Semakin banyak kerentanan membuat infrastruktur nasional kritis (CNI) kita terpapar serangan siber (terbuka di tab baru) dari pelaku ancaman dengan motif spionase geopolitik atau korporasi, yang ingin menyebabkan gangguan, kerugian ekonomi, atau merusak kesehatan dan kesejahteraan warga negara.
Kerentanan ini ditemukan dalam sistem kontrol industri (ICS) yang sangat penting untuk berfungsinya CNI. Jika pelaku ancaman mendapatkan kendali atas salah satu sistem ini, mereka dapat mengubah cara kerjanya atau menghentikannya bekerja sama sekali, yang dapat menimbulkan konsekuensi yang luas.
Untuk mencegah ICS mereka diambil alih oleh pelaku ancaman, organisasi di industri utama seperti energi, manufaktur, dan obat-obatan perlu mengetahui kerentanan ini dan tindakan apa yang harus dilakukan untuk memitigasinya.
Tentang Penulis
Amir Preminger adalah Wakil Presiden Riset di Claroty (terbuka di tab baru)
Munculnya kerentanan
Penelitian kami baru-baru ini mengungkapkan bahwa jumlah kelemahan keamanan ICS yang diterbitkan oleh The National Vulnerability Database (NVD) dan penasehat kerentanan yang dilaporkan oleh Tim Tanggap Darurat Siber Sistem Kontrol Industri (ICS-CERT) telah meningkat dari tahun ke tahun.
Kami menemukan bahwa jumlah penasehat ICS-CERT yang diterbitkan pada paruh pertama tahun 2020 hampir sepertiga lebih banyak daripada periode yang sama pada tahun 2019, sedangkan 365 kerentanan yang dilaporkan oleh NVD pada tahun 2020 meningkat 10,3% dari tahun sebelumnya.
Untuk industri tertentu, kenaikan ini bahkan lebih tinggi. Misalnya, sektor air dan air limbah mengalami peningkatan kerentanan ICS-CERT sebesar 122,1%, manufaktur kritis mengalami peningkatan sebesar 87,3%, sementara di sektor energi sebesar 58,9%.
Pertumbuhan tersebut disebabkan sejumlah faktor, termasuk fakta bahwa ICS sekarang lebih terhubung ke internet daripada sebelumnya, namun memperbaruinya dengan tambalan terbaru dapat menimbulkan masalah. Penting juga untuk dicatat bahwa peningkatan ini juga sebagian karena kesadaran yang lebih besar akan kerentanan ini, dan peneliti serta vendor lebih memprioritaskan untuk mengidentifikasi dan memulihkannya seefektif mungkin.
Peningkatan konektivitas
Secara tradisional, peralatan ICS dan jaringan teknologi operasional (OT) yang mereka jalankan benar-benar terpisah (atau memiliki celah udara) dari jaringan TI, sehingga hampir mustahil bagi pelaku ancaman untuk menargetkan mereka dari jarak jauh. Namun, dalam dorongan untuk efisiensi yang lebih besar melalui teknologi otomasi, bisnis semakin mengintegrasikan infrastruktur OT mereka dengan jaringan TI mereka.
Karena hal ini menjadi lebih umum, tanggung jawab untuk mengelola keamanan jaringan OT semakin jatuh ke tangan tim keamanan TI, banyak di antaranya secara keliru berasumsi bahwa mereka dapat dengan mudah menerapkan protokol keamanan TI yang mereka kenal ke jaringan OT. Namun, tidak demikian karena, misalnya, waktu aktif lebih diprioritaskan daripada perlindungan data pada jaringan OT, yang berarti sulit untuk melakukan aktivitas keamanan TI standar seperti penambalan dan pemeliharaan perangkat lunak. Terlepas dari ini dan perbedaan mencolok lainnya antara TI dan OT, organisasi masih terus maju dengan rencana integrasi TI/OT mereka sementara tidak ada yang lebih bijak.
Eksploitasi jarak jauh
Penelitian kami menemukan bahwa lebih dari 70% kerentanan yang diterbitkan oleh NVD dapat dieksploitasi dari jarak jauh, menyoroti bahwa jaringan OT yang memiliki celah udara sekarang sangat jarang. Misalnya, salah satu cara untuk menutup celah udara adalah melalui stasiun kerja teknik (EWS) yang terhubung ke jaringan OT dan TI sesuai kebutuhan. Tautan semacam itu menjadikan mereka target yang menarik bagi pelaku ancaman, karena setelah mereka menyusup ke jaringan TI, mereka kemudian dapat menggunakan EWS untuk pindah ke jaringan OT. Setelah mendapatkan kendali, pelaku ancaman dapat mengakses area lain dari OT termasuk pengontrol logika yang dapat diprogram (PLC), yang memungkinkan mereka merusak proses fisik.
Penelitian ini juga menemukan bahwa produk EWS mengandung lebih dari separuh kerentanan yang ditemukan, sedangkan PLC mencapai seperempatnya. Dengan menggunakan kerentanan ini, pelaku ancaman dapat melakukan tindakan seperti eksekusi kode jarak jauh (RCE), yang memungkinkan mereka mengirimkan perintah dari jarak jauh untuk membangun keabadian dan melakukan gerakan lateral. RCE dimungkinkan dengan hampir setengah dari kerentanan yang teridentifikasi (49%), diikuti oleh kemampuan untuk membaca data aplikasi (41%), menyebabkan penolakan layanan (DoS) (39%), dan mekanisme perlindungan bypass (37%).
Mengungkapkan kerentanan
Meskipun mungkin tampak berlawanan dengan intuisi, berbagi kerentanan yang ditemukan dengan komunitas ICS sangat penting untuk mencegah pelaku ancaman. Ini tidak hanya memungkinkan vendor dan peneliti menemukan metode baru untuk mengurangi risiko ini, tetapi juga memperingatkan orang lain yang menggunakan sistem yang sama bahwa mereka perlu mengambil tindakan untuk membatasi kemampuan pelaku ancaman untuk mengeksploitasi kerentanan ini.
Beberapa mungkin enggan untuk membagikan pengetahuan mereka karena mereka yakin hal itu dapat menjadikan mereka target bagi pelaku ancaman, namun, penting untuk dicatat bahwa jika vendor terpengaruh oleh sejumlah besar kerentanan, ini tidak berarti bahwa mereka memiliki kelemahan. postur keamanan. Sebaliknya, ini lebih mungkin menandakan bahwa perusahaan mendedikasikan sumber daya untuk menguji produknya agar secara proaktif menemukan kerentanan ini dan bekerja untuk mengatasinya.
Untuk membantu industri yang lebih luas, organisasi CNI perlu menerapkan sistem untuk secara otomatis mengumpulkan informasi tentang kerentanan yang terungkap dan membandingkannya dengan ICS mereka sendiri. Namun, ini hanya bisa efektif jika semua vendor terbuka tentang kerentanan mereka dan bersedia membagikannya.
Melindungi ICS tidak selalu sederhana
ICS pada dasarnya memiliki banyak segi, sistem yang kompleks dan tidak ada solusi sederhana untuk mengurangi semua kerentanan yang ada. Sebaliknya pendekatan berlapis-lapis diperlukan.
Seperti yang ditunjukkan oleh penelitian kami, CNI dan industri manufaktur utama perlu mengambil tindakan untuk melindungi koneksi akses jarak jauh. Ini sekarang lebih penting dari sebelumnya, karena begitu banyak pekerja yang harus mengoperasikan sistem dari jarak jauh karena pembatasan penguncian COVID-19.
Izin akses terperinci yang memungkinkan pekerja untuk hanya menggunakan fungsi persis yang diperlukan untuk melakukan pekerjaan mereka harus diperkenalkan untuk mencegah pelaku ancaman berpindah dengan mudah di sekitar jaringan, berpindah dari satu perangkat ke perangkat lainnya. Dengan mengontrol izin ini dengan autentikasi multifaktor (terbuka di tab baru) (MFA), organisasi dapat menggagalkan peretas yang menggunakan teknik seperti kekerasan untuk memecahkan kata sandi dan mendapatkan akses ke jaringan. MFA juga membantu mengurangi beberapa bahaya yang ditimbulkan oleh rekayasa sosial, di mana pelaku ancaman menggunakan email dan situs web palsu untuk membuat karyawan mengungkapkan kredensial login mereka. Untuk lebih mengurangi bahaya ancaman berbasis rekayasa sosial, karyawan juga harus mendapatkan pelatihan tentang cara menemukan email jahat, dan apa yang harus dilakukan jika mereka menerimanya.
Selain itu, kolaborasi antara tim keamanan TI dan OT sangat penting untuk menjaga keamanan seluruh lingkungan ICS. Dengan cara ini, setiap kerentanan pada jaringan TI dapat dianalisis untuk menentukan apakah akan berdampak pada OT dan sebaliknya. Kemampuan seperti itu hanya bisa efektif dengan memiliki pandangan terpadu tentang PL dan jaringan TI, serta pakar yang memahami nuansa di antara keduanya.
Karena konektivitas antara OT dan TI pasti meningkat karena tuntutan efisiensi yang lebih besar, demikian pula potensi kerentanan yang perlu dikurangi. Oleh karena itu, sekarang menjadi lebih penting dari sebelumnya bahwa tim keamanan yang bekerja di CNI menerapkan langkah-langkah yang memungkinkan mereka untuk secara cepat dan efektif mendeteksi dan merespons ancaman apa pun, baik yang terjadi di jaringan TI atau OT.