Cảnh giác với các bất thường và các cuộc tấn công mạng

Các cuộc tấn công và bất thường mạng là mối đe dọa phổ biến nhất đối với môi trường OT và IoT trong nửa cuối năm 2023, tăng 19% so với kỳ báo cáo trước đó. Bao gồm ở đây là mức độ dễ bị tổn thương tăng 230% trong ngành sản xuất quan trọng.

Mới nhất Báo cáo bảo mật OT & IoT của Nozomi Networks Labs tiết lộ rằng “quét mạng” đứng đầu danh sách các điểm bất thường của mạng và cảnh báo tấn công, theo sau là “lũ TCP” các cuộc tấn công liên quan đến việc gửi một lượng lớn lưu lượng truy cập đến các hệ thống nhằm mục đích gây thiệt hại bằng cách làm cho các hệ thống đó ngừng hoạt động hoặc khiến chúng không thể truy cập được.

“TCP lũ lụt” và “gói bất thường” các loại cảnh báo cho thấy sự gia tăng đáng kể về cả tổng số cảnh báo và mức trung bình cho mỗi khách hàng trong sáu tháng qua, tăng lần lượt hơn 2 lần và 6 lần.

“Những xu hướng này sẽ đóng vai trò như một lời cảnh báo rằng những kẻ tấn công đang áp dụng các phương pháp tinh vi hơn để nhắm mục tiêu trực tiếp vào cơ sở hạ tầng quan trọng và có thể là dấu hiệu cho thấy sự thù địch đang gia tăng trên toàn cầu,” ông nói. Chris Grove, giám đốc chiến lược an ninh mạng tại Nozomi Networks.

Ông cho rằng sự gia tăng đáng kể về các điểm bất thường có thể có nghĩa là các tác nhân đe dọa đang vượt qua tuyến phòng thủ đầu tiên trong khi thâm nhập sâu hơn nhiều người tưởng ban đầu, điều này đòi hỏi mức độ tinh vi cao. Ông nói thêm: “Những người bảo vệ đã tiến bộ hơn trong việc bảo vệ khỏi những điều cơ bản, nhưng những cảnh báo này cho chúng tôi biết rằng những kẻ tấn công đang nhanh chóng phát triển để vượt qua chúng”.

Cảnh báo về các mối đe dọa cấp phép và kiểm soát truy cập đã tăng 123% so với kỳ báo cáo trước đó. Trong danh mục này, cảnh báo “đăng nhập không thành công nhiều lần” và “tấn công vũ phu” tăng lần lượt là 71% và 14%.

Xu hướng này nêu bật những thách thức liên tục trong các nỗ lực truy cập trái phép, cho thấy việc quản lý danh tính và quyền truy cập trong OT cũng như các thách thức khác liên quan đến mật khẩu người dùng vẫn tồn tại.

Hoạt động đe dọa nghiêm trọng hàng đầu được thấy trong môi trường thực tế trong sáu tháng qua:

1. Các cuộc tấn công và bất thường trên mạng – 38% tổng số cảnh báo

2. Vấn đề về xác thực và mật khẩu – 19% tổng số cảnh báo

3. Vấn đề về kiểm soát truy cập và ủy quyền – 10% tổng số cảnh báo

4. Các mối đe dọa cụ thể về công nghệ vận hành (OT) – 7% trong tổng số cảnh báo

5. Hành vi mạng đáng ngờ hoặc không mong đợi – 6% tổng số cảnh báo

Lỗ hổng ICS

Lưu ý đến sự gia tăng đột biến về các điểm bất thường trong mạng này, Nozomi Networks Labs đã trình bày chi tiết về các ngành cần được cảnh báo cao nhất, dựa trên phân tích của tất cả các tư vấn bảo mật ICS được phát hành bởi CISA trong sáu tháng qua.

Sản xuất đứng đầu danh sách với số lượng Lỗ hổng và Phơi nhiễm phổ biến (CVE) trong lĩnh vực đó tăng lên 621, mức tăng đáng báo động 230% so với kỳ báo cáo trước đó. Sản xuất, năng lượng và nước/nước thải vẫn là những ngành dễ bị tổn thương nhất trong thời kỳ

kỳ báo cáo thứ ba liên tiếp – mặc dù tổng số lỗ hổng được báo cáo trong

Lĩnh vực năng lượng giảm 46% và tình trạng dễ bị tổn thương về Nước/Nước thải giảm 16%. Cơ sở Thương mại và Truyền thông lọt vào top 5, thay thế Thực phẩm & Nông nghiệp và Hóa chất (cả hai đều rớt khỏi top 10).

Chăm sóc sức khỏe & Y tế công cộng, Cơ sở chính phủ, Hệ thống giao thông và Dịch vụ khẩn cấp đều lọt vào top 10.

Vào nửa cuối năm 2023:

• CISA đã ban hành 196 tư vấn ICS mới bao gồm 885 Các lỗ hổng và nguy cơ phơi nhiễm phổ biến (CVE) – tăng 38% trong khoảng thời gian sáu tháng trước
• 74 nhà cung cấp bị ảnh hưởng – tăng 19%
• Đọc ngoài giới hạn Và Viết ngoài giới hạn các lỗ hổng bảo mật vẫn nằm trong top CWE trong kỳ báo cáo thứ hai liên tiếp – cả hai đều dễ bị tấn công bởi một số cuộc tấn công khác nhau, bao gồm cả các cuộc tấn công tràn bộ đệm

Dữ liệu từ IoT Honeypots

Các phát hiện cho thấy rằng có ác ý botnet IoT vẫn hoạt động trong năm nay và các botnet tiếp tục sử dụng thông tin xác thực mặc định để cố gắng truy cập các thiết bị IoT. Từ tháng 7 đến tháng 12 năm 2023, có thông tin tiết lộ rằng:

• Trung bình có 712 cuộc tấn công duy nhất hàng ngày (giảm 12% mức trung bình hàng ngày so với kỳ báo cáo trước đó) – ngày tấn công cao nhất đạt 1.860 vào ngày 6 tháng 10.
• Các địa chỉ IP của kẻ tấn công hàng đầu có liên quan đến Trung Quốc, Hoa Kỳ, Hàn Quốc, Ấn Độ và Brazil.
• Lực lượng vũ phu các nỗ lực vẫn là một kỹ thuật phổ biến để giành quyền truy cập hệ thống – thông tin xác thực mặc định vẫn là một trong những cách chính mà các tác nhân đe dọa có được quyền truy cập vào IoT. Thực thi mã từ xa (RCE) cũng vẫn là một kỹ thuật phổ biến – thường được sử dụng trong các cuộc tấn công có chủ đích cũng như để phát tán nhiều loại phần mềm độc hại khác nhau.