ICS ve OT Ağlarının Siber Güvenlik Ortamında Gezinme: İçgörüler ve Çözümler
Yazan
OPSWAT
Bu Gönderiyi Paylaş
Giriş
Sürekli gelişen siber güvenlik dünyasında, Industrial Sistemleri (ICS) ve Operasyonel Teknoloji (OT) ağları önemli bir endişe kaynağıdır. Bu sistemler, iş operasyonlarının sürekliliği için hayati önem taşımakla kalmaz, aynı zamanda bir ülkenin kritik altyapısının da ayrılmaz bileşenleridir. OPSWAT MetaDefender (eski adıyla Filescan Sandbox) ekibi, ICS/OT risklerini titizlikle izlemekte ve sürekli ve potansiyel olarak yüksek etkiye sahip faaliyetler gözlemlemektedir.
Mevcut Tehdit Ortamı
Siber güvenlik tehditlerinde son dönemde görülen eğilimler endişe verici bir saldırı eğilimi göstermektedir: devlet destekli gruplar Sandworm (Rusya) ve Volt Typhoon (Çin) gibi ICS için uzmanlaşmaya başlarken, siber suçlular da endüstriyel sistemlere yönelik etkinin ciddiyetinin farkındadır. Tüm sektörlerdeki güvenlik güçleri bu tehditlerin öneminin farkına varmış ve ICS güvenliğini güçlendirmeyi amaçlayan ortak raporlar ve kampanyalar yayınlamaya başlamıştır.
Kalıcı Sorunlar ve Öneriler
Bu riskleri azaltmaya yönelik uzun süredir devam eden önerilerden biri de sistem maruziyetini azaltmaktır. Ancak, açıkta kalan sistemlerin yaygınlığı siber güvenlik ortamında rahatsız edici bir sorun olmaya devam etmektedir. Keşif ve istismar teknikleri daha yaygın hale geldikçe, fırsatçı saldırı tehdidi daha da büyüyor ve daha düşük karmaşıklık seviyesine sahip tehdit aktörlerinin kritik sistemlere karşı etkili olmasına izin veriyor. Eylül ayında yayınlanan bir rapor endişe verici bir eğilimin altını çizdi: Son üç yıldaki OT/ICS siber güvenlik olayları 1991'den 2000'e kadar bildirilen toplamı aşmıştır. Sadece bu istatistik bile, bu ortamların güvenliğinden sorumlu olanların karşılaştığı zorlukların giderek arttığının altını çiziyor.
Tehdide karşı savunma
Çerçeveler ve Güncellemeler
Özel ilgiye duyulan ihtiyacı fark eden MITRE şirketi, sektörler arası iletişim için ortak bir dil sağlamak ve yeterince temsil edilmeyen sektörleri eşlemelerinden yararlanmaya teşvik etmek, riskler ve tehditler hakkında anlamlı iletişimi teşvik etmek için ICS'ye özgü bir ATT&CK matrisi geliştirmiştir. Nispeten yeni olan bu matris titizlikle güncellenmeye devam etmekte olup en son versiyonu geçtiğimiz ay yayınlanmıştır.
IT ve OT'nin Birbiriyle Bağlantısı
OPSWAT MetaDefender ekibi, bu güncellemeleri takip ederken, IT varlıklarının Purdue Modelinin sadece en üstünde değil, tüm seviyelerinde mevcut olması nedeniyle IT ve OT arasındaki içsel bağlantıyı vurgulamaktadır.
Tehlikeye Girmiş IT , Tehlikeye Girmiş OT'ye Yol Açıyor. Katılımcılar ağırlıklı olarak kötü amaçlı yazılım tehditleri veya saldırganların IT iş ağını ihlal etmesini içeren ICS olaylarıyla ilgilenmekte ve bu olayları tecrübe etmişlerdir. Bu ihlaller genellikle ICS/OT ortamına erişim ve pivotlamayı mümkün kılmaktadır. OT/ICS ağlarına giren tehditlere yol açan IT sistemlerindeki ihlaller en üst sırada yer alırken, bunu mühendislik iş istasyonlarının ve harici uzak hizmetlerin ihlali takip etmektedir.
SANS 2023 ICS/OT Siber Güvenlik Raporu
sponsorluğunda OPSWAT
Ortak Payda: Kötü Amaçlı Dosyalar
ICS ile ilgili siber saldırıların tümünde, giriş vektörü ne olursa olsun (IT veya OT sistemleri), kötü amaçlı dosyaların varlığı tutarlı bir faktördür. İşte burada MetaDefender gibi çözümler devreye girer. Bu tür araçlar, bir kuruluşun ağının tanımlanmış sınırlarını geçen dosyaları incelemek için tasarlanmıştır ve hava boşluğu bulunan ortamlar da dahil olmak üzere farklı bağlamlara uyarlanarak optimum performans sağlar.
OPSWAT Adaptive Sandbox, şirket içi analizörler ve Yara kuralları gibi yaygın olarak bilinen diğer araçları kullanarak farklı tehdit gösterge kümelerini birleştirir. Volt Typhoon ve Sandworm'dan daha önce bahsedilen her iki saldırı da, MetaDefender birçok göstergeyi uyguladığı Living-Off-the-Land ikili dosyalarına (LOLBINS) büyük ölçüde dayanıyordu. Ancak, en eski saldırı, örneklerin mevcudiyeti nedeniyle göstergelerin birleşiminin iyi bir örneğini oluşturmaktadır. Bildirilen ilk yük, bu durumda diğerlerinin yanı sıra iki ilginç göstergeyi tetikleyen base64 kodlu Powershell komutu içeren bir toplu iş komut dosyasıdır.
Şekil 1 Volt Typhoon'un faydalı yükünün analizi Rapor Bağlantısı
Daha önce gösterilen göstergenin kaynağı, diğer ilgili göstergelerin de gözlemlenebileceği komut dosyası emülasyonudur. Aşağıdaki ekran görüntüsü, betiğin kodu çözülmüş base64 içeriğinden tetiklenen daha yüksek önem derecesine sahip farklı bir göstergeyi göstermektedir. Ayrıca, tanımlanan her iki unsur da ilgili MITRE ATT&CK teknikleriyle uygun şekilde eşleştirilmiştir.
Şekil 2 Volt Typhoon'un faydalı yükünün analizi Rapor Bağlantısı
Ayrıca, bu saldırıda UPX ile paketlenmiş Fast Reverse Proxy örnekleri kullanılmıştı, ancak MetaDefender bu örnekleri açmayı başardı ve böylece çıkarılan dosyada birkaç ek gösterge eşleşmesi sağlanarak tehdit tespit edildi.
Şekil 3 Ambalajı açılmış Volt Typhoon'un FRP örneği Rapor Bağlantısı
Şekil 4 Yara'nın ambalajsız numuneyi FRP olarak tanımlaması Rapor Bağlantısı
Sonuç
Tehdit ortamı geliştikçe, savunmamız da gelişmelidir. OPSWAT ICS ve OT ağlarının güvenliğine olan bağlılığı değişmez ve MetaDefender ekibi, ortaya çıkan bu zorlukları ele alan, aktif olarak güncellenen çözümler sunmaya kendini adamıştır. Bilgili olun, hazırlıklı olun ve güvende kalın.
