Інструмент виявлення з відкритим вихідним кодом виявляє вразливості в DCOM перед виправленням від Microsoft у березні 2023 року. Користувачі можуть швидко визначити, чи містять їхні мережі незахищений DCOM, який став непридатним для використання завдяки новому виправленню Microsoft.
Компанія OTORIO випустила набір інструментів захисту від Microsoft Distributed Component Object Model (DCOM) із відкритим кодом. Мета полягає в тому, щоб захистити системи OT від можливих проблем у зв’язку з майбутнім виправленням Microsoft. Бо сама Microsoft пише: «14. У березні 2023 року зміни посилення ввімкнено за замовчуванням без можливості їх вимкнення. На цьому етапі ви повинні вирішити будь-які проблеми сумісності зі змінами захисту та програмами у вашому середовищі».
Перевірте, перш ніж Microsoft перемикається
Автономний інструментарій із відкритим кодом може використовуватися будь-якою організацією для виявлення слабких програм автентифікації DCOM і надання тимчасових обхідних шляхів. Користувачі OTORIO RAM² також мають автоматичний доступ до нових сповіщень у Safe Active Query, що дозволяє виявлення в мережі.
Протокол OPC Data Access (OPC DA) був представлений у 1995 році для забезпечення обміну даними в реальному часі між програмованим логічним контролером (PLC) і програмним забезпеченням у мережах OT. Однак OPC DA базується на технології DCOM, яка має вразливі місця. У 2008 році Microsoft представила незалежний від DCOM протокол OPC Unified Architecture (OPC UA), але багато промислових компаній все ще використовують OPC DA.
Патч Microsoft випускається поетапно
У 2021 році корпорація Майкрософт визнала критичну вразливість у своєму протоколі DCOM і анонсувала виправлення для посилення автентифікації між клієнтами та серверами DCOM. Щоб мінімізувати збої в роботі служби, патч випускався поетапно. Перший патч представив можливість увімкнути посилення слабких рівнів автентифікації в DCOM, але було вимкнено за замовчуванням; друге примусове зміцнення за замовчуванням з можливістю його відключення; третій випуск патча посилення DCOM автоматично збільшив кількість неанонімних запитів на активацію від клієнтів DCOM; а 14 березня 2023 року Microsoft випустить новий патч, який повністю видалить опцію ввімкнення незахищеного DCOM.
У коді є проблема чи ні?
За допомогою DCOM Hardening Toolkit від OTORIO користувачі можуть швидко визначити, чи містять їхні мережі незахищений DCOM, який новий патч зробить непридатним для використання. Потім він надає інструкції щодо виправлення, щоб гарантувати, що організації залишатимуться в повному контролі над своїми пристроями OT.
«Компанії повинні розуміти, чи є у них проблема чи ні, і ось тут на допомогу приходить наш інструментарій», — пояснює Яір Аттар, технічний директор і співзасновник OTORIO. «Якщо організація застосовує березневий патч і втрачає важливу видимість і зв’язок між вузлами своєї мережі, вона може зазнати значних фінансових втрат. Наша мета – запобігти такій катастрофі».
RAM² з ОТОРІО збирає та аналізує численні джерела даних, присутні в середовищі OT. До них належать напр. B. SCADA (диспетчерське керування та збір даних), програмовані логічні контролери (SPS/PLC), розподілені системи керування (DCS), історичні бази даних, технічні системи тощо. Потім рішення збагачує цей аналіз операційним контекстом, уразливими місцями та ризиками, щоб оцінити стан безпеки та визначити та визначити пріоритети загроз безпеці OT.
До інструменту OORIO на GitHub
Про OTORIO OTORIO — це компанія безпеки OT (Operational Technology), яка надає наскрізні рішення для проактивного управління цифровими ризиками. Вони допомагають промисловим компаніям у всьому світі підтримувати безперервність бізнесу та захищати поточну діяльність. OTORIO надає комплексні рішення для оцінки ризиків безпеки, моніторингу та управління, а також послуги для критичної інфраструктури, інтелектуальних транспортних і логістичних систем і промислових виробничих компаній.