Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

RTU ransomware?

Facebook Tumblr Tweet Pinterest Tetszik
0
2023. január 14. - icscybersec

3 napja jelentek meg az első hírek (ittitt és itt), amik szerint a Ghost Security Group (ismertebb nevükön GhostSec az Anonymous-szal időnként együttműködő csoport) saját állítása szerint képes volt egy ransomware-rel titkosítani egy RTU-t. Amióta a zsarolóvírus-támadások egyre jobban elharapóztak, voltunk néhányan, akik tartottunk egy ilyen fejleménytől. Bár egyelőre nincs megerősítés arról, hogy a GhostSec állítása (és ezáltal a fenyegetés az ICS rendszerekre) valós, az OT biztonsági közösség a hírre természetesen felbolydult (én Joe Slowik és Anton Schipulin posztjaival találkoztam a LinkedIn-en).

A GhostSec, saját állítása szerint ezeket az eszközöket és támadási technikákat orosz rendszerek ellen alkalmazza (az Anonymous OpRussia művelete keretében már eddig is számos orosz ICS rendszert támadtak), de felmerült olyan információ is, hogy szintén a GhostSec az iráni tüntetések leverése miatt az iráni ipari rendszerek elleni támadások során már hajthatott végre hasonló támadást a perzsa országban működő PLC-k ellen is - még 2022. októberében.

Bárhogy is legyen, ha valóban megszületett az első, RTU-kat célzó ransomware, akkor az ipari rendszerek és kritikus infrastruktúrák kiberbiztonsági helyzete megint nem jobb lett, hanem rosszabb. Mit tehetnek az ilyen rendszerek védelmével megbízott kollégák? Ismét csak (egyéb intézkedések megfontolása mellett) a már unalomig ismételt paneleket lehet sorolni:

- Ipari/bármilyen egyéb fizikai folyamatvezérlő rendszert vagy annak komponenseit ne csatlakoztassanak publikus hálózatokra!
- Alkalmazzanak mélységi védelmet (defense-in-depth) a folyamatirányító rendszerek védelmére;
- A folyamatirányító rendszerek távoli hozzáférését biztonságosrt módon kell kialakítani (VPN, két- vagy többfaktoros authentikáció, privilégizált felhasználómenedzsment megoldások használatával);
- A gyári felhasználók alapértelmezett jelszavait minden eszköz esetében meg kell változtatni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat.

Szólj hozzá!
ransomware RTU ICS biztonság

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr2318025574

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása