Genişletilmiş IoT cihazları (xIoT), yatay hareket etmek ve kurumsal ağlarda süreklilik sağlamak isteyen siber saldırganlar için uzun süredir favori olarak duruyor. Kötü adamların tutunacak bir yer için ihtiyaç duyduğu her şeye sahipler: Büyük ölçüde güvenlik altındalar, çok sayıda (ve ağın hassas bölümlerinde) bulunuyorlar ve en önemlisi, genellikle iyi izlenmiyorlar.
RSA’da yakında yapılacak bir oturumda, güvenlik araştırmacısı ve stratejist Brian Contos, güvenlik stratejistlerinin riske karşı koymak için ne yapması gerektiğinin yanı sıra, bu cihazların kurumsal kaynaklara karşı çok geniş çaplı saldırılar oluşturmak için nasıl kullanılabileceğini izleyicilerine gösterecek.
Sevco Security’nin baş strateji sorumlusu Contos, “Bazı xIoT hackleme gösterileri yapacağım, çünkü herkes bir şeylerin zorla girildiğini görmekten hoşlanır,” diyor. “Ancak xIoT dünyasında taviz vermek oldukça kolaydır, bu yüzden buna odaklanmayacağım, bunun yerine kurum içi cihazlara, bulut içi cihazlara saldırmak, hassas verileri çalmak, korumak için nasıl bir pivot noktası olarak kullanılabileceğine odaklanacağım.” sebat etme ve tespitten kaçınma.”
Amacı, kurumsal ortamlarda xIoT cihazlarının yönetilmeden ve izlenmeden bırakılmasından kaynaklanan ağır dalgalanma etkilerini göstermek için saldırının tüm yaşam döngüsünü göstermektir.
xIoT Güvensizliğinin Yaygınlığı
Contos’un açıkladığı gibi, xIoT cihazları genellikle iş ortamlarında önemli ölçüde çoğalan üç cihaz kategorisine ayrılır. İlki, kameralar, yazıcılar, IP telefonlar ve kapı kilitleri gibi kurumsal IoT cihazlarıdır. İkincisi, endüstriyel robotlar, valf kontrolörleri ve endüstriyel ortamlarda fiziği kontrol eden diğer dijital ekipmanlar gibi operasyonel teknoloji cihazlarıdır. Üçüncüsü – ve genellikle en az hatırlanır – anahtarlar, ağa bağlı depolama ve ağ geçidi yönlendiricileri gibi genel ağ cihazlarıdır.
“Tüm bu cihazların ortak noktası, hepsinin özel bir amaç için yaratılmış, amaca yönelik cihazlar olmalarıdır” diye belirtiyor. “Ağa bağlılar ve üzerlerine herhangi bir ek ‘öğe’ yükleyemezsiniz. Bu nedenle, üzerlerine bir güvenlik duvarı veya IPS veya kötü amaçlı yazılımdan koruma koyamazsınız. Bu nedenle, geleneksel BT kontrollerinin tümü Bu xIoT dünyasına mutlaka iyi uyum sağlar.”
Son birkaç yıldaki araştırmasının, tipik bir kurumsal ağda, çalışan başına genellikle üç ila beş xIoT cihazı olduğunu gösterdiğini söylüyor. Petrol ve gaz veya imalat gibi bazı sektörlerde, bu sayı çalışan başına beş ila altı cihaza kadar artabilir. Yani 10.000 çalışanı olan bir üretim şirketi, ağlarında bu cihazlardan 50.000 tanesine kolayca bakıyor olabilir.
“Ve bulacağınız şey, bunların yaklaşık yarısının varsayılan bir şifre kullandığı, ki bu da benim Google’da arama yapmamın tamamı yarım saniyemi alıyor,” diyor. “‘Bir APC UPS sistemindeki varsayılan şifre nedir’ diye Google’a yazarsam, bana varsayılan kullanıcı adının ‘apc’ ve varsayılan şifrenin ‘apc’ olduğunu söyleyecek. Ve size deneyimlerime dayanarak söyleyebilirim ki, şimdiye kadar kullanıcı adı ve parola olarak ‘apc-apc’ içermeyen bir APC UPS sistemi görmedim.”
Bunun da ötesinde, xIoT cihazlarının yarısından fazlasının, cihazlarda uzaktan yararlanmak ve kök ayrıcalıkları elde etmek için çok az bilgisayar korsanlığı uzmanlığı gerektiren veya hiç gerektirmeyen kritik düzeyde CVE’ler çalıştırdığını açıklıyor.
“Hacim nedeniyle, ilk 1.000 ila 2.000 cihaza giremezseniz, büyük olasılıkla sonraki 1.000 ila 2.000 cihaza gireceksiniz” diyor.
Alınan Dersler
Contos’un bilgisayar korsanlığı gösterileri, xIoT cihaz kategorilerinin her birinden farklı bir cihazın, gücü kapatmaktan bir varlığı yok etmeye ve hassas verileri sızdırmaya ve bir ağ genelinde saldırı erişimini genişletmeye kadar sayısız saldırı amacıyla nasıl kullanılabileceğini derinlemesine inceleyecek. Ulus devlet aktörlerinin geliştirdiği xIoT hack araçları hakkında bilgi paylaşacak ve tehdit aktörlerinin bu tür saldırılara yatırım yapmak için nasıl ciddi paralar harcadıklarını açıklayacak.
“İzleyicilerin bunun ne kadar kolay olduğunu ve bunun organizasyonları içinde biraz odaklanmayı gerektiren bir risk olduğunu anlamalarını istiyorum” diyor.
Tartışmanın bir parçası olarak Contos, xIoT saldırı yüzeyini sertleştirmek için segmentasyon ve MFA gibi telafi edici kontrollerin yanı sıra xIoT çevresinde sağlam varlık yönetimi, kimlik yönetimi ve yama yönetimini içeren karşı önlemleri tartışacak. Ayrıca savunmaların “bir balon içinde” planlanmaması gerektiğini açıklamayı umduğunu da söylüyor. Bu, başka bir deyişle, bulut güvenliğinden ve diğer güvenlik gruplarından kaldırılmış özel bir görev gücü tarafından geliştirilmesi gereken türden bir güvenlik önlemi değildir.
“Bütün bunlar entegre edilmeli çünkü tüm bu cihazlar birbirine temas ediyor” diyor. “Daha büyük bir yaklaşımın parçası olmalı.”