Endüstriyel kontrol sistemlerine (ICS) yönelik gerçek tehditler, 2021’de operasyonel teknoloji (OT) cihazlarında keşfedilen güvenlik açıklarının sayısı ve bu cihazları yöneten sistemler yarıdan fazla artarken, fidye yazılımı grupları üretim ve kritik noktaları hedeflemeye devam ettikçe daha net hale geldi. altyapı.
Endüstriyel siber güvenlik firması Claroty’nin geçen hafta yayınlanan iki yıllık raporuna göre, 2021’de bildirilen güvenlik açıklarının sayısı bir önceki yıla göre %52 artarak yaklaşık 1.440’a ulaştı. Buna ek olarak, siber güvenlik araştırmacıları dallara ayrıldı – yazılımlarındaki veya bellenimlerindeki güvenlik açıklarından etkilenen 82 satıcıdan 21’inin sistemlerinde daha önce bildirilen güvenlik açıkları yoktu. Claroty’nin raporuna göre, keşfedilen güvenlik sorunlarının yaklaşık üçte ikisi uzaktan kullanılabilir.
Claroty’de araştırma başkan yardımcısı Amir Preminger, güvenlik açıklarındaki artışın yanı sıra araştırmacıların daha önce araştırılan satıcıların ürünlerine akınlarının endüstriyel kontrol sistemlerine daha fazla ilgi olduğunu gösterdiğini söylüyor.
“Onlar [attackers] endüstriyel kontrol sistemlerini öğrenmeye ve bunlara erişim sağlamaya çalışıyorlar ve bu güvenlik açıkları onların oyun alanı olacak” diyor ve ekliyor: “Gördüğümüz birçok güvenlik açığı, istismar için yüksek karmaşıklık gerektirmiyor ve ICS hakkında konuştuğunuzda , bariyer çok çok düşük – bunlardan yararlanmak için bulutun üç katmanını hacklemeniz gerekmez.”
Koloni Boru Hattı Uyandırma Çağrısı
II ve OT, doğaları gereği dijital tehditleri fiziksel risklere dönüştürdükleri için siber güvenlik politika yapıcıları için önemli endişeler haline geldi. Örneğin, Mayıs 2021’de petrol dağıtım şirketi Colonial Pipeline’ın BT sistemlerine yönelik fidye yazılımı saldırısı, işletmenin petrol ve gaz dağıtımlarını durdurmasına yol açarak gaz fiyatlarının yükselmesine ve pompada kıtlıklara neden oldu.
Buna ek olarak, siber güvenlik araştırmacıları endüstriyel kontrol sistemlerine artan bir odaklanma gördüler, çünkü saldırganlar Ukrayna Savaşı’nın başlangıcında operasyonel teknolojiyi hedef aldılar. Örneğin, 26 Şubat’ta ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Rusya saldırganlarının önemli saldırılar düzenlediği konusunda uyardı Ukrayna’nın işgalinden önce, devlet hizmetlerinde kesintilere neden olmak için iki silme programı kullanıyordu.
Genel olarak, kritik altyapıya ve endüstriyel kontrol sistemlerine yönelik saldırılar daha yaygın hale geldi çünkü artan araştırmalar, saldırganların sistemler hakkında daha fazla bilgi sahibi olmasını sağladı ve siber suç şemaları – en önemlisi, fidye yazılımları – operasyonel sistemlere yönelik saldırıları karlı hale getirdi, Dean Parsons, sertifikalı bir SANS eğitmeni ve endüstriyel siber güvenlik uzmanı, geçen hafta yayınlanan bir SANS raporunda yazdı.
“Düşmanların endüstriyel ortamlara saldırmak için daha akıllı olduklarını görüyoruz, çünkü daha hızlı ödemeyi ve daha fazla ödemeyi görüyorlar” diyor. “Bu tehditler ortadan kalkmayacak çünkü düşmanlar yatırımlarının geri dönüşünü görüyorlar.”
Saldırganların ayrıca OT ve ICS araştırmalarına daha fazla erişimi olduğundan, bu giriş engeli pratikte ortadan kalktı. Sonuç olarak, endüstriyel kontrol sistemleri, operasyonel teknolojiler ve Endüstriyel Nesnelerin İnterneti (IIoT) cihazlarının daha fazla satıcısı, ürünlerinde bildirilen güvenlik açıklarıyla karşı karşıya kalıyor. Claroty raporuna göre. Büyük bir endüstriyel kontrol teknolojisi sağlayıcısı olan Siemens, 2021’in ikinci yarısında 251 güvenlik açığıyla en çok rapor edilen güvenlik açığına sahip satıcı olmaya devam ederken, satıcıların dörtte biri ikinci yarıda ve satıcıların üçte biri ilk yarıda bunu yaptı son 12 ay içinde keşfedilen bir güvenlik açığı yok.
“Bunlar, CVE’si olmayan satıcılara iyi örneklerdir. [identified vulnerability] ürünlerinde,” diyor Claroty’s Preminger, teknolojilerini mikroskop altında aniden buluyor. Bu, güvenlik açıklarına sahip olmamalarından kaynaklanmıyor. Artış, güvenlik araştırmacılarının nihayet teknolojiyi ele geçirmesinden ve araştırma yapabilmesinden kaynaklanıyor.”
yama muamması
2021’in ikinci yarısında keşfedilen ICS güvenlik açıklarının yalnızca %69’u tamamen giderilebildi, bu da endüstriyel kontrol sistemleri ve OT ile ilgili başka bir sorunu, yani kritik altyapının parçası olan yazılımları ve cihazları güncellemedeki zorluğu vurguluyor.
Claroty raporunda, “Bu döngüler, geleneksel BT yama yönetiminden önemli ölçüde daha uzun sürebilir, bu da genellikle hafifletmeleri savunuculara açık olan tek iyileştirme seçeneği haline getirir.” “Satıcılar ve iç güvenlik analistleri ve yöneticileri, kullanım ömrü sona ermiş ürünlerdeki ve güncellemelerin zor olabileceği veya kesinti süresinin kabul edilemez olduğu ürünlerdeki güvenlik açıklarının izlenmesine de öncelik vermelidir.”
Güvenlik açıkları artarken, Siemens gibi birçok şirket proaktif olarak sorunları bulup, saldırganlar bunları istismar etmeden önce kapattığından, üreticilerin karşılaştığı riskin en iyi ölçüsü değiller. SANS Enstitüsü’nden Parsons, daha da önemlisi, şirketlerin belirli güvenlik açıklarından yararlanarak veya kritik altyapıya saldırmak için başka yollar bularak, saldırganların gerçekleştirdiği eylemleri anlamaları olduğunu söylüyor.
Parsons, ICS ve OT güvenliğinin BT güvenliğinden farklı değerlendirmelere sahip olduğunu ve bunların aynı şekilde ele alınamayacağını söylüyor.
“Elbette orada güvenlik açıkları var, ancak güvenlik açıklarına odaklanmamalıyız, düşmanların ne yaptığına odaklanmalıyız” diyor. “Ağa özel daha fazla görünürlüğe ihtiyacımız var – bu olmadan, saldırganların endüstriyel kontrol sistemlerine ne yaptığını tam anlamıyla göremiyoruz. Görünürlük, bu şeylerin önüne geçmenin anahtarıdır.”
Aslında, kritik altyapı güvenlik firması Dragos tarafından hazırlanan bir rapora göre, bir siber güvenlik sağlayıcısı tutan şirketlerin %86’sının operasyonel teknoloji ağlarında görünürlük eksikliği vardı ve bu da OT sistemlerine harici bağlantılara izin veriyordu. Siber güvenlik sağlayıcısı, Conti ve LockBit 2.0 adlı iki grubun, şirketlere yönelik fidye yazılımı saldırılarının %51’ini oluşturan endüstriyel firmaların görünürlük eksikliğinden kapsamlı bir şekilde yararlandığını tespit etti.