Endüstriyel kontrol sistemleri (ICS) devi Rockwell Automation, geçen ay “küresel düzeyde artan jeopolitik gerilimler ve düşmanca siber faaliyetlere” atıfta bulunarak alışılmadık bir adım atarak müşterilerine donanımlarının internet bağlantısını kesmelerini söyledi. Uzmanlar, bu hamlenin yalnızca kritik altyapıya yönelik artan siber riski değil, aynı zamanda güvenlik ekiplerinin sektörde karşılaştığı benzersiz zorlukları da gösterdiğini söylüyor.
Arka plan olarak, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), artan tehditler konusunda aylardır alarm veriyor. su temini kuruluşları, enerji santralleriüretme, telekom operatörleri, askeri ayak izlerive daha fazlası — büyük ölçüde Çin, Rusya ve İran tarafından desteklenen gelişmiş kalıcı tehditlerin (APT’ler) öncülüğünde gerçekleşen saldırılar. CISA, özellikle şu sıralar, yüksek volatiliteli bir seçim ve savaş yılı olması nedeniyle tesis ekiplerinin daha dikkatli olmaları gerektiği konusunda uyardı.
ARIA Cybersecurity genel müdürü Gary Southwell, “Bu ulus devletler siyasi veya ekonomik kazanç için kritik altyapıları hedef alıyor” diyor. “Rusya destekli saldırganlar Ukrayna’nın müttefiklerini hedef alıyor. Aynı zamanda birçok siber suçluya da ev sahipliği yapıyorlar. gasp edebilecekleri para nedeniyle yüksek değerli altyapıyı hedef alıyorlar. Çin uzun bir oyun oynuyor: Kritik altyapımızın mümkün olduğunca çoğuna dahil olun ki bize karşı siyasi baskı uygulayabilsinler. Geçmişte çoğunlukla IP çalmak için yapılıyordu ama artık bu ikincil önemde.
“Her iki durumda da bu saldırganlar içeri girmenin yollarını buluyor ve Sistemleri kontrol etmek ve potansiyel olarak hasara yol açmak için kullanabilecekleri kodları arkalarında bırakmaya çalışıyorlar“diye uyarıyor.
Güvenlik kaygılarını daha da artıran bir diğer şey, çevrimiçi olarak açığa çıkan ICS donanımını tehlikeye atma riskiyle karşı karşıya bırakan çok sayıda güvenlik açıklarıdır. Bunların, amaca yönelik eğitimli uzmanlık olmadan yamalanması zordur ve çoğu zaman düzeltilmesi için kesinti süresi gerektirir, bu da birçok kuruluş için iyileştirmeyi imkansız hale getirir. Rockwell’in tavsiye niteliğindeki bağlantıları, CVE-2021-22681, CVE-2022-1159, CVE-2023-3595 ve CVE-2023-3596, CVE-2023-46290, CVE-2024-21914, CVE-2024-21915 dahil olmak üzere çeşitli ilgili hatalara yöneliktir. ve CVE-2024-21917.
Bunlar, elektrik şebekelerini devre dışı bırakan hizmet reddi (DoS) çabaları gibi saldırılara yol açabilir; kontrol etmek amacıyla operasyonel teknoloji (OT) ortamının derinliklerine inmek için ayrıcalık artışı ve yanal hareket; örneğin güç jeneratörleri için güvenlik eşiklerini değiştirmek amacıyla ayarların değiştirilmesi; su sektörü operasyonlarını durdurmak için programlanabilir mantık denetleyicilerinin (PLC’ler) uzaktan tehlikeye atılması; hatta yürütmek yıkıcı Stuxnet tarzı saldırılar bu, bir sitenin kalıcı olarak çalışma yeteneğini ortadan kaldırabilir.
Yanıt olarak “bağlantının kaldırılması [from ICS] Proaktif bir adım olarak saldırı yüzeyi azaltılır ve harici tehdit aktörlerinin yetkisiz ve kötü niyetli siber faaliyetlerine maruz kalma durumu anında azaltılabilir.” Rockwell şunları kaydetti: tavsiye niteliğindebunun “derhal” yapılması gerektiğini ekledi (konunun aciliyetinin yankı bulmaması durumunda, tamamı büyük harflerle yazılmıştır).
Çoğu ICS Donanımının Çevrimiçi Olmada İşi Yok
Tavsiye, “kamuya açık İnternet bağlantısı için özel olarak tasarlanmamış cihazlar” ile ilgili olsa da, maalesef çevrimiçi olarak bulunan ICS donanımının çoğunluğunu temsil ediyor. Çoğu kurulum hâlâ uzun yıllardır kullanımda olan ve hiçbir zaman bağlantılı “akıllı” kurulumların parçası olacak şekilde tasarlanmayan eski varlıkları çalıştırıyor.
Bu da küçük bir sorun değil: A Shodan araması “Rockwell” için binlerce eski örnek de dahil olmak üzere 7.000’den fazla sonuç döndürüldü PLC’lerICS ortamlarındaki fiziksel ve operasyonel süreçleri kontrol eden ve açığa çıkması amaçlanmayan.
Sorunun özü de burada yatıyor: Eğer makinelerin çevrimiçi olarak erişilebilir olması amaçlanmamışsa, nasıl oldu da bu hale geldiler?
“‘Merhaba, işe yarıyor’ dünyasında çoğu zaman kuruluşlar kendilerini şu durumda buluyor: [things are working operationally, but] Qualys Tehdit Araştırma Birimi Siber Tehdit Direktörü Ken Dunham, “Donanım ve yazılımlar önerilmeyen şekillerde kurulup yapılandırılıyor ve bu da onları saldırılara karşı savunmasız bırakıyor” diye açıklıyor. “Kuruluşlar, sahip oldukları sınırlı kaynaklarla ellerinden gelenin en iyisini yapıyor , sıkıştırılmış zaman dilimlerinde, genellikle uygun eğitim, deneyim olmadan ve güvenli, etkili sonuçlar sağlamak için kontrol ve dengeler olmadan.”
Kaynak kısıtlamalarının ötesinde, BT güvenlik personeli ile ICS varlıklarını fiilen yönetenler arasında da önemli bir kopukluk var. Örneğin, Viakoo’daki Viakoo Laboratuvarları’nın başkan yardımcısı John Gallagher, birçok durumda şunu belirtiyor: üretim ortamlarıOT cihazlarını kuran, İnternet’e yönelik istenmeyen bağlantılara neden olan BT değil, üretim ekibidir.
“İmalat tesisleri, ofis ekipmanlarından buluta bağlı üretim sistemlerine kadar çeşitli işlevler için internete bakan cihazlara sahip olma eğilimindedir” diye açıklıyor. Kendisi, ICS’yi diğer yönlerden ağ bölümlendirmesini düzgün bir şekilde kurmak ve sürdürmek için yapılandıranlar arasında çoğu zaman yeterli güvenlik uzmanlığının bulunmadığını da ekliyor. Böylece, ICS donanımı (çoğu kez yanlışlıkla) dışarıdan doğrudan veya dolaylı olarak erişilebilen dahili ağlarda çalışmaya başlar.
Saviynt’in güven sorumlusu Jim Routh’a göre, sınırlı kaynakları kullanan bu “çalışmasını sağlama” yaklaşımı aynı zamanda bu tür açığa çıkan cihazların kimlik doğrulama konusunda genellikle diğer temel güvenlik kontrollerinden yoksun olduğu anlamına da geliyor.
“Maalesef, BT ve kimlik ve erişim yönetimi ekipleri ile altyapı dışındaki erişim kontrolleriyle yapılandırılmış endüstriyel kontrol cihazlarının olması nispeten yaygındır ve bu da zayıf şifrelerin kullanılmasına neden olur” diye açıklıyor. “Bu durumda, Rockwell kullanan kurumsal müşteriler ICS cihazları internete, sağlamlaştırılması ve yönetilmesi gereken sınırlı erişim kontrolleriyle bağlanmış olabilir.”
Daha Olgun ICS Güvenlik Uygulamalarının Oluşturulması
Özetlemek gerekirse: kritik altyapı, fiziksel süreçlere yönelik giderek artan yıkıcı tehditlerle karşı karşıyadır; binlerce cihaz çevrimiçi olarak zayıf kimlik doğrulamayla açığa çıkıyor ve istismar edilebilir hatalarla dolu; ve site tasarımı ve varlık/altyapı yönetiminde güvenlik ekibinin katılımı konusunda yaygın bir eksiklik var. Sonuçta bu ideal bir durum değil.
Bu cihazların İnternet bağlantısını kesmek, endişeleri gidermenin en güvenli yoludur; cihazları çevrimdışına almak ve farklı bir topolojide çalışacak şekilde yeniden yapılandırmak göz korkutucu görünse de.
Viakoo’dan Gallagher, “Rockwell’de olduğu gibi internet bağlantılarının uygun şekilde etkinleştirilmediği durumlarda, bunların yeniden yapılandırılması için planlı bakım kesintileri gerekecektir” diyor.
Southwell bunu sert bir önlem olarak nitelendiriyor ancak riskin gerçekten de bunu gerektirecek kadar yüksek olduğunu vurguluyor. Bununla birlikte, ICS donanımının internetle olan bağlantısını kesmeyi reddeden kuruluşlar için çevrimiçi maruziyeti sınırlamanın gidilecek yollardan biri olduğunu söylüyor.
“Örneğin, ICS’yi yalnızca kısa süreler için ve erişim için yalnızca belirli protokolleri ve bağlantı noktalarını kullanan bilinen satıcıların belirli cihazlarına açık tutun” diye tavsiyede bulunuyor.
Routh, bağlı ICS cihazlarının nerede bulunduğunu, ne yaptıklarını, varsayılan bir şifre mi yoksa özelleştirilmiş bir şifre mi kullandıklarını ve ‘ yeniden yama yapıldı.
“Varlıkların tanımlanması ve sınıflandırılması, bu varlıklar için gereken yapılandırma standartları ve ardından güvenlik açığı yönetimi ve bu varlıklar için devam eden sorumluluk; bu, ICS de dahil olmak üzere BT varlıkları olarak kabul edilmeyen cihazlara hiçbir zaman gerçekten uygulanmadı” diyor . “Bunun değişmesi gerekiyor.”
Ekipman talimatlara uygun şekilde çevrimdışına alınsa bile Gallagher, ortama yeni varlıklar eklendikçe zaman içinde deliklerin ortaya çıktığı “yapılandırma kaymasının” bir sorun olduğu konusunda uyarıyor. IoT/OT ve ICS için tasarlanmış aracısız ve uygulama-cihaz ilişkilerinin farkında olan keşif çözümlerinin kullanılmasını savunuyor.
“Bu, tüm iletişim yollarının ağ segmenti içinde kalmasını (veya belki de yalnızca giden bir bağlantıya sahip olmasını) sağlamak açısından kritik öneme sahiptir ve yapılandırmaların değişmediğinden emin olmak için periyodik olarak kontrol edilmelidir. Yapılandırma kayması yönetimi, kullanıcılar için zor bir görevdir. IoT/OT/ICS sistemleri ve değişiklikleri temellendirmek ve izlemek için uygulama tabanlı keşif gibi çözümlerin kullanılmasını gerektiriyor.”
Şu anda kritik altyapının karşı karşıya olduğu risklere ilişkin tüm alarm zillerine ve özel kılavuz ve uyarıların yayınlanmasına rağmen, konu kendi ortamlarını güçlendirmek olduğunda kamu hizmetleri ve diğerleri açısından hareketin yavaş göründüğünü ekliyor.
Gallagher, “Bu gerçekten ağır çekimde bir tren kazası” diye uyarıyor. “IoT/OT/ICS’ye özel daha kapsamlı tehdit keşfi, değerlendirmesi ve iyileştirme uygulamaları yaygın olarak kullanılana kadar, yıkıcı bir siber saldırı şeklinde büyük bir uyandırma çağrısı tehdidi mevcut olacak.”
Kaçırmayın”Veri İhlalinin Anatomisi: Başınıza Geldiğinde Ne Yapmalısınız?20 Haziran’da yapılması planlanan ücretsiz bir Dark Reading sanal etkinliği! Konuşmacılar arasında Verizon’dan Alex Pinto’nun yanı sıra Snowflake, ilaç devi GSK, Salesforce ve daha birçok şirketin yöneticileri yer alıyor; bugün kaydolun!