מחקר: אפקט הקורונה - עלייה בחולשות אבטחה בכלי גישה מרחוק למערכות בקרה תעשייתיות
מאת: מערכת Telecom News, 19.8.20, 15:05

דו"ח מגלה, שענפי האנרגיה, הייצור הקריטי ותשתיות המים והשפכים, הם החשופים ביותר לפגיעה מרחוק.

יותר מ-70% מחולשות האבטחה, שנתגלו במחצית הראשונה של 2020 במערכות בקרה תעשייתית (ICS – Industrial Control System), ניתנות לשליטה מרחוק, ובכך מודגשת החשיבות של הגנה על התקני ICS בעלי ממשק אינטרנטי וחיבורי גישה מרחוק. זאת, על פי דו"ח הסיכונים והחולשות הדו-שנתי של חברת Claroty (קלארוטי), שעוסקת בתחום אבטחת טכנולוגיה תפעולית (Operational Technology - OT).

במסגרת הדו"ח הגלובלי, שפורסם היום, בדק צוות המחקר במשרדי המו"פ של החברה בתל-אביב, 365 נקודות תורפה במערכות תעשייתיות, שפרסם מאגר הנתונים הלאומי לחולשות אבטחה (National Vulnerability Database - NVD) וכן 139 המלצות, שפרסם ה-ICS-CERT במהלך מחצית ראשונה של שנה זו, שהשפיעו על 53 יצרניות חומרה ותוכנה בתחום התשתיות הקריטיות.

בהשוואה למחצית ראשונה של 2019, עלה מספר החולשות ב-ICS, על פי NVD, ב-10.3% (מ-331), בעוד, על פי ICS-CERT, חלה עלייה של 32.4%, מ-105 במחצית ראשונה של 2019. יותר מ-75% מהחולשות שהתגלו, קיבלו ציון גבוה או קריטי בהתייחס לרמת הסיכון הנשקפת מהן.

על פי הדו"ח, ניתן לנצל מרחוק, כלומר, ללא צורך בגישה פיזית, יותר מ-70% מהחולשות, שפרסמה ה-NVD, מה שמחזק את היכולת של התוקפים ליצור נזק רב ולבסס אחיזה ברשתות קריטיות בהן קיימים המוצרים הפגיעים.

בנוסף, ניתן לראות, שמרבית החולשות שנמצאו מאפשרות לבצע מתקפות, שהמשמעות שלהן עבור רשתות קריטיות היא השבתה או הרצת קוד לא מאושר על רכיבי קצה, כדוגמת בקרים האחראים על פעילות וויסות כמות הכלור במתקן לסינון מים. עבור רשתות קריטיות המשמעות היא הפסקת שירות או גרימת נזק פיזי בתהליך שאותו מנהלת הרשת.

על פי נתוני ICS-CERT ענפי האנרגיה, הייצור הקריטי ותשתיות המים והשפכים הם אלה שהיו חשופים יותר לחולשות אבטחה במהלך מחצית ראשונה של 2020. מתוך 385 חולשות וחשיפות לסיכוני סייבר, 236 התגלו בתחום האנרגיה, 197 בייצור הקריטי, ו-171 בענפי המים והשפכים. בהשוואה לתקופה מקבילה ב-2019, תחום המים והשפכים חווה את העלייה הגדולה ביותר בחולשות וחשיפה לסיכוני סייבר (122.1%), הייצור הקריטי עלה ב-87.3% והאנרגיה ב-58.9%.

מתוך כלל החולשות בתחום, צוות המחקר של החברה חשף 26 חולשות במערכות בקרה תעשייתיות במהלך מחצית ראשונה של 2020, תוך מתן עדיפות לחולשות קריטיות או בסיכון גבוה העלולות להשפיע על הזמינות, האמינות והבטיחות של הפעילות התעשייתית.

החוקרים התמקדו בספקים ובמוצרים עם פיזור רחב בתעשייה ובאלה העושים שימוש בפרוטוקולים בהם יש לחוקרי החברה מומחיות. 26 החולשות מתפרסות על מספר אפיקי תקיפה המאפשרים החל מכניסה לארגון ע"י ניצול חולשות במתאר תקיפת פישינג ועד הרצת קוד מרחוק ללא צורך בהרשאות על המערכת הנתקפת.

עבור רבים מהספקים, שהושפעו מחשיפה זו של החברה, מדובר בפעם ראשונה שקיבלו התראה על חולשות במערכות שלהם. כתוצאה מכך, הם הקימו צוותי אבטחה ייעודיים ופתחו בתהליכים לאיתור החולשות הגוברות עקב המיזוג בין מערכות ה-IT ל-OT. דוגמה זו מייצגת את מצב התעשייה של התשתיות הקריטיות הנדרשת לשפר את היכולת שלה לעמוד מול איומי סייבר גם בצד ספקי הפתרונות ולא רק בקרב הלקוחות עצמם.

הדו"ח יוצא לאור במקביל לפרסום נוסף, שנעשה ע"י CISA וה-NSA המדגיש את הצורך באבטחה של תשתיות קריטיות ובמיוחד בהגנה של מכשירי קצה קריטיים המחוברים בצורה לא מאובטחת לרשתות האינטרנט.

איום תקיפה של ציוד מסוג זה ע"י מדינות וארגונים הוא ממשי והקושי בביצוע התקיפה אינו גבוה. נתונים אלו עומדים בקנה אחד עם מסקנות הדו"ח, שקיימת עלייה במספר החולשות המדווחות ובמספר הספקים החדשים, שקיבלו לראשונה דיווח על חולשה בתשתיות שלהם.

העלייה במספר החולשות אף משקפת מצב חיובי של הגברת מודעות וכתוצאה מכך העברת מידע קריטי למנהלי האבטחה של תשתיות אלו. אחד הפערים הגדולים של עולם תשתיות הקריטיות הוא המחסור בבדיקות אבטחה על מוצרי הקצה, שלרוב אינם נגישים לחוקרי אבטחה. זוהי אחת הסיבות למספר הגדל של חברות המדווחות לראשונה על חולשות במוצרים שלהן, שעד היום לא נבדקו ע"י קבוצות מחקר שונות.

צוות המחקר בחברה, כולל חוקרי אבטחה בתחום הטכנולוגיה התפעולית (OT) בעלי יכולת לפתח חתימות להתנהגויות זדוניות, לנתח פרוטוקולי OT ולחשוף חולשות וסיכוני אבטחה במערכות בקרה תעשייתיות. הצוות, אשר מצויד במעבדת בדיקות ה- ICS הנרחבת ביותר בתעשייה, עובד בשיתוף פעולה הדוק עם ספקי אוטומציה תעשייתיים מובילים, כדי לבחון את רמת האבטחה במוצריהם. עד היום גילה וחשף הצוות הישראלי יותר מ-40 חולשות אבטחה במערכות בקרה בתעשייה, ועבד עם עשרות ספקים כדי לטפל בהן.

אמיר פרמינגר, (בתמונה משמאל), סמנכ"ל המחקר של קלארוטי: "יש מודעות מוגברת לסיכונים הנובעים מהפגיעות של מערכות בקרה תעשייתיות, ומיקוד חד יותר בקרב חוקרים ויצרנים בתעשייה, בניסיונות לזהות ולתקן את החולשות הללו בצורה יעילה ככל הניתן. קיים צורך קריטי להבין, להעריך, ולדווח על זירת הסיכונים והחולשות במערכות תעשייה, לטובת כל קהילת האבטחה ב-OT.

הממצאים מראים עד כמה חשוב לארגונים להגן על חיבורי גישה מרחוק ועל התקני בקרה תעשייתיים בעלי ממשק עם האינטרנט, מפני התקפות פישינג, דואר זבל ותוכנות כופר, כדי למזער את ההשפעות הפוטנציאליות של איומים אלה".

צילום תמונה משמאל: קרן מזור