Teknoloji

Kaspersky, endüstriyel sektörlerde APT saldırılarını tetikleyen en önemli faktörleri belirledi

İnsan faktörü, yetersiz güvenlik önlemleri, siber güvenlik çözümlerinin güncellenmesi ve yapılandırılmasıyla ilgili zorluklar ve diğer unsurlar, Gelişmiş Kalıcı Tehdit (APT) operasyonlarının başarısına katkıda bulunan temel koşullar arasındadır. Bu nedenlerden bazıları önemsiz görünse de, Kaspersky uzmanlarının olay müdahale faaliyetleri sırasında sıklıkla karşılaştığı sorunların tam ortasında yer alır. Kaspersky ICS CERT uzmanları, şirketlerin ilgili tehditleri azaltmasına ve en iyi uygulamaların takip edilmesini sağlamasına yardımcı olmak için yaygın sorunların bir listesini derledi.

Operasyonel Teknoloji (OT) ağ yalıtımı eksikliği

Vaka çalışmaları sırasında Kaspersky uzmanları, Operasyonel Teknoloji (OT) ağını farklı ve inandırıcı tutmanın zorluklarına tanık oldu. Örneğin, hem normal BT ağına hem de OT ağına bağlı mühendislik iş istasyonları gibi makineler vardır.

Kaspersky Endüstriyel Kontrol Sistemleri Siber Acil Müdahale Ekibi Başkanı Evgeny Gonçarov, “OT ağının izolasyonunun yalnızca ağ ekipmanının konfigürasyonuna bağlı olduğu durumlarda, deneyimli saldırganlar her zaman bu ekipmanı kendi avantajlarına olacak şekilde yeniden yapılandırabilir. Örneğin, kötü amaçlı yazılım trafiğini kontrol etmek için proxy sunuculara dönüştürülebilir veya kötü amaçlı yazılımı depolamak ve izole olduğuna inanılan ağlara dağıtmak için kullanılabilir. Bu tür art niyetli faaliyetlere çok kez tanık olduk”söz konusu.

İnsan faktörü, siber suç faaliyetlerinin itici gücü olmaya devam ediyor

Çalışanlara veya yüklenicilere OT ağlarına erişim izni verilirken, bilgi güvenliği önlemleri genellikle göz ardı edilir. Başlangıçta kesintili olarak kurulan TeamViewer veya Anydesk gibi uzaktan yönetim araçları fark edilmeden etkin kalabilir. Ancak, bu kanalların saldırganlar tarafından kolayca kullanılabileceğini unutmamak önemlidir. Kaspersky, 2023’te bir sözleşmeli çalışanın kendisine birkaç yıl önce yasal olarak tanınan ICS ağı uzaktan erişiminden yararlanarak sabotaj girişiminde bulunduğu bir olayı araştırmıştı.

Bu hikaye, insan faktörünü dikkate almanın değerini göstermektedir. Çünkü potansiyel olarak mutsuz çalışanlar iş sorunları, gelir memnuniyetsizliği veya politik motivasyonlar nedeniyle siber hatalar yapabilir. Böyle bir durumda olası bir analiz, sıfır inanç yaklaşımı olacaktır. Sistem içerisindeki kullanıcıya, cihaza ve uygulamaya güvenilmediğini varsayan bir kavramdır. Diğer sıfır inanç çözümlerinden farklı olarak Kaspersky, sıfır inanç yaklaşımını KasperskyOS tabanlı çözümlerle işletim sistemi düzeyine genişletiyor.

 

OT varlıklarının yetersiz korunması

Olay analizi sırasında Kaspersky uzmanları, kötü amaçlı yazılımların yayılmasına katkıda bulunan eski güvenlik analizi veritabanlarını, eksik lisans anahtarlarını, kullanıcı tarafından başlatılan anahtar kaldırma işlemlerini, devre dışı bırakılmış güvenlik bileşenlerini ve tarama ve savunma istisnalarını belirledi. Örneğin, veritabanlarınız güncel değilse ve bir güvenlik analizi otomatik olarak güncellenemiyorsa, gelişmiş tehdit aktörlerinin tespit edilmekten kaçınmaya çalıştığı APT saldırılarında olduğu gibi, gelişmiş tehditlerin hızlı ve kolay bir şekilde yayılmasına izin verebilir.

Güvenlik çözümlerinin inanılmaz yapılandırmaları

APT grupları/aktörleri tarafından sıklıkla kullanılan bir taktik olan güvenlik çözümlerini devre dışı bırakmaktan ve hatta kötüye kullanmaktan kaçınmak için bir güvenlik analizini düzgün bir şekilde yapılandırmak çok değerlidir. Aksi takdirde, saldırganlar güvenlik analizinde saklanan ağ bilgilerini çalabilir veya profesyonel bilgi güvenliği dilini kullanarak sistemin diğer bölümlerine girmek için yan hareketler gerçekleştirebilir.

Kaspersky ICS CERT, 2022’de APT taktiklerinde doğru yapılandırmaları daha da hayati hale getiren yeni bir trend fark etti. Örneğin, saldırganlar yatay hareket etmenin yollarını ararken artık etki alanı denetleyicisi gibi kritik BT sistemlerini ele geçirmekle yetinmezler. Bir sonraki amaca, güvenlik çözümlerinin yönetim sunucularına yönelirler. Hedefler, kötü amaçlı yazılımları denetlenmeyen programlar listesine eklemekten, virüslü bir ağdan tamamen farklı olması gereken sistemlere virüs bulaştırmak için güvenlik sistemindeki araçları kullanmaya kadar değişebilir.

OT ağlarında siber güvenlik koruması eksikliği

İnanması zor olabilir ama bazı OT ağlarında siber güvenlik çözümleri pek çok uç noktada kurulu değil. OT ağı diğer ağlardan tamamen ayrılmış ve internete bağlı olmasa bile, saldırganların yine de bu ağa erişmenin yollarını olduğunu unutmamak önemlidir. Örneğin, USB’ler gibi çıkarılabilir sürücüler aracılığıyla dağıtılan berbat kötü amaçlı yazılımların özel sürümlerini oluşturarak bu sistemlere sızmaya çalışmak mümkündür.

Güvenlik güncellemelerine sahip iş istasyonlarının ve sunucuların zorlukları

Endüstriyel kontrol sistemleri, güvenlik güncellemelerini iş istasyonlarına ve sunuculara yüklemek için kolay görevlerin bile dikkatli bir şekilde test edilmesini gerektiren benzersiz bir çalışma yöntemine sahiptir. Bu test genellikle planlanmış bakım sırasında yapılır ve güncellemelerin seyrek olmasına neden olur. Bu, tehdit aktörlerine bilinen güvenlik açıklarından yararlanmaları ve saldırılarını başlatmaları için bolca zaman verir.

Gonçarov ekliyor: “Bazı durumlarda, sunucu işletim sisteminin güncellenmesi, özel yazılımların (SCADA sunucusu gibi) güncellenmesini gerektirebilir. Kullanımı kolay web’e bakan sistemler bile, gerçek dünyadaki saldırı senaryolarının kanıtladığı gibi, operasyonel teknolojiyi (OT) saldırılara ve önemli risklere maruz bırakarak uzun süre savunmasız kalabilir.”

Kaspersky ICS CERT blogunda, güvenlik çözümlerini yapılandırma ve kurma, OT ağ izolasyonu, sistemleri koruma, eski işletim sistemini çalıştırma, uygulama yazılımı ve üretici yazılımı hakkında daha fazla tavsiye bulabilirsiniz.

Kaspersky uzmanları, kuruluşunuzu tehditlere karşı korumak için aşağıdakileri önermektedir:

  • Kuruluşunuzun operasyonel teknolojisi (OT) veya kritik altyapısı varsa, kurumsal ağ bağlantısının kesildiğinden veya en azından yetkisiz ilişkiler olmadığından emin olun.
  • Potansiyel güvenlik açıklarını belirlemek ve ortadan kaldırmak için OT sistemlerinde düzenli güvenlik kontrolleri gerçekleştirin.
  • Sürekli bir güvenlik açığı değerlendirmesi ve güvenlik açığı yönetimi süreci oluşturun.
  • Teknolojik süreçleri ve önemli kurumsal varlıkları potansiyel olarak tehdit eden saldırılara karşı daha iyi savunma yapmak için ICS ağ trafiği izleme, analiz ve algılama çözümlerini kullanın.
  • Hem endüstriyel hem de kurumsal uç noktaları koruduğunuzdan emin olun. Kaspersky Industrial CyberSecurity çözümü, endüstriyel ağdaki şüpheli ve potansiyel olarak kötü niyetli etkinliği tespit etmek için uç noktalar için özel muhafaza ve ağ izleme içerir.
  • OT çözümlerindeki güvenlik açıklarıyla ilişkili riskleri daha gerçekçi bir şekilde anlamak ve bunları azaltma konusunda bilinçli kararlar almak için, teknik yeteneklerinize ve gereksinimlerinize bağlı olarak okunabilir raporlar veya makine tarafından okunabilir veri akışları elde etmek için Kaspersky ICS Vulnerability Intelligence hizmetine erişmenizi öneririz.
  • BT güvenlik ekipleri ve OT mühendisleri için özel ICS güvenlik eğitimi, yeni ve gelişmiş kötü niyetli tekniklere karşı yanıtı iyileştirmek için paha biçilmezdir.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu