Protext ČTKSpolečnost Kaspersky zjistila hlavní faktory napomáhající útokům APT v průmyslových firmách

Společnost Kaspersky zjistila hlavní faktory napomáhající útokům APT v průmyslových firmách

Praha 15. června 2023 (PROTEXT) – Mezi hlavní faktory, které přispívají k úspěchu operací pokročilých perzistentních hrozeb (APT) uvnitř sítí jejich obětí, patří lidský faktor, nedostatečná bezpečnostní opatření, problémy s aktualizacemi a konfigurací kybernetických bezpečnostních řešení a další pochybení. I když se některé z těchto příčin mohou zdát triviální, odborníci společnosti Kaspersky se s nimi při svých činnostech během reakcí na incidenty setkávají poměrně často. Členové týmu Kaspersky ICS CER proto sestavili seznam nejčastějších problémů, aby pomohli organizacím zmírnit příslušné hrozby a zajistit zavedení osvědčených postupů.

Nedostatečná izolace sítě provozních technologií (OT)

Během vyšetřování incidentů se odborníci společnosti Kaspersky stali svědky případů, kdy byly problémy s oddělením a zabezpečením sítě provozních technologií (OT). Šlo například o zařízení, jako jsou technologické pracovní stanice, které byly připojeny jak k běžné IT síti, tak k síti OT.

„V situacích, kdy izolace sítě OT závisí pouze na konfiguraci síťového vybavení, mohou zkušení útočníci toto vybavení vždy překonfigurovat ve svůj prospěch,“ řekl Jevgenij Gončarov, vedoucí týmu Industrial Control Systems Cyber Emergency Response Team (ICS CERT) společnosti Kaspersky. „Mohou je například přeměnit na proxy servery pro řízení fungování malwaru nebo je dokonce využít k ukládání a doručování malwaru do sítí, které byly považovány za izolované. Takové škodlivé aktivity jsme zaznamenali při více příležitostech.“

Na bezpečnostních incidentech se stále významně podílí lidský faktor

Při udělování přístupu k sítím OT, ať už vlastním zaměstnancům nebo externím dodavatelům, jsou často opomíjena opatření pro zabezpečení informací. Nástroje pro vzdálenou správu, jako je TeamViewer nebo Anydesk, které měly být použity pouze jednorázově, mohou zůstat aktivní, aniž by si toho někdo všiml. Je však třeba mít na paměti, že tyto kanály jsou snadno zneužitelné útočníky. V roce 2023 společnost Kaspersky vyšetřovala incident, kdy se dodavatel firmy pokusil o sabotáž, k níž využil vzdálený přístup do sítě ICS, který mu byl před několika lety legitimně udělen.

Tento příběh ukazuje, jak je důležité brát v úvahu lidský faktor, protože případní nespokojení zaměstnanci mohou být ovlivněni svým pracovním hodnocením, finančním příjmem nebo politickými motivy, což je může vést k zapojení do kybernetických kriminálních akcí. Možným řešením v takové situaci může být koncept nulové důvěry „Zero Trust“, který považuje uživatele, zařízení a aplikace v systému za a priori nedůvěryhodné. Na rozdíl od jiných řešení typu Zero Trust rozšiřuje společnost Kaspersky tento přístup až na úroveň operačního systému, a to svým řešením založeným na systému KasperskyOS.

Nedostatečná ochrana prostředků pro OT

Při analýze incidentů narazili odborníci společnosti Kaspersky na zastaralé databáze bezpečnostních řešení, chybějící licenční klíče, odstranění klíčů z podnětu uživatelů, zakázané bezpečnostní komponenty či nadměrné výjimky ze skenování a ochrany – to vše přispívá k šíření malwaru.

Například pokud databáze nejsou aktuální a bezpečnostní řešení nelze automaticky aktualizovat, může to umožnit rychlé a snadné šíření pokročilých hrozeb, jako je tomu u útoků APT, kdy se zkušení aktéři hrozeb snaží vyhnout odhalení.

Nezabezpečené konfigurace bezpečnostních řešení

Správné konfigurace bezpečnostního řešení jsou zásadní pro to, aby nedošlo k jeho vyřazení z funkce nebo dokonce zneužití – což je taktika, kterou často vídáme u skupin/aktérů APT. Mohou ukrást informace o síti oběti uložené v bezpečnostním řešení, aby se dostali do dalších částí systému nebo podnikli laterální útok za použití specializovaných nástrojů pro informační bezpečnost.

V roce 2022 zaznamenal tým Kaspersky ICS CERT nový trend v taktice šíření APT, kvůli kterému je správná konfigurace ještě důležitější. Například při hledání postupů laterálního průniku se útočníci již nezastavují u únosu kritických IT systémů, jako je řadič domény. Pokračují k dalšímu cíli – administračním serverům bezpečnostních řešení. Cíle mohou být různé – od umístění malwaru na seznam programů, které nebudou kontrolovány, až po využití nástrojů v bezpečnostním systému k šíření malwaru do dalších systémů, a to i těch, které mají být od infikované sítě zcela odděleny.

Absence kybernetické ochrany v sítích OT

Nechce se tomu skoro věřit, ale v některých sítích OT nejsou řešení kybernetické bezpečnosti na mnoha koncových bodech vůbec nainstalována. I když je síť OT zcela oddělena od ostatních sítí a není připojena k internetu, útočníci mají stále možnosti, jak do ní získat přístup. Mohou například vytvořit speciální verze malwaru, které se šíří například prostřednictvím vyměnitelných USB disků.

Problémy s aktualizacemi zabezpečení pracovních stanic a serverů

Průmyslové řídicí systémy mají specifický způsob fungování, kdy i tak jednoduché úkoly, jako je instalace bezpečnostních aktualizací na pracovních stanicích a serverech, vyžadují pečlivé testování. Toto testování probíhá obvykle během plánované údržby, což způsobuje, že aktualizace nebývají příliš časté. To dává aktérům hrozeb dostatek času na využití známých slabin a provedení útoků.

„V některých případech může aktualizace operačního systému serveru vyžadovat také aktualizaci specializovaného softwaru, například pro monitorování a sběr dat (SCADA), což může zase vyžadovat upgrade dalšího vybavení – to vše může být příliš nákladné. Proto se to často odkládá a v sítích průmyslových řídicích systémů přetrvávají zastaralé systémy,“ dodává Gončarov. „Překvapivě dokonce i systémy v průmyslových podnicích, které jsou orientované na internet a které lze relativně snadno aktualizovat, mohou zůstat po dlouhou dobu zranitelné.To vystavuje provozní technologie (OT) útokům a vážným rizikům, jak ukazují scénáře útoků v reálném světě.“

Další poznatky a rady, které se týkají například konfigurace a nastavení bezpečnostních řešení, izolace sítě OT, ochrany systémů, provozování zastaralých OS, aplikačního softwaru a firmwaru zařízení, obsahuje blog Kaspersky ICS CERT. Na ochranu vaší organizace před příslušnými hrozbami odborníci společnosti Kaspersky doporučují:

• Pokud má podnik provozní technologie (OT) nebo kritickou infrastrukturu, ujistěte se, že jsou odděleny od běžné firemní sítě nebo že alespoň neexistují žádná neoprávněná připojení.

• Provádějte pravidelné bezpečnostní audity systémů OT, abyste odhalili a odstranili případné zranitelnosti.

• Zaveďte proces průběžného vyhodnocování a správy zranitelností.

• Používejte řešení pro monitorování, analýzu a detekci síťového provozu průmyslových řídicích systémů (ICS) pro lepší ochranu před útoky potenciálně ohrožujícími technologické procesy a hlavní aktiva podniku.

• Zajistěte ochranu koncových bodů ve výrobním prostředí stejně jako v administrativě. Řešení Kaspersky Industrial CyberSecurity zahrnuje specializovanou ochranu koncových bodů a monitorování sítě pro odhalení jakékoli podezřelé a potenciálně škodlivé aktivity v průmyslové síti.

• Pro získání realističtější představy o rizicích spojených se zranitelnostmi v řešeních OT a podporu informovaného rozhodování o jejich zmírnění doporučujeme, abyste v závislosti na vašich technických možnostech a potřebách využívali službu Kaspersky ICS Vulnerability Intelligence ve formě lidmi čitelných zpráv nebo strojově čitelného datového kanálu.

• Uspořádejte specializované školení o zabezpečení ICS pro bezpečnostní týmy IT a inženýry provozních technologií, které má zásadní význam pro zlepšení reakce na nové a pokročilé kybernetické hrozby.

O společnosti Kaspersky

Kaspersky je globální společnost zaměřená na kybernetickou bezpečností a digitální soukromí, která vznikla v roce 1997. Odborné znalosti společnosti Kaspersky v oblasti bezpečnostních hrozeb a zabezpečení se neustále transformují v inovativní bezpečnostní řešení a služby na ochranu podniků, kritické infrastruktury, vlád a spotřebitelů po celém světě. Komplexní portfolio zabezpečení společnosti zahrnuje špičkovou ochranu koncových bodů, specializovaná bezpečnostní řešení a služby a také řešení Cyber Immune pro boj se sofistikovanými a neustále se vyvíjejícími digitálními hrozbami. Technologie společnosti Kaspersky chrání víc než 400 milionů uživatelů a víc než 220 000 firemním klientům pomáháme chránit vše, co je pro ně v digitální oblasti nejdůležitější. Další informace naleznete na adrese www.kaspersky.cz.

Doporučujeme

Invazní kudlanky z Asie se šíří Evropou a ohrožují místní živočichy

Dvě asijské kudlanky, které se v posledních letech rychle rozšířily po Evropě, nově získaly status invazních nepůvodních druhů. Díky oteplování klimatu, vysoké schopnosti rozmnožování a příznivým podmínkám ve městech pronikají stále dál na sever. Loví širokou škálu původních živočichů a podle vědců mohou představovat rostoucí hrozbu pro evropskou biodiverzitu.

Státy EU uvalily nové sankce kvůli ruským kybernetickým útokům

Evropská unie a její členské státy dnes odsoudily ruské kybernetické útoky, konkrétně operace skupiny TURLA, která podléhá ruské Federální bezpečnostní službě FSB. EU zároveň přijala dosud nejrozsáhlejší balík sankcí v rámci kybernetického sankčního režimu. Sankce byly uvaleny na devět jednotlivců a čtyři subjekty, informovala Rada EU. Unijní sankce jsou úzce koordinovány s Británií, ta dnes oznámila opatření proti 24 osobám a subjektům, uvedla agentura Reuters.

Je Hormuzský průliv otevřený? Trump a Írán vysílají opačné signály

Situace v Hormuzském průlivu je nepřehledná. Zatímco americký prezident Donald Trump tvrdí, že tato námořní trasa zůstává otevřená, Írán prohlásil, že je až do odvolání a ukončení amerických úderů uzavřená. Ceny ropy vzrostly o 4 procenta.

Rolling Stones prozradili, jak spolu vydrželi přes 60 let

Rolling Stones působí na hudební scéně už přes šest desetiletí, přesto se jejich členové stále dokážou sejít ve studiu a nahrávat nové skladby. Mick Jagger, Keith Richards a Ronnie Wood nyní popsali, co jim pomohlo překonat dlouhé roky společné práce, osobní spory i změny v sestavě. Překvapivě důležitý je podle nich dostatek času stráveného odděleně.

Apollo nabídlo za easyJet 5,7 miliardy liber

Americká investiční společnost Apollo Global Management vstoupila do souboje o britské nízkonákladové aerolinky easyJet. Za dopravce nabídla 5,7 miliardy liber a překonala tak návrh konkurenčního fondu Castlelake. Vedení easyJetu je připravené vyšší nabídku podpořit.

Válka s Íránem vysává americké zásoby raket. Obnova potrvá roky

Spojené státy považují za největší hrozbu Čínu, brzy se přitom proti ní možná nebudou mít čím bránit, varují odborníci. Napětí s Íránem se totiž vyostřuje a obě strany na sebe znovu útočí. USA přitom vyčerpaly značnou část „chytrých“ útočných raket a protivzdušných střel. Nejnovější útoky hlásily Kuvajt a Jordánsko.

Při cílené střelbě v Illinois zemřelo pět členů jedné rodiny

Pět členů jedné rodiny zemřelo a další dva utrpěli vážná zranění při sérii střeleb v americkém městě East St. Louis ve státě Illinois. Policie zadržela dva mladistvé podezřelé ve věku 15 a 16 let. Útok označila za cílený a vyloučila, že by veřejnosti hrozilo další bezprostřední nebezpečí.

Nejméně 27 lidí zahynulo při požáru, který zachvátil bar v Bangkoku

Nejméně 27 lidí zahynulo při požáru, který zachvátil bar v thajské metropoli Bangkoku. S odvoláním na místní úřady to napsala agentura AP. Podle premiéra Anutina Čánvirakuna několik dalších lidí převezli záchranáři do nemocnice, městská správa následně podle agentury Reuters sdělila, že zraněných je 63 lidí. Podle některých místních médií se řada lidí stále pohřešuje, uvedla stanice BBC News. Městská správa nicméně bilanci považuje za konečnou. Příčina požáru zatím není jasná.

Írán oznámil, že čelí novým útokům, zásahy mezitím oznámil Kuvajt

Íránská státní média informují, že "nepřítel" dnes odpoledne zasáhl nejméně deseti projektily ostrov Kešm v Hormuzském průlivu. Uvedla to agentura AFP. Portál Axios s odvoláním na americké činitele uvedl, že americká armáda udeřila proti íránským raketovým a protivzdušným systémům a rovněž proti menším lodím íránských revolučních gard v úžině. Spojené státy tento týden obnovily údery na Írán poté, co americký prezident Donald Trump označil příměří za skončené kvůli tomu, že íránské síly napadají lodě v Hormuzském průlivu, který je klíčový pro vývoz ropy ze zemí Perského zálivu.

Zelenskyj avizoval změny ve vládě, premiérce nabídl novou roli

Ukrajinský prezident Volodymyr Zelenskyj dnes oznámil změnu politické strategie země a avizoval změny ve vládě. Premiérce Juliji Svyrydenkové na síti X poděkoval za práci a uvedl, že jí nabídl možnost vést novou oblast vztahů s klíčovým partnerem. Více podrobností k její případné nové roli neposkytl. Agentura Reuters nebo server RBK-Ukrajina jeho slova vyložily jako návrh nebo rozhodnutí ministerskou předsedkyni odvolat. Svyrydenková na stejné platformě uvedla, že je připravena nadále pracovat pro Ukrajinu.

Zemřel senátor a blízký Trumpův spojenec Lindsey Graham

Ve věku 71 let zemřel republikánský senátor Lindsey Graham, dlouholetý politik z Jižní Karolíny a jeden z nejbližších spojenců amerického prezidenta Donalda Trumpa. O jeho úmrtí informovala v sobotu večer senátorova kancelář, podle níž Graham zemřel po „krátké a náhlé nemoci“. Rodina zároveň požádala veřejnost o respektování soukromí.

Britská policie zadržela nového podezřelého z vraždy bývalé ministryně

Britská policie zadržela v hrabství South Yorkshire 28letého muže podezřelého ze zavraždění bývalé ministryně Ann Widdecombeové, uvedla dnes agentura Reuters s odvoláním na vyjádření policie. Zadržený je běloch s britským občanstvím a nyní je v policejní cele, uvedla policie v prohlášení. Podezřelý byl zadržen přibližně 430 kilometrů od domova Widdecombeové, poznamenal server BBC News.

Úlomek z rakety zranil v Kataru tři lidi včetně dítěte, boje v regionu pokračují

Americké síly zasáhly přesnou municí přibližně 140 íránských vojenských cílů, uvedlo velitelství amerických sil v oblasti CENTCOM, když nad ránem SELČ oznámilo ukončení už třetí vlny útoků na Írán v tomto týdnu. Írán v odvetě za americké nálety, které následovaly po útoku na obchodní loď v Hormuzském průlivu, odpálil rakety a drony proti svým sousedům v Perském zálivu. Úlomek z rakety zranil v Kataru tři lidi včetně dítěte, uvedly podle agentury Reuters tamní úřady. Zasaženo bylo také Jordánsko.

Ruské drony útočily na Charkov, ukrajinské na rafinérii v hloubi Ruska

Nejméně dva zraněné, včetně šestnáctileté dívky, si vyžádal nálet ruských dronů na Charkov, oznámil náčelník správy Charkovské oblasti Oleh Syněhubov. Pomoc lékařů vyhledali tři lidé, uvedl starosta Ihor Terechov, podle kterého drony v druhém největším ukrajinském městě poškodily dvě desítky obytných budov. Ukrajinské drony naopak zpráv médií a sociálních sítí opět zasáhly rafinérii v ruském městě Syzraň v Samarské oblasti.
Reklama
Reklama
Reklama
Reklama