Nemrég írtam én is arról, hogy a 2022 őszi, ukrán villamosenergia-rendszer elleni Sandworm-kibertámadások során már nem valamilyen malware-t vetettek be (mint 2015-ben a BlackEnergy-t, 2016-ban az Industroyer-t, 2022 tavaszán pedig az Industroyer2-t és a PipeDream-et), hanem a célpont rendszerekben megtalálható legitim szoftvereket használták fel a támadáshoz (Living-of-the-Land támadási mód).

Nem sokkal az incidens részleteinek publikálása után jelent meg egy cikk Dean Parsons-tól, a SANS ICS biztonsági képzési programjának egyik kulcsemberétől egy cikk, amiben a Living-of-the-Land támadások alapjait ismerteti (legitim felhasználónevek és jelszavak, ICS/OT protokollok, scriptelési lehetőségek, mérnöki folyamatvezérlő alkalmazások támadásra történő felhasználási lehetőségei, példák LotL-támadásokra) és ami még fontosabb, tanácsokat is ad arra vonatkozóan, hogyan lehet védekezni a LotL-támadások ellen:

- Értsük meg az adott ICS/OT rendszerben használt ipari protokollok működését és felépítését;
- Erősítsük meg a kritikus ICS/OT rendszereink/eszközeink védelmét;
- Fejlesszük az ICS/OT rendszereink védelméért felelős kollégák tudását és képességeit;
- Monitorozzuk a legfontosabb ipari eszközeink adatforrásait;
- Készítsünk el és folyamatosan tartsuk napra készen az ICS/OT-specifikus incidens-kezelési terveinket (és, teszem hozzá én, fordítsunk különösen nagy figyelmet a tervek begyakoroltatására az összes érintett kollégával!);
- Aktívan keressük az ICS/OT rendszereinkre leselkedő fenyegetéseket a hálózatainkban (ICS threat hunting).