Kaspersky prezice schimbari in peisajul amenintarilor legate de sistemele de control industrial in 2023
8/8326
calendar_month 06 Dec 2022, 12:30
Top 10 tari clasate in functie de procentul de CMMS atacate in prima jumatate a anului 2022

Cercetatorii ICS CERT de la Kaspersky au impartasit previziunile in ceea ce priveste evolutiile si riscurile asupra sistemelor de control industrial, din urmatorii ani, pentru care organizatiile ar trebui sa se pregateasca in 2023. Aceste previziuni includ suprafata de atac crescuta datorita digitalizarii, activitatilor voluntarilor si infractorilor cibernetici, atacurile ransomware asupra infrastructurii critice, precum si efectele tehnice, economice si geopolitice asupra calitatii detectarii amenintarilor si cresterea potentialelor vulnerabilitati exploatate de atacatori.
Aceste predictii sunt rezultatul opiniilor echipei ICS CERT de la Kaspersky, avand la baza experienta lor colectiva in materie de cercetare a vulnerabilitatilor, atacurilor si raspunsului la incidente, precum si viziunea personala a expertilor despre principalii vectori care conduc la schimbari in peisajul amenintarilor.
Expertii Kaspersky prevad o schimbare a activitatii atacurilor Advanced Persistent Threat (APT) – amenintari avansate persistente – impotriva organizatiilor industriale si a sistemelor OT din industrii si locatii noi. Sectoarele economice, cum ar fi agricultura, logistica si transportul, sectorul energiei alternative si sectorul energetic in ansamblu, producatorii de inalta tehnologie, produse farmaceutice si echipamente medicale vor experimenta, probabil, mai multe atacuri anul viitor. Mai mult, vor exista in continuare si tintele traditionale, cum ar fi complexele industriale militare si sectorul guvernamental.
Suprafata de atac va creste, de asemenea, din cauza digitalizarii, in cursa pentru o eficienta mai mare in materie de IIoT si SmartXXX, inclusiv sisteme pentru intretinerea predictiva si tehnologia digitala dubla. Aceasta tendinta este sustinuta de statisticile atacurilor asupra sistemelor computerizate de management al intretinerii – Computerized Maintenance Management Systems (CMMS) – in prima jumatate a anului 2022. Primele 10 tari care au avut aceste sisteme atacate sunt vazute drept tari cu niveluri mai ridicate de securitate.
Riscurile extinderii suprafetei de atac sunt, de asemenea, legate de cresterea preturilor la transportatorii de energie si de cresterea rezultata a preturilor hardware-ului, iar acest lucru ar forta multe companii mari sa abandoneze planurile de implementare a infrastructurii locale in favoarea serviciilor cloud de la furnizori terti si ar putea afecta, de asemenea, unele bugete IS.
Amenintarile pot veni si dinspre mijloacele de transport fara echipaj, care pot fi fie tinte, fie instrumente pentru atacuri. Alte riscuri la care trebuie sa fiti atenti sunt cresterea activitatii infractorilor cibernetici cu scopul de a colecta acreditarile utilizatorilor, precum si a unor persoane din interior voluntare, motivate ideologic si politic, si persoane din interior care lucreaza cu grupari criminale, de obicei de santajisti si APT-uri. Aceste persoane pot activa in unitatile de productie, sau pot fi dezvoltatori de tehnologie, vanzatori de produse si furnizori de servicii.
Fluxul si refluxul geopolitic al parteneriatelor de incredere, care au un efect global asupra starii securitatii cibernetice si in ICS, vor fi mai evidente in 2023. Pe langa intensificarea activitatii hacktiviste care „lucreaza” pe baza agendelor politice interne si externe, care ar putea deveni mai eficienta, s-ar putea sa fie observate si mai multe atacuri ransomware asupra infrastructurii critice, din cauza faptului ca urmarirea legala a unor astfel de atacuri va deveni mai complicata.
Deteriorarea cooperarii internationale in domeniul aplicarii legii va duce la un aflux de atacuri cibernetice in tarile considerate a fi adversare. In acelasi timp, noile solutii alternative dezvoltate pe plan intern pot duce, de asemenea, la noi riscuri, cum ar fi software-ul care contine erori de configurare a securitatii si vulnerabilitati de tipul zero-day, facandu-le accesibile atat infractorilor cibernetici, cat si hacktivistilor.
Organizatiile se pot confrunta cu noi riscuri, cum ar fi o scadere a calitatii detectarii amenintarilor din cauza intreruperilor de comunicare intre dezvoltatorii de securitate a informatiilor si cercetatorii aflati in tarile aflate, in prezent, in conflict. De asemenea, ne putem confrunta cu o scadere a calitatii informatiilor despre amenintari, care duce la atribuirea nesustinuta si la incercari guvernamentale de a controla informatiile despre incidente, amenintari si vulnerabilitati. Rolul tot mai mare al guvernelor in procesele operationale ale companiilor industriale, inclusiv conexiunile la cloud si servicii guvernamentale, care uneori ar fi mai putin protejate decat cele private, lideri pe piata, duce la riscuri suplimentare IS. Astfel, exista un risc crescut de brese de date confidentiale din cauza numarului vizibil de angajati subcalificati din institutiile guvernamentale, precum si a unei culturi si practici interne in curs de dezvoltare pentru furnizarea responsabila a informatiilor.
Cercetatorii Kaspersky ICS CERT au enumerat, de asemenea, tehnicile si tacticile de top care se asteapta sa fie perfectionate in 2023:


  • Pagini de phishing si scripturi incarcate pe site-uri legitime


  • Distribuirea de programe compromise, cu troieni in interior, patch-uri si generatoare de chei pentru software-ul de uz obisnuit si specializat


  • E-mailuri de phishing despre evenimente curente cu subiecte deosebit de dramatice, inclusiv evenimente politice


  • Documente furate in atacurile anterioare asupra organizatiilor asociate sau partenere, folosite ca momeala in e-mailurile de phishing


  • Raspandirea e-mailurilor de tip phishing prin intermediul casutelor de e-mail ale angajatilor si partenerilor, deghizate in corespondenta de serviciu legitima


  • Vulnerabilitati N-day – acestea vor fi rezolvate si mai lent, pe masura ce actualizarile de securitate pentru unele solutii devin mai putin accesibile pe unele piete


  • Abuzarea erorilor de configurare implicita de baza (cum ar fi folosirea parolelor implicite) si a vulnerabilitatilor zero-day in produsele de la furnizori „noi”, inclusiv cei locali.


  • Atacurile asupra serviciilor cloud


  • Utilizarea erorilor de configurare in solutiile de securitate, de exemplu, cele care permit dezactivarea unei solutii antivirus


  • Folosirea serviciului popular de cloud ca CnC – chiar si dupa identificarea unui atac, victima ar putea sa nu poata bloca atacurile, deoarece procesele importante de business ar putea depinde de cloud


  • Exploatarea vulnerabilitatilor din software-ul legitim, deturnarea DLL si BYOVD (Bring Your Own Vulnerable Driver), de exemplu, pentru a ocoli securitatea la nivel endpoint


  • Raspandirea malware-ului prin medii amovibile


Aceste predictii fac parte din Kaspersky Security Bulletin (KSB) – o serie anuala de predictii si articole analitice despre schimbarile cheie din lumea securitatii cibernetice. Raportul complet pentru anul 2023 este disponibil pe Securelist.