Sektörden Haberler

Dünya Genelinde Siber Saldırılara Açık Kritik Altyapı Sistemlerinin Sayısı Yüzbinlerle İfade Edilmektedir.

10 Ekim 2023

Dünya genelinde internete açık en az 100.000 endüstriyel kontrol sistemi (ICS) mevcut olup, elektrik şebekeleri, gaz şebekeleri, fabrikalar, su sistemleri ve bina yönetim sistemleri raylı ve trafik sistemleri, savunma sanayi vb. gibi bir dizi kritik operasyonel teknolojiyi (OT) kontrol etmektedir. Bu çok büyük bir rakam olsa da araştırmacılar, bu maruziyetten kaynaklanan gerçek siber riski ölçmenin, bu sistemlerde kullanılan donanımların hangi protokolleri kullandığını incelemek anlamına geldiğini belirtmektedir.

Siber risk engelleyicisi Bitsight şirketi araştırmacılarının yakın zamanda yaptıkları bir analizde, en popüler ve en yaygın kullanılan ICS protokollerini (Modbus, KNX, BACnet, Niagara Fox ve diğerleri dahil) kullanan erişilebilir cihazların envanterini çıkararak 100.000 rakamına ulaşmışlardır.

Açığa çıkan ICS ayak izinin siber saldırganlar için olgun bir hedef oluşturmakta olduğunu ve dolayısıyla en az 96 ülkede fiziksel güvenlik açısından küresel bir risk bulunduğunu belirlemişlerdir. Kötü amaçlı yazılımların elektrik şebekelerini çökertmesi ve Colonial Pipeline’nin hacklenmesi  olayların gösterdiği gibi, riskler teorik değildir.

Firmanın yakın tarihli bir raporunda, bu ICS cihazlarının, trafik ışıklarından aşı üretimine kadar toplumumuzdaki fiziksel altyapıların çoğunu kontrol etmek için kullanıldığı, bu sistemlerin bozulmasının, önemli iş kesintilerine, insan güvenliğine yönelik tehditlere, veri ve fikri mülkiyet (IP) uzlaşmalarına, ulusal güvenlik tehditlerine ve daha fazlasına yol açabileceği belirtilmiştir.

Bitsight'ın baş güvenlik araştırmacısı Pedro Umbelino, bu tür ekipmanlara internet üzerinden doğrudan erişilebilmenin çok az nedeni olduğunu, dolayısıyla risk düzeyinin çözülebilir bir sorun gibi göründüğünü belirtmiştir.

Genellikle, saldırganlar İnternet'e bakan sistemleri tarayıp, daha sonra bu sistemin bir güvenlik açığına sahip olup olmadığını belirlemek için bilgi toplamaktadır. Yani eğer sistemler bir güvenlik duvarının arkasındaysa veya başka bir şekilde İnternet'e bakmıyorsa ya da temel güvenlik önlemleri alınmışsa, bu durumda istismar riskinin büyük kısmı azalmaktadır.

ICS ortamlarındaki riski anlamak, İnternet'ten kaç cihaza erişilebileceğini belirlemekten daha fazlasını gerektirir. Özellikle farklı protokollerin kullanılması, siber saldırganların zayıf noktaları nerede araştırabileceklerini belirlemede önemli ipuçları olabilir.

Umbelino, incelenen bazı protokollerin, temel kimlik doğrulama gibi güvenlik önlemlerinden yoksun olduğunu, bunun da cihazları hemen hemen herkese açık bıraktığını, OT ağ protokollerinin, çoğunun güvensiz olduğunu ve saldırganların hedef keşfi yapmasına yardımcı olabilecek özelliklere sahip olduğunu belirtiyor.

Bitsight, Kuruluşların, kendilerine yapılacak saldırıların protokole göre uyarlamasının coğrafi hedeflemeye de yardımcı olabileceğinin farkında olması gerektiğini, CODESYS, KNX, Moxa Nport ve S7 kullanan açık endüstriyel kontrol sistemlerinin büyük ölçüde Avrupa Birliği'nde (AB) yoğunlaştığını, ATG ve BACnet kullanan sistemlerin büyük ölçüde ABD'de bulunduğunu, Modbus ve Niagara Fox protokollerinin ise dünya çapında mevcut olduğunu belirtmiştir.

Umbelino, ICS sahibi kuruluşların protokol kullanımlarının envanterini çıkarmalarının riskleri tanımlama ve OT/ICS güvenlik stratejilerini bilgilendirmede bir değişken olarak kullanabileceğini söylemektedir

Bitsight'a göre pratik açıdan bakıldığında, ICS sistem sahiplerinin bazı sağduyulu adımlar atarak güvenliklerini destekleyebileceklerini belirtmektedir. Bu adımlar aşağıda sıralanmıştır:

* Kuruluş ve/veya üçüncü taraf iş ortakları tarafından dağıtılan tüm ICS'lerin belirlenmesi ve bu sistemlerin güvenliğinin değerlendirilmesi;

* Herhangi bir ICS’in zorunlu olmadıkça  İnternet bağlantısının kaldırılması;

* Yetkisiz erişime karşı koruma sağlamak için güvenlik duvarları gibi koruma önlemleri kullanılması;

* Altyapılara yalnızca geleneksel bir BT risk modeli uygulamak yerine ICS de dahil olmak üzere OT için geçerli olan risk modelinin uygulanması.

Umbelino, Özetle, genel bir kural olarak tehditlere maruz kalmanın azaltılmasını, Endüstriyel kontrol sistemlerinin kamuya açık olmamasını, güvenlik duvarları kullanılmasını, erişim kontrollerinin yapılandırılmasını, sanal özel ağlardan veya cihazların geniş çapta erişilebilir olmasını engelleyen diğer mekanizmalardan yararlanılması gerektiğini vurgulamaktadır.

Kaynak: https://www.securityweek.com/number-of-internet-exposed-ics-drops-below-100000-report/