Bu ay, önemli diplomatik ve yasal sonuçları olan kritik ABD altyapısına yönelik son derece etkili bir fidye yazılımı saldırısı olan Koloni Boru Hattı’nın kapatılmasının birinci yıldönümü. Saldırının gündeme getirdiği sayısız konuşma noktası arasında IT/OT yakınsaması konusu vardı.
Fidye yazılımı grubu DarkSide tarafından düzenlenen saldırı, operasyon teknolojisi (OT) yerine boru hattının BT faturalandırma sistemlerini hedef aldı, ancak Colonial yine de birkaç gün boyunca fiziksel operasyonları kapatmak zorunda kaldı. Yağ pompalama sistemlerinin işlevselliğini korumasına rağmen, Colonial bir BT taviziyle operasyonları sürdürme riskinin çok büyük olduğuna inanıyordu. Bu, büyük ölçüde BT ve OT sistemlerinin yakınlığından kaynaklanıyordu: Saldırganlar şirketin operasyonel ağlarına yanlamasına hareket etmiş olsaydı, daha uzun ve daha maliyetli bir kapatma uygulayabilir, potansiyel olarak güvenlik mekanizmalarını kurcalayabilir ve ekipmana zarar verebilir, hatta boru hattının çalışanlarını tehlikeye atabilirdi. .
Bu sistemleri işleten kuruluşlar rakiplerine karşı üstünlük sağlamaya çalıştıkça BT saldırılarının OT’ye yayılma riski arttı. IT/OT yakınsaması, endüstriyel kontrol sistemlerini (ICS) daha ucuz, yönetimi daha kolay ve farklı yöneticiler için daha hızlı kullanılabilir hale getirir. Aynı zamanda, Colonial Pipeline örneğinin bize gösterdiği gibi, siber bozulma için yeni riskler ve yollar sunuyor.
Bunun nedeni kısmen, günümüzde çoğu OT güvenlik aracının endüstriyel sistemlere izole bir şekilde bakmasıdır – işin geri kalanından ayrı, bağlantısız bir silo olarak. Aynı şey ağ güvenliği, e-posta sistemleri ve bulut için de geçerlidir. Ve bu araçların çoğu geliştirilirken, bu yaklaşımda yanlış bir şey yoktu. Ancak bu dijital ortamlar bir araya geldiğinden, siber saldırıları durdurmak için ayrık nokta çözümlerine güvenmek etkili değildir, çünkü özellikle tek bir saldırı artık birden çok operasyon alanını hedef alıp bu alanlardan geçebilir.
Savunmacılar, güvenlik yığınlarını birleştirerek BT/OT yakınsamasını kendi avantajlarına kullanabilir ve güvenlik açığını güce dönüştürebilir.
Bu, tarihsel saldırılar üzerine eğitilmiş araçlardan uzaklaşmayı ve önceden herhangi bir varsayım olmaksızın dijital ortamını sıfırdan öğrenebilen kendi kendine öğrenen teknolojiye doğru bir hareketi gerektirir. Teknoloji ne kadar ısmarlama veya karmaşık olursa olsun, her BT ve OT cihazının benzersiz davranışını anlayarak, bu yaklaşım yeni tehditlerin tespit edilmesini sağlar. Tanım olarak, bir siber saldırı, bir makinenin veya kullanıcı hesabının normalde olmadığı şekilde davranmasına neden olur ve bu sapmalar, nerede görünürse görünsün yakalanabilir.
Fidye Yazılım Grupları BT/OT Yakınsamasını Nasıl Kullanıyor?
Bulut platformlarını ICS’ye bağlama riski, geçen yıl bir Avrupa OT Ar-Ge yatırım firmasına yapılan saldırıda gösterildi.
Firmanın Windows işletim sistemi çalıştıran ve endüstriyel bir bulut platformuna düzenli bağlantılar kuran Endüstriyel Nesnelerin İnterneti (IIoT) cihazlarından ikisi, virüslü bir etki alanı denetleyicisine bağlanmak ve bir kötü amaçlı yürütülebilir dosya. Güvenlik ekipleri genellikle CPU’lardan, geleneksel işletim sistemlerinden veya güvenlik önlemleri almak için yeterli disk alanından yoksun olabilen IIoT cihazları tarafından engellenir.
Kötü niyetli bir yük, biri insan-makine arayüzü (HMI) ve diğeri bir ICS tarihçisi olan iki IIoT cihazında neredeyse bir ay boyunca hareketsiz kaldı. Darktrace’in araştırması, ağ ayrımının saldırının HMI cihazındaki komuta ve kontrol (C2) iletişimini durdurmak için yeterli olmasına rağmen, ICS tarihçisinden gelen bağlantıların yaklaşık 40 benzersiz harici uç noktaya ulaştığını gösterdi.
Her iki cihaz da daha sonra ağ sunucularına şüpheli kabuk komut dosyaları yazdı ve son olarak, ağ paylaşımlarında depolanan dosyaları şifrelemek için SMB’yi kullandı. ICS tarafından hedeflenen cihazlara bir fidye yazılımı notu yazıldı ve saldırı tamamlandı. Ağ ayrımı ve hava boşluğunun sınırlamalarını gösteren bu tür bir saldırı yaşam döngüsü, IT/OT yakınsaması etrafındaki yaygın endişelerin temeli olmuştur.
Bu saldırıyla ilgili hiçbir imza veya tehdit istihbaratı yoktu ve bu nedenle şirketin geleneksel güvenlik araçlarının radarı altında uçtu. Güvenlik ekibi, yalnızca Darktrace’in kendi kendine öğrenen teknolojisi sayesinde saldırıya ilişkin tam görünürlük elde edebildi.
Değişen Gelgitlere Binmek
BT’den gelen hava boşluklu ICS’ye dayanan referans mimariler, birçok kuruluşun rekabetçi kalabilmek için yaptığı teknolojik gelişmelerle giderek daha fazla uyumsuz hale geliyor. Saldırganlar artık BT ve OT’yi farklı, bölümlere ayrılmış bölgeler olarak görmüyorsa, güvenlik ekipleri de görmemelidir.
İşletmelerin, hem BT hem de OT ortamlarında karmaşık tehditleri ele almak için işi sıfırdan öğrenen güvenliği benimseyerek, tüm avantajlarıyla birlikte ara bağlantıyı güvenli bir şekilde benimsemeleri mümkündür.
Birleşik güvenlik çabaları, yakınsak sistemlerin gerçekliğini yansıtır ve saldırganların yararlanabileceği hiçbir boşluk kalmamasını sağlar. Dijital ortamın tamamı tek bir camdan görülebildiğinde ve tek bir sömürülebilir sistem korumasız kalmadığında, kuruluşlar gereksiz riskler almadan sistemleri birbirine bağlayabilecektir.