13 Nisan’da Enerji Bakanlığı (DoE), Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Ulusal Güvenlik Ajansı (NSA) ve Federal Soruşturma Bürosu (FBI) bir açıklama yayınladı. ortak Siber Güvenlik Danışmanlığı belirli endüstriyel kontrol sistemleri (ICS) ve denetleyici kontrol ve veri toplama (SCADA) cihazlarının tam sistem erişimi elde etme yeteneğine sahip gelişmiş kalıcı tehdit (APT) aktörleri tarafından hedef alınabileceği konusunda uyarmak için.
Uyarı, savunmasız ürünlerin Schneider Electric programlanabilir mantık kontrolörlerini, OMRON Sysmac NEX PLC’lerini ve Açık Platform İletişim Birleşik Mimarisi (OPC UA) sunucularını içerdiği konusunda uyardı.
APT aktörleri, operasyonel teknoloji (OT) ağına girdikten sonra, savunmasız cihazları taramak için özel olarak yapılmış belirli araçları kullanabilir ve ardından bunları kullanabilir ve ardından kontrolünü ele alabilir.
Danışmanlık ayrıca, Windows tabanlı mühendislik iş istasyonlarıyla ilgili kritik bir soruna da dikkat çekti. OT ortamındaki ve hatta BT tarafındaki sistemler, savunmasız anakart sürücülerini hedefleyen bir istismar kullanılarak tehlikeye atılabilir.
Bu tekniklerin önemli ve endişe verici bir şekilde kullanılması, APT aktörlerinin ayrıcalıklarını yükseltmesine, OT ortamında yanal olarak diğer cihazlara geçmesine ve kritik cihazları bozmasına veya çökmesine izin verebilir.
Tüm OT ortamının kapatıldığı (OT cihazlarından kaynaklanmamasına rağmen) ve fidye yazılımlarının yükselişi ve siyasi olarak motive olmuş ulusal devlet aktörlerinin tehdidi gibi kritik ulusal altyapıya ihtiyaç duyan Koloni Boru Hattı saldırısı gibi son olaylarla hızlı hareket etmek.
DoE, CISA, NSA ve FBI, kuruluşları, özellikle enerji sektöründekileri, APT etkinliğini tespit etmek ve ICS/SCADA cihazlarını sağlamlaştırmak için algılama ve azaltma önerilerini uygulamaya teşvik ediyor.
Danışmanlık, danışmanlığa yol açan katkılar için Dragos, Mandiant ve Palo Alto Networks gibi güvenlik şirketlerine kredi verdi. Dragos ortaya çıktı 2022’nin başından beri kötü amaçlı yazılımı (PIPEDREAM olarak adlandırılır) analiz ediyor.
Sonuçlar
Tehdit aktörlerinin sürekli olarak IoT ve OT ağlarına girmenin bir yolunu bulacağını söylemeye gerek yok; bu tavsiye, türünün ilk örneği olmadığı gibi son da olmayacaktır.
OT ağlarıyla ilgili zorlu konu, ortalama yaşları (genellikle on yıllara yayılan), karmaşık geçmişi (minimum planlamayla organik olarak gelişen) ve cihazların zorlu yapısıdır. Geleneksel olarak, OT ortamları BT ağına bugün olduğu gibi bağlanmıyordu – fiziksel olarak ayrılmış ve dış dünyadan, ayrıca kuruluştan ve BT ile ilgili işlevlerden kopuktu. Buna “hava boşluğu” denir, ancak artık geçmişte kaldı.
Dijital dönüşüm ve OT sistemlerinin ve diğer cihazların ağa bağlanması, saldırı yüzeyini genişletiyor ve endüstriyel ortamları saldırganlara açıyor. Ancak bu geçişi yönlendiren iş öncelikleri ve sürekli olarak erişilebilir olması gereken eski sistem ve cihazların doğası, güvenliğin genellikle geride kaldığı anlamına gelir.
Uyarı, işletmelerin bu tür IoT ve OT güvenlik tavsiyelerini, düşmanlar bunlardan yararlanmadan önce hızlı ve kapsamlı bir şekilde ele almaya hazırlanmalarının ne kadar önemli olduğunun altını çiziyor.
Önemsiz görünebilir, ancak ilk çağrı noktaları, tüm parolaların değiştirilmesini ve çevrimdışı yedeklemelerin korunmasını içerir – bu, kaba kuvvet saldırılarını azaltmaya ve bir saldırı durumunda hızlı kurtarmaya yardımcı olabilir. Endüstriyel ortamlarda bulunanlar, çevre ve erişim kontrollerinin yanı sıra yeterli görünürlük ve izleme dahil olmak üzere sağlam bir siber güvenlik duruşuna sahip olduklarından emin olmalıdır.
Uyarı, siber güvenliğin kendi benzersiz gereksinimleri olan bu karmaşık IoT ve OT ortamlarında etkin bir şekilde uygulanmasını sağlamak için özellikle önemli olan BT, siber güvenlik ve operasyonlardaki paydaşlar arasındaki işbirliğinin önemine dikkat çekiyor.