דו"ח: מרבית החולשות בעולם הסקאדה ניתנות לניצול מרחוק
דו"ח חדש של חברת הסייבר התעשייתי Claroty מישראל, מגלה כי ענפי האנרגיה, הייצור הקריטי ותשתיות המים והשפכים, הם החשופים ביותר לפגיעה מרחוק
עמי רוחקס דומבה
| 19/08/2020
אמיר פרמינגר. קרדיט צילום: קרן מזור
יותר מ-70% מחולשות האבטחה שנתגלו במחצית הראשונה של שנת 2020 במערכות בקרה תעשייתית (ICS – Industrial Control System), ניתנות לשליטה מרחוק, ובכך מודגשת החשיבות של הגנה על התקני ICS בעלי ממשק אינטרנטי וחיבורי גישה מרחוק. זאת, על פי דוח הסיכונים והחולשות הדו-שנתי של חברת Claroty (קלארוטי), מובילה עולמית בתחום אבטחת טכנולוגיה תפעולית (Operational Technology - OT).
במסגרת הדו"ח הגלובלי אשר פורסם היום, בדק צוות המחקר במשרדי המו"פ של החברה בתל-אביב, 365 נקודות תורפה במערכות תעשייתיות שפרסם מאגר הנתונים הלאומי לחולשות אבטחה (National Vulnerability Database - NVD) וכן 139 המלצות שפרסם ה- ICS-CERT במהלך מחצית ראשונה של שנה זו, אשר השפיעו על 53 יצרניות חומרה ותוכנה בתחום התשתיות הקריטיות.
בהשוואה למחצית ראשונה של שנת 2019, עלה מספר החולשות ב- ICS, על פי NVD, ב-10.3% (מ-331), בעוד, על פי ICS-CERT, חלה עלייה של 32.4%, מ-105 במחצית ראשונה של 2019. יותר מ- 75% מהחולשות שהתגלו, קיבלו ציון גבוה או קריטי בהתייחס לרמת הסיכון הנשקפת מהן.
אמיר פרמינגר, סמנכ"ל המחקר של קלארוטי: "יש מודעות מוגברת לסיכונים הנובעים מהפגיעות של מערכות בקרה תעשייתיות, ומיקוד חד יותר בקרב חוקרים ויצרנים בתעשייה, בניסיונות לזהות ולתקן את החולשות הללו בצורה יעילה ככל הניתן. קיים צורך קריטי להבין, להעריך, ולדווח על זירת הסיכונים והחולשות במערכות תעשייה, לטובת כל קהילת האבטחה ב-OT. הממצאים שלנו מראים עד כמה חשוב לארגונים להגן על חיבורי גישה מרחוק ועל התקני בקרה תעשייתיים בעלי ממשק עם האינטרנט, מפני התקפות פישינג, דואר זבל ותוכנות כופר, על מנת למזער את ההשפעות הפוטנציאליות של איומים אלה. "
על פי הדו"ח, ניתן לנצל מרחוק, כלומר ללא צורך בגישה פיזית, יותר מ-70% מהחולשות שפרסמה ה-NVD, מה שמחזק את היכולת של התוקפים ליצור נזק רב ולבסס אחיזה ברשתות קריטיות בהן קיימים המוצרים הפגיעים. בנוסף, ניתן לראות כי מרבית החולשות שנמצאו מאפשרות לבצע מתקפות שהמשמעות שלהן עבור רשתות קריטיות היא השבתה או הרצת קוד לא מאושר על רכיבי קצה, כדוגמת בקרים האחראים על פעילות וויסות כמות הכלור במתקן לסינון מים. עבור רשתות קריטיות המשמעות היא הפסקת שירות או גרימת נזק פיזי בתהליך שאותו מנהלת הרשת.
על פי נתוני ICS-CERT ענפי האנרגיה, הייצור הקריטי ותשתיות המים והשפכים, הם אלו שהיו חשופים יותר לחולשות אבטחה במהלך מחצית ראשונה של 2020. מתוך 385 חולשות וחשיפות לסיכוני סייבר, 236 התגלו בתחום האנרגיה, 197 בייצור הקריטי, ו-171 בענפי המים והשפכים. בהשוואה לתקופה מקבילה ב-2019, תחום המים והשפכים חווה את העלייה הגדולה ביותר בחולשות וחשיפה לסיכוני סייבר (122.1%), הייצור הקריטי עלה ב- 87.3% והאנרגיה ב- 58.9%.
מתוך כלל החולשות בתחום, צוות המחקר של קלארוטי חשף 26 חולשות במערכות בקרה תעשייתיות במהלך מחצית ראשונה של 2020, תוך מתן עדיפות לחולשות קריטיות או בסיכון גבוה אשר עלולות להשפיע על הזמינות, האמינות והבטיחות של הפעילות התעשייתית. החוקרים התמקדו בספקים ובמוצרים עם פיזור רחב בתעשייה ובאלו העושים שימוש בפרוטוקולים בהם יש לחוקרי קלארוטי מומחיות רבה. 26 החולשות מתפרסות על מספר אפיקי תקיפה המאפשרים החל מכניסה לארגון ע"י ניצול חולשות במתאר תקיפת פישינג ועד הרצת קוד מרחוק ללא צורך בהרשאות על המערכת הנתקפת.
עבור רבים מהספקים שהושפעו מחשיפה זו של קלארוטי, מדובר בפעם ראשונה שקיבלו התראה על חולשות במערכות שלהם. כתוצאה מכך, הם הקימו צוותי אבטחה ייעודיים ופתחו בתהליכים לאיתור החולשות שגוברות עקב המיזוג בין מערכות ה-IT ל-OT. דוגמה זו מייצגת את מצב התעשייה של התשתיות הקריטיות אשר נדרשת לשפר את היכולת שלה לעמוד מול איומי סייבר גם בצד ספקי הפתרונות ולא רק בקרב הלקוחות עצמם.
הדו"ח יוצא לאור במקביל לפרסום נוסף שנעשה ע"י CISA וה NSA המדגיש את הצורך באבטחה של תשתיות קריטיות ובמיוחד בהגנה של מכשירי קצה קריטיים המחוברים בצורה לא מאובטחת לרשתות האינטרנט. איום תקיפה של ציוד מסוג זה ע"י מדינות וארגונים הוא ממשי והקושי בביצוע התקיפה אינו גבוה. נתונים אלו עומדים בקנה אחד עם מסקנות הדוח כי קיימת עלייה במספר החולשות המדווחות ובמספר הספקים החדשים שקיבלו לראשונה דיווח על חולשה בתשתיות שלהם.
העלייה במספר החולשות אף משקפת מצב חיובי של הגברת מודעות וכתוצאה מכך העברת מידע קריטי למנהלי האבטחה של תשתיות אלו. אחד הפערים הגדולים של עולם תשתיות הקריטיות הוא המחסור בבדיקות אבטחה על מוצרי הקצה שלרוב אינם נגישים לחוקרי אבטחה. זוהי אחת הסיבות למספר הגדל של חברות המדווחות לראשונה על חולשות במוצרים שלהן, שעד היום לא נבדקו ע"י קבוצות מחקר שונות.
דו"ח חדש של חברת הסייבר התעשייתי Claroty מישראל, מגלה כי ענפי האנרגיה, הייצור הקריטי ותשתיות המים והשפכים, הם החשופים ביותר לפגיעה מרחוק
אמיר פרמינגר. קרדיט צילום: קרן מזור
יותר מ-70% מחולשות האבטחה שנתגלו במחצית הראשונה של שנת 2020 במערכות בקרה תעשייתית (ICS – Industrial Control System), ניתנות לשליטה מרחוק, ובכך מודגשת החשיבות של הגנה על התקני ICS בעלי ממשק אינטרנטי וחיבורי גישה מרחוק. זאת, על פי דוח הסיכונים והחולשות הדו-שנתי של חברת Claroty (קלארוטי), מובילה עולמית בתחום אבטחת טכנולוגיה תפעולית (Operational Technology - OT).
במסגרת הדו"ח הגלובלי אשר פורסם היום, בדק צוות המחקר במשרדי המו"פ של החברה בתל-אביב, 365 נקודות תורפה במערכות תעשייתיות שפרסם מאגר הנתונים הלאומי לחולשות אבטחה (National Vulnerability Database - NVD) וכן 139 המלצות שפרסם ה- ICS-CERT במהלך מחצית ראשונה של שנה זו, אשר השפיעו על 53 יצרניות חומרה ותוכנה בתחום התשתיות הקריטיות.
בהשוואה למחצית ראשונה של שנת 2019, עלה מספר החולשות ב- ICS, על פי NVD, ב-10.3% (מ-331), בעוד, על פי ICS-CERT, חלה עלייה של 32.4%, מ-105 במחצית ראשונה של 2019. יותר מ- 75% מהחולשות שהתגלו, קיבלו ציון גבוה או קריטי בהתייחס לרמת הסיכון הנשקפת מהן.
אמיר פרמינגר, סמנכ"ל המחקר של קלארוטי: "יש מודעות מוגברת לסיכונים הנובעים מהפגיעות של מערכות בקרה תעשייתיות, ומיקוד חד יותר בקרב חוקרים ויצרנים בתעשייה, בניסיונות לזהות ולתקן את החולשות הללו בצורה יעילה ככל הניתן. קיים צורך קריטי להבין, להעריך, ולדווח על זירת הסיכונים והחולשות במערכות תעשייה, לטובת כל קהילת האבטחה ב-OT. הממצאים שלנו מראים עד כמה חשוב לארגונים להגן על חיבורי גישה מרחוק ועל התקני בקרה תעשייתיים בעלי ממשק עם האינטרנט, מפני התקפות פישינג, דואר זבל ותוכנות כופר, על מנת למזער את ההשפעות הפוטנציאליות של איומים אלה. "
על פי הדו"ח, ניתן לנצל מרחוק, כלומר ללא צורך בגישה פיזית, יותר מ-70% מהחולשות שפרסמה ה-NVD, מה שמחזק את היכולת של התוקפים ליצור נזק רב ולבסס אחיזה ברשתות קריטיות בהן קיימים המוצרים הפגיעים. בנוסף, ניתן לראות כי מרבית החולשות שנמצאו מאפשרות לבצע מתקפות שהמשמעות שלהן עבור רשתות קריטיות היא השבתה או הרצת קוד לא מאושר על רכיבי קצה, כדוגמת בקרים האחראים על פעילות וויסות כמות הכלור במתקן לסינון מים. עבור רשתות קריטיות המשמעות היא הפסקת שירות או גרימת נזק פיזי בתהליך שאותו מנהלת הרשת.
על פי נתוני ICS-CERT ענפי האנרגיה, הייצור הקריטי ותשתיות המים והשפכים, הם אלו שהיו חשופים יותר לחולשות אבטחה במהלך מחצית ראשונה של 2020. מתוך 385 חולשות וחשיפות לסיכוני סייבר, 236 התגלו בתחום האנרגיה, 197 בייצור הקריטי, ו-171 בענפי המים והשפכים. בהשוואה לתקופה מקבילה ב-2019, תחום המים והשפכים חווה את העלייה הגדולה ביותר בחולשות וחשיפה לסיכוני סייבר (122.1%), הייצור הקריטי עלה ב- 87.3% והאנרגיה ב- 58.9%.
מתוך כלל החולשות בתחום, צוות המחקר של קלארוטי חשף 26 חולשות במערכות בקרה תעשייתיות במהלך מחצית ראשונה של 2020, תוך מתן עדיפות לחולשות קריטיות או בסיכון גבוה אשר עלולות להשפיע על הזמינות, האמינות והבטיחות של הפעילות התעשייתית. החוקרים התמקדו בספקים ובמוצרים עם פיזור רחב בתעשייה ובאלו העושים שימוש בפרוטוקולים בהם יש לחוקרי קלארוטי מומחיות רבה. 26 החולשות מתפרסות על מספר אפיקי תקיפה המאפשרים החל מכניסה לארגון ע"י ניצול חולשות במתאר תקיפת פישינג ועד הרצת קוד מרחוק ללא צורך בהרשאות על המערכת הנתקפת.
עבור רבים מהספקים שהושפעו מחשיפה זו של קלארוטי, מדובר בפעם ראשונה שקיבלו התראה על חולשות במערכות שלהם. כתוצאה מכך, הם הקימו צוותי אבטחה ייעודיים ופתחו בתהליכים לאיתור החולשות שגוברות עקב המיזוג בין מערכות ה-IT ל-OT. דוגמה זו מייצגת את מצב התעשייה של התשתיות הקריטיות אשר נדרשת לשפר את היכולת שלה לעמוד מול איומי סייבר גם בצד ספקי הפתרונות ולא רק בקרב הלקוחות עצמם.
הדו"ח יוצא לאור במקביל לפרסום נוסף שנעשה ע"י CISA וה NSA המדגיש את הצורך באבטחה של תשתיות קריטיות ובמיוחד בהגנה של מכשירי קצה קריטיים המחוברים בצורה לא מאובטחת לרשתות האינטרנט. איום תקיפה של ציוד מסוג זה ע"י מדינות וארגונים הוא ממשי והקושי בביצוע התקיפה אינו גבוה. נתונים אלו עומדים בקנה אחד עם מסקנות הדוח כי קיימת עלייה במספר החולשות המדווחות ובמספר הספקים החדשים שקיבלו לראשונה דיווח על חולשה בתשתיות שלהם.
העלייה במספר החולשות אף משקפת מצב חיובי של הגברת מודעות וכתוצאה מכך העברת מידע קריטי למנהלי האבטחה של תשתיות אלו. אחד הפערים הגדולים של עולם תשתיות הקריטיות הוא המחסור בבדיקות אבטחה על מוצרי הקצה שלרוב אינם נגישים לחוקרי אבטחה. זוהי אחת הסיבות למספר הגדל של חברות המדווחות לראשונה על חולשות במוצרים שלהן, שעד היום לא נבדקו ע"י קבוצות מחקר שונות.
