- Konu Yazar
- #1
Dijital dönüşüm, hiper-bağlantılılık, otomasyon ve akıllı makinelerle birlikte maliyet düşüşleri ve üretim verimliliği getirdi. Ancak, bu cihazların birbirine bağlı yapısı onları siber saldırılara karşı daha savunmasız hale getiriyor.
─────────────────────────
⚙️ OT ve IoT Cihazlarının Güvenlik Zorlukları
Operasyonel Teknoloji (OT) ve Nesnelerin İnterneti (IoT) cihazları, yerleşik güvenlik özelliklerinin eksikliği ve 7/24 çalışma gereksinimleri nedeniyle güvenliği sağlaması zor cihazlardır. Siber güvenlik çözümleri mevcut olsa bile, kötü niyetli aktörler ağda görünmez "hayaletler" olarak kalmak için çeşitli teknikler kullanabilir.
─────────────────────────
👻 Volt Typhoon ve "Living Off The Land" Taktikleri
2023'te CISA, kritik altyapı sektörlerini hedef alan Çin destekli bir tehdit aktörü olan Volt Typhoon hakkında bir siber güvenlik uyarısı yayınladı. Volt Typhoon, saldırılarını gerçekleştirmek için yerleşik ağ yönetici araçlarını kullanarak tespit edilmeden "living off the land" (sistemin kendi araçlarını kullanma) yeteneğiyle dikkat çekiyor. Bu teknikleri tespit etmek zordur çünkü meşru aktivitelere benzer görünürler ve bu da soruşturulma olasılıklarını azaltır.
─────────────────────────
🔍 TCP/IP Yığınındaki İğne: Gizli Açıklar
Saldırganların tespit edilmeden ilk erişim sağlaması veya ağ cihazlarını istismar etmesi için birçok başka yol var. OT ve IoT cihazları, ağ altyapısı ve bina otomasyon sistemleri, savunmasız kütüphaneler ve gömülü teknoloji yığınları hedeflenerek istismar edilebilir.
Örneğin, Ripple20 ve Project Memoria, bir düzineden fazla TCP/IP yığınını etkileyen 100'den fazla güvenlik açığını ortaya çıkaran iki güvenlik araştırma projesiydi.
TCP/IP güvenlik açıkları son derece tehlikelidir çünkü hedeflenen kuruluşlar, çoğu yönetilmeyen cihaz için Yazılım Malzeme Listesi (SBOM) eksikliği nedeniyle varlıklarından genellikle habersizdir. Bu açıklar, savunucuların tespit etme yolu olmadan bir cihazı istismar etmek için kullanılabilir. Ripple20'den 3 yıl sonra bile, Treck TCP/IP yığınını etkileyen CVE-2020-11899, Forescout Vedere Labs tarafından toplanan verilere göre en bilinen istismar edilen güvenlik açıklarından biri olmaya devam ediyor.
[]NUMBER:JACK: TCP/IP bağlantılarını saldırganlara ifşa edebilir.
[]NAME:WRECK: Uzaktan kod yürütmeye (RCE) olanak tanıyabilir.
[]INFRA:HALT: Hizmet reddi (DoS) saldırılarına yol açabilir.
Güvenlik araştırmacıları ayrıca, IoT için fidye yazılımının (R4IoT) bir fidye yazılımı saldırısının ilk adımı olarak IoT cihazlarının TCP/IP yığınını nasıl hedefleyebileceğini de gösterdi.
Project Memoria ayrıca, yazılım kütüphanelerindeki güvenlik açıklarının tedarik zinciri boyunca nasıl yayılabileceğini ve üçüncü taraf riskini nasıl artırabileceğini gösteriyor; 100 güvenlik açığı 250.000'den fazla cihazı etkiledi. "Paylaşılan sorumluluk" gerçeği, güvenlik ekiplerinin kuruluşlarını korumaktan nihayetinde sorumlu olduğudur, çünkü güvenlik araştırmacıları "tasarımla güvenli" olarak adlandırılan cihazların bile güvenlik açıklarına karşı savunmasız olduğunu göstermiştir.
─────────────────────────
👁️🗨️ Üç Boyutlu Görünürlük: Savunmanın Temeli
Bir kuruluşun gelişmiş ve gizli siber saldırıları önlemek ve tespit etmek için atabileceği sayısız adım vardır ve bunların hepsi derinlemesine görünürlükle başlar. Görünürlük birden fazla boyutta gereklidir:
[
- ]Öncelikle, kurumsal ağa bağlı tüm cihazları, yazılımlarını ve güvenlik yapılandırmalarını keşfetmek.
[]Ardından, cihazın durumunu değerlendirmek (örneğin, savunmasız mı, ne kadar açıkta).
[]Son olarak, kötü niyetli veya anormal aktivite için ağ trafiğini izlemek.
─────────────────────────
📜 SBOM ve Ağ Segmentasyonu
Son beş yılda CISA, gıda ambalajlarındaki içerik listesine benzer şekilde yazılım bileşenlerini listeleyecek bir SBOM çağrısını ilerletiyor. Ancak, zorunluluklar ve müşteri tedarik süreçleri satıcılardan ürünlerine SBOM eklemelerini giderek daha fazla talep etse de, 2023 itibarıyla cihaz üreticilerinin büyük çoğunluğu hala gönderdikleri ürünlere SBOM dahil etmiyor ve birçoğu hala yazılım yığınlarında yer alan kütüphanelerin ve bileşenlerin kapsamlı listesini nasıl belirleyeceklerini bulmakta zorlanıyor.
Dahası, sektör satıcıların SBOM sağladığı bir noktaya ulaşsa bile, cihazlarının savunmasız olmadığından emin olma sorumluluğu hala güvenlik ekiplerindedir.
Ağ segmentasyonu, savunmasız cihazların riskini azaltmak için muhtemelen en etkili yaklaşımdır, özellikle OT, IoT ve daha genel olarak yönetilmeyen cihazlar için. Çoğu durumda, bu cihazları yamalamak imkansızdır veya en azından hemen yapılamaz; belki eski işletim sistemlerine dayanıyorlar veya üretim hedeflerine ulaşmak için önümüzdeki birkaç ay boyunca 7/24 çalışmak zorundalar. Ağ segmentasyonu, savunmasız ve güvensiz cihazların maruziyetini sınırlar ve başarılı saldırılar durumunda yanal hareket yeteneğini kısıtlar.
─────────────────────────
🎯 Sonuç: Sorumluluk ve Öncelikler
Güvenlik açıkları ve maruziyet, ister tasarımla güvensizlikten ister kuruluşların cihazları güvenli bir şekilde yapılandıramamasından kaynaklansın, pratik olarak kaçınılmazdır. Gelişmiş tehdit aktörleri bu gerçeğin farkındadır ve bu da onların bir ağa gizlice erişmelerini ve yanal olarak hareket etmelerini çok kolaylaştırır. Sonuç olarak, güvenlik ekipleri ağlarındaki riskleri ve tehditleri görünür hale getirme ve kurumsal önceliklere (yani kesinti olmaması) ve cihaz sınırlamalarına saygı duyan güvenlik önlemlerini uygulama sorumluluğunu üstlenmelidir.
