Detectando ameaças internas: The Undiscussed, Under Reported OT/ICS Cybersecurity Challenge
Registre-se agora
Duas vezes por ano, o Nozomi Networks Labs avalia o cenário de ameaças OT/IoT analisando os últimos CVEs de ICS publicados pela CISA, bem como dados de telemetria anônima de clientes e ataques de botnet IoT em nossos honeypots globais. Esses são os destaques do primeiro semestre de 2024.
Nosso relatório de pesquisa de segurança fornece análises e insights sobre:
Importante! Se você é um cliente do Nozomi Networks , você está coberto pelas vulnerabilidades e ameaças deste relatório com nossos Asset Intelligence e Threat Intelligence assinaturas selecionadas pela nossa equipe de Laboratórios.
Este relatório aborda as mais recentes vulnerabilidades, ataques e indicadores de eventos observados e relatados no site OT/IoT . Paralelamente, as ameaças de estado-nação mudaram da espionagem para objetivos mais destrutivos, exemplificados pelo Volt Typhoon.
Embora não tenhamos implicado diretamente um ator específico de estado-nação em nossas observações, esses desenvolvimentos devem ser lembrados à medida que o cenário de ameaças evolui e novos CVEs OT e IoT são lançados.
Três dos cinco principais setores afetados pelos novos CVEs de ICS - Manufatura Crítica, Energia e Água e Esgoto - são setores que os EUA e outros governos estão alertando sobre ataques (como o Volt Typhoon). As autoridades também estão intensificando a supervisão da segurança cibernética.
Os cinco principais CWEs mencionados nos avisos reforçam a importância dos princípios básicos de higiene cibernética, como a higienização da entrada do usuário antes de processá-la (CWE-20) e a criptografia de dados confidenciais (CWE-311).
Problemas comuns de segurança, como manuseio inadequado de credenciais e ataques de força bruta, ainda são os problemas mais comuns encontrados nos ambientes dos clientes.
Os clientes do setor de Máquinas e Equipamentos Industriais receberam o maior número de alertas. Quase metade deles eram solicitações de parâmetros ilegais, uma ameaça específica do site OT. Consulte o relatório para obter um detalhamento dos principais alertas por setor.
Os criminosos cibernéticos continuam a explorar as senhas padrão de fábrica ou fracas para obter acesso aos dispositivos IoT . Uma vez que os atacantes tenham comprometido um dispositivo vulnerável, eles usam principalmente comandos shell para explorar o ambiente ou obter persistência.
As tentativas de força bruta continuam sendo uma técnica popular para obter acesso ao sistema, pois as credenciais padrão são uma das maneiras mais fáceis de os agentes de ameaças obterem acesso ao site IoT.
A execução remota de código (RCE) também continua sendo uma técnica popular, usada com frequência em ataques direcionados e para propagar malware.
Aqui estão ações específicas que os defensores podem adotar para reduzir os pontos cegos do OT/IoT , maximizar os recursos limitados, aumentar a resiliência operacional e reduzir os riscos comerciais.
