קלארוטי: 13% ממערכות ה-OT מחוברות לרשת אינטרנט לא מאובטחת
מחקר חדש של צוות המחקר Team82 בחברת קלארוטי משקף את הסיכונים בגישה מרחוק למערכות סייבר-פיזיות קריטיות: ל- 13% מהן יש חיבור אינטרנט לא מאובטח וב-36% יש חולשת אבטחה אחת לפחות
אמיר פרמינגר, סגן נשיא למחקר, קלארוטי | צילום: קרן מזור
Claroty (קלארוטי) חברת ההגנה על מערכות סייבר-פיזיות (CPS) חושפת במסגרת מחקר חדש של צוות Team82 כי ל-13% מהמערכות הטכנולוגיות התפעוליות (OT) הקריטיות ביותר, יש חיבור אינטרנט לא מאובטח, ו-36% מהן מכילות לפחות נקודת תורפה ידועה אחת (KEV) מה שהופך אותן לנקודות כניסה נגישות מרחוק וקלות לניצול עבור גורמי איום המשבשים פעילות.
על פי גרטנר, "בעוד שטכנולוגיות סייבר-פיזיות (הנקראות גם OT/IoT/IIoT/ICS/IACS/SCADA וכו') התומכות בתהליכי ייצור או בתהליכים בעלי משימה קריטית, נפרסו בתחילה בצורה מבודדת, הן הפכו למחוברות יותר ויותר זו לזו ולמערכות ארגוניות. בנוסף, ארגונים זקוקים כעת ליצרנים המקוריים, לקבלנים ולעובדים שיפעילו, יתחזקו ויעדכנו אותן מרחוק".
כדי לשפוך אור על השלכות האבטחה של קישוריות מוגברת זו, צוות Team82 ניתח מדגם של מעל 125 אלף נכסי OT , את חיבור האינטרנט שלהם ואת היכולת לנצל אותם.
הממצאים העיקריים
ל-3.7% מכלל מערכות ה-OT יש חיבור אינטרנט לא מאובטח, כלומר הן מתקשרות עם האינטרנט באופן כללי, למעט תקשורת אבטחה חד-כיוונית, יצרנית ונקודות קצה. הדבר מאפשר לתוקפים לסרוק בקלות את מרחב כתובות ה-IP כדי לנסות לגשת אליהן מרחוק.
ל-13% מתחנות העבודה ההנדסיות (EWS) וממשקי אדם-מכונה (HMI) יש חיבור אינטרנט לא מאובטח. מערכות אלו משמשות לניטור, בקרה ועדכון של מערכות ייצור, ומכיוון שהן יכולות להתחבר למעלה ולמטה בארכיטקטורת Purdue Model עבור ICS ובמקרים מסוימים לרשת ה IT הארגונית, התוקפים יכולים להשתמש בהן כדריסת רגל ראשונית.
36% ממערכות אלו המחוברות לאינטרנט באופן לא מאובטח מכילות לפחות נקודת תורפה אחת. השילוב של קריטיות גבוהה, חשיפה גבוהה ויכולת ניצול גבוהה, הופך נכסים אלה למטרות עיקריות עבור גורמי איום המבקשים למקסם את השיבוש התפעולי.
"המחקר שלנו תומך ברעיון שהגדלת אפשרויות הגישה מרחוק מתורגמת למשטח תקיפה רחב יותר ולסיכון גדול יותר להפרעה לתשתיות קריטיות, מה שעשוי בסופו של דבר להשפיע על בטיחות הציבור ועל זמינותם של שירותים חיוניים", אמר אמיר פרמינגר, סגן נשיא למחקר ב- Team82 . מכיוון שגישה מרחוק לנכסי OT קריטיים כגון תחנות עבודה הנדסיות וממשקי אדם-מכונה, היא כעת גישת ההפעלה הסטנדרטית, ארגונים חייבים להבטיח שהם מצוידים ביכולת להעניק גישה מכוונת לנכסים ספציפיים ".
לפי גרטנר, "בעוד פעולות הפעלה, תחזוקה ועדכון מערכות סייבר-פיזיות מרחוק נעשו באופן היסטורי עם גישות מבוססות VPN ו-jump server , אלה הוכחו יותר ויותר כגישות לא בטוחות ומורכבות לניהול. חולשות VPN התרחבו בשנים האחרונות, מה שהוביל לניצול לרעה ולהנחיות חירום כמו ED-24-01.1 של CISA . בנוסף, רוב שירותי ה- VPN מספקים גישה רחבה לרשת, והמאמצים להגביל אותה ברמה פרטנית יותר, מובילים לפיקוח מורכב ויקר".
