Per le traduzioni dei siti utilizziamo l'intelligenza artificiale e, sebbene ci sforziamo di essere accurati, non sempre le traduzioni sono precise al 100%. La vostra comprensione è apprezzata.
Home/
Blog
/
APT37, file LNK e il USB nei sistemi air-gapped…
APT37, i file LNK e il USB legato alle USB negli ambienti isolati
Di
OPSWAT
Condividi questo post
Informazioni recenti sull'APT37 hanno messo in luce la grave realtà secondo cui molte organizzazioni continuano a considerare le reti isolate fisicamente come impenetrabili, nonostante le prove dimostrino il contrario. Quando agli aggressori vengono negati i punti di accesso basati sulla rete, essi si orientano verso vettori fisici. Negli ambienti industriali, della difesa e delle infrastrutture critiche, tale vettore è quasi sempre costituito da supporti rimovibili.
USB rimangono indispensabili per operazioni quali l'aggiornamento del firmware, l'estrazione dei log, la manutenzione da parte dei fornitori e il trasferimento di file tecnici. L'utilizzo da parte di APT37 di file di collegamento LNK dannosi costituisce un esempio lampante di come questa superficie di attacco venga sfruttata con una complessità tecnica minima e un impatto operativo massimo.
Perché i file LNK rappresentano una grave minaccia per gli ambienti isolati
Un file LNK è un collegamento nativo di Windows. Il suo aspetto è indistinguibile da quello di una cartella o di un documento autentico, un dettaglio che un malintenzionato potrebbe sfruttare deliberatamente.
Nonostante la sua apparenza innocua, un file LNK compromesso è in grado di:
Avvio di PowerShell o di altri interpreti nativi del sistema
Esecuzione di script nascosti memorizzati sul dispositivo rimovibile
Esecuzione e attivazione di payload senza necessità di connettività esterna
Sfruttare le utilità affidabili del sistema operativo per eludere il rilevamento
Nessuno di questi percorsi di esecuzione richiede l'accesso alla rete, l'approvazione di una macro da parte dell'utente o la presenza di un file binario di malware autonomo. Ciò rende il collegamento stesso il meccanismo di diffusione della minaccia, il che può avere un impatto significativo all'interno di un ambiente isolato. Ad esempio, un operatore inserisce una USB , fa doppio clic su quello che sembra un normale documento tecnico e la compromissione ha inizio silenziosamente all'interno dell'ambiente locale, senza far scattare allarmi immediati.
La realtà operativa dei Media rimovibili
Il problema di fondo non è l'esistenza della tecnologia USB bensì la mancanza di regole che ne disciplinino l'uso. In molti ambienti OT, la situazione attuale evidenzia una grave lacuna in termini di controllo:
I supporti rimovibili vengono inseriti direttamente nelle postazioni di lavoro dedicate alla produzione e alla progettazione senza alcun controllo preliminare
I file vengono aperti senza che il loro contenuto venga sottoposto ad alcuna verifica
Non esiste una visione d'insieme centralizzata su quali dati siano stati trasferiti, quando e da chi
Le politiche relative ai tipi di file eseguibili, come i file LNK, EXE o di script, sono assenti o vengono applicate in modo non coerente
Gli autori di minacce più sofisticati non hanno bisogno di aggirare i controlli tecnici quando le prassi operative offrono loro una via libera. È proprio questa la differenza tra APT37 e altri attori simili che sfruttano attivamente tali vulnerabilità.
L'errore più pericoloso nella sicurezza OT è ritenere che l'isolamento fisico equivalga a protezione. In ogni ambiente di infrastrutture critiche in cui ho lavorato, i supporti rimovibili sono indispensabili dal punto di vista operativo, ed è proprio su questa necessità che fanno affidamento gli autori delle minacce. Quando un USB elude i controlli e raggiunge una postazione di lavoro tecnica, non si tratta più di un problema di rete. Si tratta delle conseguenze.
Itay Glick
Direttore generale, OT Security Hardware
Perché un Kiosk USB Kiosk un elemento di controllo fondamentale
Affidarsi al rilevamento degli endpoint solo dopo che un USB è stato inserito in un sistema di produzione rappresenta un approccio reattivo. Negli ambienti OT, un approccio di questo tipo rende troppo tardivo il contenimento di una violazione. L'approccio più efficace dal punto di vista operativo consiste nell'applicare un'ispezione dei contenuti prima che i supporti rimovibili raggiungano qualsiasi sistema di produzione.
Un chiosco USB è una soluzione che crea un punto di controllo obbligatorio e controllato tra l'ambiente esterno e il confine della rete OT/ICS. Poiché i supporti rimovibili vengono sottoposti a ispezione tramite una stazione di controllo adeguata prima dell'uso, ogni dispositivo è soggetto a:
Scansione antimalware con più motori per individuare le minacce note
Disattivazione e ricostruzione dei contenuti dei file per neutralizzare i contenuti attivi al loro interno
Applicazione delle politiche sui tipi di file per impedire l'introduzione nell'ambiente di formati non approvati
Ispezione a livello di dispositivo per valutare l'integrità del supporto stesso
Registrazione completa degli audit per garantire una tracciabilità completa di ogni trasferimento
Questa architettura separa fisicamente il processo di ispezione dai sistemi di produzione, garantendo che i contenuti ad alto rischio vengano neutralizzati prima che possano raggiungere qualsiasi risorsa operativa.
In che modo i chioschi informatici mitigano direttamente le catene di attacchi basate su LNK
Un flusso di lavoro del chiosco di scansione correttamente configurato considera di default i file LNK e gli artefatti simili in grado di essere eseguiti come oggetti ad alto rischio. Dal punto di vista operativo, ciò significa:
I file di collegamento e gli script vengono bloccati automaticamente in fase di controllo
I contenuti eseguibili vengono rimossi dai tipi di file approvati
Le strutture di comando sospette presenti all'interno dei file vengono individuate e neutralizzate
È consentito trasferire nell'ambiente OT solo i tipi di file espressamente autorizzati
Se un autore di minacce inserisce un payload dannoso all'interno di un file LNK, questo viene intercettato e neutralizzato prima ancora che il USB raggiunga una postazione di lavoro. Se la politica aziendale vieta del tutto i file di collegamento, questi vengono filtrati al chiosco e la catena di attacco viene interrotta prima ancora che possa avere inizio.
Protezione del perimetro fisico
Gli "air gap" garantiscono la massima sicurezza quando i controlli vengono applicati a livello fisico. Un chiosco USB offre alle organizzazioni:
Applicazione centralizzata delle politiche in tutte le strutture e i siti operativi distribuiti
Un'applicazione di controllo coerente che riduce la dipendenza dal giudizio individuale degli utenti
Visibilità operativa completa su tutte le attività relative ai supporti rimovibili
Documentazione pronta per la revisione contabile ai fini della conformità ai quadri normativi e di settore
Riduzione dell'esposizione al rischio per le postazioni di lavoro tecniche, i sistemi di sicurezza e altre risorse ad alto impatto
Ciò è particolarmente critico in contesti in cui un singolo endpoint compromesso può diffondere il problema e compromettere la continuità operativa, la sicurezza del personale o l'affidabilità della rete.
Il controllo prima dell'inserimento non è la pratica migliore. È l'unica pratica che colma il divario.
Itay Glick
Direttore generale, OT Security Hardware
In che modo OPSWAT Secure le Secure infrastrutture critiche
Gli ambienti isolati non vengono compromessi perché sono connessi, bensì perché i supporti rimovibili sono considerati affidabili per impostazione predefinita. Di fronte a campagne sofisticate e mirate contro le infrastrutture critiche, tale presupposto predefinito rappresenta un rischio che le organizzazioni non possono più permettersi di correre. Quando i supporti rimovibili fanno parte del flusso di lavoro operativo, le soluzioni Media delle periferiche e Media rimovibili OPSWAT offrono controlli multilivello in grado di colmare questa lacuna.
MetaDefender Kiosk™: Secure Media Secure al punto di ingresso
Per difendersi dai vettori di attacco USB, MetaDefender Kiosk funge da stazione di scansione fisica per salvaguardare le risorse aziendali. Si integra con soluzioni e tecnologie collaudate e leader del settore per ripulire i dati prima che entrino in ambienti critici. In combinazione con soluzioni come MetaDefender File Transfer™ (MFT) e MetaDefender Media , MetaDefender Kiosk ulteriori livelli di difesa che possono essere aggiunti per supportare trasferimenti di file sicuri e applicare le politiche di scansione.
MetaDefender Endpoint™: protezione pre-esecuzione e controllo dei dispositivi
MetaDefender Endpoint rafforza la sicurezza degli endpoint e fornisce protezione per i supporti periferici e rimovibili in ambienti critici. Rileva e blocca attivamente i dispositivi di memoria rimovibili fino a quando non vengono sottoposti a una scansione approfondita e verificati come puliti, prima di concedere loro l'accesso al sistema.
La convalida Media come ulteriore livello di difesa
OPSWAT soluzioni aggiuntive a supporto di una strategia di difesa a più livelli, volta a garantire una protezione multistrato attraverso la convalida dei supporti e l'applicazione di politiche di scansione e sanificazione.
MetaDefender Media Firewall è una soluzione hardware di facile utilizzo per proteggere i sistemi host critici dalle minacce veicolate dai supporti rimovibili. Funziona in combinazione con MetaDefender Kiosk livello fisico all'interno degli ambienti OT per garantire che nessun supporto rimovibile non sottoposto a scansione possa eludere i punti di ingresso.
MetaDefender Validation è uno strumento leggero che viene installato sugli endpoint e funge da punto di controllo per garantire che solo i file analizzati da MetaDefender Kiosk essere aperti, copiati, selezionati e consultati dall'endpoint.
Tecnologie all'avanguardia
Sia MetaDefender Kiosk MetaDefender Endpoint tecnologie collaudate e riconosciute a livello mondiale, come Metascan™ Multiscanning, che raggiungono tassi di rilevamento del malware del 99,2% grazie all’impiego di oltre 30 motori anti-malware. Inoltre, si avvalgono della tecnologia Deep CDR™ per rimuovere in modo proattivo i contenuti dannosi dai file senza comprometterne la funzionalità. Oltre a eseguire valutazioni delle vulnerabilità per identificare difetti noti del software nei supporti rimovibili e a fornire una solida protezione contro la fuga di dati sensibili, entrambe le soluzioni offrono una difesa approfondita e multistrato per le reti IT/OT contro le minacce provenienti da periferiche e supporti rimovibili.
Punti chiave per i dirigenti
APT37 non ha aggirato l'isolamento tramite air gap aggirando l'architettura di sicurezza della rete. Ha invece sfruttato le funzionalità del sistema operativo e i flussi di lavoro relativi ai supporti rimovibili, che rientrano interamente nell'ambito di controllo dell'organizzazione.
Per affrontare questa sfida, è necessario intervenire preventivamente, prima che l'esecuzione raggiunga l'endpoint, qualora i supporti rimovibili facciano parte del flusso di lavoro operativo. Nella maggior parte degli ambienti OT/ICS, è proprio così. Di conseguenza, devono essere sottoposti a una rigorosa regolamentazione, proprio come qualsiasi controllo del perimetro di rete:
Controllare prima dell'inserimento: nessun dispositivo dovrebbe arrivare a un sistema di produzione senza essere stato preventivamente sottoposto a screening
Registrazione prima del trasferimento: ogni interazione con i supporti dovrebbe generare una traccia verificabile
Intervenire prima dell'accesso: il rischio deve essere neutralizzato alla fonte, non individuato a posteriori
Per scoprire come OPSWAT aiutarti a neutralizzare le minacce provenienti da supporti rimovibili e periferiche prima che raggiungano il tuo ambiente critico, contatta oggi stesso un esperto.
Ricevete gli ultimi aggiornamenti sull'azienda OPSWAT , le informazioni sugli eventi e le notizie che fanno progredire il settore.
le notizie che fanno progredire il settore.
