Veritabanları, tehdit aktörleri tarafından ortak bir saldırı noktasıdır, ancak alışılmadık bir veritabanı türü potansiyel olarak kritik bir hedef olarak dikkat çekiyor: veri tarihçisi sunucuları.
17 Ocak’ta ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), GE Proficy Historian sunucusunda bulunan beş güvenlik açığının, yama uygulanmamış sunucuları zayıf erişim kontrollerinin kötüye kullanılmasına ve tehlikeli dosyaların yüklenmesine karşı savunmasız bırakabileceği konusunda uyardı. GE yalnız değil: Geçmişte güvenlik araştırmacıları, Schneider Electric’in Vijeo Historian Web sunucusunda ve Siemens’in SIMATIC Process Historian’ında güvenlik sorunları buldu.
Siber güvenlik firması Claroty’s Team82’de güvenlik araştırmacısı olan Uri Katz, sunucuların bir kuruluşun bilgi teknolojisi (BT) ağı ile operasyonel teknoloji (OT) ağı arasında bir köprü olarak kullanılabileceğini belirtiyor. tavsiyesinde belirtilen GE Proficy güvenlik açıkları hakkında.
“[D]BT ve OT ağları arasındaki benzersiz konumundan dolayı, saldırganlar tarihçiyi hedefliyor ve onu OT ağına bir pivot noktası olarak kullanabilir” diyen Katz, “tarihçilerin genellikle endüstriyel süreçler hakkında değerli veriler içerdiğini de sözlerine ekledi. süreç kontrolü, performans ve bakım hakkında.”
Operasyonel tarihçiler veya süreç tarihçileri olarak da adlandırılan veri tarihçisi sunucuları, şirketlere endüstriyel kontrol sistemlerinden ve fiziksel cihaz ağlarından gelen verileri izleme ve analiz etme yeteneği verir. Esasen endüstriyel bir ortamda zaman serisi verilerini depolamak için bir veri gölü olan tarihçiler, kritik altyapı, üretim ve operasyonlar hakkında gerçek zamanlı bilgiler toplar.
Bununla birlikte, saldırganlar için tarihçi sunucusu, bir ağın BT ve OT bölümleri arasında fırsatçı bir köprü oluşturur çünkü genellikle her ikisine de bağlı merkezi bir veritabanıdır. Bu nedenle, tarihçi sunucuları, ortadaki düşman saldırıları ve veritabanı enjeksiyon saldırıları dahil olmak üzere ICS ağlarında olası bir saldırı hedefi olarak tanımlanmıştır. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansına (CISA) göre.
DMZ
CISA, BT ve OT ağlarını birleştirmek endüstriyel teknolojiyi daha çevik ve uygun maliyetli hale getirebilirken, “çoklu ağ entegrasyon stratejileri genellikle bir kuruluşun güvenliğini büyük ölçüde azaltan güvenlik açıklarına yol açar ve görev açısından kritik kontrol sistemlerini siber tehditlere maruz bırakabilir” dedi. onun içinde Kontrol Sistemleri Siber Güvenlik Derinlemesine Savunma Stratejileri belgesi.
sadece bir tanesi varken endüstriyel kontrol sistemleri için dört tavsiye ajans tarafından 17 Ocak’ta yayınlanan tarihçi sunucularıyla ilgisi vardı, CISA geçmişte savunmasız tarihçi sunucuları hakkında uyarıda bulundu. Siemens SIMATIC Süreç Tarihçisi Kuruluş, ICS-CERT olarak önceki enkarnasyonunda, varsayılan şifreler konusunda da uyarıda bulundu. Schneider Electric’in Wonderware Tarihçisi 2017 yılında güvenlik açıkları Schneider Electric’in Vijeo Historian Web Sunucusu 2013 yılında.
Claroty’nin Team 82 araştırma grubu, tarihçi yazılımını kurdu, iletişim için kullandığı mesajların yapısını sıraladı ve sunucuyu tehlikeye atmak için kimlik doğrulama baypasları aradı. Saldırganın kimlik doğrulamasını atlamasına, bir kod kitaplığını silmesine, kitaplığı kötü amaçlı kodla değiştirmesine ve ardından bu kodu çalıştırmasına izin verebilecek güvenlik açıkları buldu.
Claroty’den Katz bir e-posta röportajında şu ana kadar, bir tarihçi sunucusu kullanan hiçbir saldırının kamuya açık bir ihlale neden olmadığını söyledi. Yine de tarihçi sunucuları, gelecekte istismar edilmesi muhtemel olan operasyonel ve bilgi ağları arasında bir ara bağlantıyı temsil ediyor, diye ekledi.
“Historian sunucuları genellikle İnternet’e dönük değildir, ancak genellikle kurumsal ağ ile OT ağı arasındaki DMZ katmanında bulunurlar” dedi. “Bazı güvenlik açıkları, kimlik doğrulamayı atlamak ve kimlik doğrulama öncesi uzaktan kod yürütme elde etmek için zincirlenebilir.”
Tarih Dersleri
Uzmanlar, endüstriyel ve kritik altyapı kuruluşlarının siber güvenlik planlamalarına tarihçi sunucuları dahil etmesi gerektiğini söylüyor. İçinde beş senaryodan oluşan bir liste SANS Enstitüsü’nden Dean Parsons, şirketlerin endüstriyel kontrol sistemi (ICS) masa üstü tatbikatları olarak gerçekleştirmesi gerektiğini, hassas cihazlar ve kontroller hakkında veri toplamak için bir veri tarihçisi kullanan bir ihlale dahil etti.
“Güvenliği ihlal edilmiş bir dizi BT Active Directory kimlik bilgisi [could be] Aynı zamanda ICS Defence Force’un CEO’su ve baş danışmanı olan Parsons, “Data Historian’a erişmek için kullanılır, ardından endüstriyel kontrol ortamına döner” dedi. “ICS ağlarının internetten ve BT iş ağından bölümlere ayrılması çok önemlidir. .”
Claroty’den Katz, kuruluşların tarihçi sunucularının güncel ve ağın diğer bölümlerinden ayrı olduğundan emin olması gerektiğini söyledi. “Ağ segmentasyonu … bu güvenlik açıklarına karşı yardımcı olabilecek ve saldırganların bunları BT’den OT’ye bir pivot noktası olarak kullanmasını engelleyebilecek bir hafifletmedir” diyor.
Bazı ICS siber güvenlik sağlayıcıları, örneğin Şelale Güvenliği ve Açıklamak, tarihçi sunucularına erişimi sınırlayın. Bunun yerine sistemi BT ağ segmentinde klonlarlar veya bir aracı hizmet sunarak mühendislerin ve teknisyenlerin verilere erişmesine izin verirken saldırganların kod yürütmesini veya verileri değiştirmesini engellerler.