Dünya genelinde kamuya açık internete açık en az 100.000 endüstriyel kontrol sistemi (ICS) mevcut olup, elektrik şebekeleri, su sistemleri ve bina yönetim sistemleri (BMS) gibi bir dizi kritik operasyonel teknolojiyi (OT) kontrol etmektedir. Bu çok büyük bir rakam olsa da araştırmacılar, bu maruziyetten kaynaklanan gerçek siber riski ölçmenin, donanımın hangi protokolleri kullandığını incelemek anlamına geldiğini belirtiyor.
Yakın zamanda yapılan bir analizde, siber risk engelleyicisi Bitsight’tan araştırmacılar, en popüler ve en yaygın kullanılan ICS protokollerini (Modbus, KNX, BACnet, Niagara Fox ve diğerleri dahil) kullanan erişilebilir cihazların envanterini çıkararak 100.000 rakamına ulaştı.
Açığa çıkan ICS ayak izinin siber saldırganlar için olgun bir hedef oluşturduğunu ve dolayısıyla en az 96 ülkede fiziksel güvenlik açısından küresel bir risk oluşturduğunu belirlediler. Kötü amaçlı yazılımların elektrik şebekelerini çökertmek için oluşturulduğu ve Colonial Pipeline hack’inde olduğu gibi olayların gösterdiği gibi, risk teorik değil.
Firmanın yakın tarihli bir raporuna göre, “Bu ICS cihazları, trafik ışıklarından aşı üretimine kadar toplumumuzdaki fiziksel altyapının çoğunu kontrol etmek için kullanılıyor.” “Bu sistemlerin bozulması, önemli iş kesintilerine, insan güvenliğine yönelik tehditlere, veri ve fikri mülkiyet (IP) uzlaşmasına, ulusal güvenlik tehditlerine ve daha fazlasına yol açabilir.”
Bitsight’ın baş güvenlik araştırmacısı Pedro Umbelino, bu tür ekipmanlara İnternet üzerinden doğrudan erişilebilmesinin çok az nedeni olduğunu, dolayısıyla risk düzeyinin çözülebilir bir sorun gibi göründüğünü belirtiyor.
“İnternete yönelik olarak tanımladığımız sistemler, yanlış yapılandırmalardan veya en iyi uygulamaların ihmal edilmesinden kaynaklanıyor olabilir” diye açıklıyor. “Genellikle, saldırganlar İnternet’e bakan sistemleri tarar ve daha sonra bu sistemin bir güvenlik açığına sahip olup olmadığını belirlemek için bilgi toplar. Yani eğer sistemler bir güvenlik duvarının arkasındaysa veya başka bir şekilde İnternet’e bakmıyorsa, bu durumda istismar riskinin büyük kısmı azaltılır.”
Standart Protokol Yok: ICS İletişim Kılavuzu Risk Değerlendirmesi
ICS ortamlarındaki riski anlamak, İnternet’ten kaç cihaza erişilebileceğini belirlemekten daha fazlasını gerektirir. Özellikle farklı protokollerin kullanılması, siber saldırganların zayıf noktaları nerede araştırabileceklerini belirlemede önemli ipuçları olabilir.
“İncelediğimiz bazı protokoller, temel kimlik doğrulama gibi güvenlik önlemlerinden yoksun, bu da cihazları hemen hemen herkese açık bırakıyor” diyor.
Diğer protokollerin, saldırganların hedef keşfi yapmasına yardımcı olabilecek özelliklere sahip olduğunu ekliyor.
Umbelino, “Diğer protokoller çok ayrıntılıdır; cihazın markasını, modelini ve sürümünü açıkça belirtir ve bir saldırganın hazır açıkları arama görevini büyük ölçüde basitleştirir.” diye açıklıyor. “Farklı protokollerin benimsenmesi, bir kuruluşun açık yüzeyinde farklı cihazların bulunduğunu gösterir. Bu, farklı satıcıları, farklı tedarik zincirlerini, [and] farklı yazılım çalışıyor.”
Kuruluşlar ayrıca saldırıları protokole göre uyarlamanın coğrafi hedeflemeye de yardımcı olabileceğinin farkında olmalıdır. Bitsight, CODESYS, KNX, Moxa Nport ve S7 kullanan açık endüstriyel kontrol sistemlerinin büyük ölçüde Avrupa Birliği’nde (AB) yoğunlaştığını belirtti. Bu arada, ATG ve BACnet kullanan açıkta kalan sistemler büyük ölçüde ABD’de bulunuyor. Modbus ve Niagara Fox ise dünya çapında mevcut.
Umbelino, bunun çıkarımı, ICS sahibi kuruluşların protokol kullanımlarının envanterini çıkarabilmeleri ve bunu riski tanımlamak ve OT/ICS güvenlik stratejilerini bilgilendirmek için bir değişken olarak kullanabilmeleri olduğunu söylüyor. Örneğin, internete yönelik noktaları ortadan kaldırmak için kritik altyapı ortamının tamamını yeniden yapılandırmak her zaman pratik olmayabilir, bu nedenle ilk önce nereye odaklanılacağını bilmek çok değerli olabilir.
Endüstri 4.0 Daha Güvenli Bir Gelecek İnşa Ediyor
Bitsight’ın en önemli bulguları, her yerdeki kritik altyapı paydaşları için bir uyandırma çağrısına işaret etse de, “akıllı” OT ortamlarına ve daha fazla dijitalleşmeye geçişin ortasında bile ICS’ye maruz kalma seviyesinin aslında zaman içinde düştüğünü belirtmekte fayda var. 2019 yılında çalışmanın parametreleri kapsamında maruz kalan ICS cihazlarının sayısı 140.000’e yaklaştı.
Umbelino, “CISA’nın ‘Endüstriyel Kontrol Sistemlerinin Güvenliğinin Sağlanması: Birleşik Bir Girişim’ gibi girişimler ve güvenlik topluluğunun ICS güvenliği konusu etrafında yürüttüğü genel tartışmalar, maruziyetin azalmasına katkıda bulunmuş olabilir” diye öne sürüyor. “[And,] Endüstri 4.0 yeni teknolojilerin yanı sıra bunlarla etkileşim kurmanın başka yollarını da (örneğin bulut ortamlarını, özel ağları ve diğer daha az erişilebilen ortamları düşünün) ve daha olgun güvenlik programlarını getirdi.”
ICS Güvenliği ve Maruz Kalma Nasıl Geliştirilir?
Bitsight’a göre pratik açıdan bakıldığında, ICS ortamlarının sahipleri bazı sağduyulu adımlar atarak güvenliklerini destekleyebilirler:
- Kuruluş ve/veya üçüncü taraf iş ortakları tarafından dağıtılan tüm ICS’leri belirleyin ve bu sistemlerin güvenliğini derhal değerlendirin;
- Herhangi bir ICS’yi halka açık İnternet’ten kaldırın;
- Yetkisiz erişime karşı koruma sağlamak için güvenlik duvarları gibi koruma önlemleri kullanın;
- Altyapıya yalnızca geleneksel bir BT risk modeli uygulamak yerine (yani yama yapmak için kesinti süresi ihtiyacı), ICS de dahil olmak üzere OT için geçerli olan benzersiz kontrol ihtiyaçlarını kabul edin.
Umbelino, “Özetle, genel bir kural olarak: maruz kalmayı azaltın” diyor. “Endüstriyel kontrol sistemleri kamuya açık İnternet’e ait değildir. Güvenlik duvarları kullanın, erişim kontrollerini yapılandırın, sanal özel ağlardan veya cihazların geniş çapta erişilebilir olmasını engelleyen diğer mekanizmalardan yararlanın.”