Geçen yılki baskısında, Güvenlik Gezgini Siber Gasp kurbanlarına ilişkin veri kümemizde İmalat Sektörünün fazlasıyla temsil edildiğini fark ettik. Ne işletme sayısı ne de ortalama gelirleri bunu açıklamak için özellikle öne çıkmadı.
Üretim aynı zamanda CyberSOC veri kümemizde en çok temsil edilen Sektördü ve diğer tüm sektörlerden daha fazla Olaya katkıda bulundu.
Bu eğilimin 2023’te doğrulandığını gördük – o kadar ki, daha yakından bakmaya karar verdik. Öyleyse bazı olası açıklamaları inceleyelim.
Ve onları çürüt.
Olası açıklamalar için avlanma
Çifte gasp sızıntı sahalarının izlenmesiyle takip edildiği üzere, 2023’te Siber Gasp veri kümemizde üretim hala en çok etkilenen sektör. Gerçekten de, 2020’nin başında sızıntı alanlarını gözlemlemeye başladığımızdan beri bu sektör artık tüm mağdurların %20’sinden fazlasını temsil ediyor.
Tüm müşterilerimizin yaklaşık %28’i, araştırdığımız tüm olası olayların toplam %31’lik payına katkıda bulunan İmalat sektöründendir.
Bu sektörün ilgilendiği Olayların %58’inin dahili olarak, %32’sinin harici olarak, %1’inin “İş Ortağı” veya 3. taraflar olarak sınıflandırıldığını not ediyoruz. Güvenlik olayına dış tehdit aktörleri neden olduğunda, ilk 3 tehdit eyleminin Web Saldırıları, Port Tarama ve Kimlik Avı olduğunu gözlemledik.
Öte yandan İmalat, Güvenlik Açığı tarama veri kümemizde BT Varlığı başına görünen en düşük sayıda onaylanmış güvenlik açığına sahiptir. Buna karşılık, penetrasyon ekiplerimiz günde 4,81 CVSS bulgusu rapor ediyor, bu da diğer tüm sektörlerdeki ortalama 3,61’in biraz üzerinde.
Burada incelemeye çalışacağımız birkaç soru ortaya çıkıyor:
- Operasyon Teknolojisi hangi rolü oynuyor?
- Üretimdeki işletmeler daha savunmasız mı?
- İmalat sektörü kasıtlı olarak daha fazla mı hedefleniyor?
- Üretim müşterilerimiz daha fazla olay yaşıyor mu?
OT hangi rolü oynuyor?
Yapmak için cazip bir varsayım, Üretim sektöründeki işletmelerin, herkesin bildiği gibi güvensiz Operasyonel Teknoloji (OT) veya Nesnelerin İnterneti (IoT) sistemleri aracılığıyla tehlikeye atıldığıdır. Tesisler ve fabrikalar genellikle kesintiye uğramayı veya kapatılmayı göze alamazlar ve bu nedenle Üretim, gaspçılar için yumuşak bir hedeftir.
Kulağa mantıklı geliyor. İşin püf noktası şudur: Verilerimizde desteklenen bu teorileri görmüyoruz.
ABD Enerji devi Colonial Pipeline’a yönelik saldırı, muhtemelen bir endüstriyel tesise yönelik başarılı saldırıların son zamanlardaki en dikkate değer örneğiydi.
Kapsamlı ” ile siber güvenlikteki en son gelişmeleri keşfedin”Güvenlik Gezgini 2023” raporu. Bu araştırma odaklı rapor, Orange Cyberdefense, CERT, Epidemiology Labs ve World Watch’a ait 17 küresel SOC ve 13 CyberSOC’den alınan %100 birinci elden bilgilere dayanmaktadır ve mevcut ve geleceğe ilişkin çok sayıda değerli bilgi ve içgörü sağlar. tehdit manzarası.
Bu yılın Temmuz ayında ABD istihbarat teşkilatları, belirli Endüstriyel Kontrol Sistemlerini hedeflemek üzere tasarlanmış ‘Pipedream’ adlı bir bilgisayar korsanlığı araç seti konusunda bile uyarıda bulundu. Ancak bu araçlara vahşi doğada hiç rastlanıp rastlanmadığı veya ne zaman karşılaşıldığı bizim için net değil. 2010’daki rezil Stuxnet saldırısı dışında, giriş noktasının bir OT sistemi olduğu tek bir siber güvenlik olayını hatırlamakta zorlanıyoruz.
Colonial Pipeline’da ilk önce arka uç ‘geleneksel’ idari sistemlerin güvenliği ihlal edildi. Daha yakından bakıldığında, endüstriyel tesislerde bildirilen hemen hemen tüm olaylar için durum budur.
Üretim sektöründeki işletmeler saldırılara karşı daha savunmasız mı?
Bu soruları yanıtlamak için bir dizi 3 milyon güvenlik açığı taraması bulgusunu ve 1.400 Etik Hacking raporu örneğini inceledik.
Müşteri tabanımızdaki sektörler arasında bir şekilde normalleştirilmiş karşılaştırmaları kolaylaştıran üç metrik türettik:
Varlık başına VOC tarama bulguları, yama zamanı, test günü başına Pentest bulguları.
Sektörleri bu ölçütlerin her birindeki performanslarına göre sıralarsak ve en kötüden en iyiye doğru sıralarsak, İmalat sektöründeki müşterilerimiz karşılaştırılabilir 12 sektör arasında 5. sırada yer alır.
Aşağıdaki tablo, karşılaştırılabilir sektörlerdeki Üretim müşterilerimizin genel *sıralamasını* göstermektedir.
VOC benzersiz bulguları/varlığı
Bu ölçümde İmalattan daha iyi performans gösteren yedi sektör daha vardı.
Tarama veri setimizde İmalat müşterilerinden nispeten yüksek sayıda varlığa sahip olmamıza rağmen, tüm endüstrilerdeki ortalamadan çok daha az Varlık başına Bulgu rapor ediyoruz. Aslında neredeyse 10 kat daha az.
Yama zamanı
Bu metrikte diğer 6 sektör İmalattan daha iyi sıralanmıştır. Bu endüstri için tüm bulguların ortalama yaşı 419 gündür; bu endişe verici bir sayıdır ve bu veri setindeki diğer sekiz endüstri için kaydedilenden daha kötüdür.
Sızma testi bulguları
Veri kümesindeki diğer tüm sektörlerdeki müşterilerin ortalama 3,61’e kıyasla Günlük CVSS ortalamasının 4,81 olduğunu gözlemliyoruz – %33 daha yüksek.
İmalat sektörü daha çok gaspçılar tarafından mı hedef alınıyor?
Müşterilerimizi kategorilere ayırırken Kuzey Amerika Endüstri Sınıflandırma Sistemi – NAICS – sınıflandırma sistemini kullanıyoruz.
Sektör başına çifte gasp kurbanlarının sayısı dikkate alındığında çok ilginç bir model ortaya çıkıyor: Veri setinde en çok mağdur kaydedilen 10 sektörden 7’si ayrıca varlık sayısına göre en büyük sektörler arasında sayılıyor.
Ancak üretim, açık bir trend kırıcıdır.
Başka bir faktör de soruları gündeme getiriyor: İmalat sektöründeki işletmeler fidye ödemeye daha istekli olsaydı, bu onları kurban olarak daha çekici hale getirirdi. Ancak o zaman, bu tür işletmelerin ‘ad ve utanç’ sızıntı sitesinde daha fazla değil, daha az sıklıkta yer aldığını görmeyi beklerdik.
Üretim müşterilerimiz daha fazla olay yaşıyor mu?
İmalat sektörü, CyberSOC veri kümemizde bir kez daha toplamın yüzdesi olarak en yüksek Olay sayısını oluşturdu. Tüm Vakaların %31’i, bu sektörden olan müşterilerimizin %28’i için oluşturulmuştur.
Bununla birlikte, Olay verilerinin bağlamından yoksundur. Karşılaştırma için bir temel oluşturmak üzere, müşterilere Tehdit Tespitinin 8 farklı “alanında” 0 ile 5 arasında bir “Kapsam Puanı” atarız ve maksimum toplam algılama puanı 40 olur.
Olay sayısını normalleştirmek için kapsam puanını kullanırız. Basitçe ifade etmek gerekirse, bir müşterinin değerlendirilen kapsam puanı ne kadar düşükse, bu ayarlama bu karşılaştırmadaki Olay sayısını o kadar ‘arttıracaktır’. Mantık şu ki, düşük miktarda kapsama alanı, meydana gelme olasılığı çok yüksek olsa da, bize pek çok olayı göstermeyecek.
Gerçek Pozitif ve Yanlış Pozitif Olayları yukarıda açıklandığı gibi ayarlarsak, İmalattan müşteri başına tüm sektörlerin ortalamasından yedi kat daha fazla Olay görüyoruz.
Benzer bir karşılaştırmada, yalnızca Çevre Güvenliği ve yalnızca Orta Ölçekli işletme ile sınırlı olan İmalat, karşılaştırılabilir 7 Sektör arasında Müşteri başına en fazla Olay ile 1. sıradadır.
Çözüm
OT güvenlik açıklarının büyük bir etkisini göz ardı ettik ve bu nedenle normal BT sistemlerine odaklandık. Tarama ekiplerimiz çok sayıda hedefi değerlendirdi ancak varlık başına nispeten az sayıda güvenlik açığı bildirdi. Genel olarak, İmalat sektörünü güvenlik açığı açısından tüm sektörler arasında en zayıf 5. veya 6. olarak sıralıyoruz.
Neden sürekli olarak İmalat endüstrisinden bu kadar yüksek oranda mağdur kaydettiğimiz sorusu, elimizdeki verilerle kolayca yanıtlanamıyor. Sonunda, en iyi şekilde Sızma Testi ve Bulgular Çağı verilerimize yansıyan, yine de güvenlik açığı düzeyine düştüğüne inanıyoruz.
Tüm verilerimiz, saldırganların çoğunlukla fırsatçı olduğu gerçeğine işaret ediyor. Kasten sektörleri ayırmak yerine, savunmasız olan işletmeleri tehlikeye atıyorlar.
Veri kümelerimizde temsil edilen müşteriler, Güvenlik Açığı Değerlendirmesi veya Yönetilen Tespit için bizimle iletişime geçtiler ve bu nedenle, bu sektörün görece ‘olgun’ örneklerini temsil ediyorlar. Bu sektördeki ortalama işletmelerin güvenlik açıkları açısından daha kötü kıyaslama yapacağı sonucuna varabiliriz. Saldırganların sızdırdığı sitelerde gözlemlediğimiz yüksek kurban sayısı, bu sektördeki toplam kurban sayısının doğrudan bir yansıması mı, yoksa başlangıçtaki fidye taleplerini kabul etmeyi reddeden bir sektörün çarpık yansıması mı, tam olarak net değil.
Bununla birlikte, muhtemel görünen şey, güvenlik açığının, diğer sektörler kadar bu sektörde de hangi işletmelerin tehlikeye atılacağını ve gasp edileceğini belirleyen birincil faktör olmasıdır.
Bu sadece analizden bir alıntıdır. Farklı Endüstrilerin diğerlerine kıyasla nasıl performans gösterdiğine dair daha fazla ayrıntının yanı sıra daha fazla CyberSOC, Pentesting ve VOC verileri (birçok ilginç araştırma konusuyla birlikte) şu adreste bulunabilir: Güvenlik Gezgini. Ücretsizdir, bir göz atın. Buna değer!
Not: Bu makale Orange Cyberdefense Güvenlik Araştırmaları Başkanı Charl van der Walt tarafından yazılmış ve katkıda bulunmuştur.