Kaspersky’nin ICS CERT araştırmacıları, kuruluşların 2023 için hazırlanması gereken riskler ve endüstriyel kontrol sistemleri (ICS) odaklı gelişmelere dair öngörülerini paylaştı. Bu öngörüler arasında, dijitalleşme nedeniyle artan saldırı yüzeyi (Attack Surface), bilgi sızdırıcıların faaliyetleri ve kritik altyapıya yönelik fidye yazılımı (Ransomware) saldırılarının yanı sıra, tehditlerin tespitinin başarısı hususundaki teknik, ekonomik ve jeopolitik etkiler ile saldırganlar tarafından kullanılabilecek potansiyel güvenlik açıklarının sayısının artması gibi detaylar yer alıyor.
Kaspersky’nin ICS CERT ekibinin bu öngörülerini, güvenlik açıkları, saldırılar ve olay müdahalelerini (incident response) araştırma konusundaki ortak deneyimleri ve tehdit ortamının gelişimini yönlendiren ana vektörlere ilişkin şahsi vizyonlarının bir bileşkesi olarak değerlendirebiliriz.
Yeni riskler ve tehdit ortamındaki değişimler
Kaspersky uzmanları yeni endüstrilere, yerleşimlere, endüstriyel kuruluşlara ve Operasyonel Teknoloji Güvenliği (OT) sistemlerine karşı Gelişmiş Kalıcı Tehdit (APT) faaliyetlerinde bazı değişimler öngörüyor.
Buna göre, 2023 yılında tarım, lojistik ve ulaştırma gibi reel ekonomi sektörleri, alternatif enerji sektörleri (ve aslında bir bütün olarak enerji sektörü), yüksek teknoloji, ilaç ve tıbbi malzeme üreticilerinin daha fazla siber saldırıya uğraması bekleniyor. Dahası, askeri sanayi kompleksleri ve devlet kurumları gibi geleneksel hedefler de risk altında olmaya devam ediyor.
Nesnelerin İnternetinde (IoT) daha yüksek verimlilik adına girilecek olan yarışta, -dijitalleşmenin de katkılarıyla- saldırı yüzeyinin de (Attack Surface) genişlemesi bekleniyor. Buna, Kestirimci Bakım Sistemleri (Predictive Maintenance) ve Dijital İkiz Teknolojisini (Digital Twin) de dahil edebiliriz. Bu eğilimler, 2022’nin ilk yarısında Bilgisayarlı Bakım Yönetim Sistemlerine (CMMS) yönelik yapılan saldırıların istatistikleriyle de destekleniyor. Rakamlardan bahsetmek gerekirse, 2022’nin ilk yarısında META bölgesindeki (Orta Doğu, Türkiye, Afrika) CMMS’lerin %39,3’ü saldırıya uğradı. Saldırıların oranı Afrika bölgesi özelinde %40’a, Orta Doğu’da ise %43,5’e ulaşmış durumda.
Genişleyen saldırı yüzeyinin riskleri, elbette artan enerji taşıyıcı fiyatlarıyla da bağlantılı. Bunun sonucunda donanım fiyatlarında meydana gelen artışlar, birçok kuruluşu, şirket içi altyapıyı (On-Premises Infrastructure) devreye alma planlarından vazgeçirerek üçüncü taraf sağlayıcıların bulut hizmetlerini kullanmaya zorlarken, IS bütçelerini de etkileyebiliyor.
Aynı zamanda, kimi tehditler saldırıların hedefi veya aracı olabilecek insansız ulaşım araçlarından da gelebilir. Dikkat edilmesi gereken diğer riskler arasında, kullanıcı kimlik bilgilerini toplama amacıyla işlenen ve giderek frekansı artan suç faaliyetlerinin yanı sıra, ideolojik ve politik açıdan motive olmuş bilgi sızdırıcılar ve -genellikle gaspçılar ve Gelişmiş Kalıcı Tehditler (APT) olmak üzere- suç gruplarıyla beraber çalışan bilgi sızdırıcılar da bulunuyor. Bu “içerdeki” kişiler üretim tesislerinin yanı sıra, teknoloji geliştiriciler, ürün satıcıları ve hizmet sağlayıcılarda da aktif olabiliyorlar.
ICS’deki siber güvenlik durumu üzerinde global bir etkiye sahip olan tüm bu güvenilir ortaklıklar ve onların jeopolitik gelgitlerinin, 2023’te karşımıza çok daha belirgin şekilde çıkması bekleniyor. Giderek daha efektif hale gelebilecek bilgisayar korsanlığı faaliyetlerinin artmasının yanı sıra, bu tür saldırıları kovuşturmanın da giderek zorlaşması sebebiyle kritik altyapılara yöneltilmiş daha fazla fidye yazılımı saldırısı görebiliriz.
Uluslararası kolluk kuvvetlerinin arasındaki iş birliğinin bozulması, bir ülkeden “düşman” olarak kabul edilen diğer ülkelere doğru bir siber saldırı akışına yol açabilir. Bu ülkelerin yurt içinde geliştirdiği yeni alternatif çözümler, ilgili yazılımların hatalı güvenlik yapılandırmaları ve sıfırıncı gün açıkları gibi başka risklere yol açarak, sistemleri hem siber suçluların hem de bilgisayar korsanlarının müdahalesine açık hale getirebiliyor.
Bunun yanında, halihazırda çatışma halinde olan ülkelerde faaliyet gösteren bilgi güvenliği geliştiricileri ve araştırmacıları arasındaki iletişim kesintileri nedeniyle, organizasyonlar da “tehdit tespit kalitesinin” azalması gibi yeni risklerle karşı karşıya kalabiliyorlar. Ayrıca, tehdit istihbaratının da kalitesinin düşmesine tanık olabiliyoruz ve bu da güven vermeyen atıflar ile beraber devletin, olaylar, tehditler ve güvenlik açıkları hakkındaki haberleri kontrol etme girişimlerine yol açabiliyor.
Hükümetlerin operasyonel süreçlerde artan rolü sebebiyle, özel sektör ürünleri kadar güvenli olmayan hükümet destekli bulut sistemleri ve hizmetlerine yapılan bağlantılar da sanayi işletmeleri için ek IS risklerine de yol açıyor. Ayrıca devlet kurumlarında kalifiye olmayan çalışanların varlığı, kurum kültürünün halen gelişmekte olması ve “Responsible Disclosure” uygulamaları sebebiyle gizli veri sızıntısı riski artıyor.
Gelecekteki saldırılarda nelere dikkat etmeli?
Kaspersky ICS CERT araştırmacıları, 2023’te gelişmesi beklenen en önemli teknikleri ve taktikleri listeledi.
- Yasal sitelerin içine yerleştirilmiş kimlik avı (phishing) sayfaları ve scriptler.
- Yaygın olarak kullanılan ve özel amaçlı yazılımların içinde paketlenmiş yamalar, truva atları ve keygen’ler.
- Siyasi olaylar da dahil olmak üzere, güncel olaylarla ilgili kimlik avı (phishing) e-postaları.
- Kimlik avı e-postalarında yem olarak kullanılan ve ilgili kuruluşlara yönelik daha önceki saldırılarda çalınan belgeler.
- E-dolandırıcılık: Çalışanların güvenliği ihlal edilmiş e-posta kutularından, meşru iş yazışmaları kılığında yayılan kimlik avı e-postaları.
- N-günlük güvenlik açıkları: Belli başlı çözümler sunan güvenlik güncelleştirmeleri daha az erişilebilir hale geldikçe, bu açıkların kapatılabilme hızı da giderek yavaşlıyor.
- “Yeni” satıcıların ürünlerindeki basit yapılandırma hatalarını (kolay tahmin edilebilen veya standart şifreler gibi) ve sıfırıncı gün açıklarını kötüye kullanma.
- Bulut hizmetlerine yönelik saldırılar
- Güvenlik çözümlerinin içindeki yapılandırma hatalarını (örneğin bir virüsten koruma çözümünü devre dışı bırakmaya izin verenler) kullanmak.
- Popüler bulut hizmetini CnC olarak kullanma – Öyle ki, bir saldırı saptandıktan sonra bile -halen önemli iş süreçleri buluta bağlı olabileceğinden- saldırılar engellenemeyebilir.
- Örneğin, End Node’u atlatmak için yasal yazılımlardaki güvenlik açıklarından yararlanma, DLL Hijacking ve BYOVD (Bring Your Own Vulnerable Driver)
- Hava alıklarının (Air Gap) üstesinden gelmek için kötü amaçlı yazılımın çıkarılabilir medyalar aracılığıyla yayılması.
Kaspersky’nin ICS CERT Bölüm Müdürü Evgeny Goncharov “2022’de siber güvenlik olaylarının sıkça yaşandığını ve ICS sahipleri ile operatörleri için birçok sıkıntıya neden olduğunu gördük. Bununla birlikte, medyadaki birçok renkli başlığa rağmen, genel tehdit ortamında ani veya yıkıcı değişiklikler görmedik, üstelik bu tehditlerin hiçbirinin yönetilmesi zor değildi. 2022 olaylarını analiz ederken, ICS tehdit ortamındaki en önemli değişikliklerin çoğunlukla jeopolitik eğilimler ve ardından gelen makroekonomik faktörler tarafından belirlendiği bir döneme girdiğimizi itiraf etmeliyiz. Siber suçlular doğal olarak kozmopolittir; bununla birlikte, kolay kazanç peşinde koştukları ve kişisel güvenliklerini ön plana koydukları için, siyasi ve ekonomik eğilimlere çok dikkat ediyorlar. Gelecekteki saldırılara ilişkin analizimizin, kuruluşların yeni ortaya çıkan tehditlere hazırlanmalarına yardımcı olacağını umuyoruz. ” diyor.