Kaspersky, 2023’ün tehdit ortamında ICS geçişinin hızlanacağını öngörüyor

Kaspersky’nin ICS CERT araştırmacıları, kuruluşların 2023 için hazırlanması gereken riskler ve endüstriyel denetim sistemleri (ICS) odaklı gelişmelere dair öngörülerini paylaştı. Bu öngörüler ortasında, dijitalleşme nedeniyle artan hücum yüzeyi (Attack Surface), bilgi sızdırıcıların faaliyetleri ve kritik altyapıya yönelik fidye yazılımı (Ransomware) hücumlarının yanı sıra, tehditlerin tespitinin başarısı konusundaki teknik, ekonomik ve jeopolitik tesirler ile saldırganlar tarafından kullanılabilecek potansiyel güvenlik açıklarının sayısının artması üzere ayrıntılar yer alıyor.

Kaspersky’nin ICS CERT grubunun bu öngörülerini, güvenlik açıkları, akınlar ve olay müdahalelerini (incident response) araştırma konusundaki ortak tecrübeleri ve tehdit ortamının gelişimini yönlendiren ana vektörlere ait şahsi vizyonlarının bir bileşkesi olarak kıymetlendirebiliriz.

Yeni riskler ve tehdit ortamındaki değişimler

Kaspersky uzmanları yeni sanayilere, yerleşimlere, endüstriyel kuruluşlara ve Operasyonel Teknoloji Güvenliği (OT) sistemlerine karşı Gelişmiş Kalıcı Tehdit (APT) faaliyetlerinde bazı değişimler öngörüyor.

Buna nazaran, 2023 yılında tarım, lojistik ve ulaştırma üzere gerçek iktisat kesimleri, alternatif güç dalları (ve aslında bir bütün olarak güç sektörü), yüksek teknoloji, ilaç ve tıbbi gereç üreticilerinin daha fazla siber hücuma uğraması bekleniyor. Dahası, askeri sanayi kompleksleri ve devlet kurumları üzere klâsik gayeler de risk altında olmaya devam ediyor.

Nesnelerin İnternetinde (IoT) daha yüksek verimlilik ismine girilecek olan yarışta, -dijitalleşmenin de katkılarıyla- atak yüzeyinin de (Attack Surface) genişlemesi bekleniyor. Buna, Kestirimci Bakım Sistemleri (Predictive Maintenance) ve Dijital İkiz Teknolojisini (Digital Twin) de dahil edebiliriz. Bu eğilimler, 2022’nin birinci yarısında Bilgisayarlı Bakım İdare Sistemlerine (CMMS) yönelik yapılan taarruzların istatistikleriyle de destekleniyor. Sayılardan bahsetmek gerekirse, 2022’nin birinci yarısında META bölgesindeki (Orta Doğu, Türkiye, Afrika) CMMS’lerin 39,3’ü taarruza uğradı. Akınların oranı Afrika bölgesi özelinde 40’a, Orta Doğu’da ise 43,5’e ulaşmış durumda.

Genişleyen hücum yüzeyinin riskleri, elbette artan güç taşıyıcı fiyatlarıyla da temaslı. Bunun sonucunda donanım fiyatlarında meydana gelen artışlar, birçok kuruluşu, şirket içi altyapıyı (On-Premises Infrastructure) devreye alma planlarından vazgeçirerek üçüncü taraf sağlayıcıların bulut hizmetlerini kullanmaya zorlarken, IS bütçelerini de etkileyebiliyor.

Aynı vakitte, kimi tehditler akınların amacı yahut aracı olabilecek insansız ulaşım araçlarından da gelebilir. Dikkat edilmesi gereken öteki riskler ortasında, kullanıcı kimlik bilgilerini toplama emeliyle işlenen ve giderek frekansı artan cürüm faaliyetlerinin yanı sıra, ideolojik ve politik açıdan motive olmuş bilgi sızdırıcılar ve -genellikle gaspçılar ve Gelişmiş Kalıcı Tehditler (APT) olmak üzere- kabahat kümeleriyle bir arada çalışan bilgi sızdırıcılar da bulunuyor. Bu “içerdeki” bireyler üretim tesislerinin yanı sıra, teknoloji geliştiriciler, eser satıcıları ve hizmet sağlayıcılarda da etkin olabiliyorlar.

ICS’deki siber güvenlik durumu üzerinde küresel bir tesire sahip olan tüm bu emniyetli paydaşlıklar ve onların jeopolitik gelgitlerinin, 2023’te karşımıza çok daha bariz halde çıkması bekleniyor. Giderek daha efektif hale gelebilecek bilgisayar korsanlığı faaliyetlerinin artmasının yanı sıra, bu tıp akınları kovuşturmanın da giderek zorlaşması sebebiyle kritik altyapılara yöneltilmiş daha fazla fidye yazılımı saldırısı görebiliriz.

Uluslararası kolluk kuvvetlerinin ortasındaki iş birliğinin bozulması, bir ülkeden “düşman” olarak kabul edilen öteki ülkelere gerçek bir siber taarruz akışına yol açabilir. Bu ülkelerin yurt içinde geliştirdiği yeni alternatif tahliller, ilgili yazılımların yanılgılı güvenlik yapılandırmaları ve sıfırıncı gün açıkları üzere öteki risklere yol açarak, sistemleri hem siber hatalıların hem de bilgisayar korsanlarının müdahalesine açık hale getirebiliyor.

Bunun yanında, halihazırda çatışma halinde olan ülkelerde faaliyet gösteren bilgi güvenliği geliştiricileri ve araştırmacıları ortasındaki irtibat kesintileri nedeniyle, tertipler da “tehdit tespit kalitesinin” azalması üzere yeni risklerle karşı karşıya kalabiliyorlar. Ayrıyeten, tehdit istihbaratının da kalitesinin düşmesine şahit olabiliyoruz ve bu da inanç vermeyen atıflar ile bir arada devletin, olaylar, tehditler ve güvenlik açıkları hakkındaki haberleri denetim etme teşebbüslerine yol açabiliyor.

Hükümetlerin operasyonel süreçlerde artan rolü sebebiyle, özel dal eserleri kadar inançlı olmayan hükümet takviyeli bulut sistemleri ve hizmetlerine yapılan irtibatlar da sanayi işletmeleri için ek IS risklerine de yol açıyor. Ayrıyeten devlet kurumlarında yetişmiş olmayan çalışanların varlığı, kurum kültürünün hala gelişmekte olması ve “Responsible Disclosure” uygulamaları sebebiyle gizli data sızıntısı riski artıyor.

Gelecekteki ataklarda nelere dikkat etmeli?

Kaspersky ICS CERT araştırmacıları, 2023’te gelişmesi beklenen en kıymetli teknikleri ve taktikleri listeledi.

● Yasal sitelerin içine yerleştirilmiş kimlik avı (phishing) sayfaları ve scriptler.

● Yaygın olarak kullanılan ve özel gayeli yazılımların içinde paketlenmiş yamalar, truva atları ve keygen’ler.

● Siyasi olaylar da dahil olmak üzere, yeni olaylarla ilgili kimlik avı (phishing) e-postaları.

● Kimlik avı e-postalarında yem olarak kullanılan ve ilgili kuruluşlara yönelik daha evvelki akınlarda çalınan evraklar.

● E-dolandırıcılık: Çalışanların güvenliği ihlal edilmiş e-posta kutularından, legal iş yazışmaları kılığında yayılan kimlik avı e-postaları.

● N-günlük güvenlik açıkları: Belirli başlı tahliller sunan güvenlik güncelleştirmeleri daha az erişilebilir hale geldikçe, bu açıkların kapatılabilme suratı da giderek yavaşlıyor.

● “Yeni” satıcıların eserlerindeki kolay yapılandırma yanlışlarını (kolay iddia edilebilen yahut standart şifreler gibi) ve sıfırıncı gün açıklarını berbata kullanma.

● Bulut hizmetlerine yönelik hücumlar

● Güvenlik tahlillerinin içindeki yapılandırma yanlışlarını (örneğin bir virüsten muhafaza tahlilini devre dışı bırakmaya müsaade verenler) kullanmak.

● Tanınan bulut hizmetini CnC olarak kullanma – O denli ki, bir taarruz saptandıktan sonra bile -halen değerli iş süreçleri buluta bağlı olabileceğinden- taarruzlar engellenemeyebilir.

● Örneğin, End Node’u atlatmak için yasal yazılımlardaki güvenlik açıklarından yararlanma, DLL Hijacking ve BYOVD (Bring Your Own Vulnerable Driver)

● Hava alıklarının (Air Gap) üstesinden gelmek için makûs emelli yazılımın çıkarılabilir medyalar aracılığıyla yayılması.

“2022’de siber güvenlik olaylarının sıkça yaşandığını ve ICS sahipleri ile operatörleri için birçok kasvete neden olduğunu gördük. Bununla birlikte, medyadaki birçok renkli başlığa karşın, genel tehdit ortamında ani yahut yıkıcı değişiklikler görmedik, üstelik bu tehditlerin hiçbirinin yönetilmesi güç değildi. 2022 olaylarını tahlil ederken, ICS tehdit ortamındaki en değerli değişikliklerin çoğunlukla jeopolitik eğilimler ve akabinde gelen makroekonomik faktörler tarafından belirlendiği bir periyoda girdiğimizi itiraf etmeliyiz. Siber hatalılar doğal olarak kozmopolittir; bununla birlikte, kolay çıkar peşinde koştukları ve ferdî güvenliklerini ön plana koydukları için, siyasi ve ekonomik eğilimlere çok dikkat ediyorlar. Gelecekteki ataklara ait analizimizin, kuruluşların yeni ortaya çıkan tehditlere hazırlanmalarına yardımcı olacağını umuyoruz. ” diyor, Kaspersky’nin ICS CERT Kısım Müdürü Evgeny Goncharov.

Bu öngörüler, siber güvenlik dünyasındaki değerli değişikliklere ait yıllık öngörüler analitik makaleler içeren Kaspersky Güvenlik Bülteni’nin (KSB) bir kesimidir. Securelist’teki 2023 ICS varsayımları raporunun tamamını linkten okuyabilirsiniz. Başka KSB kesimlerine bakmak için burayı tıklayabilirsiniz.

Kaspersky uzmanlarının 2022’de ICS tehditleri alanında neler görmeyi beklediklerine bakmak için linki kullanabilirsiniz.

Kaynak: (BYZHA) – Beyaz Haber Ajansı