Günümüzün endüstriyel kontrol sistemlerine (ICS) ve operasyonel teknoloji (OT) sistemlerine uzaktan erişime yönelik patlayan talep, siber saldırganların görmezden gelemeyeceği kadar çekici, belirsiz, İnternet bağlantılı bir saldırı yüzeyi yarattı. Ve temizlik basit bir iş olmayacak.
Araştırmacılara göre, çok sayıda ICS ağına, çalışanlar, ortaklar, tedarikçiler ve müşteriler tarafından, bir araya getirilmiş araçlar kullanılarak erişiliyor ve bu ortamlar, İnternet’e bağlıyken acınacak derecede savunmasız kalıyor.
Claroty’nin Team82’si yeni bir analizde 50.000 bireysel uzaktan erişime olanak sağlayan cihazlar özel OT donanımına sahip endüstriyel ağlarda çalışıyor ve %55’inin ortamlarında en az dört uzaktan erişim aracı (RAT) olduğunu buldu. Tam üçte biri (%33) altı veya daha fazla RAT kullandığını bildirdi. Bazı kuruluşlar bunlardan 16’ya kadar farklı RAT kullandığını bildirdi.
Team82 araştırmacılarının incelediği örneklerde temsil edilen endüstriler arasında ilaç, tüketim malları, gıda ve içecek, otomotiv, petrol ve gaz, madencilik ve imalat yer alıyor; bunların çoğu kritik altyapı sektörleri olarak kabul ediliyor.
Claroty’de güvenli erişim ürünlerinden sorumlu başkan yardımcısı Tal Laufer, Dark Reading’e “Kritik altyapılarda, tehlikeye atılan cihaza bağlı olarak, bazen bir ihlalle ilişkili daha büyük bir fiziksel risk vardır” diyor. “Bununla birlikte, bu tür araç yayılımına sahip tüm kuruluşlar risk altındadır, çünkü tehdit aktörlerinin istismar edebileceği ağlarında güvenlik açıkları yaratabilir.”
Siber güvenlik ekipleri için işleri daha da karmaşık hale getiren şey, Team82 raporunun ankete katılan kuruluşların %79’unun ortamında temel kurumsal düzeydeki güvenlik standartlarını karşılamayan iki veya daha fazla uzaktan erişim yönetim aracının bulunmasıdır.
Team82 raporunda, “Bu araçların çoğu, bir OT ortamını düzgün bir şekilde savunmak için gerekli olan oturum kaydı, denetim ve rol tabanlı erişim kontrollerinden yoksundur” denildi. “Bazıları, çok faktörlü kimlik doğrulama (MFA) seçenekleri gibi temel güvenlik özelliklerinden yoksundur veya ilgili satıcıları tarafından kullanımdan kaldırılmıştır ve artık özellik veya güvenlik güncellemeleri almamaktadır.”
Siber Saldırganlar Yaygın OT Uzaktan Erişim Saldırı Yüzeyini Fark Etti
Saldırganlar, bu uzaktan erişim araçlarının ortaya çıkardığı kötü niyetli olasılıkların zaten farkındalar ve bunu birkaç yıldır biliyorlar.
Laufer, son yıllardaki birçok büyük ihlalin, uzaktan erişim araçlarının yanlış yapılandırılmasından kaynaklandığını, bunların arasında şunlar yer aldığını belirtiyor: Sömürge Boru Hattı 2021’de ve Sağlık Hizmetlerini Değiştir bu yılın başlarında.
Kaspersky analistleri 2020 yılı gibi erken bir tarihte, siber saldırı riski konusunda uyarılarda bulunmuştu. uzaktan erişim araçlarına yönelik siber saldırılar TeamViewer ve RMS gibi ICS ortamlarını ihlal etmek için. Ve Ocak 2023’te CISA, NSA ile birlikte düşmanların başlattığı bir uyarı yayınlamak için birleşti Uzaktan yönetim sistemlerine karşı yaygın kampanyalar AnyDesk gibi federal kurumlara sızmak için.
Bu uyarılar gerçekleşti: Mayıs 2023’te TeamViewer kullanarak XMRing kripto madenciliği kötü amaçlı yazılımını bırakmaya çalışan bir tehdit aktörü keşfedildi. Aynı şekilde, uzaktan erişim aracı TeamViewer hedef alındı LockBit 3.0 fidye yazılımı grubunun 2024’ün başlarında sistemleri tehlikeye atma girişimleri başarısız oldu. Ve benzer şekilde, uzaktan erişim aracı Üretim sistemleri AnyDesk’te tehlikeye atıldı Geçtiğimiz Şubat ayında, satıcının tüm güvenlik izinlerini iptal etmesi ve tüm web portalı parolalarını sıfırlaması zorunlu hale gelmişti.
Bu uyarılara rağmen, ICS/OT operatörleri kendilerini korumaya yönelik net bir yol olmadan özellikle zor bir durumdalar. Team82 bulguları, bu araçların sayısının bir ortamda nasıl kolayca birikebileceğini ve uzaktan erişim yüzey alanının sürekli artan bir şekilde çoğalıp Başarı için araştırılacak rakiplerRaporda ayrıntılı olarak açıklandığı gibi, her araç kendi tedarik zinciri zayıflıklarını beraberinde getiriyor. Bunlar arasında çok faktörlü kimlik doğrulama (MFA), denetim ve oturum kaydı gibi temel, en iyi uygulama güvenlik özelliklerinin eksikliği yer alıyor.
Raporda ayrıca, farklı uzaktan erişim sistemlerinde çalışan temel izleme, tespit ve politika kontrol araçlarının eksikliğinin sorunu daha da karmaşık hale getirdiği ve bu sistemlerin yanlış yapılandırmalara, karmaşık politika ve kontrol yönetimine açık hale getirdiği ifade edildi.
Raporda, güvenli olmamalarının yanı sıra, tüm bu çeşitli RAT’ları ve bunların arkasındaki donanımları yönetmenin maliyetli bir operasyonel teklif olduğu da belirtildi.
OT Uzaktan Erişim Temizleme
Rapora göre, ICS/OT ağları için uzaktan erişimi güvence altına alma yolunda atılacak ilk adımın, OT varlıklarına erişim sağlayan araçların tam bir envanterini çıkarmak olduğu şaşırtıcı değil.
“Kritik bir ilk adım, sahip olduğunuzdan emin olmaktır kuruluşunuzun OT ağına tam görünürlük Laufer, “OT varlıklarına ve endüstriyel kontrol sistemlerine (ICS) kaç adet ve hangi çözümlerin erişim sağladığını anlamak için” diye açıklıyor.
Sonra, temel kurumsal siber güvenlik gereksinimlerini karşılamayan çözümlerin ortadan kaldırılması gerekiyor: yakında.
Araştırmacı, “Bu noktadan sonra mühendislerin ve varlık yöneticilerinin, OT ortamında düşük güvenlikli uzaktan erişim araçlarının kullanımını etkin bir şekilde ortadan kaldırmaları veya en aza indirmeleri gerekiyor; özellikle de bilinen güvenlik açıkları olanları veya çok faktörlü kimlik doğrulama (MFA) gibi temel güvenlik özelliklerinden yoksun olanları dikkate alarak,” diye vurguluyor.
Ayrıca, kuruluşun tedarik zinciri boyunca temel güvenlik standartlarını geliştirmek ve zorunlu kılmak da önemlidir. Laufer, “Bunun ötesinde, güvenlik ekipleri ayrıca OT ve ICS’ye bağlı uzaktan erişim araçlarının kullanımını da yönetmelidir,” diyor. “Bu, güvenlik gereksinimlerinin hizalanmasına ve bu gereksinimlerin tedarik zincirindeki üçüncü taraflar arasında gerektiği şekilde genişletilmesine yardımcı olabilir.”