Erkan Teskancan
Moderasyon
- Konu Yazar
- #1
## Ağdaki Hayaletler: Saldırganlar Nasıl Görünmez Kalıyor
Dijital dönüşüm, hiper-bağlantılılık, otomasyon ve akıllı makinelerin yükselişini beraberinde getirdi. Bu gelişmeler üretim verimliliğini artırırken, cihazların daha açık ve siber saldırılara daha savunmasız olmasına da yol açtı.
OT ve IoT cihazları, yerleşik güvenlik özelliklerinin yokluğu ve 7/24 çalışma gereksinimleri nedeniyle korunması zor aygıtlardır. Siber güvenlik çözümleri mevcut olsa bile, kötü niyetli aktörler ağda görünmez hayaletler olarak kalmak için çeşitli teknikler kullanabiliyor.
2023 yılında CISA, Çin kaynaklı Volt Typhon adlı bir tehdide dair bir siber güvenlik uyarısı yayınladı. Volt Typhon, yerleşik ağ yönetim araçlarını kullanarak ve dedektörden kaçınarak saldırılarını gerçekleştirebilme özelliğiyle dikkat çekiyor. Bu tür "living off the land" yani sistemde var olan araçlarla saldırı yöntemleri, meşru faaliyetlerle karıştığı için tespiti zorlaşıyor.
### TCP/IP Yığınının İçindeki İğne
Saldırganların ağ cihazlarına sızması veya onları sömürmesi için diğer birçok yol bulunuyor. OT ve IoT cihazlar, ağ altyapıları ve bina otomasyon sistemleri, zayıf kütüphaneler ve gömülü teknoloji yığınları hedef alınarak istismar edilebiliyor.
Örneğin, Ripple20 ve Project Memoria, 100'den fazla TCP/IP yığınına ait birçok güvenlik açığını ortaya çıkaran önemli araştırma projeleri oldu. TCP/IP açıkları son derece tehlikelidir çünkü birçok kuruluş bu açıkların varlığından habersizdir ve bu açıklar cihazların sessizce ele geçirilmesine olanak tanır.
### Örnek TCP/IP Güvenlik Açıkları
- NUMBER:JACK: TCP/IP bağlantılarını saldırganlara açabilir.
- NAME:WRECK: Uzaktan kod yürütülmesini mümkün kılar.
- INFRA:HALT: Hizmet engelleme (DoS) saldırılarına yol açabilir.
IoT cihazlarının TCP/IP yığını hedef alan fidye yazılımları (R4IoT) da bu tür zafiyetleri ilk saldırı adımı olarak kullanabilir.
Project Memoria, ayrıca yazılım kütüphanelerindeki zafiyetlerin tedarik zinciri boyunca yayılabileceğini ve üçüncü taraf risklerini büyütebileceğini gösteriyor. Bu projede 250.000'den fazla cihazı etkileyen 100'den fazla güvenlik açığı tespit edildi.
### Görünürlük: 3 Boyutlu Yaklaşım
İleri ve gizli siber saldırıları önlemek ve tespit etmek için kapsamlı görünürlük şarttır. Bu süreç, ağdaki tüm cihazların, yazılımlarının ve güvenlik yapılandırmalarının keşfi, cihazların güvenlik durumunun değerlendirilmesi ve ağ trafiğinin kötü amaçlı veya anormal davranışlar açısından izlenmesini kapsar.
Son beş yılda CISA, yazılım bileşenlerinin listelendiği Yazılım Bileşen Listesi (SBOM) talebini ilerletti. Ancak, 2023 itibarıyla çoğu üretici ürünlerinde SBOM sunmamaktadır ve yazılım yığınlarında kullanılan tüm bileşenlerin belirlenmesi hâlen zorluk yaratmaktadır.
### Risk Azaltma ve Önlemler
- Ağ segmentasyonu: Özellikle OT, IoT ve yönetilmeyen cihazlarda risk azaltmada en etkili yöntemdir. Bu cihazlar genellikle yamalanamamakta veya 7/24 çalışmak zorundadır.
- Güvenlik ekipleri, görünürlük kazanmalı ve hem cihazlarda hem ağda riskleri yönetmelidir.
Sonuç olarak, zafiyetlerin ve savunmasızlıkların varlığı neredeyse kaçınılmazdır. İleri seviye tehdit aktörleri bunu iyi bilmekte ve ağda gizlice hareket edip erişim sağlamaktadır. Güvenlik ekiplerine düşen görev, bu tehditleri görünür kılmak, önceliklere uygun güvenlik önlemleri almaktır.
