חוקרי Team82 של חברת הסייבר קלארוטי (Claroty) מתל אביב, חשפו בשיתוף עם חברת רוקוול אוטומציה (Rockwell Automation), שתי חולשות אבטחה חמורות במספר גרסאות של בקרי PLC ושל תוכנה לניהול תחנות עבודה הנדסיות, במערכות הבקרה התעשייתיות של רוקוול אוטומציה אשר נמצאות בשימוש נרחב בתעשייה.

שתי החולשות החמורות – אחת מהן זכתה לציון CVSS המקסימלי 10.0 והשנייה לציון 7.7  – אותרו על ידי חוקרי Team82 של קלארוטי בשעה שחיפשו חולשות מתוחכמות מהסוג של Stuxnet בפלטפורמת הבקרים הלוגיים של רוקוול. החולשות החדשות שנחשפו עלולות לאפשר לתוקפי סייבר להריץ קוד זדוני על הבקר, וכך לשנות את הלוגיקה של הבקרים ולשבש תהליכים קריטיים, וכל זאת מבלי שהמהנדסים העובדים על הפלטפורמה יוכלו לדעת על כך.

לדברי שרון בריזינוב, ראש צוות מחקר ב-Team82, קבוצת מחקרי הסייבר של קלארוטי: "תוקף סייבר המצליח להשיג יכולת לשנות את הלוגיקה של בקרי PLC יכול לגרום נזק ממשי, פיזי ממש, למפעלי ייצור ומתקני תשתית קריטית. הוא יכול לפגוע בפעילותן התקינה של קווי ייצור ושל התקנים רובוטיים, או חמור מכך, כפי שראינו במקרה של Stuxnet, לפגוע בצנטריפוגות להעשרת אורניום בלב מתקן גרעיני".

קלארוטי דיווחה על חולשות האבטחה החמורות לחברת רוקוול אוטומציה, אשר הגיבה במהירות ראויה לציון. החברה חשפה באופן מידי את חולשות האבטחה החדשות ללקוחותיה, ואף פיתחה כלי ייעודי ומתוחכם לזיהוי הבדלים בקוד בינארי וטקסטואלי, המאפשר ללקוחותיה לזהות ניסיונות עוינים להרצת קוד נסתר במערכות הבקרה שלהם. בנוסף, רוקוול אוטומציה פנתה ללקוחות במזכר מיוחד המפרט כיצד עליהם לפעול בהקדם, לצמצום הסיכון הנשקף מחולשות האבטחה החדשות שחשפו חוקרי Team82 של קלארוטי.

הפוסט חוקרי Team82 של קלארוטי הישראלית חשפו חולשות אבטחה חמורות בבקרי PLC של רוקוול אוטומציה הנמצאים בשימוש נרחב בתעשייה הופיע לראשונה ב-Chiportal.

גילויי חולשות אבטחה במערכות בקרה תעשייתית (Industrial Control Systems – ICS) גדלו ב-110% בארבע השנים האחרונות, עם עלייה של 25% במחצית השנייה של 2021 בהשוואה למחצית הראשונה של השנה. כך עולה ממחקר חדש שפרסמה היום קבוצת המחקר Team82 של קלארוטי, חברת האבטחה למערכות סייבר-פיזיות במגזרים תעשייה, בריאות וארגוני. חוקרי החברה חשפו עד היום 260 חולשות ICS.

דוח הסיכונים והחולשות הדו-שנתי הרביעי מצא גם כי חולשות ICS מתרחבות מעבר לטכנולוגיה התפעולית (Operational Technology – OT) לאינטרנט המורחב של הדברים (XIoT). במחצית השנייה של 2021, 34% מהחולשות השפיעו על נכסי IoT, IoMT ו- IT.

"ככל שיותר מערכות סייבר-פיזיות מתחברות לאינטרנט, הנגישות אליהן מהאינטרנט ומהענן דורשת מגורמי האבטחה להחזיק בזמן-אמת מידע שימושי על החולשות, בכדי ליידע על הסיכונים", אמר אמיר פרמינגר, סגן נשיא למחקר בקלארוטי. "הגידול בטרנספורמציה הדיגיטלית, בשילוב תשתיות ICS ו-IT, מאפשר לחוקרים להרחיב את עבודתם מעבר ל- OT ל- XIoT. אירועי סייבר בעלי פרופיל גבוה במחצית שנייה של 2021, כגון התוכנה הזדונית Tardigrade, החולשה Log4j ומתקפת הכופר על NEW Cooperative, מדגימים את השבריריות של רשתות אלה ומדגישים את הצורך בשיתוף פעולה בקהילת מחקר האבטחה, כדי לגלות ולחשוף נקודות תורפה חדשות."

ממצאים מרכזיים במחקר Team82:

• גילויי חולשות אבטחה במערכות בקרה תעשייתיות (ICS) גדלו ב-110% בארבע השנים האחרונות, מה שמשקף מודעות גדולה יותר לבעיה ומעורבות גבוהה יותר של חוקרי אבטחה בסביבות OT. 797 חולשות פורסמו במחצית השנייה של 2021, והן מייצגות עלייה של 25% מ-637 חולשות שהתגלו במחצית הראשונה של 2021.
  
  
• 34% מהחולשות שנחשפו משפיעות על נכסי IoT, IoMT ו- IT, והדבר יתבטא בכך שארגונים ימזגו IT, OT ו- IoT וינהלו את האבטחה בצורה מאוחדת. לאור זאת, בעלי נכסים ומפעילים חייבים לקבל תמונת מצב יסודית של הסביבות המנוהלות כדי להפחית חשיפה לחולשות.
  
  
• 50% מהחולשות נחשפו על ידי חברות צד שלישי ורובן התגלו על ידי חוקרים בחברות אבטחת סייבר. חוקרים אלו שינו את המיקוד שלהם, כך שיכלול גם מערכות בקרה תעשייתיות לצד מחקר אבטחת IT ו- IoT. 

• חולשות שנחשפו במחקרים פנימיים של ספקים, גדלו ב -76% בארבע השנים האחרונות. נתון זה מצביעעל תעשייה מתבגרת ומשמעת לגבי מחקר חולשות, שכן ספקים מקצים משאבים רבים יותר לאבטחת המוצרים שלהם.
  
• 87% מהחולשות הן בעלות מורכבות נמוכה, כלומר אינן דורשות תנאים מיוחדים כך שהתוקף יכול לצפות להצלחה חוזרת בכל פעם שיתקוף. 70% מהחולשות אינן דורשות הרשאות מיוחדות לפני שמאפשרות ניצולן בהצלחה, ו-64% מהחולשות אינן דורשות אינטראקציה עם המשתמש.
  
• 63% מהחולשות שנחשפו עשויות להיות מנוצלות מרחוק באמצעות וקטור התקפה ברשת. זה מצביע על הצורך בפתרונות מאובטחים לגישה מרחוק, שהואצה עקב מגפת הקורונה.

• 53% מחולשות האבטחה שהתגלו, מאפשרות יישום קוד מרחוק, ואחריהן מניעת שירות (42%), עקיפת מנגנוני הגנה (37%), ואפשרות לקרוא נתוני יישומים (33%).

• הפתרון המומלץ ב-21% מחולשות האבטחה שהתגלו הוא פילוח הרשת, ואחריו התקנת תוכנות להגנה מפני התקפות כופר, דיוג וספאם (15%) והגבלת תנועה (13%).

המחברת הראשית של הדו"ח היא חן פרדקין, חוקרת אבטחה ב- Team82. תרמו לדוח חברי צוות Team82 רותם מסיקה, ראש צוות מחקר אבטחה; נדב ארז, מנהל תחום חדשנות; שרון בריזנוב, ראש צוות מחקר חולשות ואמיר פרמינגר, סגן נשיא למחקר בקלארוטי.

הדו"ח מהווה ניתוח מקיף של נתוני חולשות במערכות בקרה תעשייתיות שאספו חוקרי Team82, בשילוב נתונים ממקורות כמו מסד הנתונים הלאומי לחולשות אבטחה (NVD), צוות תגובת החירום של מערכות בקרה תעשייתיות (ICS-CERT), ה-MITRE ו-CERT@VDE, וספקי האוטומציה התעשייתית שניידר אלקטריק וסימנס.

הפוסט גידול של 110% בגילוי חולשות במערכות בקרה תעשייתיות בארבע השנים האחרונות הופיע לראשונה ב-Chiportal.

חברת הסייבר הישראלית-גלובלית קלארוטי (Claroty), הודיעה היום על סגירת סבב גיוס E בסכום של 400 מיליון דולר וחתימה על הסכם לרכישת חברת מדיגייט (Medigate) הישראלית, המובילה בתחום אבטחת התשתיות הקריטיות עבור בתי חולים, כולל מכשור רפואי בפרט והאינטרנט של הדברים (IoT) בכלל. הסבב הנוכחי מביא את סך הגיוסים של קלארוטי ל-635 מיליון דולר, מה שהופך אותה לחברת אבטחת הסייבר שגייסה את סכום הכסף הגדול ביותר במגזרי התעשייה, הבריאות וה-IoT הארגוני ^[1]. רכישת מדיגייט הינה צעד נוסף בחזון של קלארוטי לאבטח את כל המערכות הפיזיות המחוברות לרשת במגזרי התעשייה, הבריאות ובסביבות ארגוניות – האינטרנט המורחב של הדברים (the Extended Internet of Things – XioT).

את הסבב הובילו במשותף SoftBank Vision Fund 2, המשקיעה בקלארוטי לראשונה, והמשקיעים הקיימים Bessemer Venture Partners ושניידר אלקטריק. משקיעים קיימים של קלארוטי, כולל Team8, ISTARI (פלטפורמת אבטחת סייבר גלובלית שהקימה Temasek), ו-Standard Investments (לשעבר North 40) השתתפו אף הם בסבב הגיוס.

בעקבות ההשקעה, ראש המוסד היוצא יוסי כהן, מנהל פעילות ההשקעות של SoftBank בישראל, הצטרף לדירקטוריון של קלארוטי. לדבריו – "יוזמות של טרנספורמציה דיגיטלית מניעות כיום את המערכות הפיזיות החיוניות שאנו מסתמכים עליהן לצרכים האנושיים הבסיסיים ביותר. לכן אבטחת מערכות אלה עוסקת, בסופו של דבר, בהפחתת סיכונים לחיי אדם. הטכנולוגיה של קלארוטי מספקת מענה לבעיה בעלת סיכון גבוה ומאפשרת טרנספורמציה דיגיטלית בטוחה, ואנו להוטים לשתף פעולה עם הצוות שלה במסע להגנה על התשתיות הקריטיות שמהוות את הבסיס למהפכת ה-AI".

יניב ורדי, מנכ"ל קלארוטי: "החיבור של המערכות הפיזיות לרשת בתעשיות הייצור, הבריאות, האנרגיה ואחרות, אמנם מקנה יתרון תחרותי משמעותי מבחינת גמישות וזריזות תפעולית, אך הוא גם מגדיל את החשיפה שלהן לאיומי סייבר בעלי השלכות משמעותיות על בטחון הציבור, הסביבה והכלכלה. השילוב של המומחיות העמוקה והטכנולוגיות הייחודיות של מדיגייט וקלארוטי בפלטפורמה אחת, מהווה קפיצת מדרגה ענקית במשימה שלנו לאבטח את העולם המתפתח תמידית של ה-IoT. אנו צופים לעתיד שבו העולם הפיזי וכל החברות בו המחברות את המכשירים הקריטיים לרשת, בין אם זה בקר בעולם התעשייה או מוניטור רפואי, יתמכו בחיים שלנו, כאשר הם מחוברים ביניהם בצורה בטוחה. קלארוטי תספק מערכת אבטחה כוללת למערכות-פיזיות-מחוברות במגזרי התעשייה, הבריאות ובסביבות ארגוניות – האינטרנט המורחב של הדברים (XioT). עם תמיכה פיננסית חזקה מהפירמות הנחשבות בעולם, יש לנו את המשאבים הדרושים כדי להוביל ולהפוך חזון זה למציאות".

יונתן לנגר, מייסד-שותף ומנכ"ל חברת מדיגייט: "אנו בנינו את פלטפורמת האבטחה הראשונה הממוקדת ב-IoT במגזר הבריאות. הפלטפורמה שנבחרה ב-2021 לטובה מסוגה בדוח KLAS Software & Services, מאפשרת לספקי שירותי בריאות לספק טיפול בטוח בסביבה דיגיטלית. הצטרפותנו לקלארוטי מבטיחה ללקוחותינו, לא רק את ההגנה הטובה ביותר לציוד הרפואי המחובר שלהם, אלא גם לטווח רחב של נכסי IoT תעשייתיים הנמצאים ברשתות שלהם, וזאת ללא הצורך לחבר בין כלים נפרדים".

נדב צפריר, מייסד ומנכ"ל Team8: "תחום הסייבר הפיזי מייצג חלק גדול וקריטי ביותר מהכלכלה העולמית, ואנו מתכוונים להוביל אותו. הקמנו את קלארוטי ב-Team8 מתוך חזון גדול ועל בסיס התהליך הייחודי שלנו לבניית חברות במטרה לייצר את החברה המובילה בקטגוריה שלה, ורכישת מדיגייט מהווה ציון דרך משמעותי במסע הזה. המהלך של קלארוטי לאבטחת תחום הבריאות, בהמשך לסבב הגיוס האחרון שלה, מחזק אף יותר את מעמדה כפלטפורמת אבטחת הסייבר התעשייתית המובילה בעולם, עבור ארגונים במגוון רחב של ענפים".

לפי חברת המחקר גרטנר, "עם הזמן, טכנולוגיות העומדות בבסיס התשתיות הקריטיות הפכו ליותר דיגיטליות ומחוברות – גם למערכות IT ארגוניות וגם זו לזו – ובכך הן יוצרות מערכות סייבר-פיזיות משולבות (CPS – Cyber-Physical Systems). מערכות אלה מורכבות משילוב של תשתיות מדור קודם, שהותקנו לפני שנים ללא אבטחה מובנית, ומנכסים חדשים שגם הם מלאים בנקודות תורפה. התוצאה הייתה עלייה משמעותית במשטח התקיפה של האקרים מכל הסוגים, וכך המערכות המשולבות (CPS) שעומדות בבסיס רוב התשתיות הקריטיות, נמצאות תחת התקפה גוברת^[2]". לדוגמה, במגזר הבריאות בלבד, מחלקת הבריאות ושירותי האנוש הפדרלית של ארה"ב תיעדה 82 אירועים של מתקפת כופרה בין ה-1 בינואר ל-25 במאי 2021.

אבטחת מערכות סייבר-פיזיות משולבות מהווה אתגר גדול במיוחד במגזר הבריאות, עקב ריבוי התקני IoT ו-IoMT המתחברים לרשתות בתי חולים – למעשה, 82% ממערכות הבריאות דיווחו כי חוו מתקפת סייבר של IoT ב-18 החודשים האחרונים. בנוסף, מעבר לתשתית קריטית, ארגונים מכל הסוגים מסתמכים יותר ויותר על CPS להפעלת מערכות ניהול בניינים (BMS), מצלמות מעקב, מערכות חימום, אוורור ומיזוג (HVAC) ותהליכים פיזיים רבים אחרים.

גרטנר צופה כי "עד שנת 2024, 80% מארגוני התשתית הקריטיים ינטשו את ספקי פתרונות האבטחה הקיימים שלהם על מנת לגשר בין סיכוני סייבר-פיזי ו-IT על ידי אימוץ פתרונות אחודים".

^[1] Sourced via internal company analysis of Crunchbase data.

^[2] Gartner, Predicts 2022: Cyber-Physical Systems Security — Critical Infrastructure in Focus, Katell Thielemann, Wam Voster, Barika Pace, Ruggero Contu, Richard Hunter, 17 November 2021.

הפוסט אקזיט כל-ישראלי: קלארוטי רוכשת את חברת Medigate הישראלית הופיע לראשונה ב-Chiportal.

עולם האבטחה התעשייתית קיבל אמש (שלישי בלילה) עדכון חשוב ביותר, כאשר חוקרים מ-Team82 של קלארוטי ומ-JFrog, שתי חברות ישראליות, דיווחו כי מצאו 14 חולשות אבטחה חדשות ב-BusyBox, שזכתה לכינוי "האולר השווייצרי של מערכות לינוקס משובצות". BusyBox היא חבילת תוכנה של כלי עזר לסביבת Unix, הנמצאת בשימוש נרחב להרצת בקרי PLC נפוצים, ממשקי אדם-מכונה, ויחידות מסוף מרוחקות – אשר רבים מהם פועל על לינוקס.

החוקרים מ-Team82 של קלארוטי ומ-JFrog דיווחו על כל החולשות באופן פרטי ל-BusyBox, אשר נתנה מענה מהיר וחסמה את כולן בגרסה 1.34.0 ששוחררה ב-19 באוגוסט (מדובר בחולשות CVE-2021-42373 עד CVE-2021-42386).

לדברי החוקרים, חברות שלא יעדכנו לגרסה החדשה של BusyBox עלולות לחוות התקפות מניעת שירות (DoS) ובמקרים נדירים יותר, חולשות אבטחה מסוג זה עלולות להוביל גם לדליפות מידע והרצת קוד זדוני מרחוק.

לדוח המלא של חוקרי JFrog ו-Team82 של קלארוטי

הפוסט קלארוטי ו-JFrog הישראליות חושפות 14 חולשות אבטחה חדשות ב-BusyBox הופיע לראשונה ב-Chiportal.

לאחרונה, אנחנו עדים לעלייה בהיקף הפריצות של האקרים למאגרי מידע ודליפות של פרטים אישיים של משתמשים רבים ברחבי העולם. מצב זה מעורר דאגה גם מפני שטכנולוגיות רבות משתמשות בטביעות האצבע שלנו כדי לאפשר לנו לבצע פעולות מסוימות, החל מהפעלת המחשב האישי ועד לבקרת הכניסה במשרד. עם כל הנוחות שבעניין, ככל שהשימוש בטביעות אצבע גובר, כך גוברת פעילות זיוף טביעות האצבע. באמצעות תוכנות זיוף מתוחכמות, עבריינים כבר מצליחים להשתמש בחלקי נתונים ביומטריים בצורה מושלמת, כזו שאיש לא יחשוד בה. במטרה להתמודד עם עבריינות עתידית, החלו לפתח במכון לכימיה את תחום "המדע הפורנזי היוזם", שבבסיסו ההנחה שהמדע הפורנזי יעזור יותר למלחמה בפשע, מפני שהוא מסוגל לחזות את המהלכים הצפויים של העבריינים באמצעות כלים פורנזיים קיימים.

מחקר חדש שהתפרסם לאחרונה בכתב העת Journal of Forensic Sciences לוקח את המדע הפורנזי צעד אחד קדימה ומנסה לנבא כיצד עבריינים יזייפו טביעות אצבע בעתיד במטרה למנוע זאת. המחקר נערך על-ידי פרופ' יוסף אלמוג ופרופ' דניאל כהן מהאוניברסיטה העברית, יחד עם פרופ' כריסטוף שמפו והדוקטורנט מישל שגיא מאוניברסיטת לוזאן שבשוויץ. צוות החוקרים ניסה לאמץ צורת מחשבה של זייפנים ומצא כי ניתן לתכנן חומרים מתוחכמים, המכונים פולימרים, לזיוף טביעות אצבעות, אשר נמצאו כיעילים באופן ניכר מחומרים המשמשים לכך כיום וניתנים לגילוי על-ידי קוראים חכמים. החומרים החדשים התגברו על 3 מתוך 4 הקוראים החכמים שנבדקו.

לטענת המומחים, עם הופעתה של טכנולוגיה חדשה כלשהי לאבטחת מידע, העבריינים המתוחכמים כבר יחפשו דרך לעקוף אותה. בתחום טביעות האצבע, ניתן לעשות זאת על-ידי תכנון מושכל של פולימרים, שמחקים את תכונות העור שלנו, כדי להתגבר על הקוראים החכמים שלא יצליחו לזהות שמדובר בחומר זר. "במטרה לחזות שיטות זיוף עתידיות, ביצענו תכנון פולימרים שיהיו יותר דומים לעור אדם מבחינת המבנה הכימי שלהם מאשר פולימרים הנפוצים כיום לזיוף טביעות אצבע",מסביר פרופ' כהן. הכנת החומרים בוצעה במעבדה, כאשר נלקחו בחשבון המבנה הכימי והתכונות הפיזיקליות של העור האנושי במטרה לפתח יכולת להתגבר גם על הקוראים המתוחכמים ביותר.

"המחקר הראה שכבר עכשיו ניתן לפתח חומרים יעילים יותר לזיוף טביעות אצבע, ומן הסתם, זה מה שיעשו העבריינים בדור הבא של הזיופים. להערכתנו, ראוי ליידע את הקהילה הבינלאומית של סוכנויות אכיפת החוק כדי להתכונן מראש ולפתח קוראים טובים יותר", מדגישים החוקרים. המדע הפורנזי היוזם יכול לסייע לגורמי אכיפת החוק למנוע פשעים מסוגים אחרים ולא רק זיופי ביומטריה. למשל, ניבוי הדור הבא של סמים אסורים שאינם מכוסים בפקודת הסמים. פרופ' אלמוג מסכם כי "אנחנו יכולים להימצא צעד אחד לפני העבריינים. אם אנחנו נדע מה הם יכולים לעשות, נוכל לפתח כלים להתגבר על התופעה עוד לפני שהיא נוצרת בשטח".

הפוסט צעד אחד לפני העבריינים: הסוף לזיוף טביעות אצבע? הופיע לראשונה ב-Chiportal.

קלארוטי (Claroty), החברה הישראלית גלובלית לאבטחת סייבר תעשייתי, הודיעה היום על אינטגרציה חדשה בין פתרון זיהוי האיומים המתמשך שלה CTD (Continuous Threat Detection) לבין הפתרון FactoryTalk^® AssetCentre של חברת רוקוול אוטומציה (Rockwell Automation). האינטגרציה מגבירה את יכולתם של לקוחות משותפים לאתר, להגן ולנהל באופן אוטומטי את הטכנולוגיה התפעולית (OT), האינטרנט של הדברים (IoT) וה-IoT התעשייתי (IIoT) ברשתות התעשייתיות שלהם.

הפתרון המשותף משלב בין יכולות הנראות של ה-CTD בסביבות OT ליכולות ניהול הנתונים של AssetCentre  ומאפשר להפוך את מלאי הנכסים התעשייתיים לאוטומטי, יעיל וממורכז. הוא משלב את יכולות ההערכה והקורלציה של סיכונים וחולשות של CTD, עם יכולת הגיבוי והשחזור של AssetCentre עבור רשתות תעשייתיות, וכולל אפשרויות פריסה גמישות מאוד באתר הלקוח, בענן, ובתצורה היברידית.

"נכסים תעשייתיים קריטיים רבים נמצאים בסיכון בשל היכולות המוגבלות של ארגונים בתחומי ניהול המלאי, קורלציה בין סיכונים לחולשות, וגיבוי נכסים", אמר גרנט גאייר, מנהל המוצר הראשי של קלארוטי. "הנראות היא הבסיס לכל תוכנית ניהול סיכונים בתעשייה. עם פתרון זה, ארגונים עתירי נכסים יכולים להיות בטוחים שמלאי נכסי ה-OT שלהם מוגן מפני מגוון סיכוני אבטחת סייבר והמשכיות עסקית, המאיימים על עמידות הארגון הדיגיטלי המקושר של ימינו."

CTD Connector for AssetCentre – יכולות ויתרונות מרכזיים:

• מרחיב את יכולות הנראות של CTD – עם מלאי נכסי OT מרכזי ואוטומטי לחלוטין בכל סביבת ה-OT.
• מגן על הנכסים הקריטיים ביותר – ומסייע למזער את זמן ההשבתה על ידי הערכה רציפה של סיכונים וניטור חולשות, תוך התאמה אוטומטית של מידע זה עם הנכסים בסביבות OT, כדי לספק הנחיות מותאמות לתיקון כל הסיכונים והחולשות המשפיעים על נכסים אלה.
• מרחיב את הכיסוי להתאוששות מאסון  על ידי חשיפת נכסים קריטיים שאינם כלולים בתוכנית ההתאוששות מאסון, ומאפשר למשתמשים להוסיף נכסים אלה ולאמת גיבוי נכסים.
• מגביר את היעילות והאפקטיביות של יוזמות ממשל, סיכון ותאימות – על ידי מתן גישה מרוכזת, ניהול יעיל ודיווח המניע-לפעולה על כל נתוני הנכסים, הסיכונים והחולשות.

"התעוזה הטכנית המגולמת בשילוב של Claroty CTD ו-Rockwell FactoryTalk AssetCentre מעניקה ללקוחות נראות לנכסי ה-OT שלהם, ולפגיעויות ולסיכונים העומדים בפני נכסים אלה, כמו גם ביטחון מלא כי כל הנכסים הקריטיים מגובים", אמר  ג'ייסון (JP) רייט, מנהל תכנון דיגיטלי ויישומי וירטואליזציה ברוקוול אוטומציה. "באמצעות ניראות רבה יותר של נכסי OT והגנה עליהם, ארגונים יכולים לשפר את זמן הפעילות, הפרודוקטיביות, איכות העבודה, בטיחות העובדים והתאימות לרגולציה."

הפוסט קלארוטי הישראלית ורוקוול אוטומציה חושפות אינטגרציה חדשה לאבטחת הנכסים הקריטיים ביותר ברשתות תעשייתיות הופיע לראשונה ב-Chiportal.

חוקרי Team82 של חברת הסייבר התעשייתי קלארוטי (Claroty) מתל אביב, חשפו שלוש חולשות אבטחה חמורות במערכת הבקרה התעשייתית של תאגיד Honeywell האמריקאי, מסוג Experion PKS (Process Knowledge System).

החולשות החמורות – אשר זכו לציון CVSS המקסימלי 10.0 – עלולות לאפשר לתוקף לשנות ספריית רכיבי בקרה (CCL) ולטעון אותה לבקר באופן שיגרום לו להריץ קוד זדוני. תוקף יכול גם לנצל את החולשות כדי להריץ קוד מקור במערכת, לשנות ערכי תהליך או לשבש תהליכים קריטיים, וכן לבצע התקפות מניעת שירות (DoS). החולשות משפיעות על כל הבקרים והסימולטורים מסדרות C200, C200E, C300 ו-ACE של Honeywell.

את המחקר לחשיפת החולשות הוביל חוקר האבטחה רעי הניגמן יחד עם נדב ארז, מנהל החדשנות ב-Team82, קבוצת מחקרי הסייבר של קלארוטי. לדבריהם, ספריית רכיבי בקרה (CCL) היא ספריה הנטענת לבקר כדי לבצע פונקציות ספציפיות. "אפשר לחשוב על ספריות CCL כהרחבות המאפשרות למפתחים להשתמש ביכולות ספציפיות בעזרת פונקציות חיצוניות שאינן נתמכות על ידי הספרייה הרגילה. בעת עיבוד קבצי CCL לא מתבצע אימות אבטחה, כגון בדיקת חתימות או בדיקה של שמות הספריות. כתוצאה מכך, תוקף יכול לתקוף את הבקרים ולהעלות אליהם קבצים זדוניים".

יתרה מכך, במהלך המחקר מצאו חוקרי האבטחה כי במקרים מסוימים קבצי CCL שנשלחים למכשירי קצה מתחילים לרוץ באופן מידי, מבלי שבוצעה שום בדיקת אבטחה. הפרוטוקול לא דורש שום אימות שיוכל למנוע ממשתמשים בלתי מורשים לבצע פעולות הורדה. כתוצאה מכך, כל תוקף יכול להשתמש בפונקציונליות ההורדה של הספרייה כדי להריץ מרחוק קוד ללא אימות.

קלארוטי דיווחה ל- Honeywell על חולשות האבטחה החמורות, וזו הגיבה במהירות ראויה לציון עם מספר עדכונים וטלאי אבטחה (patch) הזמינים לכל הגרסאות הרלוונטיות של Experion PKS. החברה הוסיפה חתימה קריפטוגרפית לספריות רכיבי בקרה (CCL) ופיתחה עדכוני תוכנה לשרתים ותיקונים מתבקשים עבור קושחת הבקר. בנוסף, Honeywell פנתה ללקוחותיה במזכר מיוחד המפרט כיצד עליהם לפעול לצמצום הסיכון הנשקף מחולשות האבטחה החדשות.

הפוסט חוקרי Team82 של קלארוטי הישראלית חשפו חולשות אבטחה חמורות בבקריים התעשייתיים של Honeywell הופיע לראשונה ב-Chiportal.

חוקרים של חברת הסייבר התעשייתי קלארוטי (Claroty) מתל אביב, חשפו חולשת אבטחה חמורה בסדרת הבקרים העדכנית של סימנס SIMATIC S7 1200/1500, הנמצאים בשימוש נרחב בתעשייה.
חולשה זו מאפשרת לתוקפים להחדיר קוד בצורה סמויה, שאיננה ניתנת לזיהוי, לתוך מערכת ההפעלה של הבקר. מדובר ביכולת מאוד מתקדמת שנחשבת ל"גביע הקדוש" של האקרים, ואשר הושגה עד עתה רק במקרים בודדים, שאחד מהם הוא Stuxnet.

יתרה מכך, החולשה החדשה והיכולת לנצל אותה היו עלולות לאפשר לתוקפים יכולות יותר מתקדמות אפילו מהמקרה של Stuxnet – כולל היכולת להשתיל על הבקר וירוס/תולעת שמצד אחד ישבשו פעילות (למשל של צנטריפוגות) ובאותה העת יוציאו למהנדסים דיווחי סרק המציגים חיווי של "סטטוס תקין" כביכול בכל המערכות.

לצוות המחקר של קלארוטי לא ידוע על אף מקרה של ניצול חולשה זו עד כה. בתגובה לזיהוי החולשה על ידי קלארוטי, סימנס עדכנה את הקושחה של בקרי ה-PLC החשופים (SIMATIC S7-1200/1500) וכעת היא קוראת לכל המשתמשים לעדכן בהקדם את בקרי ה-PLC שלהם לגרסאות הנוכחיות, ומדווחת להם על כל הפרטים החיוניים בקישור הבא.

חשיפת החולשה התאפשרה הודות לקשר הקרוב בין סימנס וקלארוטי, אשר בנוסף לגילוי חולשות על ידי צוות המחקר של קלארוטי באופן שמגביר את חסינות הסייבר של מוצרי סימנס, הוא תורם רבות גם לרמת האבטחה הכוללת של האקוסיסטם התעשייתי. התיאום בין סימנס לקלארוטי כולל חילופי פרטים טכניים, טכניקות התקפה, ועצות להפחתת סיכונים אשר עזרו, בין היתר, בבניית עדכון האבטחה שסימנס פרסמה בתגובה לחולשה האחרונה.

הפוסט חוקרים של קלארוטי חשפו חולשת אבטחה חמורה בבקרי PLC של סימנס הנמצאים בשימוש נרחב בתעשייה הופיע לראשונה ב-Chiportal.

Claroty (קלארוטי), חברת אבטחת הסייבר התעשייתי מקבוצת Team8, המתמחה בתחום אבטחת הטכנולוגיה התפעולית (Operational Technology – OT), הודיעה היום על שיתוף פעולה עם צ'ק פוינט, ספקית גלובלית מובילה של פתרונות אבטחת סייבר. הברית בין החברות מעניקה לארגונים ולמפעילי תשתיות קריטיות, אבטחה ונראות בזמן אמת הנדרשים להגנה על רשתות OT ומערכות בקרה תעשייתית (ICS) מפני מתקפות סייבר.
צ'ק פוינט השיקה לאחרונה את פתרון Internet of Things (IoT) Protect , המונע התקפות סייבר של IoT על ידי התאמת הגנות לכל מכשיר IoT או OT בסביבות של משרד חכם, בניין חכם, סביבות רפואיות ותעשייתיות. כשותפה טכנולוגית של צ'ק פוינט, קלארוטי תומכת בגילוי ובסיווג של מכשירי OT במגוון ענפי תעשייה, ובכך מעניקה ללקוחות צ'ק פוינט פתרון אבטחה משולב מקצה לקצה.

"אנו שמחים לשלב את קלארוטי בתוכנית IoT Protect Discovery של צ'ק פוינט", אמר ראס שפר, מנהל מוצר בצ'ק פוינט. "השילוב של הפתרון לזיהוי איומים מתמשכים של קלארוטי (CTD) ופתרון מניעת האיומים IoT Protect של צ'ק פוינט, מספק ללקוחות התעשייתיים את הנראות, האבטחה והאוטומציה הנדרשים להגנה על רשתות מפני איומי IoT."

עמנואל סלמונה, סמנכ"ל שותפויות גלובליות בקלארוטי, אמר כי "צ'ק פוינט היא מספקיות הפיירוול המבוססות ביותר, עם מיצוב ונתח שוק משמעותיים, ולכן שותפות זו פותחת עבורנו ערוץ חשוב לשוק ואנחנו נרגשים מההזדמנות להרחיב יחד אתם את ההיצע הטכנולוגי שלנו."

השותפות בנויה על אינטגרציה בין פתרון זיהוי האיומים של קלארוטי (CTD – Continuous Threat Detection) ופתרון ה- IoT Protect של צ'ק פוינט. התראות האבטחה של פלטפורמת קלארוטי נשלחות ל-Manager IoT Protect Controller של צ'ק פוינט, אשר קובע את מדיניות האבטחה שנאכפת באמצעות Quantum Security Gateways של צ'ק פוינט. דוח אבטחה מאוחד מאפשר לארגונים לראות כל איום על יישום, תהליך או רשת, ומספק נראות מלאה של הארגון ורשתות הבקרה.

קלארוטי משפרת את הזמינות, הבטיחות והאמינות של נכסי ה-OT ורשתות ה-OT במפעלים תעשייתיים ובתשתיות קריטיות. שלא כמו פתרונות נישה – המוגבלים לגילוי OT פסיבי בלבד, גישה מרחוק מבוססת VPN, או פלטפורמות IoT שאינן נותנות מענה מלא לכל צורכי ה-OT – הפלטפורמה של קלארוטי מספקת נראות OT מקיפה, פילוח, ניהול פגיעויות, זיהוי איומים, הערכת סיכונים ויכולות לאבטחת הגישה מרחוק (SRA – Secure Remote Access) וכל זאת במסגרת פתרון אחד, נטול סוכן. פתרון זה נתמך בצוות מחקר אבטחת ה-OT של קלארוטי ומערך האינטגרציה הרחב שלה.

הפוסט צ׳ק פוינט תשתף פעולה עם חברה המתמחה בIoT תעשייתי הופיע לראשונה ב-Chiportal.