Kritik Altyapı Güvenliği , Yönetişim ve Risk Yönetimi , Operasyonel Teknoloji (OT)
Dragos CEO’su: Yamasız Güvenlik Açıkları OT’de Yabancıların Düşündüğünden Daha Az Sorun
Micheal Novinson (Michael Novinson) •
26 Ocak 2023
Dragos CEO’su Robert Lee, dijital varlıkların artan fiziksel bağlantısının saldırı yüzeyini genişlettiğini ve endüstriyel ortamlardaki mühendisler için karmaşıklığı artırdığını söylüyor.
Ayrıca bakınız: OnDemand I IoT altyapısı ve Perakende Operasyonları Fireside Chat I AMPOL
Lee, Perşembe günü sanal bir panelde, endüstriyel otomasyonun ve yeni sistemlerin daha fazla konuşlandırılmasının tesis operatörlerinin kök neden analizi yapmasını ve bir kesinti durumunda sistemleri yedeklemesini zorlaştırdığını söyledi. Lee, endüstriyel tesislerin, kötüleşen bir tehdit ortamında kök neden analizi yapmak için orijinal ekipman üreticilerine, satıcılarına ve entegratörlerine daha fazla güvenmek zorunda kaldığını söylüyor.
Lee, “Artık yanıt vermek için eskisi kadar zamanınız yok,” diyor. “Ulus devletlerin, yalnızca casusluk için değil, aynı zamanda siyasi ve askeri değer için de endüstriyel altyapıyı hedeflemek için önemli bir kaynak havuzu tahsis ettiğini görüyoruz.”
Lee, odak, standartlar, yatırım, kaynaklar ve bütçenin %95’inden fazlasının kritik altyapının kurumsal BT ortamına odaklandığını ve gelir elde etmekten ve çevre güvenliğini sürdürmekten sorumlu OT tarafının kaynakların ve odağın yalnızca %5’ini aldığını söylüyor. Lee’ye göre, paydaşlar yatırım önceliklerinin değişmesi gerektiğinin giderek daha fazla farkına varıyorlar (bkz: Yöneticiler için OT Siber Güvenlik Stratejileri).
Lee, “İnsanlar zorluğu anladığında, endüstriyel varlık sahiplerinin ve operatörlerin gidip düzeltme konusunda herhangi bir çekincesi görmüyorum” diyor. “Ama altı aylık bir süre içinde yapılan bir şey olmayacak.”
‘Bazı Tehdit Türlerine Karşı Zaman Aşıyor’
2022’nin başlarında, Dragos ilk kez bir düşmanın ABD’nin kritik altyapısında yıkıcı olmaya ve sıvı doğal gaz ve elektrik sahalarının peşine düşmeye hazır bir yetenek geliştirip konuşlandırdığını gördü. Ölçeklendirilebilir, yeniden kullanılabilir, sektörler arası olduklarından ve denetleyiciler içinde daha homojen altyapıya ve ortak yazılım yığınlarına doğru geçişten yararlandıkları için yetenekler ufuk açıcıydı.
Lee, “Bu tür ortak noktalar, oluşan bu homojen yapı var. İş açısından bakıldığında bu iyi bir fikir,” diyor. “Ancak artık yeniden kullanılabilir, ölçeklenebilir yetenekler oluşturabilen düşmanlarımız olduğu ve artık siteye veya yan sektöre özgü olmadıkları için bu risk de var.”
Lee, yama uygulayarak riski ortadan kaldırmanın bir yolu olmadığından, rakiplerinin hala bu yetenek üzerinde çalıştığından ve geliştirmeye devam ettiğinden son derece emin. Lee, saldırı yönteminin yeteneklerinden yararlanmak için bir güvenlik açığına çarpması gerekmediğinden yakın zamanda ortadan kalkmayacağını söylüyor. Geliştirme devam ediyor olsa da, yeteneklerin vahşi hiçbir yerde konuşlandırılmadığını da ekliyor.
Lee, savunma açısından bakıldığında, kritik altyapı firmalarının yalnızca saldırıları önlemeye değil, aynı zamanda onları tespit etmeye, bunlara yanıt vermeye ve onlardan kurtulmaya da odaklanması gerektiğini söylüyor. Kuruluşlar, en yeni nesil saldırılara karşı sağlam bir savunma oluşturmak için yalnızca uzlaşma göstergelerini değil, aynı zamanda rakiplerin taktiklerini, tekniklerini, prosedürlerini ve yöntemlerini de anlamalıdır.
Lee, “Belirli tehdit türlerine karşı zaman daralıyor” diyor. “Büyüyen endüstriyel otomasyon, karmaşıklık ve büyüyen homojen altyapı ile bunun topluluklarımız için ne anlama gelebileceği konusunda zeki olmamız gerekiyor.”
“O Kadar Çok Baskı Var ki… Her Zaman Yama Yapılması Gerekiyor”
Lee, şirketlerin BT güvenlik uygulamalarını körü körüne OT’ye kopyalamaktan kaçınmaları gerektiğini söylüyor – bunların en önemlisi, Windows XP veya Windows 7 gibi eski ekipmanların endüstriyel saldırı riskini artırmasıdır. Benzer bir şekilde, Lee, bir ICS saldırısında kullanılan endüstriyel kontrol sistemine özgü güvenlik açıklarının bilinen hiçbir vakası olmadığı için yama yapılmamış güvenlik açıklarının BT departmanlarının düşündüğünden daha az endişe verici olduğunu söylüyor.
Lee, “Yapmamız gerekenler açısından muhtemelen ilk dörde girmese de, onu bir numaralı şey olarak koyduk” diyor.
Lee, güvenlik açıklarının yalnızca %4’ünün endüstriyel bir saldırıda kullanıldığını veya kesintilere neden olabilecek veya güvenliği ve operasyonları tehlikeye atabilecek gerçekçi bir endüstriyel saldırıda kullanılabileceğini söylüyor. Lee’ye göre, bilinen güvenlik açıklarının %30 ila %40’ı endüstriyel bir saldırıda kullanılabilir, ancak saldırının fazla bir etkisi olmaz.
Lee, “Varlık sahipleri ve operatörler üzerinde her zaman yama uygulama konusunda çok fazla baskı var ve ben yama uygulama konusunda Rusya, Çin ve İran’ın toplamından daha fazla BT uzmanına yanıt verdim” diyor. “Bu yüzden sadece risk konusunda dikkatli olmamızı istiyorum.”