Hesap ele geçirme saldırıları, “evin içinden” izlenen bir dizi tehdit telefonu alan bir bebek bakıcısıyla ilgili yaygın olarak anlatılan kamp ateşi hikayesi gibidir.
Bilinmeyenin korkusu eve çok yakın vurur. İlk erişim aracıları, hesap ele geçirme saldırılarıyla yakından ilişkilidir ve her ikisi de fidye yazılımlarıyla bağlantılıdır. Şimdi, ilk erişim aracılarının (IAB’ler) ve hesap ele geçirme saldırılarının, gözlerini Nesnelerin İnterneti özellikli cihazlara dikmesi muhtemel görünüyor. Evin içinden gelen çağrı yerine, saldırı telefonun içinden geliyor (elbette VoIP özellikli).
Fidye Yazılım Saldırılarında İlk Erişim Aracılarının Rolü
Uzaktan çalışmanın yükselişi, son yıllarda fidye yazılımı saldırılarındaki artışa katkıda bulundu. Evden çalışan daha fazla çalışanla kuruluşlar, saldırganlara bir ağa ilk erişimi elde etmenin kolay bir yolunu sağlayan uzak masaüstü protokolü (RDP) ve sanal özel ağlar (VPN’ler) gibi uzaktan erişim teknolojilerine güvenmek zorunda kaldı.
Hesap ele geçirme saldırıları genellikle bir fidye yazılımı saldırısı gerçekleştirmek için bir ağa ilk erişim elde etmenin bir yolu olarak kullanılır. Bir hesap ele geçirme saldırısında, saldırgan genellikle kurbanın çevrimiçi hesaplarına yetkisiz erişim elde etmek için çalınan veya satın alınan oturum açma kimlik bilgilerini kullanır.
İhlal komisyoncuları olarak da bilinen IAB’ler, saldırıya uğramış veya güvenliği ihlal edilmiş bilgisayar sistemlerine diğer kişi veya kuruluşların erişimini sağlar. IAB’lerin kullanımı, siber suçluların kendilerini hacklemek için zaman ve kaynak harcamak zorunda kalmadan çeşitli hedeflere kolay ve hızlı bir şekilde erişmelerine olanak tanıdığından, son yıllarda giderek daha yaygın hale geldi.
Ancak kuruluşlar RDP, VPN ve diğer BT kimlik bilgilerini daha iyi güvence altına aldıkça, saldırganların dikkatlerini yeni hedeflere çevirmesi gerekecektir. IoT cihazları, yaygın dağıtımları nedeniyle mantıklı bir seçimdir — endüstriden bağımsız olarak her kuruluştaki cihazların dörtte birinden fazlası IoT cihazlarıdır ve bu sayının artmaya devam etmesi bekleniyor. Ne yazık ki, bu cihazların çoğu saldırılara karşı savunmasızdır ve bu da onları çekici bir hedef haline getirir.
IoT Cihazlarının Saldırıya Karşı Savunmasız Olmasının Üç Nedeni
IoT cihazlarının saldırılara karşı savunmasız olmasının birçok nedeni olmasına rağmen, genellikle varsayılan yapılandırmalarla kullanılmaları, yama yönetiminin zor olması ve güvenlik düşünülerek tasarlanmamaları üç ana nedendir.
Varsayılan kimlik bilgileri kolay hedeflerdir — Access:7 araştırması, uzaktan erişim için sabit kodlanmış kimlik bilgilerini paylaşan IoT cihazlarının tüm ürün hatlarını belirledi.
Özel IoT ürün yazılımı yamasız kalabilir — Project Memoria, TCP/IP yığınlarında birkaç cihazı etkileyen 100’den fazla güvenlik açığı belirledi, ancak çoğuna üreticiler tarafından yama uygulanmadı.
Birçok IoT cihazında kimlik doğrulama ve şifreleme yoktur — OT:ICEFALL araştırması, operasyonel teknolojideki güvenli olmayan protokollerin saldırganlar tarafından nasıl kolayca kullanıldığını göstermiştir.
Elbette güvenlik açıkları hikayenin sadece yarısını anlatıyor. Kuruluşların tehdidin doğasını anlaması için IoT cihazlarının şu anda nasıl saldırı altında olduğunu da anlamaları gerekir.
IoT için IAB’ler
Kuruluşlara ilk erişim için kurumsal IoT’yi kullanan birçok gelişmiş kalıcı tehdit (APT) örneği vardır. Örneğin, Rus devlet destekli aktör Strontium, VoIP telefonları, ofis yazıcıları ve video kod çözücülerden yararlanırken, Çin devlet destekli aktörler, ABD kuruluşlarına sızmak için IP kameralardaki güvenlik açıklarından yararlandı.
Saldırı teknikleri, APT’lerden daha az gelişmiş aktörlere doğru akma eğilimindedir ve ilk erişim için IP kameraları, NAS cihazlarını ve VoIP’yi hedef alan Conti, Deadbolt ve Lorenz fidye yazılımı grupları gibi siber suç çeteleri halihazırda mevcuttur. Ek olarak, Dark Web pazarlarında IoT açıklarının ticaretini yapan gruplar var — mantıklı bir sonraki adım, IoT için bir IAB pazarı oluşturmaktır.
IoT için bir IAB, muhtemelen IoT/OT’yi hedefleyen bilgisayar korsanlarına benzer şekilde hareket edecektir. Shodan ve Kamerka gibi araçları kullanarak hedef kuruluşları tarayacak, güvenlik açıklarını sıralayacak veya kimlik bilgilerini keşfedecek ve bunları ilk erişim için kullanacaklardı.
RDP/VPN’ye odaklanan IAB’ler ile IoT cihazlarını hedefleyenler arasındaki temel farklardan biri, ikincisinin IoT cihazlarındaki çok daha uzun süre yamasız kalma eğiliminde olan güvenlik açıklarından da yararlanabilmesidir. Bu, kuruluşlara daha gizli ve kalıcı bir şekilde erişebilecekleri anlamına gelir ve bu da onları siber suçlular için daha çekici bir hedef haline getirir.
Nesnelerin İnterneti için IAB’lerin Riskini Azaltma
IoT için IAB’ler, RDP/VPN kimlik bilgilerini hedefleyenlerden farklı olsa da, iyi haber şu ki, kuruluşlar siber güvenliğe benzer bir yaklaşım benimseyebilirler. Ağda yeni cihazların keşfi, ağ trafiğinin sürekli izlenmesi ve uygun ağ segmentasyonunun kullanılması, bir BT veya IoT cihazından yararlanıp yararlanmadığına bakılmaksızın, saldırı riskini azaltmak için en iyi uygulamalardır.
IoT cihazlarına özgü sorunları ele almak için üreticilerin ve kuruluşların IoT güvenliğine proaktif bir yaklaşım benimsemesi gerekir. Bu, varsayılan zayıf yapılandırmaları değiştirmek ve cihazların güvenli olduğundan emin olmak için düzenli olarak yamalar uygulamak anlamına gelir. Ek olarak, özel IoT cihazlarında kullanılan protokoller, kimlik doğrulama ve şifreleme gibi temel güvenlik kontrolleri de dahil olmak üzere güvenlik göz önünde bulundurularak tasarlanmalıdır. Bu adımları atarak IoT cihazlarının güvenliğini artırabilir ve saldırı riskini azaltabiliriz.