Oldsmar Su İşletmesi Siber Saldırısı Bize Ne Anlatıyor?
Florida kolluk kuvvetleri, Oldsmar su bölgesinde bir siber saldırı olduğunu açıkladığında, aslında siber saldırıların evlerimizin içine, içtiğimiz-kullandığımız suya kadar erişebildiğini öğrenerek irkildik.
Bir siber saldırganın şehrin su arıtma sistemine uzaktan erişmek ve sodyum hidroksit seviyelerini 100 kattan fazla artırmak için TeamViewer uygulamasından yararlandığını öğrenmek endişe vericiydi. Neyse ki, sorun zarar görmeden düzeltildi, ancak olay her yerdeki su bölgeleri için bir uyandırma çağrısı olmalı.
Düşük Profilli, Az Gelişmiş Bir Siber Saldırı
Nozomi Networks Labs ekibi tarafından yapılan bir analiz, saldırının karmaşıklık eksikliğinden bahsediyor ve bu da kırmızı bayrak kaldırıyor. Oldsmar’a erişim bu kadar kolaysa, Dünya’daki diğer binlerce su üretim tesisi ne olacak? Az gelişmiş bir saldırgan, birkaç fare tıklamasıyla nüfusu toplu zehirleme sürecini başlatabilirse, orta veya yüksek vasıflı bir saldırgan ne yapabilir? Evimizi korumaya gelince, çıta asla yeterince yükseğe ayarlanamaz. Ancak, bu durumda, seviye çok düşük görünüyor. Buraya nasıl geldik? Ne yanlış gitti?
Şu anda mevcut olan bilgilere dayanarak, bu saldırı daha derin tepkileri tetikleyebilecek herhangi bir karmaşıklıktan yoksun görünüyor. Su arıtma operasyonunu izleyen personele failin sisteme erişimini gizlememesi, saldırının nispeten düşük karmaşıklığını gösteren ilk işarettir. Dahası, olayın raporlarına göre, saldırgan, sodyum hidroksit seviyelerini, tipik olarak otomatik sistemler tarafından izlenen önemli bir miktarda artırdı; bu, muhtemelen, tehdit aktörünün su arıtma süreci hakkında belirli bir arka plan bilgisine sahip olmadığı anlamına gelir. .
Yine de, bu olay önemlidir çünkü çok fazla Kontrol Sistemi kurulumunun durumunu, özellikle de daha küçük bütçeli ve güvenliğin genellikle göz ardı edildiği daha küçük boyutlu olanları yansıtır. Uzaktan erişim, özellikle güvenlik göz önünde bulundurularak tasarlanmadığında, genellikle uzak saldırganlar tarafından bir OT ağına sızmak için kullanılan koç başıdır. Tam da bu durumda, Oldsmar’ın su arıtma tesisi, görünüşe göre internetten erişilebilen bir TeamViewer örneği kullanıyor. Bu aşamada saldırganların gerekli kimlik bilgilerini nasıl elde ettikleri bilinmemekle birlikte, bu olay, son yıllarda belgelediğimiz birçok kişi gibi, yürütülmesi için sofistike sıfır gün istismarına dayanıyor gibi görünmüyordu.
TeamViewer ve Diğer Uzaktan Erişim Araçları
COVID’in etkisi ve bunun sonucunda siber güvenliğin zararına uzaktan erişim teknolojilerinin toplu olarak kullanıma sunulması, siber güvenlik alanında çok ayrıntılı olarak tartışıldı. Pek çok su tesisinde – diğer kamu hizmetleri ve endüstrilerde olduğu gibi – viral salgının ortasında sistemleri çalışır durumda tutma ihtiyacı, birçok operatörü zor gerçeklerle yüzleşmeye sevk etti.
Evden çalışabilmek için, üretim kontrol ağlarının evden erişilebilir olması gerekir. TeamViewer’a ve bunun gibi diğer birçok uzaktan erişim uygulamasına girin. COVID-19’dan önce, kritik süreç kontrollerine erişmek için bu uygulamaları kullanmak ihmal olarak tanımlanabilir veya güvenlik dikkate alınmadan kullanılabilir. Ancak bugün, pandemi sırasında uzaktan erişim ve izlemeye ihtiyaç duymak için meşru nedenlerimiz var.
Prosesi Öncelik Yaparak Riski Düşürmek
Öngörülemeyen gelecek için bu tür uzaktan erişim ve tedarik zinciri riskleriyle yaşamak zorunda kalacağımızı anlayınca, risklerin etkisini mümkün olduğunca nasıl azaltabiliriz?
İlk olarak, (risk değerlendirme) alıştırmasının tüm noktasını hatırlamalıyız. Neden başka bir şeyi değil de bir şeyi korumaya çalışalım? Bir işletmenin tüm amacı su üretmekse, o zaman oradan başlayın. Su nasıl üretilir? Hangi spesifik fazla mesai süreçleri söz konusudur? Ve bu süreçlerin riskleri nelerdir? Sürece öncülük edersek, bazı cihazların diğerlerinden daha az dikkatimizi çekmeye değer olduğunu görebiliriz. iPhone’umu mu yoksa operasyon merkezindeki dijital kontrol panelini mi güvenceye almam gerekir?
Bu, Oldsmar Gibi Saldırıları Azaltmaya Nasıl Yardımcı Olabilir?
Siber güvenliğe yatırım yapan su işletmeleri, süreçte kullanılan kritik ekipmanların her yönünü izleyen son teknoloji varlık envanter yazılımlarına bakarak bu soruların çoğunu oldukça kolay bir şekilde yanıtlayabilir. Ne yazık ki, pek çok belediye son teknoloji siber güvenlik için bütçeye sahip değil.
Varlık envanterine sahip tesislerin çoğu, son derece tescilli olan operasyon teknolojisi ekipmanlarını idare etmede iyi bir iş çıkarmayan BT ürünlerini kullanıyor. Aslında, bu su bölgelerinin çoğu, tam olarak bulundukları yer için özel olarak inşa edilmiştir.
Ağlarını izleyen tesislerin yalnızca bir alt kümesi, daha önce bilinmeyen tehditleri avlamak için pek çok kişinin güvendiği bir teknoloji olan ağ anormallik algılamasını çalıştırır. Ancak, Oldsmar saldırısında, saldırganın resmi olarak onaylanmış bir uzaktan erişim yolundan yararlanması nedeniyle (HMI’dan PLC / DCS’de OT parametrelerini ayarlamak için TeamViewer kullanılarak) hiçbir ağ anormalliği (güvenlik duvarının arkasından) üretilmeyecekti.
Saldırganın, güvenlik duvarı açısından bir anormallik göstermiş olabilecek şekilde bölgenin dışından olma ihtimali var, ancak saldırgan bölgede olsaydı, bağlantı evde çalışan bir ilçe çalışanı gibi görünebilirdi. Ya da saldırgan, tesisin yönetiminden sorumlu bir uzaktan çalışma mühendisi tarafından kullanılan aynı Wi-Fi ağına takılan kişisel tablet gibi tamamen ilgisiz bir cihazı ihlal etmiş olabilir. Ardından saldırgan (lar), TeamViewer’ın kimlik bilgilerini çaldı ve ardından bu kimlik bilgilerini tesiste oturum açmak ve hasar oluşturmaya çalışmak için kullandı.
TeamViewer erişimiyle aynı makinede bulunan İnsan Makine Arayüzü (HMI) nedeniyle, hiçbir ağ anormalliği olmayacaktı. Bu senaryoda, saldırgan(lar) işleme gerekli erişime zaten sahip olacaktı. Keşif faaliyetlerine veya yanal harekete gerek yoktu. Sanki bankanın ön kapısı, güvenlik dahil, arada hiçbir şey veya hiç kimse olmadan, doğrudan kasaya açılmış gibi. Ne kadar talihsiz de olsa, ağ anormalliği algılama teknolojileri bu özel kullanım durumunu hafifletmek için uygun değildir.
Diğer bir yaygın çaba, güvenlik açıklarını belirleyip yamalayarak sistem sağlamlaştırmaktır. Ancak, Oldsmar durumunda güvenlik açıklarına ihtiyaç yoktu (TeamViewer’ın olası istisnası dışında, hala erişimin nasıl sağlandığı açıklanmadı). Güvenlik açıklarının çıkarılması, sağlam bir siber güvenlik programının çok önemli bir parçası ve önemi azaltılmaması gerekirken, bu saldırıyı önleyemezdi.
En iyinin en iyisi Korunma?
Çok az sayıda su işletmesi, diğer kritik altyapı tesislerinde olduğu gibi, ayrıntılı bir varlık envanterine sahip, ya da ağlarını saldırılara karşı izliyor ve ağ anormallik algılama çözümlerini devreye alıp çalıştırıyor. Bu, korumanın en üst seviyesi. Bu yaklaşım, endüstriyel süreci kontrol etmek için kullanılan gerçek parametrelere karşı anormallik tespitini çalıştırmak için yapay zekayı kullanmaya dayanıyor.
Örneğin bir pompa düşünün. Dakikada 100 dönüşte (RPM) dönecek şekilde ayarlanmışsa, daha yüksek çalıştırmak güvenli olmaz. HMI’yi programlayan mühendisler, tehlikeli koşulların mevcut olmasına izin vermemelidir ve çoğu durumda operatörlerin geçersiz girişler girmesini veya pompaya 150 RPM’de dönmesi için bir parametre değeri göndermek gibi güvenli olmayan koşullar getirmesini engelleyecektir.
Prosesi Korumak
Oldsmar saldırısı, süreci izlemek ve kontrol etmek için kullanılan veri akışı içinde gerçekleşti. Saldırgan, sudaki sodyum hidroksit miktarını artıran meşru bir yük ile meşru bir paket göndermek için meşru bir HMI kullandı. Oldsmar su tesisindeki OT parametrelerine anormallik tespiti uygulanıyor olsaydı, işletme içinde başka bir yerde başarılı bir saldırı, çeşitli yöntemler kullanarak endüstriyel süreci etkilemeye çalışabilirdi.
Belki de bugün bu özel HMI idi, belki de dün paketleri doğrudan ağa enjekte ettiler. Tek bildiğimiz, saldırgan (lar) haftalarca yanlamasına hareket etmiş olabilir ve bugün hala oradadırlar, hatta endüstriyel süreçte farklı bir cihaz kullanarak, yaygın olarak orada olduğu şeklinde atıfta bulunulan otomatik bir güvenlik sistemini devre dışı bırakmak için komutlar gönderebilir. toksik suyun nüfusa ulaşmasını önlemek. Kesin olarak bilmenin tek yolu, içindeki anormallikleri aramak için gerçek endüstriyel süreç etiketlerini ve değerlerini izlemektir. Sadece Oldsmar saldırısı değil, aynı zamanda ihmalkar veya riskli içeriden kişiler de dahil olmak üzere diğer birçok risk ele alınacaktır.
Oldsmar ve OT’ye özgü diğer birçok saldırının ortak bir yanı var: hepsi süreci etkiledi ve süreci hedeflemek için onaylanmış teknoloji altyapısını kullandı. Altyapı hedef olduğunda saldırılar daha kolay tespit edilir, ancak altyapı sürece saldırmak için kullanıldığında işler daha karmaşık hale gelir ve tehditleri azaltmak için daha gelişmiş araçlar gerekir.
Neyse ki, müşterilerimizin çoğu bu senaryolarla başa çıkmak için çok iyi donanımlıdır. Nozomi Networks çözümlerinden yararlanarak, neredeyse hiç görünmezlikten doğrudan endüstriyel siber güvenlik izlemenin en önemli aşamasına geçebilirler. Tüm yolculuk birkaç saat gibi kısa bir sürede gerçekleşebilir.
Nozomi Networks müşterileri, yalnızca Oldsmar gibi bir saldırının ne zaman gerçekleştiğini hızlı bir şekilde belirlemekle kalmayıp aynı zamanda otomatikleştirmek ve düzenlemek için kapsamlı varlık envanteri, ağ anormallik tespiti, güvenlik açığı yönetimi, araştırma grafik araçları, adli bilişim, raporlama, gerçek zamanlı kontrol panelleri ve iş ortağı entegrasyonlarından yararlanıyor tesislerinin böylesine korkunç bir şekilde izinsiz girmesine uygun yanıt. Çoğu durumda, değer anlıktır, çünkü bu yetenekler kutudan çıkar çıkmaz mevcuttur ve çok az veya hiç yapılandırma gerekmez.
Bugün TeamViewer. Dün SolarWinds idi. Bir hafta önce, Ransomware #5,001. Kabul edelim, riskler yaygın ve kalıcıdır. Kritik endüstriyel süreçlerin tam uçtan-uca izlenmesi, olsa da olur değil, amaç ve norm olmalıdır.
Kaynak: Nozomi Networks Labs