Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

Célzott adathalász technikák folyamatirányító mérnökök elleni támadásokból

2022. szeptember 10. - icscybersec

A célzott adathalász-támadások az egyik legelterjedtebb (és célzottsága miatt az egyik legnehezebben kivédhető) támadási forma, amivel az Interneten keresztül a támadók célba vehetnek embereket és szervezeteket (ezért is érdemes minimalizálni a személyünkről publikusan elérhető privát és szakmai információkat, csökkentve a célzott adathalász-támadásoknál használható támadási felületeket).

A Dragos augusztus közepén publikált blogposztjában arról ír, hogy újabban egyes, OT rendszereket (is) támadó APT csoportok rászoktak arra, hogy az OT rendszerek üzemeltetéséért/használatáért felelős mérnökök ellen indítsanak célzott adathalász-támadásokat. Ennek a támadói módszernek megvan az az előnye, hogy nem kell a kezdeti kompromittált számítógépekről az IT hálózatokon keresztül átverekedni magukat az OT hálózatokban elhelyezett folyamatirányító rendszerekig (feltéve persze, hogy az adott szervezet elmulasztotta az egyik legalapvetőbb hálózatszegmentálási feladatát elvégezni és a mérnök számítógépéről egyszerre tud levelezni és hozzáférni a folyamatirányító rendszerhez).

A Dragos kutatói az általuk TaloniteAllanite és Stibnite neveken ismert csoportok esetén figyelték meg (eddig) ezt a támadási formát és a hivatkozott blogposztban részletesebben is beszámolnak.

A célzott adathalászat mellett az APT támadók más, hasonló technikákat is alkalmaznak, például watering hole-támadást (amikor a támadók egy legitim weboldal kódjába vagy a legitim weboldal szerverén elhelyezett hamis aloldalra rejtik el azt a scriptet, amivel felhasználói adatokat vagy az áldozat számítógépét kompromittálják), például a Dymalloy csoport ilyen módon intézett támadásokat 2020-ban ukrán célpontok ellen.

A blogposzt végén néhány gyakorlati tanácsot is adnak a mérnökök elleni célzott adathalász támadások elhárításához:

- Célszerű külön a folyamatirányítási mérnökökre szabott e-mail-biztonsági teszteket és biztonságtudatossági képzéseket szervezni (az én véleményem egyébként az, hogy az általános, mindenki számára kötelező biztonságtudatossági képzések mellett egyes, nagyobb kockázatú felhasználói csoportoknak - pl. folyamatirányítással és az azokat kiszolgáló rendszerekkel foglalkozó mérnökök, IT/OT üzemeltetők, vezetők, stb. - is célszerű lehet egy kicsit specifikusabb bizotnságtudatossági képzést szervezni és tartani);
- Érdemes listát készíteni azokról a mérnöki és szabályozó/hatósági szervezetekről és az ezektől érkező levelek metaadatait célszerű átvizsgálni, anomáliákat keresve;
- Talán a leginkább hatásos intézkedés az Internet-eléréssel (bármilyen Internet-eléréssel!) rendelkező számítógépek szigorú leválasztása az ipari rendszerektől;
- Limitáljuk a kimenő hálózati forgalom esetén a leggyakoribb, adatlopáshoz (pl. felhasználói adatok ellopásához) használt portokat (pl. 445/tcp, 139/tcp).

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr4617915571

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása