Endüstriyel tedarik zincirinde kötü amaçlı yazılımlarla mücadele

   Ağustos 29, 2023  Posted in CyberSecurity-Insiders


[ This article was originally published here ]

Bu yazının içeriği tamamen yazarın sorumluluğundadır. AT&T, bu makalede yazar tarafından sağlanan görüş, pozisyon veya bilgilerin hiçbirini benimsemez veya onaylamaz.

Kuruluşların ICS/OT tedarik zincirlerindeki içerik tabanlı kötü amaçlı yazılımları nasıl ortadan kaldırabileceği aşağıda açıklanmıştır.

Endüstriyel Nesnelerin İnterneti (IIoT) ortamı genişledikçe, ICS ve OT ağları çeşitli kurumsal sistemlere ve bulut hizmetlerine her zamankinden daha fazla bağlanıyor. Bu yeni bağlantı düzeyi, faydalar sunarken aynı zamanda hedefe yönelik ve tedarik zinciri saldırılarının önünü açarak bunların gerçekleştirilmesini kolaylaştırıyor ve potansiyel etkilerini genişletiyor.

Tedarik zinciri güvenlik açığının öne çıkan bir örneği, 2020 SolarWinds Orion ihlalidir. Bu karmaşık saldırıda:

  • İki farklı kötü amaçlı yazılım türü, “Sunburst” ve “Supernova”, yetkili bir yazılım güncellemesine gizlice yerleştirildi.
  • Güncellemeyi 17.000’den fazla kuruluş indirdi ve kötü amaçlı yazılım çeşitli güvenlik önlemlerinden kaçmayı başardı.
  • Kötü amaçlı yazılım etkinleştirildikten sonra, zararsız bir HTTPS bağlantısı gibi görünen bir bağlantıyı kullanarak İnternet tabanlı bir komuta ve kontrol (C2) sunucusuna bağlandı.
  • C2 trafiği steganografi kullanılarak akıllıca gizlendi ve tespit edilmesi daha da zor hale getirildi.
  • Tehdit aktörleri daha sonra kötü amaçlı yazılımı C2’leri aracılığıyla uzaktan kontrol ederek 200’e kadar kuruluşu etkiledi.

Bu olay geniş çapta BT sızıntısına yol açsa da OT sistemlerini doğrudan etkilemedi.

Buna karşılık diğer saldırıların OT üzerinde doğrudan etkileri oldu. 2014 yılında Havex olarak bilinen bir kötü amaçlı yazılım, BT ürün indirmelerinde gizlendi ve BT/OT güvenlik duvarlarını ihlal ederek OT ağlarından bilgi toplamak için kullanıldı. Bu, tedarik zincirinde güvenliği ihlal edilmiş bir BT ürününün nasıl OT sonuçlarına yol açabileceğini gösterdi.

Benzer şekilde, 2017 yılında NotPetya kötü amaçlı yazılımı, Ukrayna’da yaygın olarak kullanılan bir vergi programına yönelik bir yazılım güncellemesinde gizlenmişti. Kötü amaçlı yazılım öncelikle BT ağlarını etkilese de endüstriyel operasyonlarda kapanmalara neden oldu ve tedarik zincirindeki bozuk bir unsurun hem BT hem de OT sistemleri üzerinde nasıl geniş kapsamlı etkilere sahip olabileceğini gösterdi.

Bu gerçek dünya olayları, birbirine bağlı ICS/OT sistemlerindeki siber güvenlik risklerinin çok yönlü doğasını vurgulamaktadır. Aşağıdakiler de dahil olmak üzere belirli zorlukların ve güvenlik açıklarının daha derinlemesine araştırılması için bir başlangıç ​​görevi görürler:

  1. ICS/OT’ye kötü amaçlı yazılım saldırıları: Bileşenlerin özel olarak hedeflenmesi operasyonları aksatabilir ve fiziksel hasara neden olabilir.
  2. Üçüncü taraf güvenlik açıkları: Üçüncü taraf sistemlerin tedarik zincirine entegrasyonu, sömürülebilir zayıf noktalar yaratabilir.
  3. Veri bütünlüğü sorunları: ICS/OT sistemlerinde yetkisiz veri manipülasyonu hatalı karar alınmasına yol açabilir.
  4. Erişim kontrolü zorlukları: Karmaşık ortamlarda uygun kimlik ve erişim yönetimi çok önemlidir.
  5. En iyi uygulamalara uyum: NIST’in en iyi uygulamaları gibi yönergelere bağlılık, dayanıklılık için çok önemlidir.
  6. Üretimde artan tehditler: Benzersiz zorluklar arasında fikri mülkiyet hırsızlığı ve süreç kesintileri yer alır.

Geleneksel savunmaların yetersiz olduğu ortaya çıkıyor ve bu hayati sistemleri korumak için İçerik Silahsızlandırması ve Yeniden Yapılanma (CDR) gibi teknolojileri de içeren çok yönlü bir strateji gerekiyor.

Tedarik zinciri savunması: İçeriğin silahsızlandırılması ve yeniden yapılandırılmasının gücü

İçerik Silahsızlandırma ve Yeniden Yapılandırma (CDR) son teknoloji bir teknolojidir. Sıfır Güven ilkesine dayanan basit ama güçlü bir temel üzerinde çalışır: tüm dosyalar kötü amaçlı olabilir.

CDR ne işe yarar?

Karmaşık siber güvenlik ortamında CDR, dosya güvenliğine yaklaşımımızı değiştiren benzersiz bir çözüm olarak duruyor.

  • Dosyaları temizler ve yeniden oluşturur: CDR, her dosyayı potansiyel olarak zararlı olarak değerlendirerek, bunların tam işlevselliğini korurken kullanımlarının güvenli olmasını sağlar.
  • Zararlı unsurları ortadan kaldırır: Bu süreç, zararlı unsurları etkili bir şekilde ortadan kaldırarak onu, sıfır gün saldırıları da dahil olmak üzere bilinen ve bilinmeyen tehditlere karşı güçlü bir savunma haline getirir.

O nasıl çalışır?

CDR’nin etkinliği, güvenlik arayışında hiçbir taşın çevrilmemesini sağlayarak dosya yönetimine metodik yaklaşımında yatmaktadır.

  • İçerik güvenlik duvarı: CDR, OT sistemlerine gönderilen dosyaların harici temizleme motorlarına aktarılmasıyla bir bariyer görevi görerek kötü amaçlı yazılımlardan arınmış bir ortam yaratır.
  • Yüksek kullanılabilirlik: İster bulutta ister şirket içi DMZ’de (silahsızlandırılmış bölge) olsun, harici konum, çeşitli konumlarda tutarlı temizlik sağlar.

Neden CDR’yi seçmelisiniz?

Siber tehditlerin daha karmaşık hale gelmesiyle birlikte CDR, yalnızca tespit etmekten ziyade önlemeye odaklanan yeni bir bakış açısı sunuyor.

  • Tespitten bağımsızlık: Geleneksel yöntemlerin aksine, CDR hem bilinen hem de bilinmeyen kötü amaçlı yazılımları etkisiz hale getirerek ona önemli bir avantaj sağlar.
  • Güvenlik için gerekli: Benzersiz yaklaşımı, CDR’yi kritik ağ güvenliğinde vazgeçilmez bir katman haline getirir.

CDR iş başında:

Teorinin ötesinde, CDR’nin gerçek dünya uygulamaları, çeşitli tehdit senaryolarına uyum sağlama ve bunlara yanıt verme yeteneğini göstermektedir.

  • Aşırı süreçler: CDR, gelen dosyalara yapı bozma ve yeniden yapılandırma uygulayarak tüm gömülü kötü amaçlı yazılımları bozar.
  • Sanal içerik çevresi: Ağın dışında, DMZ’de konumlandırılarak, e-posta ve dosya alışverişi yoluyla kötü amaçlı kod girişini engeller.
  • Önleyici tedbirler: İlk erişim aşamasını engelleyerek CDR’nin çeşitli kötü amaçlı yazılımlara karşı %100’e varan önleme oranları sağladığı gösterilmiştir.

Entegrasyon olanakları:

CDR teknolojisi çeşitli ağ güvenlik modüllerine sorunsuz bir şekilde entegre edilebilir.

  • Güvenli e-posta ağ geçitleri: Mevcut sistemlerle entegre olarak e-posta güvenliğini artırır ve ek bir koruma katmanı sağlar.
  • USB içe aktarma istasyonları: USB cihazlarına kontrollü erişim sunarak yalnızca arındırılmış içeriğe izin verilmesini sağlar.
  • Web tabanlı güvenli yönetilen dosya aktarım sistemleri: Dosya aktarımlarının kapsamlı bir şekilde kapsanmasını sağlayarak her adımda içeriğin sterilize edilmesini sağlar.
  • Firmware ve yazılım güncellemeleri: Temel güncellemeler de dahil olmak üzere bu modüllerin arkasında ‘steril bir alan’ sağlayarak tüm içerik ağ geçitlerini kapsamayı amaçlamaktadır.

NIST’in CDR’nin benimsenmesini gerektiren yönergeleri

Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), CDR’nin önemini vurgulayan özel yönergelerin ana hatlarını çizmiştir. NIST SP 800-82 Revizyon 3 belgesinde CDR’nin rolüne yapılan vurgu açıktır:

1. Fiziksel erişim kontrolü:

  • Taşınabilir cihazların güvenliği: ‘6.2.1.2 Fiziksel Erişim Kontrolleri (PR.AC-2)’ bölümü kapsamında, yönergeler kuruluşların dizüstü bilgisayarlar ve USB depolama gibi taşınabilir cihazlara bir doğrulama süreci uygulaması gerektiğini vurguluyor. Buna, CDR’nin güvenliği sağlamada hayati bir rol oynayabileceği OT cihazlarına veya ağlarına bağlanmadan önce kötü amaçlı kodların taranması da dahildir.

2. Derinlemesine savunma stratejisi:

  • Çok katmanlı koruma: Bölüm 5.1.2 kapsamında, belge derinlemesine savunmayı çok yönlü bir strateji olarak tanımlamaktadır. Şöyle ifade eder: ‘Kuruluşun birçok katmanı ve boyutu boyunca değişken engeller oluşturmak için insanları, teknolojiyi ve operasyon yeteneklerini entegre eden çok yönlü bir strateji.’ Bu yaklaşım siber güvenlik alanında en iyi uygulama olarak kabul edilmektedir.
  • Yaygın kabul: Alıntı şöyle devam ediyor: ‘Birçok siber güvenlik mimarisi, derinlemesine savunma ilkelerini bünyesinde barındırıyor ve strateji, çok sayıda standart ve düzenleyici çerçeveye entegre ediliyor.’ Bu, bu stratejinin çeşitli siber güvenlik önlemlerine geniş çapta kabul edildiğini ve entegre edildiğini vurgulamaktadır.
  • OT ortamları: Bu strateji özellikle ICS, SCADA, IoT, IIoT ve hibrit ortamlar dahil OT ortamlarında kullanışlıdır. Kritik işlevlere odaklanır ve esnek savunma mekanizmaları sunar.
  • CDR’nin savunmadaki rolü: CDR, özellikle içeriğin tarayıcı izolasyon çözümleriyle işlenmesinde bu derinlemesine savunma yaklaşımına katkıda bulunur. Kuruluşun farklı katmanlarında güvenliği artırmadaki rolü, onu siber güvenlik alanında değerli bir varlık haline getiriyor.

Riskleri azaltmak

SolarWinds ihlali, halihazırda başlamış olanın korkutucu bir işaretiydi ve şu anda olup bitenlerin sadece küçük bir parçası olabilir. Suç gruplarının ICS/OT sitelerinde artan bulut bağlantısından yararlanması nedeniyle yüzlerce hatta binlerce kuruluşa aynı anda yapılan saldırılar bugün karşı karşıya olduğumuz gerçek risklerdir.

Ancak bu zorlukların ortasında bir çözüm var: CDR. Bu son teknoloji, bilinene ve bilinmeyene karşı güçlü bir savunma sunarak, birbirine bağlı dünyamızı sömürmeye çalışan kötü niyetli güçlere karşı bir kalkan sağlıyor. Kötü amaçlı yazılımlara karşı devam eden savaşta CDR, her zaman korumaya hazır, tetikte bir nöbetçi olarak duruyor.

Reklam



Source link