Согласно общепринятому мнению, ключом к защите критической инфраструктуры от кибератак являются сегментация сети и безопасность ОТ. Однако постоянные взломы свидетельствуют о том, что одних этих методов недостаточно. Результаты исследования CISA (Агентство по кибербезопасности и защите инфраструктуры США) свидетельствуют о том, 90% первоначального доступа к критически важным объектам инфраструктуры получено путем компрометации идентификационных данных. Узнайте, как использовать точку зрения злоумышленника для повышения безопасности критической инфраструктуры.
Ландшафт угроз для критически важной инфраструктуры становится все более опасным, причем источником опасности являются злоумышленники из хорошо организованных злонамеренных структур. В 16 отраслях, жизненно важных для национальной безопасности США, включая производство, финансовые услуги и государственное управление, организации критической инфраструктуры сталкиваются с непрекращающимися кибератаками, направленными на нарушение работы сервисов, кражу конфиденциальной информации или удержание целых операций с целью получения выкупа.
Поскольку компрометация операционных технологий (OT) часто является ключевой целью, команды безопасности по понятным причинам уделяют большое внимание безопасности OT и сегментации сети. Однако эта стратегия оказалась слишком узкой, упуская из виду такие важные моменты, как роль идентификации в нарушениях безопасности. На самом деле, компрометация идентификационных данных предоставляет злоумышленникам наиболее значительную брешь для получения первоначального доступа к сетям критической инфраструктуры и дальнейшего продвижения.
В этом блоге рассматриваются громкие взломы, связанные с ОТ и критической инфраструктурой, и роль, которую сыграли в этих атаках идентификация и другие методы MITRE ATT&CK, а также даются практические рекомендации по повышению безопасности критической инфраструктуры путем интеграции знаний о безопасности из различных областей безопасности.
Компрометация идентификационных данных – как слабое звено в системе безопасности критической инфраструктуры
Агентство по кибербезопасности и защите инфраструктуры (CISA) совместно с Береговой охраной США (USCG) проверили сети 121 организации критической инфраструктуры. Формально называемые оценками рисков и уязвимостей (RVA), эти исследования предназначены для оценки сетевых возможностей организации и ее защиты от потенциальных угроз. Результаты исследований сопоставляются с концепцией MITRE ATT&CK.
В отчете CISA, опубликованном в середине 2023 года, и сопровождающих его диаграммах подробно описаны результаты этих исследований, в том числе то, что в 90 % случаев первоначальный доступ был получен путем компрометации идентификационных данных. В отчете также говорится, что в сочетании с другими методами идентификация представляет собой основное средство повышения привилегий и, в свою очередь, способствует латеральному перемещению между ИТ- и ОТ-средами.
Методы MITRE ATT&CK, используемые для получения первоначального доступа к сетям критической инфраструктуры
Срок раскрытия информации о нарушениях, как правило, составляет около 72 часа
В условиях возросшего уровня угроз команды по безопасности сталкиваются с повышенным давлением со стороны новых законодательных актов, направленных на отрасли критической инфраструктуры во многих странах. Например, Закон США об отчетности о киберинцидентах в критической инфраструктуре от 2022 года (CIRCIA) и Директива о сетях и информационных системах (NIS2) в Европейском союзе предписывают раскрывать информацию о киберинцидентах.
Помимо повышения прозрачности и подотчетности, эти требования значительно сокращают период с момента обнаружения подозрительной утечки до момента, когда о ней необходимо сообщить, что стимулирует необходимость более эффективной превентивной защиты.
Стоит отметить, что подобные требования были приняты и в других отраслях, не относящихся к критической инфраструктуре.
Одной сегментации сети и ОТ-безопасности недостаточно
Когда речь заходит о совершении атак, оказывается, что способы, с помощью которых злоумышленники получают начальный плацдарм, повышают привилегии и продвигаются дальше, во многом совпадают. Это объясняется тем, что в основе всех действий, выполняемых злоумышленником, лежат привилегии либо человека, либо машины. Разница заключается в том, какие методы MITRE ATT&CK используются для получения этих привилегий.
Давайте рассмотрим три примера, которые очень характерны для взломов критической инфраструктуры:
Компания Colonial Pipeline: Крупнейшая из обнародованных кибератак на критически важные объекты инфраструктуры в США началась с того, что злоумышленники получили первоначальный доступ к ИТ-сети через взломанный пароль пользователя и учетную запись VPN. Протокол удаленного рабочего стола использовался для развертывания программы-вымогателя, которая использовала непропатченные уязвимости и повышала привилегии. Затем программа-вымогатель зашифровала критически важные системы. Хотя системы OT не были напрямую затронуты атакой, команды безопасности были вынуждены отключить нефтепровод, чтобы предотвратить распространение вредоносного ПО на сеть OT.
Методы, использованные при взломе трубопровода Colonial Pipeline
Олдсмар: Предполагается, что злоумышленники атаковали водоочистное сооружение в городе Олдсмар, штат Флорида, используя скомпрометированные учетные данные пользователей. Попав внутрь, они получили контроль над рабочим столом оператора, используя существующее программное обеспечение для удаленного рабочего стола, чтобы получить доступ к системам управления установкой, и выполнили команды, которые изменили уровень гидроксида натрия в воде до опасно высокого уровня. К счастью, оператор стал свидетелем взлома и смог вовремя вмешаться.
Методы, использованные при взломе в Олдсмаре
NotPetya: Одна из самых значительных и разрушительных кибератак в новейшей истории, NotPetya началась со взлома учетных данных, что позволило злоумышленникам получить доступ к популярному бухгалтерскому ПО и изменить его код. Это программное обеспечение предоставляло злоумышленникам «черный ход» для распространения вредоносного ПО в целевых организациях. После развертывания вредоносная программа быстро распространялась с помощью EternalBlue – эксплойта, направленного на известную SMP-уязвимость. Инструмент пост-эксплойта Mimikatz использовался для сбора учетных данных и распространения по сети, часто используя легитимные инструменты администрирования Windows и сетевого обмена. В результате взлома была нарушена работа важнейших объектов инфраструктуры по всему миру – от портов, управляемых судоходным гигантом Maersk, до систем радиационного контроля на Чернобыльской АЭС.
Методы, использованные при взломе NotPetya
Ни в одном из этих случаев OT-активы не были первоначальной целью. Но все они в той или иной форме были связаны с компрометацией человеческих или машинных идентификаторов и распространялись с использованием комбинации существующих уязвимостей и легитимных средств удаленного управления для повышения привилегий, перемещения в стороны и достижения желаемой цели.
Методы MITRE ATT&CK, используемые для бокового перемещения в сетях критической инфраструктуры
Невозможно обеспечить безопасность критической инфраструктуры без полного контекста
Проблема практически всех точечных средств защиты заключается в том, что они не имеют комплексного и интегрированного представления о взаимосвязях активов, идентификационных данных и рисков на всей поверхности атаки. Например, средства защиты OT часто не имеют представления об ИТ-активах и идентификационных данных в OT-среде, включая слабые места, которые могут быть использованы для конечной компрометации систем критической инфраструктуры. Именно эти междоменные связи обеспечивают первоначальный доступ, латеральное перемещение и повышение привилегий. Без них невозможно эффективно отличить море разрозненных предупреждений от истинных угроз, которые могут нарушить целостность и непрерывность критической инфраструктуры.
Платформа Tenable One Exposure Management Platform уникально подходит для решения этих проблем. Она обеспечивает полную видимость современной поверхности атаки, преодолевая разрозненность систем безопасности и устанавливая приоритеты для обнаружения и устранения уязвимостей, которые могут оказать существенное влияние на критическую инфраструктуру. Tenable One объединяет конфигурационные данные и данные о рисках для OT и IT-активов из Tenable OT Security, а также данные о привилегиях и рисках для идентификационных данных из Tenable Identity Exposure. С его помощью сотрудники службы безопасности могут визуализировать и исправлять пути атак, проходящие через конвергентные ИТ- и ОТ-среды.
Применяя горизонтальный подход к безопасности, в котором особое внимание уделяется всесторонней видимости, контекстной оценке рисков и приоритизации рисков, организации могут укрепить свою безопасность, повысить эффективность и лучше защитить критически важную инфраструктуру.
