Сигурност

Хакерските атаки се изместват от ИТ към ОТ

Иван Гайдаров

Едно от вероятните последствия от покачващото се напрежение между САЩ и Иран в Близкия изток е рязък скок в кибератаките срещу интереси и институции на западни държави и компании, дело на свързани с Техеран хакерски групи като APT33, Oilrig и т.н.

Тези групи са в състояние да проникват и да се укрепят в мрежите на жертвите, провеждайки разрушителни кибератаки под формата на манипулация на данни, криптиране на информация и дискови устройства и др.

Други сценарии включват източване на чувствителни и лични данни, като в случая с Иран са много вероятни и опити за кибер шпионаж или DDoS атаки срещу правителствени и финансови институции и други обекти от критичните национални системи, подобно на операцията Ababil от 2013 г., насочена срещу американски банкови институции.

Хакерските групи се префокусират от ИТ към ОТ

Макар че повечето предупреждения се фокусират върху атаки срещу ИТ мрежите, има ясни индикации, че иранските зловредни играчи са се преориентирали към операторските технологии (ОТ) в производството и автоматизираните системи. Пример за тази тенденция са атаките с вируса Shamoon срещу Саудитска Арабия и други държави от Персийския залив. Впоследствие от IBM X-Force съобщиха, че са открили нов зловреден софтуер, подобен на Shamoon, наречен ZeroCleare. Според платформата за облачна сигурност на технологичния гигант той е дело на друга иранска хакерска група, насочена към националния енергийните и индустриалните системи в Близкия Изток.

OT мрежите (ICS/SCADA/IIoT) като цяло са много по-малко защитени и много по-лесни за атаки от ИТ мрежите, особено когато включват устройства, които не са били проектиран с оглед на сигурността. Оставени неадостатъчно защитени, OT мрежите лесно стават жертви н новия клас по-сложни злонамерени програми като Shamoon или ZeroCleare.

Според анализаторите от Radiflow очакваните атаки ще се съсредоточат на ниво сървър, а не на по-високи оперативни нива, тъй като то е по-лесно достъпно през ИТ-ОТ интерфейса. Но хакерите стават все по-опитни и със сигурност се очаква прогресия към по-високи нива на мрежата.

Какво можете да направите, за да защитите своите мрежи?

От Radiflow дават и някои съвети за компаниите как да минимизират възможността да станат жертва на зловредни играчи, били те ирански или не. Ето ги и тях:

- Уверете се, че всички данни на предприятието са архивирани и разполагате с работещи процедури, които да подсигурят функционирането на системите в случай на прекъсване на OT мрежата.

- Прилагайте работещи правила за сегментация на мрежата, за да предотвратите разпространението на атаки и потенциално неразкрити кибер инциденти. Това е особено важно за мултинационални
корпорации, които имат присъствие в Близкия изток.

- Прегледайте протоколите и процедурите, въведени в случай на прекъсвания и неизправност в OT мрежата.

- Поддържайте видимостта на мрежата си при критични бизнес процеси и операции.

- Обръщайте внимание на всички аномалии в оперативната мрежа.

- Обърнете се за указания към националния орган за киберсигурност на вашата страна.

- Винаги имайте едно на ум, че вашите доставчици могат да бъдат "слабото звено" за кибератаки.

Вместо заключение

Водещият принцип в сферата на киберсигурността, че в крайна сметка всяка уязвимост рано или късно ще бъде експлоатирана, никога не е била по-валидна. Освен това разпространението на атаките в дигиталното пространство по природа е непредвидимо и вашата организация може да стане жертва, дори ако нападателят не я е таргетирал изрично.

Добрата новина е, че високоефективните инструменти за киберсигурност са лесно достъпни. Също така компаниите могат да наемат специализиран доставчик на услуги за сигурност на ОТ мрежи. В последните години те се утвърдиха като жизнеспособна алтернатива на вътрешните служби за сигурност, спестявайки разходи и добавяйки експертен опит.

X