Новий звіт показує, що мережеві аномалії та атаки є найпоширенішими загрозами для середовищ OT та IoT, особливо в області критичної інфраструктури. Уразливості в критичних виробничих зонах зросли на 230 відсотків.
Nozomi Networks опублікувала свій останній звіт Networks Labs OT & IoT Security Report. Аналіз експертів показує, що мережеві аномалії та атаки становлять найбільшу загрозу для середовищ OT та IoT. Ще одна причина для занепокоєння: уразливості в критичних виробничих областях зросли на 230 відсотків. Тому кіберзлочинці мають набагато більше можливостей отримати доступ до мереж і спричинити ці аномалії.
Зібрані телеметричні дані з 25 країн
Nozomi Networks Labs збирає унікальні дані телеметрії в середовищах OT та IoT у 25 країнах, охоплюючи різноманітні варіанти використання та галузі. Аналіз цих даних показав, що мережеві аномалії та атаки становили найбільшу частку (38 відсотків) загроз у другій половині 2023 року. Аномалії мережі, які викликають серйозне занепокоєння, зросли на 19 відсотків порівняно з попереднім звітним періодом. Це, у свою чергу, свідчить про те, що тут працюють злочинці, які мають багато знань.
Сканування мережі очолило список сповіщень про мережеві аномалії та атаки, за яким йшли атаки TCP flood. Великі обсяги даних надсилаються системам, щоб паралізувати їх або зробити недоступними. Відповідно, за останні шість місяців кількість сповіщень про затоплення TCP та аномальних пакетів значно зросла як за загальною кількістю сповіщень, так і за середніми значеннями на клієнта, які зросли більш ніж у два та у шість разів відповідно.
Збільшення сповіщень на 123 відсотки
Кількість сповіщень, пов’язаних із загрозами контролю доступу та авторизації, зросла на 123 відсотки порівняно з попереднім звітним періодом. У цій категорії кількість сповіщень про численні невдалі входи зросла на 71 відсоток, а кількість атак грубою силою – на 14 відсотків. Ця тенденція підкреслює постійні проблеми, пов’язані зі спробами неавторизованого доступу, і показує, що ідентифікація та керування доступом в OT, а також інші проблеми, пов’язані з паролями користувачів, залишаються.
Протягом останніх шести місяців експерти Nozomi спостерігали ці п’ять критичних загроз, які найчастіше трапляються в реальному середовищі:
- Мережеві аномалії та атаки – 38 відсотків усіх сповіщень
- Проблеми з автентифікацією та паролем – 19 відсотків усіх сповіщень
- Проблеми з контролем доступу та авторизацією – 10 відсотків усіх сповіщень
- Конкретні загрози оперативних технологій (OT) – 7 відсотків усіх сповіщень
- Підозріла або несподівана поведінка мережі – 6 відсотків усіх сповіщень
Уразливості ICS
Враховуючи цей кластер мережевих аномалій, Nozomi Networks Labs визначила галузі, які мають бути у стані підвищеної готовності, на основі аналізу всіх сповіщень безпеки ICS, виданих CISA за останні шість місяців. Очолює список обробна промисловість. Тут кількість CVE (загальних вразливостей і вразливостей) зросла до 621, що на 230 відсотків значно більше порівняно з попереднім звітним періодом.
Виробництво, енергетика та водопостачання/відведення стічних вод залишаються найбільш вразливими секторами третій звітний період поспіль. Однак загальна кількість зареєстрованих вразливостей впала на 46 відсотків у сегменті енергетики та на 16 відсотків у водопостачанні/відведенні стічних вод. Комерційна нерухомість і комунікації увійшли до першої п'ятірки, замінивши продовольство, сільське господарство та хімікати (обидва випали з топ-5). Зокрема, охорона здоров’я, державне управління, транспорт і екстрена допомога представлені в топ-10. У другій половині минулого року:
- CISA опублікувала 196 нових рекомендацій ICS щодо 885 поширених уразливостей і ризиків (CVE), що на 38 відсотків більше, ніж у попередньому півріччі.
- Постраждали 74 провайдери – збільшення на 19 відсотків.
- Уразливості Out-of-Bounds-Read і Out-of-Bounds-Write залишаються серед найпопулярніших CVE другий рік поспіль – обидві вразливі до різних атак, включаючи атаки переповнення буфера.
Дані з приманок IoT
Nozomi Networks Labs також проаналізувала велику кількість даних про зловмисну активність щодо пристроїв IoT і виявила деякі помітні тенденції, які слід враховувати згаданим галузям. Результати показують, що зловмисні бот-мережі Інтернету речей залишаються активними цього року і що злочинці продовжують використовувати ці ботнети для доступу до пристроїв Інтернету речей за допомогою стандартних облікових даних.
З липня по грудень 2023 року Nozomi Networks вдалося визначити цілу низку цікавих чисел за допомогою приманок:
- У середньому 712 унікальних атак на день (зниження на 12 відсотків від середньодобового показника за попередній звітний період) – день із найбільшою кількістю атак був 6 жовтня – 1.860 атак.
- IP-адреси зловмисників з високою активністю походять з Китаю, США, Південної Кореї, Індії та Тайваню.
- Спроби грубої сили залишаються популярною технікою отримання доступу до систем – стандартні облікові дані залишаються одним із основних способів доступу зловмисників до IoT. Віддалене виконання коду (RCE) також залишається популярною технікою, яка часто використовується для цілеспрямованих атак і розповсюдження різних типів шкідливого програмного забезпечення.
Звіт Nozomi Networks Labs про безпеку OT & IoT надає фахівцям із безпеки найновішу інформацію, необхідну для переоцінки моделей ризиків та ініціатив безпеки, а також прості у реалізації рекомендації щодо захисту критичної інфраструктури.
Більше на NozomiNetworks.com
Про Nozomi Networks Nozomi Networks прискорює цифрову трансформацію, захищаючи критичну інфраструктуру, промислові та державні організації від кіберзагроз. Рішення Nozomi Networks забезпечує виняткову видимість мережі та активів, виявлення загроз та аналітику для середовищ OT та IoT. Клієнти покладаються на нього, щоб мінімізувати ризики та складність, одночасно максимізуючи операційну стійкість.