Naposledy jsem byla v Londýně těsně po Vánocích 2019. V tomto neuvěřitelně živém městě jsem byla už dříve, ale nikdy jsem neviděla výměnu stráží v Buckinghamském paláci, proto jsme se na ni s přáteli vydali podívat. Jak si dokážete představit bylo tam spousta lidí, pěších policistů, a dokonce i těch jedoucích na koních. Každých 5 minut policisté křičeli varování před kapsáři. Samozřejmě, kdykoli cestujete, víte, že si musíte dávat pozor na osobní věci jako je batoh, kabelka a peněženka. Obecně doufejme, že máte zvýšené povědomí možnosti krádeže, zejména na turistických místech. Chci říct, že taková je realita velkých měst, kde důvěřiví a neopatrní turisté přitahují zločince. Přesto se ale stále najdou lidé, kteří neučiní nezbytná opatření a vlastní nerozvážností se stanou obětmi zločinu.
A tak to je i s kybernetickými útoky. Tyto hrozby bohužel převládají v celém našem technologicky vyspělém světě s vyspělými IT systémy. Stále častěji slyšíte o společnostech, které byly kompromitovány ať už nějakým malwarem, nebo v poslední době užívanějším ransomwarem. Malware neboli „škodlivý software“ je jakýkoli softwarový program, který proniká do systému IT, zkopíruje se a infikuje systém, což vede k jeho narušení a poškození. Ransomware je typ malwaru určený k získání kontroly nad systémem a blokuje přístup, dokud není zaplaceno výkupné. Společnosti, které se staly obětí těchto kyberzločinců s největší pravděpodobností nepřijaly příslušná bezpečnostní opatření k zajištění řádné obrany proti těmto útokům. Nabízí se nám otázka: „Co mohly tyto společnosti udělat jinak? Jaká mohli přijmout opatření?“ Tyto otázky jsou zvláště důležité, když operace organizací zahrnuje potřebu vzdáleného připojení, protože to je potencionální slabina, na kterou se hackeři rádi zaměřují. Pojďme zjistit, jak zabezpečit svůj systém a vzdálenou konektivitu proti kybernetickým hrozbám. Nejprve se podíváme na některé statistiky kybernetické bezpečnosti a příklady toho, jak byly napadeny jiné společnosti.
Některé statistiky a příklady kybernetických útoků
Minulý rok, tedy rok 2021 znamenal neuvěřitelný nárůst kybernetické kriminality s vysoce profilovanými útoky, jako jsou Colonial Pipeline a Solar Winds, které měly za následek významné bezpečnostní a ekonomické dopady. Hackeři šli po všech firmách bez ohledu na velikost, malé a střední podniky bohužel nebyly imunní. Na slabá místa v oblasti zabezpečení v dodavatelských řetězcích a kritických infrastrukturách se zaměřil největší počet útoků v historii. A tento trend pokračoval i v roce 2022. Statistiky ze studie projektů penetračního testování („pentesting“) od společnosti Positive Technologies, které byly provedeny v řadě průmyslových odvětví, ukázaly, že v 93 % případů kybernetických útoků externí útočníci zjistili způsob, jak prolomit síť organizace a získat přístup k místním zdrojům jako stěžejním bodům pro napáchání rozsáhlých škod. V případě pokročilých perzistentních hrozeb navíc více než 90 % útočníků dokázalo najít cestu do cílové sítě. A rok od roku se frekvence útoků na týdenní bázi zvyšovala o více než 50 % v odvětvích, která nás zajímají, jako je výroba, ropa, plyn, voda a odpadní vody, chemikálie a jiné širší OT sektory. (Podívejte se na naše webové vysílání “Hardening Your System Against Cyber Attacks” pro více statistik o rostoucí kybernetické kriminalitě.
Pojďme si tedy promluvit o několika různých útocích, ke kterým došlo v roce 2021. Společnost Solar Winds byla napadena tím, že do aktualizace softwaru Orion byl vložen škodlivý kód. Cena škod není stanovena, ale odhaduje se, že tento škodlivý software si stáhlo přibližně 18 000 zákazníků. Tato metoda používala všední rutinní aktualizace softwaru, nad kterými nepřemýšlíte a kliknutím je potvrdíte. Druhým kybernetickým útokem, který chci zmínit a který byl útokem ransomwaru, je Brenntag. Ve skutečnosti je tento útok jedním z nejdražších ransomwarových útoků k dnešnímu dni. Společnost stál 4,4 milionu dolarů. Útočná skupina Darkside, která byla také zodpovědná za útok Colonial Pipeline, zakoupila pověření RDP jako otočný bod sítě. Jakmile byli útočníci uvnitř, vykoupili přes 150 gigabajtů dat ze severoamerické divize Brenntagu. Jak se tedy bránit kybernetickým hrozbám? Prvním krokem je nahrazení neefektivních zastaralých „bezpečnostních“ opatření, která prostě nefungují.
Neefektivní zastaralá „bezpečnostní“ opatření, která musí být nahrazena
Příliš mnoho společností stále využívá neúčinná zastaralá opatření. První a druhé opatření zahrnují statické VPN a nástroje pro vzdálený přístup vestavěné pro IT, které neberou v úvahu, jak síť OT vypadá nebo co potřebuje, aby úspěšně fungovala ve vysoce namáhaných kritických prostředích. Jsou to prostředí, kde potřebujete lidi, aby se dostali k problémům v řádu sekund, nikoli minut nebo hodin a rozhodně ne dnů.
Za třetí, každý prodejce má své vlastní bezpečnostní metody. Někteří, jako ICONICS se hluboce starají o vaši bezpečnost a dbají na to, aby jejich proxy dávali zabezpečení vaší sítě na první místo (další podrobnosti sledujte v našem webovém vysílání Hardening Your System Against Cyber Attacks). Posilujeme váš systém proti kybernetickým útokům. Bohužel existuje spousta dalších prodejců, kteří taková opatření nepřijímají, takže buďte opatrní. Mezi varovné signály patří otevření zadních vrátek do vaší sítě, aby se mohli rychle dostat ke svým zařízením. Když jsou tato vrátka veřejně přístupná, otevírá to tak obrovské dveře do vaší ploché sítě. Zdánlivě neškodné vzdálené aktualizace tedy mohou do vašich sítí zavést rozšířený malware a vytvořit otočné body pro následné narušení.
Čtvrtým opatřením, na které je třeba dávat pozor je „Shadow IT“ neboli nezabezpečené nástroje pro vzdálený přístup. To jsou ty, které proniknou vašimi firewally, a to i ty pečlivě vytvořené. Tím, že poskytnete průnik branou firewallem, nejenže poskytujete přístup ke své síti správné osobě, ale zároveň jej poskytujete i špatným lidem. Když shrnu páté a šesté opatření, tak jsou tací, co řeknou: „Strčím hlavu do písku, nechci nic dělat. Posílejte své vlastní notebooky, naše vlastní firemní zařízení“ nebo „Donuťme všechny, aby létali na místě.“ Tato opatření způsobují neuvěřitelné náklady na správu a astronomické cestovní a poradenské poplatky. Pokud stále používáte některé z těchto opatření je čas je nahradit a použít obranu proti pohyblivým cílům k obraně proti kybernetickým hrozbám.
Pohybující se obrana cíle promění váš hrad z písku v ponorku
Abychom mohli mluvit o obraně s pohyblivým cílem obecně, musíme začít s myšlenkou statické obrany. Dobrý způsob, jak porozumět statické obraně je analogie s hradem z písku. Přicházejí na něj vlny a vlny útoků, takže abyste jej ubránili stavíte vyšší a tlustší zdi. Tyto neustálé vlny útoků přicházejí na váš systém a zhoršují systémovou bezpečnost. V ideálním případě můžete vytvořit dostatečnou obranu dostatečně rychlým tempem, abyste měli náskok před svými protivníky. V mnoha situacích je však prostě nemůžete porazit. Jednoho dne silná a dostatečně velká vlna prolomí vaše hradby/obranu. Nemůžete záplatovat trhliny dostatečně rychle, takže se setkáte s nový Zero Day neboli bezpečnostní zranitelností, kterou mohou hackeři využít k útoku na vaše systémy. Moving Target Defense vezme váš hrad z písku a promění ho v ponorku. Je vzduchotěsný, tvrzený a proaktivně se brání, protože se vzdaluje od nepřátelského průzkumu. Není ani důvod hledat záplaty na nedostatky, protože se systém neustále aktualizuje za nejnovější a nejlepší verzi.
Pokud máte například virtuální plochu, o kterou se bojíte, můžete ji jednoduše zničit a ze zlatého obrazu vznikne zcela nová. Komunikační uzly spolupracují na zamlžování a anonymizaci toho, kdo se připojuje k vaší síti. Pokud nikdo neví, že se připojuje k zákaznické síti, nemůže proti ní začít vytvářet profil útoku. A ty jsou zachyceny v plně softwarově definované rozlehlé síti (SD-WAN), takže již nejsou k dispozici žádná externí rozhraní, která by se útočníci pokusili zneužít. Posílení vašeho systému proti kybernetickým útokům znamená, že chráníte i své vzdálené připojení.
Podpora a zabezpečení vaší společnosti pro vzdálené připojení
Kybernetická bezpečnost a vzdálené připojení jsou vnitřně propojeny. Musíme zajistit, že splníme cíl vzdálené konektivity a zároveň, že můžeme pracovat v prostředí dostatečně zabezpečeném pro dodržování IT předpisů a pro zabezpečovací týmy. Toto zabezpečení však musí být stále dostatečně rychlé pro provoz, protože systémy vzdáleného přístupu nejsou pouze nástroje kybernetické bezpečnosti, jsou to nástroje pro efektivitu s kritickou potřebou mít kybernetické zabezpečení. Co to znamená? Podívejme se na přenosnou dobu připojení, například na neopravený server RDP, který má dobu připojení 3 až 5 sekund. Pokud pak začneme vrstvit některé rámce a omezení kybernetické bezpečnosti, vzdálené připojení může trvat 7 až 12 minut. Možná mnoho z vás prošlo králičí norou a několika skokovými příspěvky 16 různých přihlášení, abyste se dostali na jedno místo, protože to má být nejbezpečnější metoda. Ano, je to potencionálně bezpečná metoda, ale provozně je příliš neefektivní, než aby byla efektivní.
Důležité je zkrátit dobu připojení a zároveň sladit všechny nejpřísnější rámce kybernetické bezpečnosti. Cílem je zkrátit průměrný čas na zotavení nebo čas strávený řešením problému. Jak lépe využít produkční data
a vzdálené připojení, abyste věděli a viděli, kdy nastanou problémy či jestli vaše systémy jedou ve svém nejúčinnějším stavu? Následně dostat ty nejlepší lidi co nejrychleji k problému a zaznamenat co udělali.
Extrémně důležitým aspektem, který je třeba pochopit je, že útoky by fungovaly (a fungovaly pouze tehdy, když měly sítě přístup k internetu). Nyní, s příchodem více a více vzdáleného připojení a s přenosem dat do a z těchto provozních sítí se mnoho společností ocitne s přístupem k internetu na místech, o kterých si nikdy nemysleli, že by to bylo možné. Důležitým bodem je nestrkat hlavu do písku a vrátit se do sítě, abyste se ochránili před útoky. Vzdálené připojení má příliš mnoho provozních výhod ať už jde o preventivní údržbu, analýzu provozu vaši továren, centralizovanou správu a další. Vzdálené připojení přináší obrovské úspory z rozsahu, ale musíte se ujistit, že máte datové toky pod kontrolou. Musíte vědět, jak data opouštějí vaši síť a jak se do ní lidé mohou dostat.
Konkrétní případy použití pro vzdálené připojení
Tři konkrétní případy použití vzdáleného připojení zahrnují následující. První je nepřetržitý přístup operátora. Tento případ použití může být pro vaši rutinní správu a ladění. Může se stát, že vaše společnost má model
s více zařízeními a tým A, který není na místě, a proto chcete dostat tým A k problému rychleji. Máte-li více zařízení, můžete rychle centralizovat mnoho inženýrských a režijních nákladů a správy distribuovaných systémů v těchto potencionálně geograficky odlišných lokalitách. Druhým případem použití je přístup dodavatele pro údržbu a ladění. Mnoho společností chce tento proces standardizovat, aby bylo snadné kontrolovat, jak se dodavatelé a třetí strany dostávají do jejich sítí, aby prováděli rutinní ladění, údržbu, správu oprav a nouzový přístup k vyřešení problému. Potřebujete rychle a bezpečně přivést odborníky na prodejce do vaší sítě OT, zatímco jsou vaše systémy uzamčeny, aby umožňovaly přesně to, co dodavatelé potřebují dělat přesně tak dlouho, jak to potřebují. To vám dává kontrolu nad tím, jak třetí strany vstupují do vašich sítí,
s možností úplného auditu a záznamu pro účely auditu nebo školení. Posledním případem použití je bezpečné streamování dat. Musíte efektivně anonymizovat, odkud tento provoz přichází, abyste kromě úplného šifrování typu end-to-end, které byste očekávali u streamování dat, můžeme získat prvek nejasnosti.
Zjistěte více o budování kybernetické obrany
Je toho mnohem více o čem lze diskutovat k tématu kybernetické bezpečnosti a vzdálených připojení. Body, které jsem zhodnotila výše, kromě bezpečnostních funkcí zabudovaných do platformy ICONICS a dalších různých opatření, která můžete podniknout k zabezpečení proti kybernetickým hrozbám, byly diskutovány ve webovém vysílání ICONICS Transform 360 “Hardening Your System Against Cyber Attacks”. Přednášející také předvedli ukázku bezpečného vzdáleného připojení, aby uvedli tyto body do perspektivy. Mezi prezentujícími byli všichni odborníci v oboru Olive Gruner, ICONICS Corporate Account Director pro Mitsubishi; Yuki Shimizu, Engineer Manager z Mitsubishi Electric Automation a Ben Burke, Dispel Chief Operating Officer. (Více o Dispelu čtěte níže).
Nyní je čas pochopit naléhavost kybernetických hrozeb a podniknout ochranné kroky. Stejně jako byste to dělali před odjezdem na dovolenou. Nezůstanete doma, protože v destinacích řádí kapsáři a vždy je tu šance, že se stanete obětí takového zločinu. Přijmete nezbytná opatření, abyste minimalizovali tuto situaci. Je to prostě dobrá předtucha.
ICONICS a Dispel jsou zde, aby vás vedly a pomohly vám. Více o budování kybernetické obrany, která funguje, se můžete dozvědět z webcastu "Hardening Your System Against Cyber Attacks" webcast.
Malé zákulisí Dispel
Společnost Dispel, založená v roce 2014 a vybudovaná z širšího vojenského průmyslového komplexu, poskytuje nástroj pro vzdálený přístup pro průmyslové sítě. Společnost byla první, kdo přinesl pohyblivou cílovou obranu na komerční trh se specifickým cílem vzdáleného připojení v kritických nebo provozních prostředích. Jednoduše řečeno, společnost buduje bezpečný vzdálený přístup pro prostředí OT pomocí technik pohyblivých cílů nové generace ve výrobě, ropě, plynu, vodě, odpadních vodách, chemikáliích a dalších odvětvích OT. Pohybující se cílová obrana neboli MTD není nic nového; ve skutečnosti je to dobře známé téma, které je po více než 10 let žádáno výkonným úřadem prezidenta. Jeho cílem je zvýšit složitost a náklady pro útočníky, omezit odhalení známých zranitelností a odstranit příležitost k útoku, kdykoli je to možné. Všechny tyto bezpečnostní aspekty se spojují za účelem zvýšení odolnosti systému. Stručně, cílem je ztížit to útočníkům natolik, aby neplýtvali penězi ani časem na útočné pokusy na vás systém. Z hlediska vojenské vědy je cílem znehodnotit inteligenci získanou protivníky, aby byli nuceni do nevýhodných útočných pozic.