ICS ve OT Ağlarının Siber Güvenlik Ortamında Gezinme: İçgörüler ve Çözümler
tarafından
OPSWAT
Bu Gönderiyi Paylaş
Giriş
Sürekli gelişen siber güvenlik dünyasında, Industrial Kontrol Sistemleri (ICS) ve Operasyonel Teknoloji (OT) ağları önemli bir endişe alanını temsil etmektedir. Bu sistemler sadece iş operasyonlarının devamlılığı için hayati önem taşımakla kalmaz, aynı zamanda bir ülkenin kritik altyapısının ayrılmaz bileşenleridir. OPSWAT'ın MetaDefender Sandbox (daha önce Filescan Sandbox olarak biliniyordu) ekibi ICS/OT risklerini özenle izlemekte ve kalıcı ve potansiyel olarak yüksek etkili faaliyetler gözlemlemektedir.
Mevcut Tehdit Ortamı
Siber güvenlik tehditlerinde son dönemde görülen eğilimler endişe verici bir saldırı eğilimi göstermektedir: devlet destekli gruplar Sandworm (Rusya) ve Volt Typhoon (Çin) gibi ICS için uzmanlaşmaya başlarken, siber suçlular da endüstriyel sistemlere yönelik etkinin ciddiyetinin farkındadır. Tüm sektörlerdeki güvenlik güçleri bu tehditlerin öneminin farkına varmış ve ICS güvenliğini güçlendirmeyi amaçlayan ortak raporlar ve kampanyalar yayınlamaya başlamıştır.
Kalıcı Sorunlar ve Öneriler
Bu riskleri azaltmaya yönelik uzun süredir devam eden önerilerden biri de sistem maruziyetini azaltmaktır. Ancak, açıkta kalan sistemlerin yaygınlığı siber güvenlik ortamında rahatsız edici bir sorun olmaya devam etmektedir. Keşif ve istismar teknikleri daha yaygın hale geldikçe, fırsatçı saldırı tehdidi daha da büyüyor ve daha düşük karmaşıklık seviyesine sahip tehdit aktörlerinin kritik sistemlere karşı etkili olmasına izin veriyor. Eylül ayında yayınlanan bir rapor endişe verici bir eğilimin altını çizdi: Son üç yıldaki OT/ICS siber güvenlik olayları 1991'den 2000'e kadar bildirilen toplamı aşmıştır. Sadece bu istatistik bile, bu ortamların güvenliğinden sorumlu olanların karşılaştığı zorlukların giderek arttığının altını çiziyor.
Tehdide karşı savunma
Çerçeveler ve Güncellemeler
Özel ilgiye duyulan ihtiyacı fark eden MITRE şirketi, sektörler arası iletişim için ortak bir dil sağlamak ve yeterince temsil edilmeyen sektörleri eşlemelerinden yararlanmaya teşvik etmek, riskler ve tehditler hakkında anlamlı iletişimi teşvik etmek için ICS'ye özgü bir ATT&CK matrisi geliştirmiştir. Nispeten yeni olan bu matris titizlikle güncellenmeye devam etmekte olup en son versiyonu geçtiğimiz ay yayınlanmıştır.
IT ve OT'nin Birbiriyle Bağlantısı
OPSWAT MetaDefender Sandbox ekibi, bu güncellemeleri takip ederken, IT ve OT arasındaki içsel bağlantıyı vurgulamaktadır, çünkü IT varlıkları Purdue Modelinin sadece en üstünde değil, tüm seviyelerinde mevcuttur.
Tehlikeye Girmiş IT , Tehlikeye Girmiş OT'ye Yol Açıyor. Katılımcılar ağırlıklı olarak kötü amaçlı yazılım tehditleri veya saldırganların IT iş ağını ihlal etmesini içeren ICS olaylarıyla ilgilenmekte ve bu olayları tecrübe etmişlerdir. Bu ihlaller genellikle ICS/OT ortamına erişim ve pivotlamayı mümkün kılmaktadır. OT/ICS ağlarına giren tehditlere yol açan IT sistemlerindeki ihlaller en üst sırada yer alırken, bunu mühendislik iş istasyonlarının ve harici uzak hizmetlerin ihlali takip etmektedir.
SANS 2023 ICS/OT Siber Güvenlik Raporu
sponsorluğunda OPSWAT
Ortak Payda: Kötü Amaçlı Dosyalar
ICS ile ilgili siber saldırılar yelpazesinde, giriş vektörü ne olursa olsun ( IT veya OT sistemleri) kötü amaçlı dosyaların varlığı tutarlı bir faktördür. İşte bu noktada MetaDefender Sandbox gibi çözümler devreye girmektedir. Bu tür araçlar, bir kuruluşun ağının tanımlanmış çevrelerinden geçen dosyaları incelemek üzere tasarlanmıştır ve hava boşluklu ortamlar da dahil olmak üzere optimum performans için farklı bağlamlara göre uyarlanmıştır.
OPSWAT'ın Adaptive Sandbox, kurum içi analizörleri ve Yara kuralları gibi yaygın olarak bilinen diğerlerini kullanarak farklı tehdit göstergeleri setlerini birleştirir. Volt Typhoon ve Sandworm'dan daha önce bahsedilen her iki saldırı da büyük ölçüde MetaDefender Sandbox 'ın birçok gösterge uyguladığı Living-Off-the-Land ikili dosyalarına (LOLBINS) dayanıyordu. Bununla birlikte, en eski saldırı, örneklerin mevcudiyeti nedeniyle göstergelerin kombinasyonuna iyi bir örnek teşkil etmektedir. Bildirilen ilk yük, diğerlerinin yanı sıra bu durum için iki ilginç göstergeyi tetikleyen base64 kodlu bir Powershell komutu içeren bir toplu komut dosyasıdır.
Şekil 1 Volt Typhoon'un faydalı yükünün analizi Rapor Bağlantısı
Daha önce gösterilen göstergenin kaynağı, diğer ilgili göstergelerin de gözlemlenebileceği komut dosyası emülasyonudur. Aşağıdaki ekran görüntüsü, betiğin kodu çözülmüş base64 içeriğinden tetiklenen daha yüksek önem derecesine sahip farklı bir göstergeyi göstermektedir. Ayrıca, tanımlanan her iki unsur da ilgili MITRE ATT&CK teknikleriyle uygun şekilde eşleştirilmiştir.
Şekil 2 Volt Typhoon'un faydalı yükünün analizi Rapor Bağlantısı
Buna ek olarak, aynı saldırıda UPX ile paketlenmiş olmasına rağmen MetaDefender Sandbox adresinin paketini açabildiği Hızlı Ters Proxy örnekleri kullanılmış ve bu sayede çıkarılan dosya üzerinde birkaç ek göstergenin eşleşmesi ve tehdidin tespit edilmesi sağlanmıştır.
Şekil 3 Ambalajı açılmış Volt Typhoon'un FRP örneği Rapor Bağlantısı
Şekil 4 Yara'nın ambalajsız numuneyi FRP olarak tanımlaması Rapor Bağlantısı
Sonuç
Tehdit ortamı geliştikçe savunmalarımız da gelişmelidir. OPSWAT'nin ICS ve OT ağlarının güvenliği konusundaki kararlılığı devam etmektedir ve MetaDefender Sandbox ekibi, ortaya çıkan bu zorlukları ele alan aktif olarak güncellenen çözümler sunmaya kendini adamıştır. Haberdar olun, hazırlıklı olun ve güvende kalın.
