Gelişmiş Kalıcı Tehdit APT işlemlerinin zaferine katkıda bulunan temel şartlar arasında insan etmeni, noksan güvenlik ihtiyatları, siber güvenlik çözümlerinin aktüellenmesi ve yapılandırılmasıyla alakalı güçlükler ve diğer unsurlar yer alıyor. Bu sebeplerden kimileri ehemmiyetsiz gibi görünse de, Kaspersky uzmanlarının hadise müdahale faaliyetleri sırasında sıklıkla karşılaştıkları nedenler arasında yer alıyor. Kaspersky ICS CERT uzmanları, firmaların alakalı tehditleri eksiltmesine destekçi olmak ve en iyi uygulamaların izlenmesini sağlamak için yaygın karşılaştıkları meselelerin listesini derledi.

Operasyonel Teknoloji OT ağ yalıtımının olmaması

Hadise tahlilleri sırasında Kaspersky uzmanları, Operasyonel Teknoloji OT ağını ayrı ve güvenli yakalama mevzusunda meseleler yaşandığına şahit oldu. Misalin hem klasik BT ağına hem de OT ağına bağlı mühendislik iş istasyonları gibi makineler var.  

Kaspersky Endüstriyel Hakimiyet Sistemleri Siber Acil Gidişat Müdahale Takımı Başkanı Evgeny Goncharov, “OT ağının yalıtımının sadece ağ teçhizatının yapılandırmasına bağlı olduğu gidişatlarda, tecrübeli saldırganlar bu donanımı her zaman kendi avantajlarına göre yine yapılandırabiliyor. Misalin makûs emelli yazılım trafiğini hakimiyet etmek için proxy sunucularına dönüştürülebilir veya izole edildiğine inanılan ağlara makûs emelli yazılım depolamak ve dağıtmak için kullanabilir. Bu cins makûs maksatlı faaliyetlere bir hayli kere şahit olduk” dedi.

İnsan etmeni siber kabahat faaliyetlerinin itici eforu olmaya devam ediyor

Çalışanlara veya kontratlılara OT ağlarına ulaşım izni verirken, bilgi güvenliği ihtiyatları genellikle göz arkasını ediliyor. Başlangıçta geçici olarak kurulan TeamViewer veya Anydesk gibi uzaktan idare vasıtaları fark edilmeden etkin kalabiliyor. Ancak bu kanalların saldırganlar tarafından kolayca istismar edilebileceğini unutmamak ehemmiyetli. Kaspersky, 2023 senesinde bir kontratlı çalışanın birkaç sene evvel kendisine legal olarak verilen ICS ağı uzaktan ulaşımından faydalanarak baltalama teşebbüsünde bulunduğu bir hadiseyi inceledi.

Bu öykü insan etmenini göz önünde bulundurmanın önemini ortaya koyuyor. Çünkü potansiyel olarak mutsuz çalışanlar işe dair meseleler, kazançtan memnuniyetsizlik veya politik motivasyonlar sebebiyle siber kabahat eylemlerinde bulunabiliyor. Böyle bir vaziyette muhtemel bir çözüm sıfır güven yaklaşımı olabilir. Bu sistem içindeki kullanıcıya, aygıta ve uygulamaya güvenilmediğini zanneden bir kavramdır. Diğer sıfır güven çözümlerinden değişik olarak Kaspersky, sıfır güven yaklaşımını KasperskyOS tabanlı çözümleriyle işletim sistemi seviyesine kadar genişletiyor.

OT varlıklarının noksan korunması

Hadise tahlili sırasında Kaspersky uzmanları, makûs emelli yazılımların dağılmasına katkıda bulunan daha önceki güvenlik çözümü veritabanları, yetersiz lisans anahtarları, kullanıcı tarafından başlatılan anahtar kaldırma operasyonları, devre dışı vazgeçilmiş güvenlik bileşenleri ve tarama ve gözetmeye dair imtiyazlar tespit etti. Misalin veritabanlarınız aktüel değilse ve bir güvenlik çözümü otomatik olarak aktüellenemiyorsa, sofistike tehdit oyuncularının tespit edilmekten sakınmaya çalıştığı APT hamlelerinde olduğu gibi gelişmiş tehditlerin süratli ve kolay bir biçimde dağılmasına izin verebilir.

Güvenlik çözümlerinin güvensiz yapılandırmaları

Bir güvenlik çözümünün uygun biçimde yapılandırılması, APT grupları/oyuncuları tarafından sıklıkla kullanılan bir strateji olan güvenlik çözümlerinin devre dışı vazgeçilmesini ve hatta makûsa kullanılmasını önlemek ismine çok ehemmiyetli. Aksi halde saldırganlar sistemin diğer kısımlarına girmek için güvenlik çözümünde depolanan ağ bilgilerini çalabilir veya profesyonel bilgi güvenliği dilini kullanarak yanal hareket asıllaştırabilir.

Kaspersky ICS CERT, 2022 ’de APT stratejilerinde uygun yapılandırmaları daha da hayati hale getiren yeni bir meyil fark etti. Misalin saldırganlar yanal hareket etkenin yollarını ararken artık tesir alanı sorgulayıcısı gibi kritik BT sistemlerini ele geçirmekle kanaat etmiyor. Bir sonraki amaca, başka bir deyişle güvenlik çözümlerinin idare sunucularına yöneliyorlar. Niyetler makûs emelli yazılımı hakimiyet edilmeyecek programlar listesine koymaktan, virüslü ağdan tamamen ayrı olması gereken sistemlere bulaşmak için güvenlik sistemindeki vasıtaları kullanmaya kadar değişebiliyor.

OT ağlarında siber güvenlik gözetmesinin olmaması

İnanması güç olabilir ancak bazı OT ağlarında siber güvenlik çözümleri bir hayli uç noktaya hiç yüklenmiyor. OT ağı diğer ağlardan tamamen dağılmış ve internete bağlı olmasa dahi, saldırganların hala bu ağa ulaşım sağlama yolları olduğunu unutmamak gerekiyor. Misalin USB ’ler gibi çıkarılabilir sürücüler aracılığıyla dağıtılan makûs emelli yazılımların özel versiyonlarını oluşturarak bu sistemlere sızma teşebbüsünde bulunmak olası.

İş istasyonları ve sunucuların güvenlik aktüellemelerine dair güçlükleri

Endüstriyel hakimiyet sistemleri, iş istasyonları ve sunuculara güvenlik aktüellemeleri yüklemek gibi kolay görevlerin dahi dikkatli bir biçimde test edilmesini gerektiren eşsiz bir çalışma biçimine sahiptir. Bu test genellikle tasarılı bakım sırasına reelleşir ve aktüellemelerin seyrek olmasına neden olur. Bu da tehdit oyuncularına öğrenilen cılızlıklardan yararlanmak ve hamlelerini reelleştirmek için bolca zaman verir.

Goncharov, şunları ilave ediyor: “Bazı gidişatlarda, sunucu işletim sisteminin aktüellenmesi özel bir yazılımın SCADA sunucusu gibi aktüellenmesini gerektirebilir. Bu da donanımın terfisini gerektirir ve bunların hepsi çok pahalı olabilir. Netice olarak endüstriyel hakimiyet sistemi ağlarında daha önceki sistemler yer alıyor. Afallatıcı bir biçimde, endüstriyel şirketlerde aktüellenmesi oranla kolay olabilen internete dönük sistemler dahi uzun müddet korunmasız kalabiliyor. Bu gidişat asıl dünyadaki atak senaryolarının da gösterdiği üzere, operasyonel teknolojiyi OT ataklara ve ciddi tehlikelere maruz vazgeçiyor.”

Kaspersky ICS CERT blogunda güvenlik çözümlerinin yapılandırması ve ayarları, OT ağ yalıtımı, sistemlerin korunması, daha önceki işletim sistemi, uygulama yazılımı ve aygıt ürün yazılımı çalıştırmayla alakalı mevzular gibi daha fazla nasihat bulabilirsiniz. 

Kaspersky uzmanları, kuruluşunuzu tehditlerden gözetmeniz için şunları öneriyor:

Kuruluşunuzun operasyonel teknolojisi OT veya kritik altyapısı varsa, müessesesel ağdan dağıldığından veya en azından yetkisiz irtibat olmadığından emin olun.  Muhtemel güvenlik sarihlerini tanımlamak ve ortadan kaldırmak için OT sistemlerinde kumpaslı güvenlik teftişleri reelleştirin.  Kesintisiz zafiyet değerlendirmesi ve zafiyet yönetimi süreci oluşturun.  Teknolojik süreçleri ve ana müessesesel varlıkları potansiyel olarak tehdit eden ataklara karşı daha iyi koruma için ICS ağ trafiği izleme, tahlil ve tespit çözümlerini kullanın. Müessesesel uç noktaların yanı gizeme endüstriyel uç noktaları da gözettiğinizden emin olun. Kaspersky Industrial CyberSecurity çözümü, uç noktalar için özel koruma ve endüstriyel ağdaki kuşkulu ve potansiyel olarak makûs emelli aktiflikleri ortaya çıkarmak için ağ izleme özellikleri kapsar.  OT çözümlerindeki güvenlik sarihleriyle ilişkili tehlikeleri daha reelci bir biçimde kavramak ve bunları eksiltme mevzusunda şuurlu kararlar almak için, teknik hünerlerinize ve gereksinimlerinize bağlı olarak okunabilir raporlar veya makine tarafından okunabilir bilgi akışı elde etmek emeliyle Kaspersky ICS Vulnerability Intelligence hizmetine ulaşmanızı öneririz.  BT güvenlik takımları ve OT mühendisleri için özel ICS güvenlik eğitimi, yeni ve gelişmiş makûs emelli tekniklere karşı müdahaleyi iyileştirmek için çok ehemmiyetlidir.

Kaynak: BYZHA Beyaz Haber Ajansı