Thursday, May 23, 2024

Trecutul, Prezentul și Viitorul

Acțiune

Când citiți rapoarte impotriva atacuri cibernetice orisicare afectează tehnologia operațională (OT), este ușor să fiți arestare în hype și să presupuneți că fiesce este sofisticat. Dar mediile OT din întreaga lumina sunt într-adevăr asediate de un val neschimbator de atacuri cibernetice complexe? Răspunsul la aceasta ar a reclama defalcarea diferitelor tipuri de atacuri cibernetice OT și atunci să ne uităm înapoi la toate atacurile istorice pentru a stapani cum se compară aceste tipuri.

Tipurile de atacuri cibernetice OT

În ultimele decenii, a existat o conștientizare din ce în ce mai spatios a necesității unor practici îmbunătățite de siguranta cibernetică în omologul mai puțin consacrat al IT, OT. De fenomen, liniile a ceea ce constituie un ftizie cibernetic spre OT nu au fost niciodată placut definite și, dacă este oareceva, s-au stins și mai numeros de-a lungul timpului. Prin consecinta, am a voi să începem această postare cu o discuție cu luare-aminte la modurile în orisicare atacurile cibernetice pot tinti sau pur și neamestecat să afecteze OT și de ce ar a se cuveni fi solemnel pentru noi să facem distincția în venitor.

Imagine 1 Arhitectonie de referință Purdue Enterprise

Cum definim OT

Înainte de a a se autocarac-teriza orisice tip de ftizie cibernetic OT, musai să definim ceea ce considerăm ca OT. Cele mai multe medii OT sunt unice datorită mai multor factori, cum ar fi diferitele aplicații și cazuri de consumare, numeroasele ecosisteme de furnizori și simplul fenomen că există mai multe moduri de a oglindi un lege corporal, pentru a supranumi câteva. Din aiest argument, vă ajută să apelați la Purdue Enterprise Reference Architecture (PERA), cunoscută în mod obișnuit sub numele de Modelul Purdue, prezentată în Imagine 1.

De sus, începe prin a accentua nivelurile 4 și 5 ca Portiune Enterprise, fiindca se întâlnește IT-ul tradițional. Urmează nivelul 3.5, Portiune Demilitarizată (DMZ), orisicare acționează ca un despartitor între IT și OT și, prin consecinta, perimetrul OT. Nivelurile rămase sub DMZ sunt toate OT. Nivelurile 2 și 3 sunt similare prin aceea că ambele pot monitoriza, a comanda și taman a se contura mediul corporal. Cu toate acestea, nivelul 2 este de nacafa particular unei singure celule sau lege și posibil taman aproximativ corporal, în ritmica ce nivelul 3 este în obstesc centralizat, în suigeneris în organizațiile dispersate geografic. Nivelul 1 este bravura OT, fiindca dispozitive conj controlerele logice programabile (PLC) vor detecta și acționa lumea fizică în raport cu noima orisicare le-a fost furnizată. În cele din urmă, ajungem la nivelul 0, orisicare, pentru toate scopurile, este lumea fizică și conține senzorii și actuatorii pe orisicare PLC-urile le folosesc pentru a o manevra.

Security Inotator 2024 este aoace – Descarcă asasi

Security Inotator 2024 cald lansat oferă informații critice spre amenințărilor digitale actuale, documentând 129.395 de incidente și 25.076 de încălcări confirmate. Mai numeros decât un schesis, servește prep pravet pentru navigarea într-un priveliste digital mai categoric.

Ce e inauntru?

  • 📈 A cerceta amănunțită: Explorați tendințele, modelele de ftizie și predicțiile. Învățați din studiile de caz în CyberSOC și Pentesting.
  • 🔮 Pregătit pentru venitor: Echipați-vă cu previziunile noastre de siguranta și rezumatul cercetării.
  • 👁️ Date în ritmica palpabil: De la supravegherea Dark Net la statistici specifice industriei.

Rămâneți cu un pas înainte în securitatea cibernetică. Ghidul tău esențial vă așteaptă!

🔗 Ia-ți a reproduce asasi

Diferitele tipuri de atacuri cibernetice OT nu sunt neapărat definite de activele pe orisicare le afectează, ci mai degrabă de activele pe orisicare le vizează și de valoare absoluta în orisicare sunt vizate. Mai corect, precizia, setul de aptitudini și intenția cu orisicare sunt vizați. Deși această distincție posibil auzi pedantă, schimbă peisajul amenințărilor pe orisicare apărătorii musai să le ia în considerare și a executa ca controalele IT tradiționale să fie ostenicios să țină pasul. Există 5 tipuri de atacuri cibernetice OT orisicare pot fi grupate în două categorii distincte; hai sa le exploram.

Categoria 1: IT TTP

Rata de asigurare predicament de atacuri cibernetice suportate de OT este cea mai frecventă în rapoartele publice. Ele sunt caracterizate prin utilizarea abia a tacticilor, tehnicilor și procedurilor IT (TTP), dar reușesc totuși să afecteze producția într-un fel. Există 3 tipuri de ftizie cibernetic OT în această primă predicament.

Tip 1a: IT vizat

Intaiul tip, 1a, apare apoi când mediul OT nici măcar nu este insultat de un ravnaci. Asadar, în ceea ce îl privește pe ravnaci, atacul lor nu vizează OT-ul victimei. În tura, există impacturi în cascadă de la un ftizie cibernetic IT neconținut, cum ar fi extorcarea cibernetică (Cy-X) întârzierea sistemelor de carat orisicare necesită oprirea producției. Efectele OT ale acestui treaba pot fluctua de la o deces temporară a telemetriei până la o deces completă a producției și un lege plurivalent și mancator de ritmica pentru a o a reduce online. Este solemnel de reținut că fiesce tip de ftizie cibernetic IT posibil deplasa, de intocmai, la o decuplare sau închidere a mediului OT, ca noroc a eforturilor de răspuns și recastigare, orisicare ar a cauza în cele din urmă efecte similare.

Tip 1b: IT/OT vizat

Al doilea tip, 1b, este apoi când OT este insultat de un ravnaci fie din întâmplare, fie abia pentru că ar a se cuveni. Încă desfășurând TTP-uri IT, adversarul posibil introduce un ransomware sau posibil exfiltra date pentru stoarcere dublă. Cu toate acestea, posibil din temei unei DMZ slabe sau inexistente, atacul adversarului se posibil a largi la unele active OT din nivelurile 2 sau 3 ale Modelului Purdue. Activele OT afectate pot contine dispozitive conj stațiile de treaba de inginerie, interfețele om-mașină (HMI) bazate pe Windows și alte tehnologii bazate pe IT. Deși adversarul a reușit să afecteze neocolit activele OT, țintirea nu este în obstesc deliberată. Impactul acestui tip de ftizie posibil contine pierderea configurabilității sau taman a controlului spre mediului OT.

Tip 1c: OT vizat

Al treilea tip din această predicament, 1c, este cel mai nuanțat și cel mai asemanator ca natură de următoarea predicament. Aoace, un ravnaci cu posibilitate OT mică sau nicicum posibil tinti în mod intentionat activele OT bazate pe Windows ale unei organizații cu IT TTP. Cest treaba posibil fi pentru a declanșa un răspuns mai spatios din partea victimei sau pentru a a cauza un lovire mai urat decât abia prin afectarea IT. Cest tip de ftizie posibil tinti în mod intentionat activele OT, dar abia pe acelea cu orisicare un ravnaci prescurtat pe IT ar fi aclimatizat. De conj, nu există nicio intenție sau consumare specifică OT într-un asemenea de ftizie și nici nu există nicio rigoare în valoare absoluta în orisicare este afectată producția. Ca și în cazul tipului 1b, impactul acestui tip de ftizie posibil contine pierderea configurabilității sau a controlului mediului OT, iar producția este plauzibil abia afectată de efectele în cascadă sau de eforturile de răspuns și de recastigare.

Categoria 2: OT TTP

A doua predicament contine cele două tipuri orisicare plauzibil îmi vin în instructie ori de câte ori sunt menționate atacuri cibernetice OT. Acestea sunt caracterizate prin includerea de TTP-uri specifice OT și au intenția principală de a a prejudicia neocolit producția într-un fel.

Tip 2a: OT vizat, nefinisat

Al patrulea tip obstesc și intaiul din a doua predicament, 2a, este cateodata consacrat sub numele de „ftizie neplăcut”. Cest tip de ftizie cibernetic se bazează pe faptul că adversarul inceteaza la OT, indolent de DMZ. Folosește cunoștințele rudimentare specifice OT și TTP-urile, dar într-un mod lamurit, cu puțină rigoare sau multilateralitate. În loc să perturbe abia activele bazate pe Windows, cum ar fi atacurile de categoria 1, posibil tinti activele OT la niveluri mai profunde ale modelului Purdue, mai aproximativ de procesul corporal, cum ar fi PLC-urile și unitățile de telemetrie la distanță (RTU). Tehnicile specifice OT utilizate sunt brute și folosesc curent cadre și instrumente de opri-mare cunoscute exoteric. Impactul acestui tip de ftizie cibernetic OT va a cere, în obstesc, oprirea ciclării PLC-urilor sau modificarea imprecisă a ieșirilor PLC. Cest treaba va a prejudicia, fără îndoială, producția, dar asemenea de atacuri directe sunt adeseori deschise și declanșează un răspuns iute și un stradanie de recastigare.

Tip 2b: OT vizat, sofisticat

Tipul capat, 2b, este cel mai progresist, dar și cel mai rar observat. Prin exercitarea capacității OT avansate, aceste atacuri cibernetice sunt precise și complexe atât în ​​ceea ce privește execuția, cât și impactul. Ele implică o înțelegere extinsă a procesului, o tactică specifică OT de a ridica informații pentru a înțelege mediul corporal și valoare absoluta în orisicare OT interacționează cu asta. Adversarii creează un ftizie orisicare este personalizat pentru mediul OT în orisicare și-au câștigat un faza de ajutor și îl afectează într-un mod extrem intentionat. Impacturile posibile cauzate de aiest tip de ftizie cibernetic OT sunt aproximativ nelimitate, dar depind în spatios măsură de procesul luat în considerare. Este puțin plauzibil ca impactul să fie indiscutabil sau neamestecat, cum ar fi oprirea procesului, cu excepția cazului în orisicare asta a fost într-un mod deosebit și constant. În tura, este mai plauzibil ca impacturile preconizate să implice, de oglinda, degradarea pe furiș a procesului sau exfiltrarea detaliilor acestuia pentru a-l a scoate în altă noroc.

De ce aiest treaba este solemnel

Se pare că există o înclinație față de atacurile de categoria 1 (așa cum am accentuat mai degraba pe aiest blog), orisicare ar a se cuveni să ne salveze de numeros lăudata apocalipsă OT. Multe controale și concepte actuale de siguranta cibernetică OT sunt împrumutate de la IT și, ca asemenea, sunt mai bune în detectarea și prevenirea atacurilor de categoria 1. Cu toate acestea, pe măsură ce accesul la cunoștințe și echipamente crește și pe măsură ce adversarii își construiesc capacități mai bune pentru a tinti în mod particular OT, există o capacitate reală ca să vedem un număr tot mai spatios de atacuri de categoria 2. Dezvoltarea controalelor de siguranta cibernetică OT relevante pentru a le detecta și a prevesti este intaiul pas în pregătirea pentru acesta. Pentru a a executa aiest treaba, musai să distingem categoriile și tipurile de atacuri pentru a înțelege mai placut cum și când acele atacuri de categoria 2 sunt în creștere.

35 de ani de atacuri cibernetice OT

Tipurile de atacuri cibernetice OT pe orisicare le-am determinat și motivele pentru orisicare sunt importante se bazează toate pe câteva afirmații îndrăznețe. Asadar, în loc să ne așteptăm să ne credeți pe cuvânt, ne-am gândit să le punem la încercare. Pentru a a executa aiest treaba, am colectat și analizat fiesce ftizie cibernetic OT raportat exoteric pe orisicare l-am tare găsi din 1988 până în 2023. Mai jos este un pasaj din spilcuta noastră; versiunea completă și metodologia transparentă pot fi găsite în Security Inotator 2024.

Cel mai relevabil ipostaza al celor 35 de ani de atacuri cibernetice OT a fost creșterea atacurilor comise de infractorii cibernetici începând cu 2020. Această creștere este în concordanță cu apariția dublei extorcări și, prin consecinta, este conformă cu datele noastre Cy-X.

Imagine 2 Numărul sectoarelor victime pe an

Creșterea dublei extorcări nu a primenire abia tipurile generale de adversari orisicare atacau OT; a primenire și sectoarele victime afectate. Când defalcăm sectoarele victime pe an, vedem, de intocmai, o primenire semnificativă de la o gamă diversă de sectoare la concentrarea puternică pe producție. Cu toate acestea, având în vedenie că Cy-X intinde să favorizeze direcționarea producției, aiest treaba are continut.

Imagine 3 Fluxuri de la an la ravnaci la predicament la tip la adâncimea Purdue

Imagine 3 ne arată fluxurile de atacuri cibernetice OT. Anul unui ftizie, grupat în coșuri de 5 ani pentru limpezime, circula din stânga către adversarul orisicare a condus atacul. Fluxul de ftizie continuă de la ravnaci la categoria de ftizie cibernetic OT, până la tip. În cele din urmă, tipul de ftizie circula într-o redare a pacali mai intim standard al Modelului Purdue atacul insultat în ceea ce privește țintirea (s-ar a se cuveni să fi bombastic implinit OT, taman și de la Nivelul 5).

Dezbaterea imediată din această vizualizare este creșterea drastică a frecvenței atacurilor în 2020, orisicare a văzut în mod covârșitor infractorii comitând TTP-uri IT împotriva țintelor IT, rezolvându-se la nivelurile 4 și 5 ale Modelului Purdue. Cest treaba întărește cele două narațiuni pe orisicare le-am descris, orisicare au avere loc înainte și după apariția dublei extorcări în 2020.

Aprofundând într-o analiză mai profundă a categoriilor și tipurilor, devine lamurit că un număr nuantat mai spatios de atacuri cibernetice orisicare provoacă lovire OT sunt categoria 1 și utilizează abia IT TTP la 83% din absolut. Cest treaba este susținut de reprezentarea spatios a atacurilor de tip 1a la 60% din absolut, orisicare vizează în mod particular IT, adică nivelurile 4 și 5 ale Modelului Purdue. Prin comparație, atacurile orisicare au inclus utilizarea OT TTP au fost slabanog reprezentate la 17% din absolut.

Asadar, fiindca mergem de aoace? Ce va randui viitorul? Sunt toate atacurile cibernetice OT abia TTP-uri IT spre țintelor IT și lovire circumstanțial OT? Sau am a se cuveni stapani atacul necruțător al criminalilor îndreptându-se inspre atacuri de categoria 2 pentru o violenta mai spatios?

Se vor cere criminalii la OT TTP?

Nepasator de organizațiile orisicare folosesc OT, actualele atacuri Cy-X de tip 1a par a fi privitor profitabile pentru criminali, iar adevărata pandemie se posibil a prohorisi înainte de a se îmbunătăți. Cu toate acestea, dacă organizațiile încep să-și dezvolte rezistența la atacurile Cy-X contemporane, fie prin procese bune de backup sau conj, este fundamentat ca modus operandi (MO) omorator să se schimbe. Având în vedenie prevalența organizațiilor orisicare folosesc OT ca victime Cy-X, am a se cuveni stapani că schimbarea în MO să fie către atacurile cibernetice de categoria 2 OT? Din norocire, pentru a usura o discuție în jurul acestei întrebări, putem cere la teoria activității de rutină (RAT).

RAT este o doctrina criminologică orisicare afirmă că o infracțiune va contine loc, având în vedenie că sunt prezente trei elemente: un raufacator fundamentat, o țintă adecvată și absența unui epitrop competent. Aoace vom a prezenta o scurtă discuție impotriva fiesce faza pe baza economica a ceea ce am văzut până asasi.

Infractorul fundamentat

După cum se posibil stapani din datele impotriva atacurile cibernetice OT pe orisicare le-am prezentat aoace, din orisice argument, infractorii au în atentie o înclinație pentru organizațiile orisicare se întâmplă să folosească OT. Mai numeros, valoare absoluta în orisicare atacurile Cy-X actuale afectează fără atenție mediile OT ale victimelor lor arată lamurit că criminalii nu sunt preocupați de consecințele fizice. Ori acesta, ori este practicabil taman să provoace în mod intenționat amenințări la expedia siguranței. În cele din urmă, dacă vedem că plățile de răscumpărare pentru Cy-X axat pe IT scad, plauzibil că aiest treaba îi va constrange pe criminali să-și schimbe MO în oareceva pentru orisicare victimele lor sunt mai puțin pregătite defensiv.

Țintă potrivită

Infractorii s-ar a se cuveni să vizeze inca organizațiile orisicare folosesc OT, deoarece văd efectul impactului spre producției ca fiind competent. Dacă metodele existente pentru a a executa aiest treaba, cum ar fi atacurile Cy-X de tip 1a, scad în siguranta in functionare, infractorii pot încerca să ținteze neocolit OT. În datele noastre, 40% din toate atacurile cibernetice OT și 16% dintre cele efectuate de infractori au reușit să ajungă la tehnologia operațională pentru a le a prejudicia. Acestea au fost atacuri cibernetice de tip 1b, 1c, 2a sau 2b OT. Adversarii și, într-o măsură mai mică, criminalii accesează inca mediile OT. În cazul în orisicare au forta de criza pentru a ținti în mod intentionat OT, nu este de neconceput că infractorii ar fi capabili să realizeze aiest treaba.

O considerație majoră în ceea ce privește dacă OT este o țintă potrivită este contextul său nefamiliar pentru majoritatea criminalilor. Cu toate acestea, deși ar a fi să-și dezvolte capacitatea tehnică, există o bază tot mai spatios de cunoștințe privind securitatea cibernetică OT sub formă de cursuri, cărți, discuții și taman conferințe dedicate de la orisicare ar a se cuveni învăța. Mai numeros decât atât, dispozitivele OT, cum ar fi PLC-urile și HMI-urile devin din ce în ce mai puțin costisitoare pentru învățare și eventuale teste de ftizie. Toate acestea culminează cu reducerea barierelor de alee din perspectivă tehnică.

Punctul cel mai esential al acestei componente este adecvarea organizației victimei în sine. Această potrivire contine o suprafață spatios de ftizie, timpul slobod pentru ca adversarul să conducă atacul și valoarea pe orisicare anumite active o pot contine pentru victimă. După cum putem stapani în atacurile istorice Cy-X, adversarii găsesc inca o mulțime de vulnerabilități pe orisicare să le exploateze în victimele lor și în mod lamurit nu întâlnesc adeseori ceea ce ar fi descris prep cea mai bună practică de siguranta cibernetică.

Timp de funcționare și eficiența unui mijloc OT sunt adeseori placut cuantificate, ceea ce înseamnă că valoarea impactului OT nu este plauzibil la fel de nebuloasă conj datele criptate sau scurse. Toate acestea prezintă un cauza lamurit recomandabil în organizațiile orisicare utilizează OT.

Absența unui epitrop competent

Dacă infractorii se gândesc să se îndepărteze de la categoria 1 Cy-X cu TTP IT, aceasta va fi în intaiul rând ca răspuns la ispravnicie efectivă a controalelor de siguranta cibernetică IT. Prin consecinta, aceștia se pot a merge pentru a oprima provocarea întâlnită în apărarea împotriva TTP-urilor OT cauzată de saracie controalelor disponibile orisicare sunt create suigeneris pentru OT.

Controalele tehnice de siguranta nu sunt singura formă de pazitor competent, garantat. RAT ia în considerare alte forme de tutelă, cum ar fi ispravnicie informală (comunitară) și formală. Aceasta din urmă, ispravnicie formală, implică eforturi depuse de forțele de tocmire și guverne. În cele din urmă, OT se va intalni cu aceleași provocări în perturbarea ecosistemului omorator și, prin consecinta, absența unui epitrop competent sau eficiența acestuia în perturbarea criminalității este o perspectivă realistă.

A POC: Dead Man’s PLC

În ritmica ce ne-am gândit dacă ar a se cuveni dainui o deplasare la criminali orisicare vizează OT cu atacuri cibernetice de categoria 2, am cultivare la unele cercetări interesante, speculative. A culminat cu o tehnică Cy-X nouă și pragmatică, vizată în mod particular împotriva dispozitivelor OT; în suigeneris, PLC-urile și stațiile de treaba inginerești orisicare le însoțesc. Îi spunem Dead Man’s PLC.

PLC-ul lui Dead Man începe de la stația de treaba de inginerie, activul în orisicare inginerii vor a zidi configurații și le vor încărca pe PLC-uri în mediul OT. După cum am văzut, nu lipsesc atacurile cibernetice OT orisicare ating adâncurile Modelului Purdue, fiindca pot a sedea stațiile de treaba de inginerie – în obstesc nivelurile 2 sau 3, în funcție de numeroși factori.

Când criminalul se află pe stația de treaba de inginerie, ei pot vizualiza codul PLC „în neocolit” prezent în fișierele lor de intentie, le pot publica și descărca noi configurații pe PLC-uri. PLC-ul lui Dead Man profită de această posibilitate, conj și de funcționalitatea OT existentă și controalele de siguranta rar utilizate, pentru a ține întregul lege operațional al victimei și, prin proxy, lumea fizică la răscumpărare.

PLC-ul lui Dead Man funcționează prin adăugarea la codul PLC fundamentat și operațional pentru a a zidi o rețea de monitorizare ascunsă, prin orisicare toate PLC-urile rămân funcționale, dar se interoghează neschimbator oarecare pe celălalt. Dacă rețeaua de sondaje detectează aproximativ încercare a victimei de a răspunde la ftizie sau jertfa nu își plătește răscumpărarea la ritmica, sondajul va înceta, iar PLC-ul lui Dead Man se va declanșa asemănător cu comutatorul unui Dead Man și va exploda. Detonarea implică dezactivarea codului PLC fundamentat, orisicare este raspunzator pentru controlul și automatizarea procesului operațional, și activarea codului rău intenționat orisicare provoacă daune fizice dispozitivelor operaționale. Cest treaba nu lasă jertfa nicio opțiune realistă decât să-și plătească răscumpărarea; Singura lor altă metodă alternativă de recastigare este închiderea fără grație și înlocuirea fiecărui PLC bombastic în procesul lor operațional, ceea ce îi va a pretui pierderea timpului de producție, bunurile deteriorate și costul noilor active.

Dacă doriți să citiți mai multe impotriva Dead Man’s PLC și impotriva cum funcționează, lucrarea sa de consultare dedicată acestui informator.

Prescurt: Ce înseamnă toate acestea?

Această analiză a explorat istoria atacurilor cibernetice OT pentru a înțelege peisajul în primenire și cu ce ne putem intalni în viitorul ineluctabil. Datele recente din 2020 încoace, când sunt împărțite în categorii și tipuri, arată că nu ar a fi să credem hype-ul atacurilor cibernetice OT. În tura, ar a fi să ne concentrăm pe abordarea problemei Cy-X în sine pe cuvant incuiat. Aceasta înseamnă construirea rezistenței operaționale și a încrederii în OT pentru a a se tine atacurilor de la nivelurile 4 și 5 ale modelului Purdue. Suntem totuși conștienți că este mai ușor de spus decât de făcut.

Nici nu ar fi grijuliu să declarăm că infractorii vor începe să atace OT cu noi tehnici Cy-X ca răspuns la plățile de răscumpărare mai puțin fiabile.

Cu toate acestea, nici nu ar fi grijuliu să spunem că aiest treaba nu se va întâmpla niciodată. Cu riscul de a sta pe zaplaz, vom executa că există o capacitate reală ca Cy-X să evolueze pentru a tinti activele specifice OT, ar a se cuveni fi forta abia de un ceata Cy-X singular de innoitor pentru a a executa aiest treaba.

Aceasta este abia o tra-ducere prescurtată a uneia dintre poveștile găsite în Security Inotator. Alte cercetări interesante, cum ar fi un scoala al hacktivismului și o analiză a creșterii în Cyber ​​Extortion (conj și o mulțime de alte subiecte de consultare interesante), pot fi găsite și colo. Este ineficient, așa că aruncați o luare-aminte. Se merită!

Notă: Această piesă informativă a fost realizată cu experiență și a contribuit de către Dr. Ric DerbyshireCercetător nobil în siguranta, Orange Cyberdefense.

(eticheteToTranslate)stoarcere cibernetică

Citeşte mai mult

Stiri în tendințe