Kritik Altyapı Güvenliği, Yönetişim ve Risk Yönetimi, Operasyonel Teknoloji (OT)
ICSpector Artık GitHub’da, PLC’leri Tarıyor, Bilgi Çıkarıyor ve Kötü Amaçlı Kodu Algılıyor
Akşaya Asokan (asokan_akshaya) •
26 Nisan 2024
Microsoft, endüstriyel kontrol sistemlerine yönelik tehdit analizindeki boşlukları kapatmak ve kritik altyapılara yönelik artan ulus devlet saldırılarının giderilmesine yardımcı olmak için yeni bir açık kaynaklı güvenlik aracı yayımladı.
Ayrıca bakınız: Yeni Başlayanlar İçin Gözlemlenebilirlik Kılavuzu
ICSpector adı verilen yeni araç, endüstriyel programlanabilir mantık denetleyicilerinin (endüstriyel bir ortamda farklı işlemleri yönetmek ve kontrol etmek için kullanılan bir dizi donanım ve yazılım bileşeni) incelenmesini kolaylaştıran açık kaynaklı bir çerçeve üzerine inşa edilmiştir.
Microsoft’a göre PLC’ler endüstriyel kontrol sistemlerinin ayrılmaz bir parçası olsa ve su ve elektrik şebekesi sistemlerinde kullanılsa da, bunların analiz edilmesi, yeterli tehdit tespit araçlarının bulunmaması ve sektördeki uzmanlık eksikliği nedeniyle zorluklar yaratıyor. Microsoft, OT analizinin genellikle sensörlerden ve denetleyicilerden toplanan hassas verilerin sınıflandırılmasını içerdiğini söyledi.
Microsoft, “En büyük zorluklardan biri, PLC’de çalışan kodu almak ve olay müdahalesinin bir parçası olarak onu tarayıp, PLC’lerin aktif olarak hayati endüstriyel prosesi çalıştırması nedeniyle kurcalanıp değiştirilmediğini anlamaktır” dedi.
Microsoft, GitHub’da bulunan yeni aracın kötü niyetli değişiklikleri tespit edebildiğini, sistemde yapılan değişikliklerin zaman damgasını çıkarabildiğini ve sistem içindeki görevlerin yürütme akışına genel bir bakış sunabildiğini söyledi.
Şirket, “Şu anda sistem üç OT protokolünü destekliyor: S7-300/400 serisiyle uyumlu Siemens S7Comm, Ortak Endüstriyel Protokolü kullanan Rockwell RSLogix ve Codesys V3.” dedi.
OT güvenlik tehdidi algılamasının zayıf olmasıyla ilgili endişeler, kısa süre önce OT ve BT sistemleri arasında yeterli segmentasyonun olmadığı ve bunun tehdit algılamada yarattığı zorluklar konusunda uyarıda bulunan Dragos’un da aralarında bulunduğu diğer satıcılar tarafından dile getirildi. Şirket, kritik OT varlıklarına uygulanan zayıf çok faktörlü kimlik doğrulamanın da saldırıların artmasına neden olduğunu söyledi.
CrowdStrike’ın istihbarattan sorumlu kıdemli başkan yardımcısı Adam Meyers, daha önce ABD Senatosu komitesinde ifade vererek, özellikle su sektöründe, boru hattı ölçümü ve faturalama bilgileri için uzaktan telemetri toplamaya yönelik internet bağlantılı hücresel bağlantıların bilgisayar korsanlarından kaynaklanan bir tehdit oluşturduğunu ifade etmişti (bkz.: Uzmanlar, OT-IT Entegrasyonunun Su Sağlayıcıları İçin Riski Artırdığını Söyledi).
Bu ayın başlarında ABD’nin kritik altyapı savunmalarının bu rakiplerin gerisinde kaldığı konusunda uyarıda bulunan federal yetkililere göre, Rusya ve Çin’den gelen ulus-devlet bilgisayar korsanları, kesinti ve casusluk kampanyalarıyla enerji şirketlerini ve su kuruluşlarını hedef alıyor (bkz: FBI, Siber Tehditlere Karşı Daha Fazla Fon Çağrısında Bulundu).
Enerji şirketleri, Mart ayında Ukrayna’nın en az 20 enerji, su ve ısıtma endüstrisini hedef alan Rus devleti destekli aktörlerin başlıca hedefleri arasında yer alıyor. Dragos, saldırganların 2006 ile 2023 yılları arasında ABD’de kamuya açıklanan 27 siber olayla su ve atık su sektörünü vurduğunu tespit etti.