כ-40% מהמחשבים התעשייתיים התמודדו עם מתקפת סייבר במחצית השנייה של 2016

מאת: מערכת Telecom News, 30.3.17, 19:44

מחקר, שהתמקד באופק האיומים למערכות בקרה ואוטומציה בתעשייה (ICS), חושף את המימדים ואת מקורות האיומים. איך ארגונים יכולים להגן על סביבות ICS מפני התקפות סייבר אפשריות?

2 מ-5 מחשבים, שקשורים לתשתית טכנולוגית בארגוני תעשייה, התמודדו עם מתקפת סייבר במהלך המחצית השנייה של 2016. ממצא זה הוא חלק מדו"ח מעבדת קספרסקי "אופק האיומים למערכות אוטומציה תעשייתיות במחצית השנייה של 2016". אחוז המחשבים התעשייתיים שהותקפו צמח מ-17% ביולי 2016 ל-24% בדצמבר 2016, כשהמקורות המובילים להדבקה הם האינטרנט, התקני אחסון ניידים, צרופות זדוניות (קבצים מצורפים) לדואר אלקטרוני וקוד זדוני שהוטמע בגוף ההודעה.

ככל שהטכנולוגיה והרשתות הארגוניות בגופי תעשייה הופכות למרושתות יותר, כך צומחת במקביל תשומת הלב המופנית אליהן מצד עברייני הסייבר. באמצעות ניצול של פרצות ברשתות כמו גם ניצול התוכנות הארגוניות, יכולים התוקפים לגנוב מידע הקשור לתהליכי ייצור או אפילו להשבית את פעילות הייצור ולהוביל לאסון טכנולוגי.

כדי להבין עד כמה האיום נפוץ, מומחי ICS CERT של מעבדת קספרסקי ערכו מחקר, שהתמקד באופק האיומים למערכות בקרה ואוטומציה בתעשייה (ICS). הם גילו, שבמחצית השנייה של 2016 נחסמו הורדות של קוד זדוני וגישה לדפי פישינג ב-22% מהמחשבים בתעשייה. המשמעות היא, שכמעט חמישית מהמכונות עמדו לפחות פעם אחת בפני סיכון להדבקה או לגניבת הרשאות דרך האינטרנט.

תרשים מקורות האיומים:
 
מחשבים של מהנדסים ומפעילי מערכות העובדים ישירות עם מערכות ICS, בדרך כלל אינם מקושרים ישירות לאינטרנט בגלל המגבלות של רשת הטכנולוגיה בה הם נמצאים. עם זאת, ישנם משתמשים אחרים, שהם בעלי גישה כפולה גם לאינטרנט וגם ל-ICS. עפ"י המחקר של החברה, מחשבים אלה, שבדרך כלל משמשים מנהלי רשתות ומערכות, מפתחים ואינטגרטורים של מערכות אוטומציה, וקבלנים חיצוניים, שמתחברים לרשתות הטכנולוגיה ישירות או מרחוק, יכולים להתחבר באופן חופשי לאינטרנט מכיוון שהם לא מוגבלים רק לרשת התעשייתית על מגבלותיה.

האינטרנט הוא לא האיום היחידי על אבטחת הסייבר של מערכות ICS. הסיכון להדבקה מתוך התקן אחסון נייד הוא איום נוסף, שזוהה ע"י החוקרים. במהלך תקופת המחקר, ב-10.9% מהמחשבים, שמותקנת בהם תוכנת ICS (או כאלה המחוברים למחשבים עם תוכנה כזו) נמצאו עקבות של קוד זדוני כאשר מכשיר נייד חובר אליהם.

קבצים מצורפים לדואר אלקטרוני וקוד זדוני, שמוטמע בגוף ההודעה, תופסים את המקום השלישי בקרב האיומים, כשאלה נחסמו ב-8.1% מכל המחשבים התעשייתיים. ברוב המקרים, התוקפים השתמשו בטכניקות פישינג עם מסמכים משרדיים כגון קבצי MS Office ו-PDF. באמצעות שימוש בטכניקות שונות, העבריינים וידאו, שאנשים הורידו והריצו את הקוד הזדוני במחשבי הארגון.

עפ"י המחקר, קוד זדוני, שמהווה איום משמעותי עבור חברות, הוא גם סיכון עבור חברות תעשייה. הוא כולל תוכנות ריגול, דלת אחורית, keyloggers, קוד זדוני פיננסי, תוכנות כופר ומוחקנים. אלה יכולים לשתק לחלוטין את השליטה של ארגון על מערכות ה-ICS שלו או לשמש כדי לבצע התקפה ממוקדת. האפשרות האחרונה מתאפשרת בזכות יכולות מובנות בקוד הזדוני שמספקות לתוקף אפשרויות רבות של שליטה מרחוק.

ממצאים נוספים מהדו"ח:

• כל התקפה ממוקדת רביעית, שזוהתה ע"י החברה ב-2016, כוונה נגד מטרה תעשייתית.
• כ-20,000 דוגמיות שונות של קוד זדוני נחשפו במערכות אוטומציה תעשייתיות המשתייכות ליותר מ-2,000 משפחות קוד זדוני שונות.
• 75 פרצות נחשפו ע"י החיברה ב-2016. 58 מהן סומנו כפרצות בדרגת החומרה הגבוהה ביותר.
• 3 המדינות עם השיעור הגבוה ביותר של מחשבים מותקפים: ויטנאם (66%), אלג'יריה (65%(, מרוקו (60%).

כדי להגן על סביבות ICS מפני התקפות סייבר אפשריות, מייעצת החברה לארגונים לבצע מספר צעדים:

• ביצוע סקירות וביקורות אבטחה כדי לזהות ולהסיר פרצות אבטחה.
• איסוף מודיעין חיצוני: מודיעין המגיע מספקים חיצוניים בעלי מוניטין מסייע לארגונים לצפות התקפות עתידיות על התשתית התעשייתית של החברה.
• הכשרה ואימון כח האדם.
• בניית הגנה בתוך ומחוץ לרשת ההיקפית. אסטרטגיית אבטחה טובה חייבת להקדיש משאבים מספיקים  לזיהוי ותגובה להתקפות, כדי לחסום התקפות לפני שהן מגיעות ליעדים חשובים וחיוניים.
• בחינת שיטות מתקדמות להגנה: תרחיש של "דחיה כברירת מחדל" עבור מערכות SCADA, בדיקות שלמות נתונים עבור בקרים, וניטור רשת מיוחד להגברת עמידות האבטחה הכוללת, יפחיתו את הסיכוי לפריצה מוצלחת, אפילו אם ישנן נקודות פגיעות שלא ניתן לחסום או להסיר.

יבגני גונצ'רוב, ראש המחלקה להגנת תשתיות חיוניות, מעבדת קספרסקי: "הניתוח שלנו מראה, שלא ניתן עוד לתת אמון עיוור באפשרות של חציצה בין רשתות טכנולוגיה לאינטרנט. הצמיחה של איומי הסייבר על תשתיות חיוניות מראה, ש-ICS צריך להיות מאובטח כראוי מפני קוד זדוני בתוך ומחוץ לרשת ההיקפית. חשוב גם לציין, שעפ"י התצפיות שלנו, התוקפים כמעט תמיד מתחילים בחוליה החלשה בכל מערך הגנה – האנשים".

הדו"ח המלא - כאן.