Bu Help Net Security röportajında, Waterfall Security Endüstriyel Güvenlikten Sorumlu Başkan Yardımcısı Andrew Ginter, operasyonel teknoloji (OT) siber saldırılarını ve bunların 2024 Tehdit Raporu’nu tartışıyor. Küresel jeopolitik gerilimlerin ve gelişen fidye yazılımı taktiklerinin endüstriyel siber güvenliği nasıl yeniden şekillendirdiğini inceliyor. Son olayların önemine ve bu büyüyen tehditlere karşı savunma stratejilerinin kritik rolüne ışık tutuyor.
Küresel jeopolitik ortam OT siber saldırılarının ortamını nasıl etkiledi?
Son birkaç yılda, fiziksel sonuçları olan, politik motivasyonlu hacktivist saldırılar arttı. Bu saldırıların neredeyse tamamı ya Rusya’nın Ukrayna’yı işgaliyle ya da devam eden İran/İsrail çatışmasıyla bağlantılı. Bu saldırılar tarihsel olarak çok karmaşık değildi, ancak herkes bu yapay zekaların hacktivistleri daha yetenekli hale getirip getiremeyeceğini ve ne kadar daha yetenekli hale getireceğini görmek için büyük dil modeli yapay zekaların ortaya çıkışını izliyor.
Ulus-devlet olayları da artıyor; ABD’deki 50’den fazla elektrik santrali ve elektrik tesisini tehlikeye atan Volt Typhoon kampanyasının arkasında Çinliler vardı ve Danimarka’daki 22 irili ufaklı kritik altyapı sağlayıcısına yapılan saldırının arkasında da Ruslar vardı. Volt Typhoon özellikle dikkat çekiciydi çünkü varlığını sürdürmek için “karadan yaşama” tekniklerini kullanıyordu; bu, izinsiz giriş tespit sistemlerinin keşfetmesi ve teşhis etmesi son derece zor bir saldırı tekniğiydi.
2024 Tehdit Raporu, 2023’te OT siber saldırılarında bir önceki yıla kıyasla %19’luk bir artış olduğunu vurguluyor. Saldırılardaki bu istikrarlı artışın arkasında hangi faktörlerin yattığını düşünüyorsunuz?
Fidye yazılımı ana suçludur. Bununla birlikte, fidye yazılımları tarihsel olarak OT sonuçları olan saldırılarda çok daha yüksek yıllık bileşik artışa yol açmıştır. Bu yıl beklediğimizden %19 daha az ve farkı değişen taktiklere bağlıyoruz.
Fidye yazılımı suçlularının bir kısmı, ele geçirilen sistemleri şifrelemekten uzaklaşmış ve çalınan verileri yayınlamama sözü vererek tamamen fidye almaya yönelmiş gibi görünüyor. Şifrelenen ve sakatlanan sistem sayısının azalmasıyla, tahmin edilenden daha az OT sonucu ortaya çıkar. Fidye yazılımı grupları arasındaki bu eğilimin muhtemelen bu yıl istikrar kazanmasını ve sonuçta ortaya çıkan OT saldırılarındaki bileşik yıllık artışın yıllık %60-100’lük tarihsel artışlara yaklaşmasını bekliyoruz.
Fidye yazılımı gruplarının gelişen taktikleri ve endüstriyel siber güvenlik üzerindeki etkisi hakkında ayrıntılı bilgi verebilir misiniz?
Raporda fidye yazılımı taktikleri hakkında oldukça fazla bilgi var, ancak size bazı örnekler vereyim. Birincisi, günümüzün en gelişmiş fidye yazılımı grupları ya ulus devletler tarafından destekleniyor (Kuzey Kore’yi düşünün) ya da kendi ulus devlet tarzı saldırı araçlarını geliştirecek kadar zenginler ya da ulus devletlerle aktif olarak saldırı araçları alıp satıyorlar. Bu, en gelişmiş fidye yazılımı suçlularının artık ulus devlet seviyesinde olduğu anlamına geliyor. Geçmişte çoğumuz “Ah, OT sitem ulus devlet düzeyinde bir saldırının hedefi olacak kadar önemli değil” diye düşünmüş olabilir ve bu nedenle sınırlı siber savunmaları uygulamaya koyduk. Günümüzde ulus devlet düzeyindeki fidye yazılımları, parası olan herkesi hedef alıyor. Paramız var mı?
İkincisi, fidye yazılımlarının OT üzerindeki etkilerinin önemli bir kısmı bağımlılıklardan kaynaklanmaktadır. Fidye yazılımı BT ağına saldırır, birçok şeyi şifreler ve böylece büyük miktarda BT sunucusunu ve hizmetini sekteye uğratır. OT kapanıyor. Neden? OT otomasyon sistemlerimizin, felce uğrayan bazı BT hizmetlerine ihtiyaç duyduğu ortaya çıktı.
Fidye yazılımı OT ağına hiç dokunmasa bile, BT ağındaki üretim açısından kritik hizmetler artık mevcut olmadığından üretimi kapatmak zorundayız. Bu bağımlılık sorunu aslında daha yeni yeni yaygın olarak bilinmeye başlıyor. OT güvenlik uygulayıcılarının gerçekten kendilerine BT hizmetlerine nasıl bağımlı olduklarını ve bir saldırının BT’yi sekteye uğratması durumunda fiziksel operasyonları kapatmanın kabul edilebilir olup olmadığını sormaları gerekiyor.
Raporda kritik altyapı sektörlerinde ‘kılpayı atlatılan’ olaylardan bahsediliyor. OT siber güvenliğini güçlendirmede bu ramak kala olaylarının analizi ne kadar önemli?
Tüm ramak kala olayları belgelemiyoruz, yalnızca en çok şey öğrenebileceğimizi düşündüklerimizi belgeliyoruz. Mesela Volt Typhoon önemliydi çünkü incelikliydi ve düşman kritik altyapı organizasyonlarında uzun süre varlığını sürdürdü. Danimarka’daki Rus saldırıları da önemliydi çünkü bu saldırılar, kritik altyapıları hedef alan ulus devlet faaliyetlerine dair kanıt sağlıyordu.
OT siber saldırılarında içeriden gelen tehditlerin rolü ne kadar önemlidir ve kuruluşlar bu riski azaltmak için ne gibi önlemler alabilir?
Raporun tamamıyla kötü haberler değil, aynı zamanda 2023’teki en önemli savunma gelişmelerini de ele alıyoruz. Tahminimize göre, Idaho Ulusal Laboratuvarı’ndaki yeni Siber Bilgilendirilmiş Mühendislik (CIE) girişimi, on yılı aşkın süredir OT güvenliğinde yaşanan en umut verici gelişmedir. Başka kelimelerle ifade edersem, CIE, OT güvenliğini iki tarafı olan bir madeni para gibi konumlandırıyor: Bir taraf mühendislik ekiplerine siber tehditler ve siber azaltımlar hakkında eğitim verirken, diğer taraf mühendislik ekiplerini kabul edilemez sonuçları önleme görevi için güçlü mühendislik araçlarını uygulamaya teşvik ediyor.
Örneğin, ağ mühendisliği yaklaşımları, sonuç sınırlarında, yani ağlar arasındaki bağlantılarda, uzlaşmanın en kötü durum sonuçlarının önemli ölçüde farklı olduğu durumlarda giderek daha fazla kullanılıyor. Bunun en yaygın örneği tek yönlü ağ geçidi teknolojisidir; siber saldırıların internetten ve BT ağlarından OT ağlarına yayılmasının, hatta ulus devlet tarzı saldırıların donanım destekli, mühendislik düzeyinde önlenmesi.
Sorunuza gelince, içeriden çalışanlar için, kimlik ve erişim yönetimi, ayrıntılı günlük kaydı ve adli tıp ile izinsiz giriş tespiti ve deneyimli müdahale ekipleri dahil olmak üzere siber güvenlik kontrollerinin rutin olarak uygulandığını görüyoruz.
CIE bize madalyonun bir tarafı ile diğer tarafı arasında seçim yapmayı öğretmiyor. Paranın tamamını harcıyoruz. Waterfall Security olarak gezegendeki en güvenli endüstriyel sitelerle çalışıyoruz. Siber tehditlere karşı güvenlik mühendisliği, ağ mühendisliği ve diğer mühendislik yaklaşımlarını en agresif şekilde kullanan sitelerin, aynı zamanda BT düzeyinde siber güvenlik korumalarını da en agresif şekilde kullandığını gözlemliyoruz.
Geçmişte mühendislik düzeyindeki azaltımlara yeterince vurgu yapılmamıştı ve dolayısıyla bu tekniklerin daha sistematik şekilde kullanılması için büyük bir fırsat var. Ancak siber güvenlik, özellikle mühendislik düzeyinde koruma seçeneklerinin sınırlı olduğu iç tehditlere karşı da önemlidir.
Okuyucularınız tehditleri veya korumalara yönelik mühendislik düzeyindeki seçenekleri daha derinlemesine incelemek isterlerse, onlarla şu adreste buluşmayı çok isteriz: GISEC – 23-25 Nisan Dubai’de. Şelale Dünya Ticaret Merkezi D39, Salon 7’de olacak ve buradan sohbet etmek için randevu alabilirsiniz.