Недавнее нападение на французский паром, в ходе которого злоумышленник, как сообщается, подключил крошечный компьютер под названием Raspberry Pi к сети в попытке взломать бортовые системы, преподало важный урок для директоров по информационной безопасности (CISO) предприятий: по оценкам одного аналитика, половина всех предприятий, вероятно, будут скомпрометированы подобной атакой на их физическую среду.
Паром был «обездвижен в субботу в южном французском порту Сета, когда готовился к рейсу в Алжир» из-за попытки взлома, согласно отчету Bloomberg. Устройство Raspberry Pi «было сопряжено с модемом сотовой связи, что обеспечивало удаленный доступ к внутренней компьютерной сети парома и внешним соединениям».
Хорошая новость заключается в том, что попытка взлома была остановлена благодаря надежным процедурам безопасности на борту, говорится в сообщении. «Следователи заявили, что разделение офисных и операционных сетей, наряду с отсутствием удаленного доступа к критически важным системам управления, предотвратило горизонтальное перемещение и исключило сценарии саботажа или угона».
Корпоративные средства контроля «смотрят не туда»
Для руководителей корпоративной кибербезопасности актуален вопрос, насколько хорошо их наземные объекты — офисы, магазины, заправочные станции, филиалы банков, производственные предприятия и так далее — выдержали бы подобную физическую атаку. Аналитики и другие эксперты по безопасности не оптимистичны относительно их шансов.
«Большинство программ корпоративной безопасности по-прежнему ориентированы на не того типа злоумышленника. Они рассчитаны на того, кто взламывает, а не на того, кто входит. И история с несанкционированным устройством — это самый яркий сигнал этого сдвига», — сказал Санчит Вир Гогия, главный аналитик Greyhound Research. «Устройство класса Raspberry Pi с модемом сотовой связи — это не просто умный гаджет, это способ создать новый периметр внутри вашего здания».
Он отметил, что злоумышленнику «не придется бороться с вашими межсетевыми экранами, если он сможет обойти их. Ему не нужно будет обходить ваш VPN, если он сможет принести собственное подключение к Интернету в ваш коммутационный шкаф. Вот что должно беспокоить CISO, потому что это означает, что многие из наших систем контроля ориентированы не туда. Если трафик уходит через сотовую связь, он не пересекает ваши контролируемые шлюзы. Ваш центр мониторинга (SOC) может делать все правильно и все равно ничего не увидеть».
Фред Шагнон, директор по исследованиям Info-Tech Research Group, согласился с опасениями Гогии.
«В большинстве офисов десятки активных портов Ethernet находятся в вестибюлях, под конференц-столами и в коридорах. По умолчанию они должны быть административно отключены на уровне коммутатора. Порт должен активироваться только тогда, когда определенный авторизованный MAC-адрес подтвержден через аутентификацию 802.1X», — сказал Шагнон.
Он добавил: «Современные злоумышленники используют подмену MAC-адресов, чтобы Raspberry Pi выглядел как легитимный VoIP-телефон или принтер. CISO должны инвестировать в инструменты, такие как Sepio или продвинутые NAC, которые выполняют фингерпринтинг физического уровня. Эти инструменты анализируют электрические характеристики и временные параметры оборудования, чтобы определить, является ли «принтер» на самом деле имплантатом на базе Linux».
Шагнон также рекомендовал широко использовать замки для портов, требующие ключа, и некоторую форму защитной ленты от несанкционированного доступа на корпусах и портах. «Проверки безопасности должны включать поиск дополнительных проводов, неавторизованных USB-хабов или небольших коробок, не соответствующих инвентарю активов», — добавил он. «Если дверь в ограниченную зону открывается, и на этом локальном коммутаторе одновременно появляется новое, неизвестное устройство, SOC должен получить высокоприоритетное коррелированное оповещение».
Старший аналитик Forrester Пэдди Харрингтон заявил, что многие руководители служб безопасности предприятий «забывают, насколько уязвимы эти вещи к атакам», и особо выделил устройства IoT и OT как основные цели. Слишком многие специалисты по безопасности, по словам Харрингтона, смотрят на то, что должны делать «теневые» устройства, такие как фитнес-трекеры, и не фокусируются на доступе, который устройство может получить как отправную точку для атаки через бэкдор.
«Вы не должны иметь возможности подойти к порту Ethernet и подключить что угодно. Это устройство должно быть аутентифицировано», — сказал Харрингтон, добавив, что, по его оценкам, 50% всех предприятий слишком сильно экономят на безопасности устройств. «Почему какие-либо лампочки IoT должны иметь доступ к финансовым данным?» — спросил он.
Когда он обсуждает физическую безопасность с руководителями служб безопасности предприятий, по его словам, он сталкивается с сопротивлением. Например, в недавнем обсуждении сегментации сети руководитель сказал ему: «Сегментировать нашу среду в такой степени потребует много времени и усилий, и мы перенаправляем наши деньги в другое место».
Харрингтон сказал: «Мне жаль, но это слабое оправдание».
Однако один из руководителей службы безопасности, Флавио Вильянуэстре, CISO LexisNexis Risk Solutions Group, заявил, что такие типы физических атак могут быть сложны для блокировки.
«Распространение недорогих и очень мощных одноплатных компьютеров, таких как Raspberry Pi, значительно усложнило эту проблему. Обнаружение вторжений в сеть должно было выявить поведенческие аномалии, но это легче сказать, чем сделать, если у вас большая сложная сеть, а Raspberry Pi выглядит как обычное устройство IoT», — отметил Вильянуэстре. «И это при условии, что он вообще был подключен к сети, а не к какому-нибудь древнему последовательному порту в системах управления корабля».
Действуйте с осторожностью
Вильянуэстре рекомендовал действовать осторожно любому, кто обнаружит такое устройство.
«Отключение устройства может привести к потере важной криминалистической информации, если не быть осторожным. Не так уж сложно оснастить устройство крошечной батареей или суперконденсатором, которые дадут ему достаточно времени, чтобы стереть себя, если оно будет отключено от сети или каким-либо образом скомпрометировано», — сказал Вильянуэстре. «Попытка отправить ложную информацию еще сложнее, потому что вам нужно будет определить протоколы, используемые устройством, чтобы знать, что отправлять. Большая проблема заключается в том, если устройство подключено, возможно, к другому устройству на корабле, и может вызвать разрушительное действие при вмешательстве. Оно даже может детонировать взрывчатку».
Генеральный директор Whisper Security Кавех Ранджибар добавил, что его совет по работе с подобными физическими находками: «немедленная изоляция и криминалистический анализ, но с одним критическим шагом перед физическим извлечением: определите радиус поражения. Прежде чем выдернуть вилку, зафиксируйте сетевой трафик устройства. С кем оно общается? Какие домены оно запрашивает?»
«Используя инфраструктурную разведку, вы часто можете идентифицировать злоумышленника на основе окружения серверов командно-контроля, которые они используют, что позволит вам понять, является ли это скриптовым малышом или операцией ГРУ, прежде чем вы прикоснетесь к оборудованию», — сказал Ранджибар.
Ранджибар сказал, что когда такие устройства связываются с центром, они могут раскрыть много полезной информации.
«Несанкционированное устройство, такое как Raspberry Pi, даже с модемом сотовой связи, не является невидимым. Оно должно связаться с центром, чтобы получить команды или экстфильтрацию данных. Оно создает инфраструктурный след: новый IP-адрес, разрешение DNS или соединение с определенным номером автономной системы (ASN)», — сказал Ранджибар.
«CISO должны выйти за рамки простого мониторинга своей внутренней локальной сети», — добавил он. «Им нужен непрерывный внешний мониторинг инфраструктуры. Если устройство на вашем судне или в вашем здании начинает общаться с сетевым блоком, известным размещением вредоносного ПО, спонсируемого государством, или если на вашем периметре появляется новый теневой актив, это ваша сигнальная система. Вы можете не поймать человека, устанавливающего устройство, но вы должны мгновенно поймать устройство, когда оно подключается к Интернету».
Автор – Evan Schuman
