התגלו הטעויות, שאפשרו ל-WannaCry לפגוע במערכות בקרה תעשייתיות

מאת: מערכת Telecom News, 25.6.17, 15:44

שיתוף של רשימת השגיאות וגורמי ההזנחה, שהותירו את המערכות פגיעות לאירוע כזה, יסייעו לעסקים וארגונים למזער את הסיכון בעתיד. מהם דרכי הפעולה המומלצות?

צוות תגובת החירום (CERT)  למערכות ICS  (מערכת בקרה תעשייתית) של מעבדת קספרסקי פרסם דו"ח לגבי הדרך בה מתקפת הכופר הגלובלית WannaCry, שהתרחשה ב- 12 עד ה- 15 במאי, 2017, הצליחה לפגוע במספר רב של מחשבי ICS.

המומחים מקווים, ששיתוף של רשימת השגיאות וגורמי ההזנחה, שהותירו את המערכות פגיעות לאירוע שכזה, יסייעו לעסקים למזער את הסיכון בעתיד.

תולעת-ההצפנה WannaCry התבססה על האינטרנט כדי להגיע לתפוצה גלובלית. באמצעות ניצול פרצה במערכת חלונות, היא הפיצה עצמה במהירות דרך רשתות פנימיות, וניצלה קישוריות פתוחה ואבטחה ירודה.

בעיקרון, WannaCry לא אמורה היתה להדביק רשת תעשייתית דרך האינטרנט, גם מכיוון שהרשתות סגורות וגם בשל פרוטוקולים ופיירוולים קשיחים. עפ"י החוקרים, , התרחישים, שהקלו על הדבקת מערכת ICS, כוללים:

מחשב המחובר למספר רשתות משנה במקביל. לדוגמא, אם תחנת עבודה של מהנדס/ מנהל  מערכת אוטומציה תעשייתית מחוברת גם לרשת הארגונית וגם לרשת התעשייתית – היא פותחת שער למעבר של קוד זדוני מרשת אחת לשניה.

רשתות VPN המחוברות אל תוך ICS. אם האבטחה והקישוריות לא מוגדרים כראוי, VPN יכול גם לפעול כגשר להדבקה. לדוגמא, אם מחשב של קבלן משנה נדבק והוא מחובר מרחוק לרשת תעשייתית דרך VPN.

מכשירים ניידים המחוברים ל-ICS, כגון סמארטפונים או מודם על USB, יכולים לשדר את קוד ההדבקה אם הם הוגדרו בטעות עם כתובת IP ציבורית.

דרכי הפעולה המומלצות:
כדי להגן מפני איומים המגיעים מהאינטרנט וכן מהתקפות אחרות, מומלץ על הצעדים הבאים:

1. סגרו שירותי רשת פגיעים והגבילו חיבורים בכל המכשירים המחוברים לרשת ICS וברשת ההיקפית. התקינו את עדכוני התוכנה האחרונים.
2. הבטיחו ניהול מאובטח ומרכזי של כל המערכות האוטומטיות, ונטרו את כל תעבורת הנתונים בין ה-ICS והרשתות האחרות.
3. הגבילו גישה בין מערכות, שהן חלק מרשתות שונות, או שיש להן רמת אמון שונה. בודדו את אלו המתקשרות עם רשתות חיצוניות. בטלו כל חיבור רשת שאינו נדרש לתהליכים תעשייתיים.
4. יותר מכך, זכרו כי אופק האיומים למערכות אוטומציה תעשייתית משתנה כל הזמן. ראוי לבצע ביקורת יסודית ורשימת מצאי של רשת ICS, כדי להבטיח, שכל יכולות הזיהוי, המדיניות, והתהליכים לאבטחת מידע מעודכנים ופעילים.

 
מידע נוסף ועצות לגבי איום זה והמלצות לאמצעי אבטחה בדו"ח - כאן.

עדכון 30.10.17 בכיר במשרד הביטחון הבריטי, בן וואלאס, אמר ל-BBC, שמדינתו ומדינות נוספות הגיעו למסקנה, שצפון קוריאה תקפה באמצעות WannaCry  מדינות אחרות באירופה, באמריקה ובאסיה.