The Marker - חזרה לעמוד הבית
חיפוש

"בקר מרושע": כאשר תוקף הופך בקר לכלי תקיפה

לראשונה פושעי סייבר משתמשים בבקרים כאמצעי תקיפה נגד תעשיות קריטיות. המטרה - לחדור לרשת הפנימית, או לפעול לרוחב בין מערכות ולקבל גישה לבקרים נוספים ולמערכות רגישות. כך ניתן להתמודד

שיתוף בוואטסאפ

הדפסת כתבה זמינה למנויים בלבד

ללא פרסומות ותמונות, ובהגשה נוחה להדפסה

לרכישת מינוי
תגובות:

קריאת זן זמינה למנויים בלבד

ללא פרסומות ובהגשה נוחה לקריאה

לרכישת מינוי
shutterstock
shutterstock
צילום: shutterstock
שרון בריזינוב
תוכן שיווקי

בקרים הנם מוקד להתקפות מתקדמות כנגד תעשיות קריטיות במשך למעלה מעשור, אולם מחקר חדש של צוות המחקר שלנו חשף, כי תוקפים יכולים להשתמש בהם גם ככלי תקיפה. טקטיקת תקיפה זו, שאנו מכנים "Evil PLC" ("בקר מרושע"), משתמשת בבקרים תעשייתיים – PLC (בקרים לוגיים מתוכנתים) - במטרה לנצל תחנות עבודה של מהנדסי הבקרים כדי לחדור עמוק לרשת התפעולית ולרשתות הארגוניות.

שרון בריזינוב | צילום: Docoart
שרון בריזינוב | צילום: Docoart
שרון בריזינוב | צילום: Docoart
שרון בריזינוב | צילום: Docoart

כאשר תוקף הופך בקר לכלי תקיפה, הוא משתמש בתחנת העבודה של המהנדס כמקור מידע וככלי גישה לכל שאר הבקרים ברשת. אחת השיטות היא לפתות את המהנדס להתחבר לבקר שנפגע על-ידי מצג של תקלה. המהנדס מגיב ומתחבר באמצעות יישום תחנת העבודה ומשם התוקף לוקח שליטה.

מאז ומתמיד, תוקפים ניסו לשלוט בבקרים כדי לשנות תהליכים, לגרום לשיבושים ולנזק פיזי ולאיים על הבטיחות האישית בתעשיות קריטיות דוגמת חשמל, מים ושפכים, תעשייה כבדה, ייצור ורכב. יישומי תחנות העבודה של מהנדסי הבקרים מהווים גשר בין רשתות טכנולוגיות תפעוליות לרשתות ארגוניות, דבר שמאפשר לתוקפים לנצל פגיעויות ולחדור לרשת הפנימית, או לפעול לרוחב בין מערכות ולקבל גישה לבקרים נוספים ולמערכות רגישות.

במחקר הצלחנו להדגים את מתקפת Evil PLC כנגד שבע פלטפורמות מיצרנים שונים וכל הפגיעויות שמצאנו היו בתוכנת תחנת העבודה ולא בקושחת הבקר. נקודות התורפה נוצרו מכיוון שהתוכנה נתנה אמון מלא בנתונים המגיעים מהבקר מבלי לבצע בדיקות אבטחה מקיפות.

כיצד מתמודדים עם Evil PLC?
מומלץ להגביל את הגישה הפיזית והרשתית לבקרים ככל האפשר. התקנים אלו אינם נדרשים להיות נגישים חיצונית או חשופים באינטרנט, אך גם גישה פנימית נדרשת להיות מוגבלת למהנדסים ולמפעילים מורשים בלבד. תהליך אבטחת החיבור לבקרי ה-PLC הוא ארוך ומייגע וכאשר הוא מיושם בצורה לא נכונה, הוא יכול להיות לא יעיל. לכן מומלץ לנקוט בצעדים הבאים:

* פילוח רשת והגבלת גישה: השלב הראשון הוא הגבלת הגישה על-ידי פילוח קפדני של הרשת. הרשאת גישה תינתן רק לקבוצה קטנה של תחנות עבודה של מהנדסים, דבר שיקטין את שטח התקיפה באופן ניכר.

* אותנטיקציה: חשוב להגדיר את בקר ה-PLC תוך שימוש במנגנון אותנטיקציה המאמת את זהות המשתמש והתחנה שלו. חלק מהספקים מיישמים פרוטוקולי תקשורת, במסגרתם רק קבוצה מסוימת ומוגדרת מראש של תחנות עבודה מסוגלות ליצור אינטראקציה עם הבקר, וזאת רק לאחר הצגת אישור.

* PKI: שימוש בתשתית ציבורית מלאה של מפתחות (PKI -Public Key Infrastructure) כדי לאמת ולהצפין את כלל התעבורה בין המשתמש, תחנת העבודה והשרת ובקר ה-PLC. אימות הדדי (TLS הדדי) מסייע לצמצם את סיכון הפריצה. עם זאת, PKI עדיין לא מיושם בקווי מוצרים רבים.

* ניטור תעבורת רשת: וקטור ההתקפה של Evil PLC כולל ביצוע נהלי הורדה והעלאה, אל או מתוך בקר ה-PLC. חשוב לעקוב אחר תעבורת הרשת התפעולית - אם הליך כזה יתרחש באופן בלתי צפוי, הדבר יכול להעיד על ניסיון תקיפה.

* הישארו מעודכנים: ככל שממשיכים לחקור את וקטור ההתקפה החדש הזה, יתגלו נקודות תורפה נוספות, כמו אלו שהוצגו לעיל, וספקים יתקנו את הפגיעויות הללו.

הכותב הוא ראש צוות מחקר Team82 בחברת קלארוטי (Claroty), המובילה באבטחת מידע למערכות סייבר-פיזיות במגזרי התעשייה, הבריאות והמסחר

חזרה למדור

Labels

תוכן שיווקי

    כתבות שאולי פספסתם

    שכונה חדשה בנתיבות

    "יש לי חשק לאיזו חסידות טובה": האזור בארץ שהולך ומתחרד

    טלי חרותי-סובר
    קניון אילון, כיום. תמהיל מוצלח

    האם מלכת הקניונים בדרך לאבד את הכתר?

    ירדן בן גל הירשהורן
    פרדס חנה 2026

    "הוותיקים מרגישים שהיישוב נהרס, אבל הקרקע שלהם שווה כיום 5 מיליון שקל"

    שלומית צור
    לומבוק אינדונזיה

    "מי שקנה פה לפני 20 שנה חצי דונם במאות דולרים, היום מוכר במאות אלפים"

    גילי מלניצקי
    רמי לוי

    רמי לוי: "בתוך 3 שנים נהיה בין חברות הנדל"ן הגדולות בארץ". ריאיון

    סימי ספולטר
    קו הרקיע של מיאמי, פלורידה

    "בישראל הייתי גר בקומה רביעית, בלי מעלית. פה יש לי בית של 500 מטר"