Kaspersky, endüstriyel sektörlerde APT saldırılarını tetikleyen en önemli faktörleri belirledi

Gelişmiş Kalıcı Tehdit (APT) operasyonlarının başarısına katkıda bulunan temel şartlar ortasında insan faktörü, yetersiz güvenlik tedbirleri, siber güvenlik tahlillerinin güncellenmesi ve yapılandırılmasıyla ilgili zorluklar ve öbür ögeler yer alıyor. Bu nedenlerden kimileri kıymetsiz üzere görünse de, Kaspersky uzmanlarının olay müdahale faaliyetleri sırasında sıklıkla karşılaştıkları nedenler ortasında yer alıyor. Kaspersky ICS CERT uzmanları, şirketlerin ilgili tehditleri azaltmasına yardımcı olmak ve en güzel uygulamaların izlenmesini sağlamak için yaygın karşılaştıkları sorunların listesini derledi.

Operasyonel Teknoloji (OT) ağ izolasyonunun olmaması

Olay incelemeleri sırasında Kaspersky uzmanları, Operasyonel Teknoloji (OT) ağını farklı ve inançlı tutma konusunda problemler yaşandığına şahit oldu. Örneğin hem olağan BT ağına hem de OT ağına bağlı mühendislik iş istasyonları üzere makineler var.  

Kaspersky Endüstriyel Denetim Sistemleri Siber Acil Durum Müdahale Grubu Başkanı Evgeny Goncharov, “OT ağının izolasyonunun sadece ağ ekipmanının yapılandırmasına bağlı olduğu durumlarda, tecrübeli saldırganlar bu ekipmanı her vakit kendi avantajlarına nazaran tekrar yapılandırabiliyor. Örneğin makus gayeli yazılım trafiğini denetim etmek için proxy sunucularına dönüştürülebilir yahut izole edildiğine inanılan ağlara makûs emelli yazılım depolamak ve dağıtmak için kullanabilir. Bu tıp makus niyetli faaliyetlere birçok defa şahit olduk” dedi.

İnsan faktörü siber cürüm faaliyetlerinin itici gücü olmaya devam ediyor

Çalışanlara yahut sözleşmelilere OT ağlarına erişim müsaadesi verirken, bilgi güvenliği tedbirleri çoklukla göz gerisi ediliyor. Başlangıçta süreksiz olarak kurulan TeamViewer yahut Anydesk üzere uzaktan idare araçları fark edilmeden faal kalabiliyor. Lakin bu kanalların saldırganlar tarafından kolay kolay istismar edilebileceğini unutmamak kıymetli. Kaspersky, 2023 yılında bir kontratlı çalışanın birkaç yıl evvel kendisine yasal olarak verilen ICS ağı uzaktan erişiminden yararlanarak sabotaj teşebbüsünde bulunduğu bir olayı araştırdı.

Bu kıssa insan faktörünü göz önünde bulundurmanın kıymetini ortaya koyuyor. Çünkü potansiyel olarak mutsuz çalışanlar işe dair problemler, gelirden memnuniyetsizlik yahut siyasi motivasyonlar nedeniyle siber hata hareketlerinde bulunabiliyor. Bu türlü bir durumda muhtemel bir tahlil sıfır itimat yaklaşımı olabilir. Bu sistem içindeki kullanıcıya, aygıta ve uygulamaya güvenilmediğini varsayan bir kavramdır. Öbür sıfır itimat tahlillerinden farklı olarak Kaspersky, sıfır inanç yaklaşımını KasperskyOS tabanlı tahlilleriyle işletim sistemi düzeyine kadar genişletiyor.

OT varlıklarının yetersiz korunması

Olay tahlili sırasında Kaspersky uzmanları, berbat gayeli yazılımların yayılmasına katkıda bulunan eski güvenlik tahlili veritabanları, eksik lisans anahtarları, kullanıcı tarafından başlatılan anahtar kaldırma süreçleri, devre dışı bırakılmış güvenlik bileşenleri ve tarama ve muhafazaya dair istisnalar tespit etti. Örneğin veritabanlarınız şimdiki değilse ve bir güvenlik tahlili otomatik olarak güncellenemiyorsa, sofistike tehdit aktörlerinin tespit edilmekten kaçınmaya çalıştığı APT hücumlarında olduğu üzere gelişmiş tehditlerin süratli ve kolay bir formda yayılmasına müsaade verebilir.

Güvenlik tahlillerinin inançsız konfigürasyonları

Bir güvenlik tahlilinin uygun formda yapılandırılması, APT grupları/aktörleri tarafından sıklıkla kullanılan bir taktik olan güvenlik tahlillerinin devre dışı bırakılmasını ve hatta berbata kullanılmasını önlemek ismine çok değerli. Aksi halde saldırganlar sistemin başka kısımlarına girmek için güvenlik tahlilinde depolanan ağ bilgilerini çalabilir yahut profesyonel bilgi güvenliği lisanını kullanarak yanal hareket gerçekleştirebilir.

Kaspersky ICS CERT, 2022’de APT taktiklerinde uygun yapılandırmaları daha da hayati hale getiren yeni bir eğilim fark etti. Örneğin saldırganlar yanal hareket etmenin yollarını ararken artık tesir alanı denetleyicisi üzere kritik BT sistemlerini ele geçirmekle yetinmiyor. Bir sonraki gayeye, yani güvenlik tahlillerinin idare sunucularına yöneliyorlar. Gayeler makûs maksatlı yazılımı denetim edilmeyecek programlar listesine koymaktan, virüslü ağdan büsbütün farklı olması gereken sistemlere bulaşmak için güvenlik sistemindeki araçları kullanmaya kadar değişebiliyor.

OT ağlarında siber güvenlik müdafaasının olmaması

İnanması sıkıntı olabilir lakin birtakım OT ağlarında siber güvenlik tahlilleri birçok uç noktaya hiç yüklenmiyor. OT ağı öteki ağlardan büsbütün ayrılmış ve internete bağlı olmasa bile, saldırganların hala bu ağa erişim sağlama yolları olduğunu unutmamak gerekiyor. Örneğin USB’ler üzere çıkarılabilir şoförler aracılığıyla dağıtılan berbat emelli yazılımların özel sürümlerini oluşturarak bu sistemlere sızma teşebbüsünde bulunmak mümkün.

İş istasyonları ve sunucuların güvenlik güncellemelerine dair zorlukları

Endüstriyel denetim sistemleri, iş istasyonları ve sunuculara güvenlik güncellemeleri yüklemek üzere kolay vazifelerin bile dikkatli bir formda test edilmesini gerektiren eşsiz bir çalışma biçimine sahiptir. Bu test ekseriyetle planlı bakım sırasında gerçekleşir ve güncellemelerin seyrek olmasına neden olur. Bu da tehdit aktörlerine bilinen zayıflıklardan faydalanmak ve ataklarını gerçekleştirmek için çokça vakit verir.

Goncharov, şunları ekliyor: “Bazı durumlarda, sunucu işletim sisteminin güncellenmesi özel bir yazılımın (SCADA sunucusu gibi) güncellenmesini gerektirebilir. Bu da ekipmanın terfisini gerektirir ve bunların hepsi çok değerli olabilir. Sonuç olarak endüstriyel denetim sistemi ağlarında eski sistemler yer alıyor. Şaşırtan bir biçimde, endüstriyel işletmelerde güncellenmesi nispeten kolay olabilen internete dönük sistemler bile uzun mühlet savunmasız kalabiliyor. Bu durum gerçek dünyadaki akın senaryolarının da gösterdiği üzere, operasyonel teknolojiyi (OT) akınlara ve önemli risklere maruz bırakıyor.”

Kaspersky ICS CERT blogunda güvenlik tahlillerinin yapılandırması ve ayarları, OT ağ izolasyonu, sistemlerin korunması, eski işletim sistemi, uygulama yazılımı ve aygıt eser yazılımı çalıştırmayla ilgili hususlar üzere daha fazla tavsiye bulabilirsiniz. 

Kaspersky uzmanları, kuruluşunuzu tehditlerden müdafaanız için şunları öneriyor:

• Kuruluşunuzun operasyonel teknolojisi (OT) yahut kritik altyapısı varsa, kurumsal ağdan ayrıldığından yahut en azından yetkisiz irtibat olmadığından emin olun. 
• Olası güvenlik açıklarını belirlemek ve ortadan kaldırmak için OT sistemlerinde nizamlı güvenlik kontrolleri gerçekleştirin. 
• Sürekli zafiyet değerlendirmesi ve zafiyet idaresi süreci oluşturun. 
• Teknolojik süreçleri ve ana kurumsal varlıkları potansiyel olarak tehdit eden taarruzlara karşı daha uygun muhafaza için ICS ağ trafiği izleme, tahlil ve tespit tahlillerini kullanın.
• Kurumsal uç noktaların yanı sıra endüstriyel uç noktaları da koruduğunuzdan emin olun. Kaspersky Industrial CyberSecurity çözümü, uç noktalar için özel muhafaza ve endüstriyel ağdaki kuşkulu ve potansiyel olarak makus maksatlı aktiflikleri ortaya çıkarmak için ağ izleme özellikleri içerir. 
• OT çözümlerindeki güvenlik açıklarıyla bağlantılı riskleri daha gerçekçi bir formda anlamak ve bunları azaltma konusunda şuurlu kararlar almak için, teknik yeteneklerinize ve gereksinimlerinize bağlı olarak okunabilir raporlar yahut makine tarafından okunabilir data akışı elde etmek amacıyla Kaspersky ICS Vulnerability Intelligence hizmetine erişmenizi öneririz. 
• BT güvenlik takımları ve OT mühendisleri için özel ICS güvenlik eğitimi, yeni ve gelişmiş makûs hedefli tekniklere karşı müdahaleyi güzelleştirmek için çok değerlidir.

Kaynak: (BYZHA) Beyaz Haber Ajansı