Még év elején írtam egy posztot, amiben a TrendMicro által végzett, IIoT biztonsági kutatás eredményeiről írtam. Most a TrendMicro egy újabb kutatása eredményeiről lesz szó, ezúttal azonban azt vizsgálták, hogy a különböző Deep/DarkWeb-en megforduló egyének és csoportok milyen információkat és milyen céllal próbálnak összegyűjteni az Internet mélyebb rétegeiben.
A Deep/DarkWeb fórumain folytatott beszélgetések vizsgálata alapján a TrendMicro munkatársai az általános, ICS/SCADA rendszerekkel ismerkedő embereket (akik lehet, hogy csak a saját munkakörükhöz szükséges tudást próbálták a hivatalos tanfolyamoknál sokkal olcsóbban - ingyen - megszerezni,) éppúgy találtak, mint olyanokat, akik a Shodan és Censys keresők használatáról érdeklődtek és persze olyanokat is, akik a különböző (I)IoT eszközökön keresztül megszerezhető profit vezérelt. Túl ezeken a motivációkon, találtak olyan személyeket is, akik nem voltak hajlandóak elárulni, milyen cél elérése érdekében akarnak többet megtudni különböző ICS/SCADA rendszerekről, míg mások kifejezett Proof-of-concept kódokat, sérülékenységeket és a sérülékenységeket kihasználó éles exploit-okat kerestek.
A kutatók számára nagy nehézséget okozott megállapítani, hogy ezek az információgyűjtő tevékenységek előre jelezhetnek-e készülő vagy már folyamatban lévő támadásokat, viszont ezek a jelzések mind határozottabban mutatják, hogy a közműszektorban működő cégeknek alaposabb és pontosabb kockázatelemzésekkel kell készülniük az IIoT eszközök egyre nagyobb számban történő bevezetésére és ezzel egyidőben minél hatékonyabb eljárásokat kell kidolgozniuk a már üzemelő rendszereik biztonsági kockázatainak csökkentésére. Ebben továbbra is a már unalomig ismételt, de még mindig számos helyen és esetben megszegett, alapvető kockázatcsökkentési intézkedéseké lehet a főszerep:
- Minimálisra kell csökkenteni az ICS/SCADA rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ICS/SCADA rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ICS/SCADA rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.
A TrendMicro teljes, 70 oldalas elemzése itt érhető el.