Kaspersky’nin ICS CERT araştırmacıları, kuruluşların 2023 için hazırlanması gereken riskler ve endüstriyel denetim sistemleri (ICS) odaklı gelişmelere dair öngörülerini paylaştı. Bu öngörüler içinde, dijitalleşme niçiniyle artan atak yüzeyi (Attack Surface), bilgi sızdırıcıların faaliyetleri ve kritik altyapıya yönelik fidye yazılımı (Ransomware) akınlarının yanı sıra, tehditlerin tespitinin başarısı konusundaki teknik, ekonomik ve jeopolitik tesirler ile saldırganlar tarafınca kullanılabilecek potansiyel güvenlik açıklarının sayısının artması üzere ayrıntılar yer alıyor.
Kaspersky’nin ICS CERT grubunun bu öngörülerini, güvenlik açıkları, hücumlar ve olay müdahalelerini (incident response) araştırma konusundaki ortak tecrübeleri ve tehdit ortamının gelişmenini yönlendiren ana vektörlere ait ferdî vizyonlarının bir bileşkesi olarak kıymetlendirebiliriz.
Yeni riskler ve tehdit ortamındaki değişimler
Kaspersky uzmanları yeni sanayilere, yerleşimlere, endüstriyel kuruluşlara ve Operasyonel Teknoloji Güvenliği (OT) sistemlerine karşı Gelişmiş Kalıcı Tehdit (APT) faaliyetlerinde bazı değişimler öngörüyor.
Buna göre, 2023 yılında tarım, lojistik ve ulaştırma üzere gerçek iktisat kesimleri, alternatif güç kesimleri (ve aslında bir bütün olarak güç sektörü), yüksek teknoloji, ilaç ve tıbbi materyal üreticilerinin daha fazla siber akına uğraması bekleniyor. Dahası, askeri sanayi kompleksleri ve devlet kurumları üzere klâsik maksatlar de risk altında olmaya devam ediyor.
Nesnelerin İnternetinde (IoT) daha yüksek verimlilik ismine girilecek olan yarışta, -dijitalleşmenin de katkılarıyla- akın yüzeyinin de (Attack Surface) genişlemesi bekleniyor. Buna, Kestirimci Bakım Sistemleri (Predictive Maintenance) ve Dijital İkiz Teknolojisini (Digital Twin) de dahil edebiliriz. Bu eğilimler, 2022’nin birinci yarısında Bilgisayarlı Bakım İdare Sistemlerine (CMMS) yönelik yapılan atakların istatistikleriyle de destekleniyor. Sayılardan bahsetmek gerekirse, 2022’nin birinci yarısında META bölgesindeki (Orta Doğu, Türkiye, Afrika) CMMS’lerin 39,3’ü taarruza uğradı. Akınların oranı Afrika bölgesi özelinde 40’a, Orta Doğu’da ise 43,5’e ulaşmış durumda.
Genişleyen taarruz yüzeyinin riskleri, olağan olarak artan güç taşıyıcı tutarlarıyla da temaslı. Bunun kararında donanım meblağlarında meydana gelen artışlar, birfazlaca kuruluşu, şirket içi altyapıyı (On-Premises Infrastructure) devreye alma planlarından vazgeçirerek üçüncü taraf sağlayıcıların bulut hizmetlerini kullanmaya zorlarken, IS bütçelerini de etkileyebiliyor.
bununla birlikte, kimi tehditler hücumların maksadı yahut aracı olabilecek insansız ulaşım araçlarından da gelebilir. Dikkat edilmesi gereken başka riskler içinde, kullanıcı kimlik ayrıntılarını toplama maksadıyla işlenen ve giderek frekansı artan hata faaliyetlerinin yanı sıra, ideolojik ve politik açıdan motive olmuş bilgi sızdırıcılar ve -genellikle gaspçılar ve Gelişmiş Kalıcı Tehditler (APT) olmak üzere- cürüm kümeleriyle birlikte çalışan bilgi sızdırıcılar da bulunuyor. Bu “içerdeki” şahıslar üretim tesislerinin yanı sıra, teknoloji geliştiriciler, eser satıcıları ve hizmet sağlayıcılarda da etkin olabiliyorlar.
ICS’deki siber güvenlik durumu üzerinde küresel bir tesire sahip olan tüm bu emniyetli iştirakler ve onların jeopolitik gelgitlerinin, 2023’te karşımıza epey daha bariz biçimde çıkması bekleniyor. Giderek daha efektif hale gelebilecek bilgisayar korsanlığı faaliyetlerinin artmasının yanı sıra, bu cins taarruzları kovuşturmanın da giderek zorlaşması sebebiyle kritik altyapılara yöneltilmiş daha fazla fidye yazılımı saldırısı bakılırsabiliriz.
Uluslararası kolluk kuvvetlerinin içindeki iş birliğinin bozulması, bir ülkeden “düşman” olarak kabul edilen başka ülkelere gerçek bir siber taarruz akışına yol açabilir. Bu ülkelerin yurt ortasında geliştirdiği yeni alternatif tahliller, ilgili yazılımların kusurlu güvenlik yapılandırmaları ve sıfırıncı gün açıkları üzere öteki risklere niye olurak, sistemleri hem siber hatalıların tıpkı vakitte bilgisayar korsanlarının müdahalesine açık hale getirebiliyor.
Bunun yanında, halihazırda çatışma halinde olan ülkelerde faaliyet gösteren bilgi güvenliği geliştiricileri ve araştırmacıları içindeki bağlantı kesintileri niçiniyle, tertipler da “tehdit tespit kalitesinin” azalması üzere yeni risklerle karşı karşıya kalabiliyorlar. Ayrıyeten, tehdit istihbaratının da kalitesinin düşmesine şahit olabiliyoruz ve bu da inanç vermeyen atıflar ile birlikte devletin, olaylar, tehditler ve güvenlik açıkları hakkındaki haberleri denetim etme teşebbüslerine yol açabiliyor.
Hükümetlerin operasyonel süreçlerde artan rolü sebebiyle, özel dal eserleri kadar inançlı olmayan hükümet dayanaklı bulut sistemleri ve hizmetlerine yapılan irtibatlar da sanayi işletmeleri için ek IS risklerine de yol açıyor. Ayrıyeten devlet kurumlarında nitelikli olmayan çalışanların varlığı, kurum külçeşidinin hala gelişmekte olması ve “Responsible Disclosure” uygulamaları sebebiyle gizli bilgi sızıntısı riski artıyor.
Gelecekteki taarruzlarda nelere dikkat etmeli?
Kaspersky ICS CERT araştırmacıları, 2023’te gelişmesi beklenen en kıymetli teknikleri ve taktikleri listeledi.
● Yasal sitelerin içine yerleştirilmiş kimlik avı (phishing) sayfaları ve scriptler.
● Yaygın olarak kullanılan ve özel hedefli yazılımların ortasında paketlenmiş yamalar, truva atları ve keygen’ler.
● Siyasi olaylar da dahil olmak üzere, yeni olaylarla ilgili kimlik avı (phishing) e-postaları.
● Kimlik avı e-postalarında yem olarak kullanılan ve ilgili kuruluşlara yönelik daha evvelki akınlarda çalınan dokümanlar.
● E-dolandırıcılık: Çalışanların güvenliği ihlal edilmiş e-posta kutularından, yasal iş yazışmaları kılığında yayılan kimlik avı e-postaları.
● N-günlük güvenlik açıkları: Aşikâr başlı tahliller sunan güvenlik güncelleştirmeleri daha az erişilebilir hale geldikçe, bu açıkların kapatılabilme suratı da giderek yavaşlıyor.
● “Yeni” satıcıların mamüllerindeki sıradan yapılandırma kusurlarını (kolay varsayım edilebilen yahut standart şifreler gibi) ve sıfırıncı gün açıklarını berbata kullanma.
● Bulut hizmetlerine yönelik hücumlar
● Güvenlik tahlillerinin ortasındaki yapılandırma yanlışlarını (mesela bir virüsten müdafaa tahlilini devre dışı bırakmaya müsaade verenler) kullanmak.
● Tanınan bulut hizmetini CnC olarak kullanma – O denli ki, bir taarruz saptandıktan daha sonra bile -halen kıymetli iş süreçleri buluta bağlı olabileceğinden- ataklar engellenemeyebilir.
● Örneğin, End Node’u atlatmak için yasal yazılımlardaki güvenlik açıklarından yararlanma, DLL Hijacking ve BYOVD (Bring Your Own Vulnerable Driver)
● Hava alıklarının (Air Gap) üstesinden gelmek için berbat maksatlı yazılımın çıkarılabilir medyalar aracılığıyla yayılması.
“2022’de siber güvenlik olaylarının sıkça yaşandığını ve ICS sahipleri ile operatörleri için biroldukca soruna niye olduğunu gördük. tıpkı vakitte, medyadaki biroldukça renkli başlığa karşın, genel tehdit ortamında ani yahut yıkıcı değişiklikler görmedik, üstelik bu tehditlerin hiç birinin yönetilmesi kolay olsa gerekdi. 2022 olaylarını tahlil ederken, ICS tehdit ortamındaki en değerli değişikliklerin sıklıkla jeopolitik eğilimler ve akabinde gelen makroekonomik faktörler tarafınca belirlendiği bir periyoda girdiğimizi itiraf etmeliyiz. Siber hatalılar doğal olarak kozmopolittir; birebir vakitte, kolay çıkar peşinde koştukları ve şahsi güvenliklerini ön plana koydukları için, siyasi ve ekonomik eğilimlere epeyce dikkat ediyorlar. Gelecekteki akınlara ait analizimizin, kuruluşların yeni ortaya çıkan tehditlere hazırlanmalarına yardımcı olacağını umuyoruz. ” diyor, Kaspersky’nin ICS CERT Kısım Müdürü Evgeny Goncharov.
Bu öngörüler, siber güvenlik dünyasındaki değerli değişikliklere ait yıllık öngörüler analitik makaleler içeren Kaspersky Güvenlik Bülteni’nin (KSB) bir kesimidir. Securelist’teki 2023 ICS iddiaları raporunun tamamını linkten okuyabilirsiniz. Öteki KSB modüllerine bakmak için burayı tıklayabilirsiniz.
Kaspersky uzmanlarının 2022’de ICS tehditleri alanında neler görmeyi beklediklerine bakmak için linki kullanabilirsiniz.
Kaynak: (BYZHA) – Beyaz Haber Ajansı
Kaspersky’nin ICS CERT grubunun bu öngörülerini, güvenlik açıkları, hücumlar ve olay müdahalelerini (incident response) araştırma konusundaki ortak tecrübeleri ve tehdit ortamının gelişmenini yönlendiren ana vektörlere ait ferdî vizyonlarının bir bileşkesi olarak kıymetlendirebiliriz.
Yeni riskler ve tehdit ortamındaki değişimler
Kaspersky uzmanları yeni sanayilere, yerleşimlere, endüstriyel kuruluşlara ve Operasyonel Teknoloji Güvenliği (OT) sistemlerine karşı Gelişmiş Kalıcı Tehdit (APT) faaliyetlerinde bazı değişimler öngörüyor.
Buna göre, 2023 yılında tarım, lojistik ve ulaştırma üzere gerçek iktisat kesimleri, alternatif güç kesimleri (ve aslında bir bütün olarak güç sektörü), yüksek teknoloji, ilaç ve tıbbi materyal üreticilerinin daha fazla siber akına uğraması bekleniyor. Dahası, askeri sanayi kompleksleri ve devlet kurumları üzere klâsik maksatlar de risk altında olmaya devam ediyor.
Nesnelerin İnternetinde (IoT) daha yüksek verimlilik ismine girilecek olan yarışta, -dijitalleşmenin de katkılarıyla- akın yüzeyinin de (Attack Surface) genişlemesi bekleniyor. Buna, Kestirimci Bakım Sistemleri (Predictive Maintenance) ve Dijital İkiz Teknolojisini (Digital Twin) de dahil edebiliriz. Bu eğilimler, 2022’nin birinci yarısında Bilgisayarlı Bakım İdare Sistemlerine (CMMS) yönelik yapılan atakların istatistikleriyle de destekleniyor. Sayılardan bahsetmek gerekirse, 2022’nin birinci yarısında META bölgesindeki (Orta Doğu, Türkiye, Afrika) CMMS’lerin 39,3’ü taarruza uğradı. Akınların oranı Afrika bölgesi özelinde 40’a, Orta Doğu’da ise 43,5’e ulaşmış durumda.
Genişleyen taarruz yüzeyinin riskleri, olağan olarak artan güç taşıyıcı tutarlarıyla da temaslı. Bunun kararında donanım meblağlarında meydana gelen artışlar, birfazlaca kuruluşu, şirket içi altyapıyı (On-Premises Infrastructure) devreye alma planlarından vazgeçirerek üçüncü taraf sağlayıcıların bulut hizmetlerini kullanmaya zorlarken, IS bütçelerini de etkileyebiliyor.
bununla birlikte, kimi tehditler hücumların maksadı yahut aracı olabilecek insansız ulaşım araçlarından da gelebilir. Dikkat edilmesi gereken başka riskler içinde, kullanıcı kimlik ayrıntılarını toplama maksadıyla işlenen ve giderek frekansı artan hata faaliyetlerinin yanı sıra, ideolojik ve politik açıdan motive olmuş bilgi sızdırıcılar ve -genellikle gaspçılar ve Gelişmiş Kalıcı Tehditler (APT) olmak üzere- cürüm kümeleriyle birlikte çalışan bilgi sızdırıcılar da bulunuyor. Bu “içerdeki” şahıslar üretim tesislerinin yanı sıra, teknoloji geliştiriciler, eser satıcıları ve hizmet sağlayıcılarda da etkin olabiliyorlar.
ICS’deki siber güvenlik durumu üzerinde küresel bir tesire sahip olan tüm bu emniyetli iştirakler ve onların jeopolitik gelgitlerinin, 2023’te karşımıza epey daha bariz biçimde çıkması bekleniyor. Giderek daha efektif hale gelebilecek bilgisayar korsanlığı faaliyetlerinin artmasının yanı sıra, bu cins taarruzları kovuşturmanın da giderek zorlaşması sebebiyle kritik altyapılara yöneltilmiş daha fazla fidye yazılımı saldırısı bakılırsabiliriz.
Uluslararası kolluk kuvvetlerinin içindeki iş birliğinin bozulması, bir ülkeden “düşman” olarak kabul edilen başka ülkelere gerçek bir siber taarruz akışına yol açabilir. Bu ülkelerin yurt ortasında geliştirdiği yeni alternatif tahliller, ilgili yazılımların kusurlu güvenlik yapılandırmaları ve sıfırıncı gün açıkları üzere öteki risklere niye olurak, sistemleri hem siber hatalıların tıpkı vakitte bilgisayar korsanlarının müdahalesine açık hale getirebiliyor.
Bunun yanında, halihazırda çatışma halinde olan ülkelerde faaliyet gösteren bilgi güvenliği geliştiricileri ve araştırmacıları içindeki bağlantı kesintileri niçiniyle, tertipler da “tehdit tespit kalitesinin” azalması üzere yeni risklerle karşı karşıya kalabiliyorlar. Ayrıyeten, tehdit istihbaratının da kalitesinin düşmesine şahit olabiliyoruz ve bu da inanç vermeyen atıflar ile birlikte devletin, olaylar, tehditler ve güvenlik açıkları hakkındaki haberleri denetim etme teşebbüslerine yol açabiliyor.
Hükümetlerin operasyonel süreçlerde artan rolü sebebiyle, özel dal eserleri kadar inançlı olmayan hükümet dayanaklı bulut sistemleri ve hizmetlerine yapılan irtibatlar da sanayi işletmeleri için ek IS risklerine de yol açıyor. Ayrıyeten devlet kurumlarında nitelikli olmayan çalışanların varlığı, kurum külçeşidinin hala gelişmekte olması ve “Responsible Disclosure” uygulamaları sebebiyle gizli bilgi sızıntısı riski artıyor.
Gelecekteki taarruzlarda nelere dikkat etmeli?
Kaspersky ICS CERT araştırmacıları, 2023’te gelişmesi beklenen en kıymetli teknikleri ve taktikleri listeledi.
● Yasal sitelerin içine yerleştirilmiş kimlik avı (phishing) sayfaları ve scriptler.
● Yaygın olarak kullanılan ve özel hedefli yazılımların ortasında paketlenmiş yamalar, truva atları ve keygen’ler.
● Siyasi olaylar da dahil olmak üzere, yeni olaylarla ilgili kimlik avı (phishing) e-postaları.
● Kimlik avı e-postalarında yem olarak kullanılan ve ilgili kuruluşlara yönelik daha evvelki akınlarda çalınan dokümanlar.
● E-dolandırıcılık: Çalışanların güvenliği ihlal edilmiş e-posta kutularından, yasal iş yazışmaları kılığında yayılan kimlik avı e-postaları.
● N-günlük güvenlik açıkları: Aşikâr başlı tahliller sunan güvenlik güncelleştirmeleri daha az erişilebilir hale geldikçe, bu açıkların kapatılabilme suratı da giderek yavaşlıyor.
● “Yeni” satıcıların mamüllerindeki sıradan yapılandırma kusurlarını (kolay varsayım edilebilen yahut standart şifreler gibi) ve sıfırıncı gün açıklarını berbata kullanma.
● Bulut hizmetlerine yönelik hücumlar
● Güvenlik tahlillerinin ortasındaki yapılandırma yanlışlarını (mesela bir virüsten müdafaa tahlilini devre dışı bırakmaya müsaade verenler) kullanmak.
● Tanınan bulut hizmetini CnC olarak kullanma – O denli ki, bir taarruz saptandıktan daha sonra bile -halen kıymetli iş süreçleri buluta bağlı olabileceğinden- ataklar engellenemeyebilir.
● Örneğin, End Node’u atlatmak için yasal yazılımlardaki güvenlik açıklarından yararlanma, DLL Hijacking ve BYOVD (Bring Your Own Vulnerable Driver)
● Hava alıklarının (Air Gap) üstesinden gelmek için berbat maksatlı yazılımın çıkarılabilir medyalar aracılığıyla yayılması.
“2022’de siber güvenlik olaylarının sıkça yaşandığını ve ICS sahipleri ile operatörleri için biroldukca soruna niye olduğunu gördük. tıpkı vakitte, medyadaki biroldukça renkli başlığa karşın, genel tehdit ortamında ani yahut yıkıcı değişiklikler görmedik, üstelik bu tehditlerin hiç birinin yönetilmesi kolay olsa gerekdi. 2022 olaylarını tahlil ederken, ICS tehdit ortamındaki en değerli değişikliklerin sıklıkla jeopolitik eğilimler ve akabinde gelen makroekonomik faktörler tarafınca belirlendiği bir periyoda girdiğimizi itiraf etmeliyiz. Siber hatalılar doğal olarak kozmopolittir; birebir vakitte, kolay çıkar peşinde koştukları ve şahsi güvenliklerini ön plana koydukları için, siyasi ve ekonomik eğilimlere epeyce dikkat ediyorlar. Gelecekteki akınlara ait analizimizin, kuruluşların yeni ortaya çıkan tehditlere hazırlanmalarına yardımcı olacağını umuyoruz. ” diyor, Kaspersky’nin ICS CERT Kısım Müdürü Evgeny Goncharov.
Bu öngörüler, siber güvenlik dünyasındaki değerli değişikliklere ait yıllık öngörüler analitik makaleler içeren Kaspersky Güvenlik Bülteni’nin (KSB) bir kesimidir. Securelist’teki 2023 ICS iddiaları raporunun tamamını linkten okuyabilirsiniz. Öteki KSB modüllerine bakmak için burayı tıklayabilirsiniz.
Kaspersky uzmanlarının 2022’de ICS tehditleri alanında neler görmeyi beklediklerine bakmak için linki kullanabilirsiniz.
Kaynak: (BYZHA) – Beyaz Haber Ajansı