קלארוטי (Claroty) חברת ההגנה על מערכות סייבר-פיזיות (CPS) פרסמה נתונים חדשים שחושפים כי 38% מהמערכות הסייבר-פיזיות (CPS-Cyber Physical Systems) הקריטיות ביותר, אינן מטופלות באמצעות הגישות המסורתיות לניהול חולשות אבטחה. כך נוצרות נקודות עיוורות (Blind spots) משמעותיות החשופות לניצול בידי גורמי איום. כדי להתמודד עם נקודות עיוורות אלו, השיקה קלארוטי פתרון ניהול חשיפה ייעודי ומקיף למערכות סייבר-פיזיות קריטיות, המסייע לארגונים להקטין את משטח התקיפה שלהם על ידי מתן עדיפות לאיומים הדחופים ביותר.
כדי להבין את היקף החשיפה והסיכון הנלווים לסביבות CPS ניתח צוות המחקרTeam82 של קלארוטי נתונים של יותר מעשרים מיליון נכסים הכוללים טכנולוגיות תפעוליות (OT) , מכשור רפואי מחובר (IoMT) , מכשירי IoT ומערכות IT בסביבות סייבר-פיזיות. המחקר התמקד בנכסים המוגדרים כ"בעלי סיכון גבוה", בעלי חיבור לאינטרנט לא מאובטח ומכילים לפחות פגיעות ידועה ומנוצלת אחת. החוקרים הגדירו "סיכון גבוה" כמערכת בעלת סבירות גבוהה לספוג התקפה ואשר השפעת התקיפה הינה גבוהה. זאת, על בסיס שילוב גורמי סיכון כגון סטטוס הקרבה לסוף חיים, התקשורת עם פרוטוקולים לא מאובטחים, חולשות מוכרות, שימוש בסיסמאות חלשות או בסיסמאות ברירת מחדל, נתוני PII או PHI , השלכות השבתתן ועוד.
אלו הממצאים העיקריים שעלו במחקר:
ל-20% מהטכנולוגיות התפעוליות ומהמכשור הרפואי המחובר לאינטרנט יש ציוני CVSSv3.1 של 9 ומעלה – מדד המייצג את הגישה המסורתית לניהול נקודות תורפה, תוך הסתמכות אך ורק על גרסה 3.1 של מערכת ניקוד חולשות מסורתית ( Common Vulnerability Scoring System ). זהו היקף מכריע מדי ועתיר משאבים מכדי שמרבית הארגונים יוכלו לטפל בו באופן מציאותי. זאת, בעיקר כשמדובר בנכסי CPS עם חלונות זמן מוגבלים לתיקון, אשר אינם מספקים כל אינדיקציה היכן להתחיל במאמצי התיקון.
1.6% מהטכנולוגיות התפעוליות ומהמכשור הרפואי המחובר לאינטרנט מוגדרים כ"סיכון גבוה", עם חיבור אינטרנט לא מאובטח ולפחות פגיעות אחת ידועה שנוצלה כבר – זהו שיא של גורמי חשיפה שהשילוב שלהם יחד מהווה סכנה ממשית ומיידית לארגונים. נתון זה מייצג עשרות אלפי נכסי CPS בסיכון גבוה שניתן לגשת אליהם מרחוק על ידי גורמי איום ומכילים נקודות תורפה המנוצלות באופן פעיל במרחב הסייבר.
מבין אותן טכנולוגיות תפעוליות ומכשירים רפואיים מחוברים בעלי סיכון גבוה במיוחד, ל-38% אין ציון CVSS של 9 ומעלה. המשמעות היא שהם אינם מטופלים באמצעות השיטות המסורתיות לניהול חולשות ובה בעת הם מועדים באופן מדאיג לניצול על ידי גורמי איום, מה שמדגים סיכון גבוה להימצאות נקודה עיוורת.
"חשוב להבין את ההשלכות של כל מספר גבוה מאפס כאשר מודדים את הסיכון הקשור לנכסים בעלי חשיפת יתר המשמשים לשליטה במערכות כמו רשת החשמל או מתן טיפול מציל חיים לחולים", אמר אמיר פרמינגר, סגן נשיא למחקר ב-Team82 . "ארגונים חייבים לנקוט בגישה הוליסטית לניהול חשיפה המתמקדת בפצצות הזמן המתקתקות בסביבתם. גם אם הם ישלטו איכשהו במשימה הבלתי אפשרית של טיפול בכל פגיעות בעלת ציון CVSS של 9 ומעלה, הם עדיין יחמיצו כמעט 40% ממרבית האיומים המסוכנים ביותר לארגון שלהם".
על פי חברת המחקר גרטנר, מנהלי אבטחה מחפשים כל העת מסגרות עבודה וכלים משופרים להפחתת סיכוני אבטחת הסייבר שלהם. זה כולל מעבר מגישה של מניעה בלבד לבקרות מונעות בשלות יותר, המשלימות את האסטרטגיה עם יכולות זיהוי ותגובה. גישות קודמות לניהול משטח ההתקפה כבר לא עומדות בקצב הדיגיטלי – בעידן שבו ארגונים לא יכולים לתקן הכל, וגם לא יכולים להיות בטוחים לחלוטין איזה תיקון פגיעות ניתן לדחות בבטחה. ניהול חשיפה לאיומים מתמשך (CTEM) הינה גישה מערכתית פרגמטית ויעילה לחידוד מתמשך של סדרי עדיפויות, אשר מהלך על החבל הדק בין שני הקצוות הבלתי אפשריים הללו.
כדי לענות על הצרכים המתפתחים של ארגוני ייצור, שירותי בריאות ושאר ארגוני תשתית קריטיים, קלארוטי מציעה פתרון שלם שנבנה למטרת ניהול חשיפת CPS , בהתאמה לגישת CTEM של גרטנר.
"נקיטה בגישה הממוקדת בראיית החולשות לא עוזרת לארגונים להתמקד במה שהכי חשוב, ומשאירה את החשיפות האמיתיות שיכולות לסכן את הבטיחות והזמינות של המערכות", אמר גרנט גייר, מנהל מוצר ראשי בקלארוטי. "הפחתת הסיכון דורשת התפתחות מתוכנית מסורתית לניהול חולשות לתוכנית ניהול חשיפה ממוקדת ודינמית יותר, המתחשבת במאפיינים ובמורכבויות הייחודיות של נכסי CPS, באילוצים תפעוליים וסביבתיים ייחודיים, סובלנות סיכונים ארגונית ותוצאות רצויות של תוכנית סיכוני הסייבר של CPS. ”
