Son zamanlarda Censys araştırmacıları, 145.000’den fazla endüstriyel kontrol sistemi (ICS) cihazının şu anda internetteki potansiyel saldırganlara maruz kaldığını ortaya çıkaran önemli bir siber güvenlik riskini ortaya çıkardı.
Bu endişe verici keşif, elektrik, su temini ve ulaşım gibi temel hizmetleri yöneten kritik altyapı sistemlerinin giderek artan savunmasızlığını vurguluyor.
Rapor, bu açığa çıkmanın özellikle endişe verici bir yönünü vurguluyor ve bu da “binlerce güvenli olmayan insan-makine arayüzü (HMI)”.
Kritik sistemlerin yönetimini kolaylaştırmak için tasarlanan bu arayüzler, çoğu zaman yetersiz korumaları nedeniyle tehdit aktörlerinin öncelikli hedefi haline geldi.
Sonuç olarak, Censys ve GreyNoise’daki güvenlik analistleri, 145.000’den fazla açığa çıkan ICS cihazının ve binlerce HMI’nın, tehdit aktörlerinin bu açıkta kalan sistemleri aktif olarak hedeflemesine yol açan uygun güvenlik önlemlerinden yoksun olduğunu keşfetti.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Açıktaki HMI’ların Riskleri
HMI’lar çeşitli nedenlerden dolayı kritik altyapı için önemli bir risk oluşturur: –
- Erişim Kolaylığı: Birçok HMI yanlış yapılandırılmıştır ve temel kimlik doğrulamadan yoksundur, bu da onları saldırganların kolayca erişebilmesini sağlar.
- Doğrudan Operasyonel Kontrol: Yararlanmak için özel bilgi gerektiren karmaşık protokollerin aksine, HMI’lar kritik sistemleri yönetmek için kullanıcı dostu arayüzler sağlayarak onları çekici hedefler haline getirir.
- Hızlı Hedefleme: Açığa çıkan HMI’lar genellikle çevrimiçi ortamda keşfedildikten hemen sonra saldırganlar tarafından taranır ve incelenir.
Bir siber güvenlik şirketi olan GreyNoise, internete bağlı HMI’lara yönelik tehdit ortamını değerlendirmek amacıyla 2024 yazında araştırma gerçekleştirdi. Bulguları şu güvenlik açıklarını gidermenin aciliyetini doğruluyor: –
- İnternete bağlı HMI’lar, tipik kontrol sensörlerinden daha hızlı bir şekilde incelendi ve tarandı
- HMI’larla etkileşime giren IP adreslerinin %30’undan fazlasının daha sonra kötü amaçlı olduğu belirlendi
- Saldırganlar öncelikle ortak Uzaktan Erişim Hizmeti (RAS) protokollerine odaklandı; Sanal Ağ Bilişimi (VNC) özellikle ilgi çekiciydi
Bu kritik güvenlik açıklarını gidermek için siber güvenlik profesyonelleri ve ICS ortamlarını yöneten kuruluşlar derhal harekete geçmelidir:
- İnternete açık tüm sistemlerin, özellikle de HMI’ların kapsamlı bir envanterini çıkarın ve gereksiz riskleri ortadan kaldırın
- Yetkisiz erişimi önlemek için güçlü kimlik doğrulama önlemleri, ağ bölümlendirmesi ve VPN’ler uygulayın
- Saldırganlar genellikle sistemleri kullanmaya başlamadan önce taradığından keşif faaliyetlerini izleyin
- Saldırganlar tarafından aktif olarak hedef alınan HMI’lar ve RAS gibi düşük karmaşıklığa sahip giriş noktalarının güvenliğinin sağlanmasına öncelik verin
Bu kritik sistemlerin açığa çıkması yalnızca teknik bir sorun değil aynı zamanda toplumsal bir sorundur. Modern dünyamız büyük ölçüde kritik altyapıya dayandığından, bu güvenlik açıklarının oluşturduğu riskler göz ardı edilemez.
Kuruluşların sistemlerini güvence altına almak, gerçek zamanlı tehdit izlemeyi uygulamak ve saldırganların aktif olarak yararlandığı açıkları kapatmak için derhal harekete geçmesi önemlidir.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılımları ve Kimlik Avını Analiz Edin -> Ücretsiz Deneyin