Forskning fra Cisco og samarbeidspartnere avslører økt interesse for IoT (Internet Of Things) og ICS (Industrial Control Systems) fra sikkerhetsprofesjonelle og angripere.
Teknologiløsninger og prosesser som er avhengige av tingenes internett (IoT) blir i dag raskt standardutstyr i mange organisasjoner og industrielle anlegg, takket være IoT-systemets evne til å automatisere og kommunisere med enheter. Dessverre, som vi utdyper i Cisco 2018 Annual Cybersecurity Report, ser angriperne også fordeler ved IoT – nemlig evnen til å ta kontroll over IoT-enheter med svak eller ingen sikkerhet for å bygge kraftige IoT-botnett. De ser også verdi i å ta kontroll over operasjonelle teknologier (OT), som ofte brukes til å håndtere kritisk infrastruktur.
Som vist i rapporten viser forskning fra ‘Cisco 2018 Security Capabilities Benchmark Study’ at mange sikkerhetsprofesjonelle forventer å se IoT- og OT-angrep i sine nettverk. En og en halv prosent av sikkerhetspersonellene i undersøkelsen sa at de allerede har sett cyberangrep i OT-systemer, mens 38 prosent sa at de forventer at angrepene vil strekke seg til deres OT-systemer i år.
Som en av respondentene sa: «Vi har fortsatt OT-enheter som er 25 år gamle, og kompressorer og maskiner som er 40 år gamle. IT-fagfolk er vant til å følge en «timeplan» og sier ´Fortell meg når Windows X ikke lenger er støttet´, eller ´Hei, denne Oracle-versjonen går EOL [End Of Life]´. ´Det finnes ikke noe slikt i OT-miljøet´.»
IoT botnet oppnår større styrke
Forskning fra Cisco-partner Radware viser at massive IoT-botnetter som Mirai, Brickerbot og Hijami kan brukes til å lansere ødeleggende angrep på nettverk. For eksempel er applikasjonslagangrepene økende sammenlignet med nettverksanggrepene – et skifte, ifølge Radware, som kan tilskrives veksten i IoT botnets. Økningen i applikasjonslagangrep er en bekymring fordi de har potensial til å slå ned store deler av Internett.
Fordi IoT-botnets er mindre ressurskrevende enn PC-botnett å bygge og administrere, kan angripere investere mer tid og penger i å utvikle kode og skadelig programvare som kan brukes i de voksende botnettene. Operatører av Mirai botnetet, som er kjent for avanserte applikasjonsangrep, er blant dem som investerer i avanserte angrepsmetoder.
Sårbarheter i industrielle kontrollsystemer setter kritisk infrastruktur i fare
Innovasjonen og kompetansen som angripere opparbeider seg på IoT og OT, sprer seg også til industrielle kontrollsystemer (ICS), som igjen forbinder elektroniske systemer som inngår i produksjons- og prosesskontrollsystemer. I vår nye sikkerhetsrapport deler forskere hos Cisco-partner TrapX Security sine siste undersøkelser av angrep som retter seg mot ICS.
I et tilfelle som ble undersøkt av TrapX, angrep angriperne ICS for et stort internasjonalt vannbehandlings- og avfallsprosessfirma. Angrepene brukte selskapets demilitariserte soner (DMZ) for å etablere fotfeste i selskapets interne nettverk. De var i stand til å oppnå dette bruddet ved å utnytte serverfeilkonfigurasjoner.
For å redusere risikoen for ICS-brudd tilbyr TrapX råd for å sikre integriteten til industrisystemer. Disse er for eksempel å redusere bruken av USB-minnepinner og DVD-stasjoner, samt isolere ICS-systemer fra IT-nettverk. I tillegg foreslår TrapX at det opprettes retningslinjer som sterkt begrenser bruken av ICS-nettverk for alt annet enn viktige operasjoner. Brukt sammen kan disse forslagene redusere mulighetene angripere har til å få tilgang til kritiske systemer.
“Leak Paths” skaper muligheter for angripere
Enheter som er koblet til internett, kan også være i fare på grunn av “leak paths”, diskutert i sikkerhetsrapporten basert på forskning fra Cisco Partner Lumeta. Leak paths er policy- eller segmenteringsbrudd, uautoriserte eller feilkonfigurerte tilkoblinger til internett (på et bedriftsnettverk) som igjen tillater trafikk å bli videresendt til et sted på internett, for eksempel et ondsinnet nettsted.
Enheter som ikke er konfigurert riktig, eller som er en del av «Shadow IT», er attraktive for angripere ved bruk av «leak paths», dette fordi de har en tendens til å ikke være administrert og ikke oppdatert. Ifølge Lumeta sine undersøkelser fører om lag 40 prosent av de dynamiske nettverkene, endepunktene, og skyinfrastrukturen i dagens bedrifter til betydelige «hull» i infrastrukturen og mangel på sanntidssynlighet for sikkerhetspersonell.
Forskere i Lumeta mener at problemet med «leak paths» er økende, spesielt i skymiljøer, der det er mindre nettverkssynlighet og færre sikkerhetsreguleringer på plass. For å bekjempe problemet med «leak paths» kan bedrifter implementere segmenteringspolitikk for raskt å avgjøre om uventet kommunikasjon mellom nettverk og/eller enheter er skadelig. (Cisco ISE og Cisco IND er to produkter som sammen gjør det mulig å lage IOT spesifikke regler for autentisering, autorisasjon og synlighet).
Det anbefales å utvise forsiktighet mot IoT, OT og ICS eksponeringer
Utbredelsen av botnets – og tilgjengeligheten av «leak paths», ICS-sårbarheter og andre svakheter som gir angriperne muligheter – øker behovet for større oppmerksomhet rundt det å beskytte IoT- og OT-systemer. Som «Security Capabilities Benchmark Study» indikerer, vet sikkerhetspersonell at angrepene kommer, noe som igjen er en god grunn til å tenke sikkerhet når enheter implementeres, samt vurdere hvor IoT-enheter skal plasseres på nettverket og ikke minst hva de kan få tilgang til.
Videre er en klar forståelse av hvem som er ansvarlig for å sikre disse enhetene, avgjørende. Angripere har identifisert smarte måter å bruke IoT og ICS enheter til deres fordel (Anatomy of an IOT Attack). Nå er det opp til sikkerhetsindustrien å vie mer oppmerksomhet til dette aspektet av trussellandskapet.
Les mer om dette og andre nye sikkerhetsutfordringer i Cisco 2018 Annual Cybersecurity Report.