Íme öt életbevágó lépés a kibertámadások ellen

Az olyan kínai, kibertámadásokért felelős aktorok, mint a Volt Typhoon technikailag sokkal felkészültebbek és több erőforrással rendelkeznek, mint egyéb kiberbűnözők és zsarolóvírus-gyártók a világban. Ezek a csoportok képesek elkerülni a már meglévő védelmi vonalakat és beférkőzni a gyáripari szereplők hálózataiba teljesen észrevétlenül, ott akár évekig elbújni, majd hirtelen támadásokkal megbénítani a vállalatműködtetési technológiákat (OT).

Kína nem az egyetlen ország, amely ilyen csoportoknak ad otthont – többek között Oroszországban és Iránban is hasonló kompetenciák fejlesztése zajlik. Fontos tehát minden vállalat számára, hogy magasabb szintre kerüljenek a kiberfenyegetettséggel szembeni ellenállásban, ehhez pedig segít az alábbi öt tanács.

1. Leltárazzuk a hálózat eszközeit

A szofisztikált fenyegetők, mint a Volt Typhoon oldalirányban mozognak a hálózatokon egy „living-off-the-land (LOTL)” álcázási technikát használva. A LOTL lényege, hogy a támadó a vállalat legitimen működő szoftvereit játssza ki, azokon keresztül hatol be a rendszerbe, így nem csap „zajt” támadáskor, illetve sokkal nehezebb kiszűrni. Védekezni részletes és központosított bejelentkezési protokollal, az általános informatikai biztonság növelésével, a Dolgok Internetébe (IoT) kötött és az OT eszközök konfigurációinak rendszeres ellenőrzésével, és főleg minden csatlakoztatott eszközről érdemes leltárt vezetni.

2. Orvosoljuk az alapvető biztonsági kockázatokat

A Volt Typhoon elsősorban a védtelen eszközökön (mint a routerek, VPN-ek és tűzfalak) keresztül jut be egy vállalat rendszerébe, jellemzően kihasználva a gyenge vagy lopott azonosítási kulcsokat és a meg nem oldott gyengeségeket a rendszerben. Ez a taktika egyre népszerűbb, mivel az ipari hálózatok és IoT eszközök nagy része nincs megfelelő biztonsággal ellátva. Életbevágó, hogy ezeket az alapvető problémákat orvosolják a gyártók, mivel az IndustryWeek kutatása szerint a gyáriparban és egyéb fontos iparágakban ezen eszközök 70 százaléka meg nem oldott biztonsági kockázatoknak van kitéve, 75 százalékukat pedig nem elég biztonságos jelszó véd csak.

3. Építsük ki eszközeink biztonsági rutinját

A végső célja ezeknek a támadásoknak, hogy hozzáférjenek a cégek vállalatirányítási technológiai rendszereihez. A támadók ehhez sokszor elbitorolják a távoli hozzáférésre jogosult felhasználói fiókokat, amiket a dolgozók és szerződött partnerek használnak az OT rendszerek felügyeletéhez, vagy szem elől tévesztett IP-kapcsolt eszközöket törnek fel, mint amilyenek a hálózati átjárók (gateway). A támadók saját, személyre szabott eszközeiket is használják a gyártó hálózatán belülről, de legtöbbször a már meglévő vagy lopott azonosítási kulcsokkal, vagy el nem varrott biztonsági szálon keresztül jutnak be az eszközökbe.

Ezért olyan fontos, hogy a gyártók alapvető biztonsági rutint tartsanak minden csatlakoztatott eszközük esetében, értve ezalatt a jelszavak változtatását, a konfigurációmenedzsmentet, és a firmware-ek frissítését. Ezekkel az alapvető lépésekkel a legszofisztikáltabb támadások nagy részét is meg lehet előzni.

4. Sok múlik az eszközök konfigurációján

Az állami támogatást élvező kibertámadók folyamatosan használják az ipari felügyeleti és adatgyűjtő funkciót ellátó informatikai rendszereket (ICS) támadó keretrendszereket (framework), amelyek az ICS-ekhez kapcsolódó eszközök funkcióit és gyengeségeit használják ki. Ezek a rosszindulatú keretrendszerek átveszik a hatalmat az ICS eszközök felett és felforgatják, kihasználják azok be nem biztosított funkcióit, mint a távoli irányíthatósági hálózatok és egyéb privilégiumok. Ha az eszközök tervezési hiányosságaival nem is, a rajtunk múló paraméterekkel kezdhetünk valamit – érdemes lehet a kockázatos engedélyeket törölni, a távoli irányítást letiltani.

5. A veszélyes eszközök eltávolítása

Az amerikai szövetségi kommunikációs bizottság (FCC) 2022-ben betiltotta számos kínai gyártó, köztük a Huawei termékeinek importját, mert azok „elfogadhatatlan nemzetbiztonsági kockázattal fenyegették az Egyesült Államokat és lakóit”. Egyes amerikai szervek vezetői szerint az USA-ban is egyre inkább terjedő kínai technológiai termékeket is végső soron a Kínai Kommunista Párt felügyeli.

Mindez azt jelenti, hogy a vállalatok által használt legitim eszközök, például kamerarendszerek, szenzorok, ICS berendezések és komponensek rejtett módon mind adatokat gyűjthetnek vagy nem engedélyezett hozzáférést biztosíthatnak a gyáripari vállalatok rendszereibe. A későbbi firmware frissítések során pedig akár új, rosszindulatú tulajdonságok is bekerülhetnek, amelyek elkerülik a figyelmet.

A gyártók elkerülhetik ezeket a kockázatokat a potenciálisan veszélyes eszközök beazonosításával és leszerelésével. Ha az eltávolítás nem járható út, érdemes jelszót változtatni, lekapcsolni egyes szolgáltatásokat és csökkenteni a konnektivitást.

A passzív monitorozás és detektálás kora lejárt, a gyáripari szereplőknek is proaktívnak kell lenniük és meg kell előzniük a támadásokat. Ennek elkezdéséhez a fenti tippek jól jöhetnek – áll az IndustryWeek írásában.