Son birkaç yılda endüstriyel kontrol sistemlerine (ICS) yönelik çok sayıda saldırı raporu var. Biraz daha yakından bakıldığında, saldırıların çoğunun geleneksel BT’den kaynaklandığı görülüyor. Üretim sistemleri bu noktada genellikle sıradan kurumsal ağlara bağlı olduğundan, bu beklenen bir durumdur.
Verilerimiz bu noktada pek çok tehdit aktörünün özellikle endüstriyel sistemleri hedef aldığını göstermese de – aslında çoğu kanıt tamamen fırsatçı davranışlara işaret ediyor – OT ortamlarından taviz vermenin ek karmaşıklığı işe yarayınca durum her an tersine dönebilir. . Suçlular, kurbanlara şantaj yaparak şantaj planlarını gerçekleştirmek için her fırsatı değerlendireceklerdir ve üretimi durdurmak çok büyük zarara neden olabilir. Muhtemelen sadece bir zaman meselesidir. Dolayısıyla operasyonel teknoloji (OT) için siber güvenlik hayati önem taşıyor.
Aldatma, tehdit algılama ve müdahale yeteneklerini geliştirmek için etkili bir seçenektir. Ancak ICS güvenliği, geleneksel BT güvenliğinden birkaç yönden farklıdır. Bal küpleri gibi savunma amaçlı aldatma teknolojisi ilerlerken, kullanılan protokoller gibi temel farklılıklar nedeniyle hala zorluklar var. Bu makale, aldatma teknolojisinin geleneksel BT’den ICS güvenliğine geçişindeki ilerlemeyi ve zorlukları ayrıntılarıyla açıklamayı amaçlamaktadır.
Aldatmanın değeri: inisiyatifi geri almak
Aldatma teknolojisi, kötü niyetli faaliyetleri etkili bir şekilde tespit eden aktif bir güvenlik savunma yöntemidir. Bir yandan bu strateji, bir rakibin yargısını yanıltmak için yanlış bilgi ve simülasyonlardan oluşan bir ortam oluşturur, şüphelenmeyen saldırganların zamanlarını ve enerjilerini boşa harcayacakları bir tuzağa düşmesine neden olarak izinsiz girişin karmaşıklığını ve belirsizliğini artırır.
Aynı zamanda, savunucular daha kapsamlı saldırı günlükleri toplayabilir, karşı önlemler alabilir, saldırganların kaynağını izleyebilir ve saldırı davranışlarını izleyebilir. Bir saldırganın kullandığı taktikleri, teknikleri ve prosedürleri (TTP) araştırmak için her şeyi kaydetmek, güvenlik analistleri için çok yardımcı olur. Aldatma teknikleri savunuculara inisiyatifi geri verebilir.
Kapsamlı ” ile siber güvenlikteki en son gelişmeleri keşfedin”Güvenlik Gezgini 2023” raporu. Bu araştırma odaklı rapor, Orange Cyberdefense, CERT, Epidemiology Labs ve World Watch’a ait 17 küresel SOC ve 13 CyberSOC’den alınan %100 birinci elden bilgilere dayanmaktadır ve mevcut ve geleceğe ilişkin çok sayıda değerli bilgi ve içgörü sağlar. tehdit manzarası.
Bal küpleri gibi bazı aldatma uygulamalarıyla, işletim ortamı ve yapılandırma simüle edilebilir ve böylece saldırganın sahte hedefi delmesi sağlanabilir. Bu sayede savunucular, saldırganların bıraktığı yükleri ele geçirebilecek ve web uygulamalarında JavaScript ile saldırganın ana bilgisayarları ve hatta web tarayıcısı hakkında bilgi alabilecek. Ayrıca JSONP Hijacking ile saldırganın sosyal medya hesaplarını bilmek mümkün olduğu gibi ‘bal dosyaları’ üzerinden saldırgana karşı koymak da mümkündür. Aldatma teknolojisinin önümüzdeki yıllarda daha olgunlaşacağı ve yaygın olarak kullanılacağı tahmin edilebilir.
Son zamanlarda, endüstriyel internet ve akıllı üretimin hızlı gelişimi ile bilgi teknolojisi ve endüstriyel üretimin entegrasyonu hızlanmaktadır. Devasa endüstriyel ağların ve ekipmanların BT teknolojisine bağlanması kaçınılmaz olarak bu alanda artan güvenlik risklerine yol açacaktır.
Riskli üretim
Fidye yazılımı, veri ihlalleri ve gelişmiş kalıcı tehditler gibi sık sık yaşanan güvenlik olayları, endüstriyel kuruluşların üretim ve iş operasyonlarını ciddi şekilde etkilemekte ve dijital toplumun güvenliğini tehdit etmektedir. Genel olarak, bu sistemler, düşük işlem gücü ve bellek kullanan basit mimarileri nedeniyle zayıf olmaya ve saldırganlar tarafından kolayca yararlanmaya eğilimlidir. ICS bileşenlerinin basit mimarileri nedeniyle herhangi bir güncelleme veya yama alma olasılığı düşük olduğundan, ICS’yi kötü niyetli faaliyetlerden korumak zordur. Uç nokta koruma aracılarının yüklenmesi de genellikle mümkün değildir. Bu zorluklar göz önüne alındığında, aldatma, güvenlik yaklaşımının önemli bir parçası olabilir.
- içerik kolayca dağıtılabilen ve yapılandırılabilen IEC104, Modbus, BACnet, HTTP ve diğer protokolleri simüle edebilen düşük etkileşimli bir bal küpüdür.
- XPOT programları çalıştırabilen, yazılım tabanlı, yüksek etkileşimli bir PLC bal küpüdür. Siemens S7-300 serisi PLC’leri simüle eder ve saldırganın PLC programlarını derlemesine, yorumlamasına ve XPOT’a yüklemesine olanak tanır. XPOT, S7comm ve SNMP protokollerini destekler ve ilk yüksek etkileşimli PLC bal küpüdür. Yazılım tabanlı olduğu için çok ölçeklenebilir ve büyük tuzak veya sensör ağlarına olanak sağlar. Rakiplerin deneyimlerini kapsamlı hale getirmek için XPOT, simüle edilmiş bir endüstriyel sürece bağlanabilir.
- CryPLH Siemens Simatic 300 PLC cihazlarını simüle eden düşük etkileşimli ve sanal bir Smart-Grid ICS bal küpüdür. Adım 7 ISO-TSAP protokolünü ve özel bir SNMP uygulamasını simüle etmek için bir Python betiği olan HTTP(S)’yi simüle etmek için Nginx ve miniweb web sunucularını kullanır. Yazarlar, bal küpünü üniversitenin IP aralığında konuşlandırdılar ve tarama, ping ve SSH oturum açma girişimlerini gözlemlediler. Etkileşim yeteneğinin, ICS protokolünün simülasyonundan ICS ortamına doğru giderek arttığı görülmektedir.
Siber güvenlik teknolojisinin gelişmesiyle birlikte web, veritabanları, mobil uygulamalar ve IoT gibi çeşitli durumlarda aldatma uygulandı. Aldatma teknolojisi, OT alanındaki bazı ICS bal küpü uygulamalarında somutlaştırılmıştır. Örneğin Conpot, XPOT ve CryPLH gibi ICS bal küpleri Modbus, S7, IEC-104, DNP3 ve diğer protokolleri simüle edebilir.
Buna göre, yukarıdaki bal küpü uygulamaları gibi aldatma teknolojileri, bilinmeyen tehditler için algılama sistemlerinin düşük verimliliğini telafi edebilir ve endüstriyel kontrol ağlarının güvenliğini sağlamada önemli bir rol oynayabilir. Bu uygulamalar, endüstriyel kontrol sistemlerine yönelik siber saldırıları tespit etmeye ve genel bir risk eğilimi göstermeye yardımcı olabilir. Saldırganlar tarafından istismar edilen gerçek OT güvenlik açıkları yakalanabilir ve güvenlik analistine gönderilebilir, böylece zamanında yamalar ve istihbarat sağlanır. Buna ek olarak, örneğin fidye yazılımı ortaya çıkmadan önce hızlı bir uyarı almak ve büyük kayıpları ve üretimin durmasını önlemek mümkündür.
Zorluklar
Ancak bu bir ‘gümüş kurşun’ değildir. Geleneksel BT güvenliğinde bulunan karmaşık aldatmacayla karşılaştırıldığında, ICS’de aldatma hala bazı zorluklarla karşı karşıyadır.
Her şeyden önce, çok sayıda endüstriyel kontrol cihazının yanı sıra protokoller vardır ve birçok protokol tescillidir. Tüm endüstriyel kontrol cihazlarına uygulanabilen bir aldatma teknolojisine sahip olmak neredeyse imkansızdır. Bu nedenle, bazı ortamlarda uygulama için nispeten yüksek bir eşik getiren farklı protokollerin öykünmesi için bal küpleri ve diğer uygulamaların sıklıkla özelleştirilmeleri gerekir.
İkinci sorun, saf sanal endüstriyel kontrol bal küplerinin hala sınırlı simülasyon yeteneklerine sahip olması ve bu da onları bilgisayar korsanlarının tespitine açık hale getiriyor. Tamamen sanal ICS bal küplerinin mevcut gelişimi ve uygulaması, yalnızca endüstriyel kontrol protokollerinin temel simülasyonuna izin verir ve bunların çoğu, Shodan veya Zoomeye gibi arama motorları tarafından kolayca bulunabilen açık kaynaklıdır. Yeterli saldırı verisi toplamak ve ICS bal küplerinin simülasyon yeteneklerini geliştirmek, güvenlik araştırmacıları için hâlâ zorlu bir iştir.
Son olarak, yüksek etkileşimli endüstriyel kontrol bal küpleri önemli miktarda kaynak tüketir ve yüksek bakım maliyetlerine sahiptir. Görünüşe göre bal küpleri, gerçek çalışan bir simülasyon ortamı oluşturmak için genellikle fiziksel sistemlerin veya ekipmanın kullanılmasını gerektirir. Bununla birlikte, endüstriyel kontrol sistemleri ve ekipmanları maliyetlidir, yeniden kullanımı zordur ve bakımı zordur. Görünüşte benzer olan ICS cihazları bile işlevsellik, protokoller ve talimatlar açısından genellikle dikkate değer ölçüde farklıdır.
Buna değer mi?
Yukarıdaki tartışmaya dayanarak, yeni teknoloji ile entegrasyon için ICS için aldatma teknolojisi düşünülmelidir. Simüle edilmiş bir ortamı simüle etme ve onunla etkileşim kurma yeteneği, savunma teknolojisini güçlendirir. Ayrıca, aldatma uygulaması tarafından yakalanan saldırı günlüğü büyük bir değere sahiptir. Yapay zeka veya Büyük veri araçları aracılığıyla analiz edildiğinde, ICS saha zekasının derinlemesine anlaşılmasına yardımcı olur.
Özetlemek gerekirse, aldatma teknolojisi, ICS ağ güvenliğinin hızlı gelişmesinde hayati bir rol oynar ve savunma yeteneğinin yanı sıra istihbaratı da geliştirir. Ancak, teknoloji hala zorluklarla karşı karşıya ve bir atılım gerektiriyor.
Meşgul Orange Cyberdefense araştırmacılarının bu yıl araştırdıkları hakkında biraz daha bilgi edinmek istiyorsanız, yakın zamanda yayınlanan araştırmalarının açılış sayfasına atlayabilirsiniz. Güvenlik Gezgini.
Not: Bu anlayışlı parça, Orange Cyberdefense Güvenlik Analisti Thomas Zhang tarafından ustalıkla hazırlanmıştır.