تغییر در چشم انداز تهدید به سیستم های کنترل صنعتی – شماره 8 2022

• استفاده از توزیع کننده های شکسته با تروجان های بسته بندی شده در داخل، وصله ها و ژنراتورهای کلیدی برای نرم افزارهای رایج و تخصصی.

ما شاهد بودیم که حوادث امنیت سایبری در سال 2022 فراوان بود و مشکلات زیادی را برای صاحبان و اپراتورهای ICS ایجاد کرد. با این حال، ما شاهد هیچ تغییر ناگهانی یا فاجعه‌باری در چشم‌انداز کلی تهدید نبودیم، با وجود سرفصل‌های رنگارنگ فراوان در رسانه‌ها، کنترل آن‌ها دشوار نبود. همانطور که حوادث سال 2022 را تجزیه و تحلیل می کنیم، باید ادعا کنیم که وارد عصری شده ایم که مهم ترین تغییرات در چشم انداز تهدید ICS عمدتاً توسط روندهای ژئوپلیتیک و عوامل کلان اقتصادی متعاقب آن تعیین می شود. مجرمان سایبری به طور طبیعی جهان وطنی هستند. با این حال، آنها توجه زیادی به روندهای سیاسی و اقتصادی دارند زیرا به دنبال سود آسان هستند و امنیت شخصی خود را تضمین می کنند. اوگنی گونچاروف، رئیس ICS CERT کسپرسکی، اظهار داشت: ما امیدواریم که تجزیه و تحلیل ما از حملات آینده برای سازمان‌ها برای آماده شدن برای تهدیدات جدید و نوظهور مفید باشد.



منبع: https://www.securitysa.com/18265R

• ایمیل های فیشینگ در مورد رویدادهای جاری با موضوعات به خصوص دراماتیک، از جمله رویدادهای سیاسی.

سازمان‌ها ممکن است با خطرات جدیدی مانند کاهش کیفیت تشخیص تهدید به دلیل اختلال در ارتباط بین توسعه‌دهندگان امنیت اطلاعات و محققان واقع در کشورهایی که در حال حاضر در تضاد هستند، مواجه شوند. همچنین ممکن است با کاهش کیفیت اطلاعات تهدید مواجه شویم که منجر به اسناد پشتیبانی نشده و تلاش‌های دولت برای کنترل اطلاعات در مورد حوادث، تهدیدها و آسیب‌پذیری‌ها می‌شود. نقش رو به رشد دولت‌ها در فرآیندهای عملیاتی شرکت‌های صنعتی، از جمله اتصال به ابرها و خدمات دولتی، که گاهی کمتر از شرکت‌های خصوصی پیشرو در بازار محافظت می‌شوند، همچنین منجر به خطرات IS اضافی می‌شود. بنابراین، به دلیل تعداد قابل توجه کارمندان فاقد صلاحیت در مؤسسات دولتی و همچنین فرهنگ داخلی و شیوه های در حال توسعه برای افشای مسئولانه، خطر نشت داده های محرمانه افزایش می یابد.

• گسترش بدافزار از طریق رسانه های قابل جابجایی برای غلبه بر شکاف های هوایی.

خطرات جدید و تغییرات در چشم انداز تهدید

• حملات به خدمات ابری.

محققان ICS CERT کسپرسکی پیش‌بینی‌های خود را برای پیشرفت‌ها و خطرات متمرکز بر سیستم کنترل صنعتی سال‌های آینده که سازمان‌ها باید در سال 2023 برای آن آماده شوند، به اشتراک گذاشتند. این پیش‌بینی‌ها شامل افزایش سطح حمله به دلیل دیجیتالی‌سازی، فعالیت‌های خودی داوطلب و مجرمان سایبری، حملات باج‌افزار به زیرساخت‌های حیاتی است. و همچنین اثرات فنی، اقتصادی و ژئوپلیتیکی بر کیفیت تشخیص تهدید و افزایش آسیب‌پذیری‌های احتمالی که توسط مهاجمان مورد سوء استفاده قرار می‌گیرند.

• آسیب‌پذیری‌های روز N – این آسیب‌پذیری‌ها حتی با سرعت کمتری بسته می‌شوند، زیرا به‌روزرسانی‌های امنیتی برای برخی راه‌حل‌ها در برخی بازارها کمتر در دسترس هستند.

• سوء استفاده از خطاهای پیکربندی پیش‌فرض اولیه (مانند استفاده از رمزهای عبور پیش‌فرض) و آسیب‌پذیری‌های آسان روز صفر در محصولات تولیدکنندگان «جدید»، از جمله فروشندگان محلی.

• اسناد دزدیده شده در حملات قبلی به سازمان های مرتبط یا همکار که به عنوان طعمه در ایمیل های فیشینگ استفاده می شد.

تکنیک ها و تاکتیک های جدید که باید در حملات آینده مراقب آنها باشید

این صفحه را چاپ کن نسخه چاپگر پسند

تغییر در چشم انداز تهدید به سیستم های کنترل صنعتی

شماره 8 2022 امنیت سایبری

نزول و جریان ژئوپلیتیکی مشارکت های قابل اعتماد، که تأثیری جهانی بر وضعیت امنیت سایبری در ICS نیز دارد، در سال 2023 آشکارتر خواهد شد. موثر، ما همچنین ممکن است شاهد حملات باج افزار بیشتری به زیرساخت های حیاتی باشیم، زیرا پیگرد قانونی چنین حملاتی سخت تر می شود.

• سوء استفاده از آسیب پذیری ها در نرم افزارهای قانونی، ربودن DLL و BYOVD (درایور آسیب پذیر خود را بیاورید)، به عنوان مثال، برای دور زدن امنیت گره انتهایی.

سطح حمله نیز به دلیل دیجیتالی شدن، در مسابقه ای برای بهره وری بالاتر در اینترنت اشیاء، از جمله سیستم های نگهداری پیش بینی و فناوری دوقلو دیجیتال، افزایش می یابد. این روند توسط آمار حملات به سیستم های مدیریت نگهداری کامپیوتری (CMMS) در نیمه اول سال 2022 پشتیبانی می شود. در منطقه META (خاور میانه، ترکیه، آفریقا)، 39.3٪ از CMMS ها در نیمه اول سال مورد حمله قرار گرفتند. 2022، جایی که در آفریقا، 40٪ از CMMS در همان دوره مورد حمله قرار گرفتند.

خطرات ناشی از گسترش سطح حمله نیز به افزایش قیمت حامل های انرژی و افزایش قیمت های سخت افزاری مرتبط است و بسیاری از شرکت ها را مجبور می کند تا از برنامه های خود برای استقرار زیرساخت های داخلی، به نفع خدمات ابری از فروشندگان شخص ثالث، دست بکشند، و همچنین ممکن است بر برخی بودجه های داعش تاثیر می گذارد.

کارشناسان کسپرسکی تغییری در فعالیت تهدید مداوم پیشرفته (APT) علیه سازمان‌های صنعتی و سیستم‌های OT در صنایع و مکان‌های جدید پیش‌بینی می‌کنند. بخش‌های اقتصاد واقعی مانند کشاورزی، لجستیک و حمل‌ونقل، بخش انرژی جایگزین و بخش انرژی در کل، تولیدکنندگان فناوری پیشرفته، داروسازی و تجهیزات پزشکی احتمالاً در سال آینده شاهد حملات بیشتری خواهند بود. علاوه بر این، اهداف سنتی مانند مجتمع صنعتی نظامی و بخش دولتی نیز باقی خواهند ماند.

• صفحات فیشینگ و اسکریپت های تعبیه شده در سایت های قانونی.

تهدیدها همچنین ممکن است از وسایل حمل و نقل بدون سرنشین و توده‌هایی که می‌توانند هدف یا ابزاری برای حملات باشند، ایجاد شود. خطرات دیگری که باید مراقب آنها بود افزایش فعالیت مجرمانه با هدف به دست آوردن اعتبار کاربران و همچنین افراد داوطلبانه ایدئولوژیک و با انگیزه سیاسی، و افراد داخلی که با گروه های جنایتکار، معمولاً اخاذی ها و APT ها کار می کنند، است. این افراد داخلی ممکن است در تأسیسات تولیدی و همچنین توسعه دهندگان فناوری، فروشندگان محصول و ارائه دهندگان خدمات فعال باشند.

این پیش‌بینی‌ها مجموع نظرات تیم ICS CERT کسپرسکی بر اساس تجربه جمعی آن‌ها در تحقیق درباره آسیب‌پذیری‌ها، حملات و واکنش به حادثه، و همچنین دیدگاه شخصی کارشناسان از بردارهای اصلی تغییر در چشم‌انداز تهدید است.

• استفاده از سرویس ابری محبوب به عنوان CnC – حتی پس از شناسایی یک حمله، قربانی ممکن است همچنان نتواند حملات را مسدود کند زیرا فرآیندهای تجاری مهم ممکن است به ابر بستگی داشته باشند.

• استفاده از خطاهای پیکربندی در راه حل های امنیتی، به عنوان مثال، خطاهایی که اجازه غیرفعال کردن یک راه حل آنتی ویروس را می دهند.

محققان Kaspersky ICS CERT همچنین تکنیک‌ها و تاکتیک‌هایی را که انتظار می‌رود در سال 2023 شکوفا شوند، فهرست کرده‌اند:

• گسترش ایمیل‌های فیشینگ از کارمندان و صندوق‌های ایمیل شرکا که به عنوان مکاتبات کاری قانونی پنهان شده‌اند.

بدتر شدن همکاری بین‌المللی اجرای قانون منجر به هجوم حملات سایبری به کشورهایی خواهد شد که دشمن تلقی می‌شوند. در عین حال، راه‌حل‌های جایگزین جدید توسعه‌یافته در داخل کشور نیز ممکن است منجر به خطرات جدیدی مانند نرم‌افزار حاوی خطاهای پیکربندی امنیتی و آسیب‌پذیری‌های آسان روز صفر شود و آنها را هم برای مجرمان سایبری و هم برای هکرها در دسترس قرار دهد.