מחקר: יותר משליש ממערכות ה-OT וה-IoT – בסיכון גבוה ביותר

38% מהמערכות הסייבר-פיזיות (CPS – ר"ת Cyber Physical Systems) הקריטיות ביותר, אינן מטופלות באמצעות הגישות המסורתיות לניהול חולשות אבטחה. כתוצאה מכך נוצרות נקודות עיוורות (Blind spots) משמעותיות, החשופות לניצול בידי גורמי איום, כך לפי מחקר חדש של קלארוטי (Claroty).

חוקרי Team82 של קלארוטי הישראלית ניתחו נתונים של יותר מעשרים מיליון נכסים, הכוללים טכנולוגיות תפעוליות (OT), מכשור רפואי מחובר (IoMT), מכשירי IoT ומערכות IT בסביבות סייבר-פיזיות. המחקר התמקד בנכסים המוגדרים כ"בעלי סיכון גבוה", בעלי חיבור לאינטרנט לא מאובטח ומכילים לפחות פגיעות ידועה ומנוצלת אחת. החוקרים הגדירו "סיכון גבוה" כמערכת בעלת סבירות גבוהה לספוג התקפה ושהשפעת התקיפה הינה גבוהה. כך, נבחן השילוב של גורמי סיכון, כגון סטטוס הקרבה לסוף חיים, התקשורת עם פרוטוקולים לא מאובטחים, חולשות מוכרות, שימוש בסיסמאות חלשות או בסיסמאות ברירת מחדל, נתוני PII או PHI, השלכות השבתתן ועוד.

לפי המחקר, ל-20% מהטכנולוגיות התפעוליות ומהמכשור הרפואי המחובר לאינטרנט יש ציוני CVSSv3.1 של 9 ויותר במדד המייצג את הגישה המסורתית לניהול נקודות תורפה. משמע – ארגונים נסמכים אך ורק על גרסה 3.1 של מערכת ניקוד חולשות מסורתית, המדרגת את חומרתן. לפי החוקרים, "זהו היקף מכריע מדי ועתיר משאבים, מכדי שמרבית הארגונים יוכלו לטפל בו באופן מציאותי. זאת, בעיקר כשמדובר בנכסי CPS עם חלונות זמן מוגבלים לתיקון, שאינם מספקים כל אינדיקציה היכן להתחיל במאמצי התיקון".

🩺 Read @Claroty #Team82’s analysis of the #cybersecurity trends and events impacting #healthcare and medical device security. Download the State of CPS Security Report: Healthcare 2023. https://t.co/NQis5AjAEl #ClarotyBeats pic.twitter.com/JixKIPhT7X

— Medigate by Claroty (@MedigateLtd) May 8, 2024

"שיא של גורמי חשיפה – מהווה סכנה ממשית ומיידית לארגונים"

עוד נתון מעלה כי 1.6% מהטכנולוגיות התפעוליות ומהמכשור הרפואי המחובר לאינטרנט מוגדרים כ"סיכון גבוה", עם חיבור אינטרנט לא מאובטח ולפחות פגיעות אחת ידועה שנוצלה כבר. החוקרים ציינו כי "זהו שיא של גורמי חשיפה, שהשילוב שלהם יחד מהווה סכנה ממשית ומיידית לארגונים. הנתון מייצג עשרות אלפי נכסי CPS בסיכון גבוה, שניתן לגשת אליהם מרחוק על ידי גורמי איום, ושהם מכילים נקודות תורפה המנוצלות באופן פעיל במרחב הסייבר".

מבין אותן טכנולוגיות תפעוליות ומכשירים רפואיים מחוברים בעלי סיכון גבוה במיוחד, ל-38% אין ציון CVSS של 9 ומעלה. המשמעות היא שהם אינם מטופלים באמצעות השיטות המסורתיות לניהול חולשות, ובה בעת הם מועדים, באופן מדאיג – לניצול על ידי גורמי איום ולכן יש להם סיכון גבוה להימצאות נקודה עיוורת.

אמיר פרמינגר, סגן נשיא למחקר בקלארוטי. צילום: קרן מזור

לדברי אמיר פרמינגר, סגן נשיא למחקר ב-Team82, "חשוב להבין את ההשלכות של כל מספר גבוה מאפס, כאשר מודדים את הסיכון הקשור לנכסים בעלי חשיפת יתר, המשמשים לשליטה במערכות כמו רשת החשמל או מתן טיפול מציל חיים לחולים".

לפי פרמינגר, "ארגונים חייבים לנקוט בגישה מוכללת לניהול חשיפה, המתמקדת בפצצות הזמן המתקתקות בסביבתם. גם אם הם ישלטו איכשהו במשימה הבלתי אפשרית של טיפול בכל פגיעות בעלת ציון CVSS של 9 ויותר – עדיין, הם יחמיצו כמעט 40% ממרבית האיומים המסוכנים ביותר לארגון שלהם".

בחברה ציטטו מחקר של גרטנר לפיו "גישות קודמות לניהול משטח התקיפה כבר לא עומדות בקצב הדיגיטלי – בעידן שבו ארגונים לא יכולים לתקן הכל, וגם לא יכולים להיות בטוחים לחלוטין איזה תיקון פגיעות ניתן לדחות בבטחה. ניהול חשיפה לאיומים מתמשכים (CTEM – ר"ת Continuous threat exposure management) היא גישה מערכתית פרגמטית ויעילה לחידוד מתמשך של סדרי עדיפויות, אשר מהלכת על החבל הדק בין שני הקצוות הבלתי אפשריים הללו".

גרנט גייר, מנהל מוצר ראשי בקלארוטי, הוסיף כי "נקיטה בגישה הממוקדת בראיית החולשות לא עוזרת לארגונים להתמקד במה שהכי חשוב ומשאירה את החשיפות האמיתיות, שיכולות לסכן את הבטיחות והזמינות של המערכות. הפחתת הסיכון דורשת התפתחות מתוכנית מסורתית לניהול חולשות – לתוכנית ניהול חשיפה ממוקדת ודינמית יותר, המתחשבת במאפיינים ובמורכבויות הייחודיות של נכסי CPS, באילוצים תפעוליים וסביבתיים ייחודיים וכן בסובלנות סיכונים ארגונית".