מעבדת קספרסקי: 3 טעויות שאפשרו ל- WannaCry לפגוע במערכות בקרה תעשייתיות

Google+ Pinterest LinkedIn Tumblr +

צוות תגובת החירום (CERT)  למערכות ICS  (מערכת בקרה תעשייתית) של מעבדת קספרסקי פרסם דוח לגבי הדרך בה מתקפת הכופר הגלובלית WannaCry, שהתרחשה ב- 12 עד ה- 15 במאי, 2017, הצליחה לפגוע במספר רב של מחשבי ICS. המומחים מקווים כי שיתוף של רשימת השגיאות וגורמי ההזנחה, שהותירו את המערכות פגיעות לאירוע שכזה, יסייעו לעסקים למזער את הסיכון בעתיד.

 

תולעת-ההצפנה WannaCry התבססה על האינטרנט כדי להגיע לתפוצה גלובלית. באמצעות ניצול פרצה במערכת חלונות, היא הפיצה עצמה במהירות דרך רשתות פנימיות, וניצלה קישוריות פתוחה ואבטחה ירודה.

בעיקרון, WannaCry לא אמורה היתה להדביק רשת תעשייתית דרך האינטרנט, גם מכיוון שהרשתות סגורות וגם בשל פרוטוקולים ופיירוולים קשיחים. על פי חוקרי מעבדת קספרסקי, תרחישים שהקלו על הדבקת מערכת ICS כוללים:

  • מחשב המחובר למספר רשתות משנה במקביל. לדוגמא, אם תחנת עבודה של מהנדס/ מנהל  מערכת אוטומציה תעשייתית מחוברת גם לרשת הארגונית וגם לרשת התעשייתית – היא פותחת שער למעבר של קוד זדוני מרשת אחת לשניה.
  • רשתות VPN המחוברות אל תוך ICS. אם האבטחה והקישוריות לא מוגדרים כראוי, VPN יכול גם לפעול כגשר להדבקה. לדוגמא, אם מחשב של קבלן משנה נדבק והוא מחובר מרחוק לרשת תעשייתית דרך VPN.
  • מכשירים ניידים המחוברים ל- ICS, כגון סמארטפונים או מודם על USB, יכולים לשדר את קוד ההדבקה אם הם הוגדרו בטעות עם כתובת IP ציבורית.

דרכי הפעולה המומלצות על ידי מעבדת קספרסקי:

כדי להגן מפני איומים המגיעים מהאינטרנט וכן מהתקפות אחרות, צוות CERT ICS של מעבדת קספרסקי, ממליץ על הצעדים הבאים:

  1. סגרו שירותי רשת פגיעים והגבילו חיבורים בכל המכשירים המחוברים לרשת ICS וברשת ההיקפית. התקינו את עדכוני התוכנה האחרונים.
  2. הבטיחו ניהול מאובטח ומרכזי של כל המערכות האוטומטיות, ונטרו את כל תעבורת הנתונים בין ה- ICS והרשתות האחרות.
  3. הגבילו גישה בין מערכות שהן חלק מרשתות שונות, או שיש להן רמת אמון שונה. בודדו את אלו המתקשרות עם רשתות חיצוניות. בטלו כל חיבור רשת שאינו נדרש לתהליכים תעשייתיים.
  4. יותר מכך, זכרו כי אופק האיומים למערכות אוטומציה תעשייתית משתנה כל הזמן. מעבדת קספרסקי ממליצה לבצע ביקורת יסודית ורשימת מצאי של רשת ICS, כדי להבטיח כי כל יכולות הזיהוי, המדיניות, והתהליכים לאבטחת מידע מעודכנים ופעילים.
שתף.

.