laterálního průniku se útočníci již nezastavují u únosu kritických IT systémů, jako je řadič domény. Pokračují k dalšímu cíli – administračním serverům bezpečnostních řešení. Cíle mohou být různé – od umístění malwaru na seznam programů, které nebudou kontrolovány, až po využití nástrojů v bezpečnostním systému k šíření malwaru do dalších systémů, a to i těch, které mají být od infikované sítě zcela odděleny.

Absence kybernetické ochrany v sítích OT

Nechce se tomu skoro věřit, ale v některých sítích OT nejsou řešení kybernetické bezpečnosti na mnoha koncových bodech vůbec nainstalována. I když je síť OT zcela oddělena od ostatních sítí a není připojena k internetu, útočníci mají stále možnosti, jak do ní získat přístup. Mohou například vytvořit speciální verze malwaru, které se šíří například prostřednictvím vyměnitelných USB disků.

Problémy s aktualizacemi zabezpečení pracovních stanic a serverů

Průmyslové řídicí systémy mají specifický způsob fungování, kdy i tak jednoduché úkoly, jako je instalace bezpečnostních aktualizací na pracovních stanicích a serverech, vyžadují pečlivé testování. Toto testování probíhá obvykle během plánované údržby, což způsobuje, že aktualizace nebývají příliš časté. To dává aktérům hrozeb dostatek času na využití známých slabin a provedení útoků.

„V některých případech může aktualizace operačního systému serveru vyžadovat také aktualizaci specializovaného softwaru, například pro monitorování a sběr dat (SCADA), což může zase vyžadovat upgrade dalšího vybavení – to vše může být příliš nákladné. Proto se to často odkládá a v sítích průmyslových řídicích systémů přetrvávají zastaralé systémy,“ dodává Gončarov. „Překvapivě dokonce i systémy v průmyslových podnicích, které jsou orientované na internet a které lze relativně snadno aktualizovat, mohou zůstat po dlouhou dobu zranitelné.To vystavuje provozní technologie (OT) útokům a vážným rizikům, jak ukazují scénáře útoků v reálném světě.“

Další poznatky a rady, které se týkají například konfigurace a nastavení bezpečnostních řešení, izolace sítě OT, ochrany systémů, provozování zastaralých OS, aplikačního softwaru a firmwaru zařízení, obsahuje blog Kaspersky ICS CERT. Na ochranu vaší organizace před příslušnými hrozbami odborníci společnosti Kaspersky doporučují:

• Pokud má podnik provozní technologie (OT) nebo kritickou infrastrukturu, ujistěte se, že jsou odděleny od běžné firemní sítě nebo že alespoň neexistují žádná neoprávněná připojení.

• Provádějte pravidelné bezpečnostní audity systémů OT, abyste odhalili a odstranili případné zranitelnosti.

• Zaveďte proces průběžného vyhodnocování a správy zranitelností.

• Používejte řešení pro monitorování, analýzu a detekci síťového provozu průmyslových řídicích systémů (ICS) pro lepší ochranu před útoky potenciálně ohrožujícími technologické procesy a hlavní aktiva podniku.

• Zajistěte ochranu koncových bodů ve výrobním prostředí stejně jako v administrativě. Řešení Kaspersky Industrial CyberSecurity zahrnuje specializovanou ochranu koncových bodů a monitorování sítě pro odhalení jakékoli podezřelé a potenciálně škodlivé aktivity v průmyslové síti.

• Pro získání realističtější představy o rizicích spojených se zranitelnostmi v řešeních OT a podporu informovaného rozhodování o jejich zmírnění doporučujeme, abyste v závislosti na vašich technických možnostech a potřebách využívali službu Kaspersky ICS Vulnerability Intelligence ve formě lidmi čitelných zpráv nebo strojově čitelného datového kanálu.

• Uspořádejte specializované školení o zabezpečení ICS pro bezpečnostní týmy IT a inženýry provozních technologií, které má zásadní význam pro zlepšení reakce na nové a pokročilé kybernetické hrozby.

O společnosti Kaspersky

Kaspersky je globální společnost zaměřená na kybernetickou bezpečností a digitální soukromí, která vznikla v roce 1997. Odborné znalosti společnosti Kaspersky v oblasti bezpečnostních hrozeb a zabezpečení se neustále transformují v inovativní bezpečnostní řešení a služby na ochranu podniků, kritické infrastruktury, vlád a spotřebitelů po celém světě. Komplexní portfolio zabezpečení společnosti zahrnuje špičkovou ochranu koncových bodů, specializovaná bezpečnostní řešení a služby a také řešení Cyber Immune pro boj se sofistikovanými a neustále se vyvíjejícími digitálními hrozbami. Technologie společnosti Kaspersky chrání víc než 400 milionů uživatelů a víc než 220 000 firemním klientům pomáháme chránit vše, co je pro ně v digitální oblasti nejdůležitější. Další informace naleznete na adrese www.kaspersky.cz.

Doporučujeme

USA oznámily novou sérii úderů na Írán jako odvetu za dva padlé americké vojákya

Spojené státy v noci ze soboty na dnešek zahájily novou sérii úderů na Írán. Oznámilo to oblastní velitelství amerických sil na Blízkém východě (CENTCOM). Chtějí tím potrestat Teherán za smrt dvou amerických vojáků v Jordánsku, kteří zahynuli při pátečních íránských útocích. CENTCOM o pár hodin později uvedlo, že Spojené státy ukončily již osmou sérii nočních úderů v řadě a zasáhly íránskou vojenskou infrastrukturu. Kuvajt dnes podle agentur oznámil, že v reakci na íránské útoky aktivoval protivzdušnou obranu.

ANALÝZA: Na Blízkém východě může vypuknout další válka. Pocítil by ji celý svět

Zatímco konflikt mezi USA a Íránem opět eskaluje, na Blízkém východě může brzy vypuknout další válka. Křehké příměří mezi Saúdskou Arábií a jemenskými povstalci trvá od roku 2022 a nyní je ohroženo rostoucím napětím. Zhroucení tohoto klidu zbraní by mohlo region uvrhnout do ještě větší nestability a vést k zablokování námořní dopravy v Rudém moři. Znamenalo by to další růst cen ropy.

Kyjev podle ministra čelil největšímu ruskému raketovému útoku od začátku invaze

Rusko v noci na dnešek při útoku na ukrajinské hlavní město Kyjev vypálilo největší počet balistických raket od začátku plnohodnotné invaze v únoru 2022. Uvedl to na síti X ukrajinský ministr zahraničí Andrij Sybiha, podle kterého Rusko vyslalo zhruba čtyři desítky balistických střel. Útok si vyžádal mrtvé i zraněné. Nejnovější útok Ruska přišel den poté, co Ukrajina zasáhla drony logistická centra v Moskevské a Tambovské oblasti, při útoku zahynulo osm lidí.

Vlivný německý politik Jens Spahn (CDU) rezignoval kvůli skandálu s náhradním mateřstvím

Německý politik Jens Spahn z Křesťanskodemokratické unie (CDU) rezignoval na funkci předsedy parlamentní frakce vládní koalice poté, co čelil ostré kritice kvůli využití služeb náhradní matky ve Spojených státech. Odpůrci mu vyčítali pokrytectví, protože v minulosti patřil mezi zastánce zákazu náhradního mateřství v Německu.

Pracovník německých drah vypadl po potyčce z vlaku jedoucího 120 km/h

Z vlaku jedoucího rychlostí zhruba 120 kilometrů v hodině vypadl v pátek večer po potyčce s jedním z cestujících bezpečnostní pracovník Deutsche Bahn (DB). Utrpěl velmi těžká zranění a je v kritickém stavu v nemocnici. Případ vyšetřuje policie, která o tom informovala dnes v tiskové zprávě.

Na pochod hrdosti v Bratislavě přišlo podle organizátorů asi 10.000 lidí

Kolem 10.000 lidí se dnes v Bratislavě zúčastnilo podle organizátorů pochodu hrdosti, který zástupci komunity LGBT+ tradičně organizují v rámci programu Duhový pride na podporu a ochranu příslušníků sexuálních menšin. ČTK o tom za pořadatele informovala Aneta Andraščíková. Do jiné části slovenské metropole i tentokrát konzervativní aktivisté svolali vlastní akci s cílem propagovat tradiční rodinu; účast na ní byla značné nižší než na Duhovém pridu.

Hasiči v Norsku pokračují v boji s rozsáhlým požárem, situace zůstává vážná

Hasiči pokračovali v noci na dnešek v boji s rozsáhlým požárem ve městě Drammen na jihu Norska, který podle dosavadních odhadů zničil více než 100 bytových jednotek. Požár se stále nepodařilo dostat pod kontrolu, podle posledních informací ale nezasahuje další obydlí. Naději na zpomalení šíření ohně přináší déšť, napsal na internetu list Aftenposten. Podle norských médií je to nejrozsáhlejší požár v obytné oblasti v zemi od druhé světové války.

Írán po amerických úderech hlásí tři mrtvé, Teherán útočil mimo jiné v Kuvajtu

Írán uvedl, že noční americké útoky si vyžádaly nejméně tři oběti v provincii Hormozgán na jihu země, informovaly dnes agentury AFP a Reuters. Teherán naopak v posledních hodinách zaútočil na cíle v Kuvajtu,v Jordánsku či v Bahrajnu. Oblastní velitelství amerických sil na Blízkém východě (CENTCOM) na síti X uvedlo, že ukončilo již sedmou noční sérii úderů v řadě, hovořilo také o zásazích vojenské infrastruktury a armádních cílů.

Ukrajina zasáhla logistické centrum u Moskvy, Rusko zaútočilo na Oděsu

Ukrajinský dronový útok na logistické centrum v Tambovské oblasti jihovýchodně od Moskvy si vyžádal nejméně sedm obětí a 24 zraněných, uvedly dnes podle agentury AFP místní úřady. Podle Ruska přes noc Ukrajina na Moskevskou oblast vyslala více než 370 dronů. Rusko pak zaútočilo na přístavní infrastrukturu v Oděse, kde jedna osoba zahynula a tři lidé byli zraněni, oznámil na Telegramu šéf regionální vojenské správy Oleh Kiper.

Stoupající moře ohrožuje tažné bahňáky na brazilském pobřeží

Stoupající hladina moře, oteplování oceánů, znečištění i úbytek pobřežních mokřadů zhoršují podmínky pro tažné bahňáky na severovýchodním pobřeží Brazílie. Ptáci, kteří každoročně urazí desetitisíce kilometrů mezi Jižní a Severní Amerikou, přicházejí o klíčová místa k odpočinku i získávání potravy. Vědci zároveň upozorňují, že stejnými změnami trpí i místní ekosystémy a komunity závislé na pobřeží.

Citadel Securities investuje 400 milionů dolarů do Crypto.com

Společnost Citadel Securities investovala 400 milionů dolarů do kryptoměnové burzy Crypto.com. První institucionální investiční kolo v desetileté historii platformy ji ocenilo na 20 miliard dolarů. Nový kapitál má podpořit rozvoj tokenizovaných cenných papírů a derivátů.

Teorie velkého třesku se vrací v nové podobě. Hlavním hrdinou bude Stuart

Majitel obchodu s komiksy Stuart Bloom se vrací v samostatném seriálu, který přímo naváže na události Teorie velkého třesku. Místo dalšího tradičního sitcomu však diváky čeká multivesmírná katastrofa, alternativní reality a výrazně větší množství triků.

Nízká hladina Rýna zdražuje dopravu. Lodě plují jen s pětinou nákladu

Nedostatek srážek a vysoké teploty snížily hladinu Rýna natolik, že nákladní lodě nemohou využívat svou běžnou kapacitu. Omezení prodražuje přepravu surovin a paliv a komplikuje zásobování německého průmyslu. Déšť situaci mírně zlepšil, dopravní náklady však zůstávají vysoké.

Silné zemětřesení zasáhlo Mexiko a Guatemalu. Otřesy dosáhly síly 7,3

Jih Mexika a sousední Guatemalu zasáhlo silné zemětřesení o magnitudu 7,3. Otřesy pocítili lidé od Mexico City až po Salvador a úřady krátce varovaly před možnými vlnami tsunami. Nejsou hlášeny oběti ani rozsáhlé škody, nejméně dva lidé však utrpěli zranění.

Exministr za CDU Spahn čelí výzvám k rezignaci. Má dítě od náhradní matky, což jeho strana odmítá

Předseda parlamentní frakce německých konzervativců a bývalý ministr zdravotnictví Jens Spahn se ocitl pod silnou kritikou poté, co oznámil, že se společně se svým manželem Danielem Funkem stal rodičem díky náhradní matce ve Spojených státech.
Reklama
Reklama
Reklama
Reklama