| Sektörden Haberler

Forescout, 2024 risk raporunda PLC’leri, DCS’leri ve endüstriyel robotları en büyük güvenlik açıkları olarak belirledi.

Forescout Technologies, en savunmasız OT cihazlarının, tasarım gereği güvensiz olan kritik PLC’ler (programlanabilir lojik kontrolörler) ve DCS’ler (dağıtılmış kontrol sistemleri) olduğunu, endüstriyel robotların ise yeni bir risk alanı olarak ortaya çıktığını tespit etti. Forescout, araştırma bölümü Vedere Labs tarafından yapılan dördüncü yıllık incelemede, kritik altyapıya yönelik tehditleri ve güvenlik açıklarını belirlemek için yaklaşık 19 milyon cihazdan veri analiz etti. Ayrıca, birçok veri merkezindeki UPS’lerin (Kesintisiz Güç Kaynağı) hala varsayılan kimlik bilgilerini kullandığını ve genellikle göz ardı edilen bina otomasyon sistemlerinin önemli güvenlik riskleri taşıdığını belirtti.

‘2024’teki En Riskli Bağlantılı Cihazlar’ başlıklı raporunda Forescout, veri seti ve puanlama metodolojisini kullanarak IT, IoT, OT (operasyonel teknoloji) ve IoMT (medikal nesnelerin interneti) olmak üzere dört kategoriye ayrılan beş en riskli cihaz türünü belirledi. Bu 20 cihaz türünden 11’i 2023 raporunda yer alıyordu ve listede kalmaya devam etti.

Forescout’un 2024 risk raporundaki dokuz cihaz türü 2023 listesinde yer almıyordu; bunlar arasında kablosuz erişim noktaları, hiper yöneticiler, NVR’ler (ağ video kayıt cihazları), robotik ve IoMT kategorisindeki tüm cihazlar bulunuyor. Bu cihazlardan dördü 2022’de listelenmişti ve geri döndü, ancak dört tanesi tamamen yeni girişlerdi; bunlar arasında NVR’ler, robotik, medikal bilgi sistemleri, elektrokardiyograflar ve ilaç dağıtım sistemleri yer alıyor.

Forescout tehdit araştırma başkan yardımcısı Elisa Costante, “Cihazlar, saf varlıklardan güvenilir, sofistike ve akıllı iletişim ve hizmet platformlarına evrildi ve bu, cihazlar, insanlar ve ağlar arasındaki ilişkiyi dönüştürüyor” dedi. “Farklı cihazların nasıl kullanıldığını entegre etmek ve güvenli bir şekilde bağlantı kurup etkileşimde bulunmanın ne anlama geldiğini yeniden tanımlamak için milyonlarca veri noktasını analiz ederek En Riskli Bağlantılı Cihazlar raporunu yayınlıyoruz.”

Costante ayrıca, Forescout’un potansiyel tehditlere daha hızlı yanıt vermelerine ve güvenlik duruşlarını geliştirme fırsatlarını değerlendirmelerine yardımcı olacak cihaz tehdit istihbaratı sağlama konusunda kararlı olduğunu ekledi.

Forescout, ortalama cihaz riski 6.0’ın üzerinde olan 13 ülkeyi seçtiğini belirtti. Ortalama olarak en riskli cihazlara sahip ilk üç ülke Asya’da bulunuyor. Bunları Kanada ve ABD izliyor. En riskli Avrupa ülkeleri ise Danimarka, Birleşik Krallık ve İtalya.

Rapor, UPS’lerin güç izleme ve veri merkezi güç yönetiminde kritik bir rol oynadığını belirtti. CISA, varsayılan kimlik bilgilerini kullanan UPS’leri hedef alan tehdit aktörleri hakkında uyardı. Bu cihazlara yapılan saldırılar, kritik bir konumda gücün kapatılması veya voltajın hassas ekipmanlara zarar verecek şekilde değiştirilmesi gibi fiziksel etkiler yaratabilir.

PLC’ler ve DCS’ler çok kritik oldukları için risklidir, endüstriyel süreçlerin tam kontrolünü sağlarlar ve tasarım gereği güvensizdirler, genellikle saldırganların onlarla etkileşime girmesine ve hatta kimlik doğrulaması gerekmeden yeniden yapılandırmalarına izin verirler.

Forescout, bina yönetim sistemlerinin, diğer adıyla bina otomasyon sistemlerinin, tesis yönetimi için hayati olduğunu belirtti. Akıllı binaların, kontrolörleri işlevsiz hale getiren, savunmasız fiziksel erişim kontrol cihazlarını botnetlere dahil eden veya yönetim iş istasyonlarını ilk erişim noktası olarak kullanan tehdit aktörleri tarafından birden çok kez tehlikeye atıldığı durumlar olmuştur. Bu cihazlar, OT’nin tasarım gereği güvensiz doğasını IoT’nin internet bağlantısıyla tehlikeli bir şekilde birleştirir ve genellikle kritik yerlerde bile çevrimiçi olarak bulunurlar.

Robotik kullanımı, elektronik ve otomotiv üretimi gibi sektörlerde hızla artıyor, fabrikalar giderek daha akıllı, daha bağlantılı teknolojileri benimsiyor. 2023 itibarıyla, yaklaşık 4 milyon endüstriyel robot vardı ve bunların yaklaşık %80’i Çin, Japonya, ABD, Güney Kore ve Almanya gibi beş ülkede yoğunlaşmıştı. Lojistik ve askeri gibi diğer sektörlerde de hizmet robotları konuşlandırılmış durumda. Popüler kullanıma rağmen, birçok robot, eski yazılım, varsayılan kimlik bilgileri ve gevşek güvenlik duruşları gibi diğer OT ekipmanlarıyla aynı güvenlik sorunlarına sahiptir. Robotlara yapılan saldırılar, üretim sabotajından fiziksel hasara ve insan güvenliğine kadar değişir.

Forescout raporu, en riskli IoMT cihazlarının geçen yıldan bu yana değiştiğini, ancak tıbbi bilgi sistemleri ve iş istasyonları gibi sağlık hizmetleri için kullanılan bir karışım IT ekipmanını içerdiğini belirledi. “Bu sistemler genellikle elektrokardiyograflar ve otomatik ilaç dağıtımı gibi özel gömülü cihazlara sahiptir. Tıbbi bilgi sistemleri, elektronik sağlık kayıtları ve faturalama bilgileri içeren sistemleri bağlamak için HL7 gibi standart formatları kullanarak klinik verileri depolar ve yönetir. Bu sistemler çok hassas bilgiler depolar ve karanlık ağda değerlidir ve genellikle fidye yazılımı çeteleri tarafından sızdırılır. Verilerinin kritik olmasına rağmen, bu sistemlerin binlercesi hala çevrimiçi olarak bulunabiliyor,” diye ekledi.

Elektrokardiyograflar, temel rolleri ve akut hasta bakımındaki büyük etkileri nedeniyle risklidir. Hakemli bir çalışma, hastanelerde veri ihlali düzeltme çabalarının EKG yapmada 2.7 dakikalık bir gecikmeye yol açtığını ve bu nedenle hasta ölüm oranını %0.36 artırdığını gösterdi.

“Veri setimizde, elektrokardiyograflar, ilaç dağıtım sistemleri ve infüzyon pompalarından sonra üçüncü en savunmasız IoMT cihazıydı. DICOM iş istasyonları ve PACS, tıbbi görüntülemede kullanılır,” Forescout raporu belirtti. “Genellikle eski, savunmasız IT işletim sistemleri çalıştırır, görüntü dosyalarını paylaşmak için geniş ağ bağlantısına sahiptirler ve bu dosyaları paylaşmak için DICOM standardını kullanırlar. DICOM, tıbbi görüntülerin depolanma formatını ve bunların değiştirilmesinde kullanılan iletişim protokolünü tanımlar. Protokol, mesaj şifrelemesini destekler, ancak kullanımı bireysel sağlık kuruluşları tarafından yapılandırılır. Birçok kuruluşta şifrelenmemiş iletişimler gözlemliyoruz, bu da saldırganların tıbbi görüntüleri elde etmesine veya bunlara zarar vermesine, hatta kötü amaçlı yazılım yaymasına olanak tanıyabilir.”

PACS’in, Forescout veri setinde açık ara en yaygın IoMT cihazı olduğu ekledi. “İlaç dağıtım sistemlerinin neredeyse on yıldır savunmasız olduğu biliniyor, çünkü Billy Rios bu kategorideki popüler bir cihazın yedi üçüncü taraf bileşeninde 1,418 güvenlik açığı belgeledi. Bu çalışmadan sekiz yıl sonra, ilaç dağıtım sistemlerini hala yalnızca IoMT kategorisinde değil, genel olarak altıncı en savunmasız cihaz türü olarak görüyoruz.”

Belgelenmiş fidye yazılımı saldırıları, dağıtım sistemlerinin kullanılabilirliğini etkileyerek hasta tedavisinde gecikmelere neden olmuştur. 2022’de çevrimiçi olarak açığa çıkan bu sistemlerden 183’ünü de rapor ettik. İki yıldan kısa bir süre sonra, bu sayı 225’e çıktı. İlaç dağıtım sistemleri, Forescout veri setinde en çok açığa çıkan ikinci IoMT cihaz türüdür.

Forescout ayrıca, 2024’te teknoloji sektörünün ortalama olarak en riskli cihazlara sahip olduğunu, ardından eğitim ve imalatın geldiğini belirledi. “Geçen yıl cihazların ortalama riski yerine kritik veya yüksek risk içeren cihazların yüzdesini saydığımız sıralama metodolojisini değiştirdik. Sağlık sektörü önemli ilerlemeler kaydetti ve artık en riskli sektör değil. Geçen yıl, yüksek ve orta riskli cihazların en büyük yüzdesine sahipti. Bugün, ortalama cihaz riski 7.25 — on sektör arasında en düşüğü. Benzer şekilde, perakende 2023’te ikinci en riskliydi ve bu yıl da büyük bir iyileşme gösterdi,” diye rapora ekledi.

Raporda, IT cihazlarının hala en fazla güvenlik açığını oluşturduğu (%58), ancak bu oranın 2023’te %78’den düştüğü belirtildi. IoT güvenlik açıkları geçen yıl %14’ten şimdi %33’e yükseldi. Geçen yıl, IoMT’den daha fazla OT güvenlik açığı vardı, ancak bu yıl sıralama tersine döndü ve IoMT üçüncü sırada %5 ile, OT ise dördüncü sırada %4 ile yer aldı.

Raporda, güvenlik açıklarının cihazlar için büyük bir risk faktörü olduğu, ancak açık portların cihazları saldırılara açık bıraktığı belirtildi. Forescout, 2023’te en çok istismar edilen portlardan gözlemlediğimiz dört yaygın portu analiz etmek için seçti. Sunucu Mesaj Bloğu Protokolü (SMB), dosya paylaşımı, yazıcı paylaşımı ve uzak hizmetlere erişim için Windows makineleri tarafından kullanılır. Uzak Masaüstü Protokolü (RDP), grafik arayüz kullanarak cihazların uzaktan yönetimini sağlar. Güvenli Kabuk (SSH), özellikle Linux/UNIX sunucuları ve IoT cihazları için komut satırı arayüzü kullanarak uzaktan yönetim sağlar, Telnet ise esas olarak eski özel cihazlar için uzaktan yönetim sağlar.

SMB ve SSH’nin en popüler protokoller olduğu, bunları RDP ve Telnet’in izlediği bulundu. Çoğu Telnet cihazı sağlık hizmetlerinde (%4), teknoloji (%3) ve imalat (%3) sektörlerinde bulunur. En çok SSH, eğlence (%52), teknoloji (%39) ve petrol ve gaz (%33) sektörlerinde bulunur. En çok RDP, hizmetlerde (%14), petrol ve gaz (%12) ve imalatta (%12) bulunur. En çok SMB, teknoloji (%37), finans (%32) ve hizmetler (%30) sektörlerinde bulunur.

2023 ile karşılaştırıldığında, Forescout, “Geçen yıl izlediğimiz her sektörün Telnet maruziyetini azalttığını, sadece imalatta %3’te sabit kaldığını görüyoruz. En yüksek Telnet azalışı, %10’dan %4’e düşen sağlık hizmetlerinde görüldü. Öte yandan, SSH her sektörde arttı. Bu, kuruluşların cihazların uzaktan yönetimini Telnet yerine SSH ile değiştirdiğini gösteren iyi bir işaret olabilir. RDP de her sektörde azaldı, ancak imalatta artış gösterdi,” diye ekledi.

Bir kez daha, en yüksek azalma sağlık hizmetlerinde görüldü, %16’dan %6’ya düştü. SMB karışık sonuçlar verdi; hükümet, sağlık ve perakende maruziyeti azaltırken, finans ve imalat biraz arttı.

“Bilgisayarlar, mobil cihazlar ve sunucular, açığa çıkan cihazların neredeyse %90’ını temsil ediyor. En çok açığa çıkan yönetilmeyen cihaz türleri arasında VoIP ekipmanları (%5), ağ ekipmanları (%3) ve yazıcılar (%1) yer alıyor,” Forescout bildirdi. “’Diğer IoT’ grubu, çoğunluğu IP kameralar, akıllı TV’ler ve NAS olan 30’dan fazla yaygın olarak açığa çıkan IoT cihaz türünü içeriyor. ‘Diğer IoMT’, PACS sistemleri, kan şekeri ölçüm cihazları ve sağlık iş istasyonları gibi 40’tan fazla IoMT cihaz türünü içeriyor. Son olarak, ‘diğer OT’ arasında UPS, PLC ve bina otomasyon sistemleri gibi 20 tür cihaz yer alıyor.”

Sonuç olarak, Forescout, saldırı yüzeyinin artık neredeyse her kuruluşta IT, IoT ve OT’yi kapsadığını — sağlık hizmetlerinde IoMT ile birlikte — belirledi. Saldırganların saldırıları gerçekleştirmek için farklı kategorilerdeki cihazları kullanabileceği için savunmaları tek bir kategorideki riskli cihazlara odaklamak yeterli değildir.

“Bunu, bir IP kamerası (IoT) ile başlayan, bir iş istasyonuna (IT) geçen ve PLC’leri devre dışı bırakan (OT) bir kavram kanıtlama saldırısı (R4IoT) ile gösterdik. Bu genişleyen saldırı yüzeyini savunmak için, kuruluşların riski belirlemek ve azaltmak için yeni güvenlik yaklaşımlarına ihtiyacı var,” raporda ekledi. “Tehdit ortamı gelişmeye devam ederken ve daha fazla kuruluş yalnızca geleneksel uç noktalar için siber güvenliği benimserken, tehdit aktörleri sürekli olarak daha kolay ilk erişim sunan cihazlara yöneliyorlar.”

Rapor, modern risk ve maruziyet yönetiminin her kategorideki cihazları kapsaması gerektiğini, kuruluş genelinde riski belirlemek, önceliklendirmek ve azaltmak için ekledi. Yalnızca belirli cihazlar için çalışan çözümler, ağın diğer bölümlerinin saldırı için kullanılmasına karşı kör oldukları için riski etkili bir şekilde azaltamazlar. Örneğin, yalnızca IoMT çözümleri IT cihazları için riski etkili bir şekilde değerlendiremeyecektir.

Aynı zamanda, yalnızca IT çözümleri özel cihazların nüanslarını kaçıracaktır. Risk değerlendirmesinin ötesinde, risk azaltımı yalnızca güvenlik ajanlarına dayanmak yerine, tüm işletme için uygulanan otomatik kontrolleri kullanmalıdır.

Nisan ayında, Forescout Vedere Labs’tan araştırmacılar, ABD ağlarının resmi yasaklara rağmen Çin yapımı cihazlarda yıllık %40’lık önemli bir artış yaşadığını açıkladı. Kritik altyapı kuruluşları, ağlarında bu tür cihazları en çok kullananlar arasında yer alıyor ve bu sektörlerin bazıları bir yıl içinde Çin yapımı cihazların sayısını ikiye katladı.

Haber Kaynağı:

https://industrialcyber.co/threat-landscape/forescout-identifies-plcs-dcss-industrial-robots-as-top-vulnerabilities-in-2024-risk-report/