Nesnelerin İnterneti (IoT) saldırılarına ilişkin haberlerin çoğu, botnet’lere ve kripto madenciliği yapan kötü amaçlı yazılımlara odaklandı. Ancak bu cihazlar, UNC3524 tarafından kullanılan metodolojiye benzer şekilde, kurbanın ağının içinden daha fazla zarar veren saldırılar düzenlemek için de ideal bir hedef sunar. Bir zorunlu rapor, UNC3524, bir ağ içinde uzun vadeli kalıcılık elde etmek için ağ, IoT ve operasyonel teknoloji (OT) cihazlarının güvensizliğinden yararlanan akıllı yeni bir taktiktir. Bu tür gelişmiş kalıcı tehdidin (APT) yakın gelecekte artması muhtemeldir, bu nedenle şirketlerin riskleri anlaması önemlidir.
Kritik Bir Kör Nokta
Ağa bağlı olan ve uç nokta güvenlik yazılımının yüklenmesine izin vermeyen amaca yönelik olarak oluşturulmuş IoT ve OT cihazlarının güvenliği kolayca ihlal edilebilir ve çok çeşitli kötü amaçlı amaçlar için kullanılabilir.
Bunun bir nedeni, bu cihazların geleneksel BT cihazları kadar yakından izlenmemesidir. Şirketim, kuruluşların %80’inden fazlasının ağlarındaki IoT ve OT cihazlarının çoğunu tanımlayamadığını tespit etti. Bunları yönetmekten kimin sorumlu olduğu konusunda da kafa karışıklığı var. BT, BT güvenliği, ağ operasyonları, tesisler, fiziksel güvenlik veya bir cihaz satıcısı mı?
Sonuç olarak, yönetilmeyen cihazlarda düzenli olarak yüksek ve kritik düzeyde güvenlik açıkları bulunur ve ürün yazılımı güncellemeleri, sağlamlaştırma ve sertifika doğrulaması yoktur. Şirketim, büyük kuruluşlarda dağıtılan milyonlarca IoT, OT ve ağ cihazını analiz etti ve %70’inin Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) puanı 8 ile 10 arasında olan güvenlik açıklarına sahip olduğunu tespit ettik. %50’si varsayılan parolaları kullanır ve %25’i kullanım ömrünün sonundadır ve artık desteklenmemektedir.
IoT, OT ve Ağ Cihazlarında Kalıcılıktan Ödün Verme ve Sürdürme
Toplu olarak ele alındığında, tüm bu sorunlar doğrudan saldırganların işine geliyor. Ağ, IoT ve OT cihazları aracı tabanlı güvenlik yazılımlarını desteklemediğinden, saldırganlar tespit edilmeden özel olarak derlenmiş kötü amaçlı araçlar yükleyebilir, hesapları değiştirebilir ve bu cihazlarda hizmetleri açabilir. Ardından, güvenlik açıkları ve kimlik bilgileri yönetilmediğinden ve ürün yazılımı güncellenmediğinden kalıcılığı koruyabilirler.
Kurban Ortamında Saldırıları Sahneleme
Bu cihazların düşük güvenlik ve görünürlükleri nedeniyle, kurbanın ağı içindeki daha değerli hedeflere ikincil saldırılar düzenlemek için ideal bir ortamdır.
Bunu yapmak için bir saldırgan, önce kimlik avı gibi geleneksel yaklaşımlarla şirketin ağına girer. Saldırganlar ayrıca bir VoIP telefonu, akıllı yazıcı veya kamera sistemi gibi İnternete bakan bir IoT cihazını veya bina erişim kontrol sistemi gibi bir OT sistemini hedefleyerek erişim elde edebilir. Bu cihazların çoğu varsayılan parolaları kullandığından, bu tür ihlallerin gerçekleştirilmesi genellikle önemsizdir.
Ağa girdikten sonra saldırgan, diğer savunmasız, yönetilmeyen IoT, OT ve ağ cihazlarını aramak için yanal ve gizlice hareket eder. Bu cihazların güvenliği ihlal edildiğinde, saldırganın yalnızca güvenliği ihlal edilen cihaz ile saldırganın uzak bir konumdaki ortamı arasında bir iletişim tüneli kurması gerekir. UNC3524 örneğinde, saldırganlar bir istemci-sunucu SSH tüneli sağlayan ve bu cihazlarda yaygın olan Linux, Android veya BSD türevlerinde çalışmak üzere derlenen özel bir Dropbear sürümü kullandılar.
Bu noktada saldırgan, BT, bulut veya diğer IoT, OT ve ağ cihazı varlıklarının peşinden gitmek için kurban cihazlarını uzaktan kontrol edebilir. Saldırgan, algılamayı önlemek için büyük olasılıkla API çağrıları ve cihaz yönetimi protokolleri gibi olağan, beklenen ağ iletişimini kullanacaktır.
Hayatta Kalma Olayı Müdahalesi
Ağ, IoT ve OT cihazlarını ikincil saldırılar düzenlemek için ideal bir yer haline getiren aynı sorunlar, aynı zamanda onları hayatta kalan olay müdahale çabalarına çok uygun hale getirir.
Özellikle gelişmiş düşmanlar için IoT’nin ana değer önermelerinden biri, modelin olay müdahalesini ve iyileştirmeyi önemli ölçüde karmaşık hale getirmesidir. Saldırganın kötü amaçlı yazılımları ve araç takımları şirketin BT ağından tamamen kaldırılmış olsa bile, çoğu iş ağında bulunan yüzlerce veya binlerce savunmasız, yönetilmeyen cihazdan yalnızca birinde kalıcılık kurdularsa, saldırganları tamamen öldürmek çok zordur. -ve-kontrol kanalları bozulur, yazılım sürümleri önceden yararlanılabilir güvenlik açıklarını ortadan kaldırmak için güncellenir ve ayrı uç noktalar fiziksel olarak değiştirilir.
Kurumsal Risk Nasıl Azaltılır
İşletmelerin bu saldırıları önlemesinin tek yolu, tamamen farklı IoT, OT ve ağ cihazları üzerinde tam görünürlüğe ve bunlara erişim ve yönetime sahip olmaktır.
İyi haber, cihaz düzeyinde güvenliğin elde edilmesinin kolay olmasıdır. Sürekli olarak yeni güvenlik açıkları ortaya çıkacak olsa da, bu güvenlik sorunlarının çoğu parola, kimlik bilgisi ve ürün yazılımı yönetiminin yanı sıra temel cihaz sağlamlaştırma yoluyla ele alınabilir. Bununla birlikte, çok sayıda cihazı olan şirketler, bunları manuel olarak güvenceye almak zorunda kalacak, bu nedenle şirketler otomatik çözümlere yatırım yapmayı düşünmelidir.
Şirketlerin atması gereken ilk adım, amaca yönelik tüm cihazların bir envanterini oluşturmak ve güvenlik açıklarını belirlemektir. Ardından şirketler, zayıf parolalar, güncel olmayan bellenim, gereksiz hizmetler, süresi dolmuş sertifikalar ve yüksek ila kritik düzeydeki güvenlik açıklarıyla ilgili riskleri uygun ölçekte düzeltmelidir. Son olarak, kuruluşlar, sabit olanın sabit kalmasını sağlamak için bu cihazları çevresel sapma açısından sürekli olarak izlemelidir.
Bunlar, şirketlerin geleneksel BT varlıkları için izlediği aynı temel adımlardır. IoT, OT ve ağ cihazlarına aynı düzeyde özen göstermenin zamanı geldi.