HABERLER

Honeywell bilgisayar kullanıcılarının vazgeçilmez veri taşıyıcısı Universal Serial Bus USB için virüs tarayıcı ve engelleyici bir teknolojiye imza attı. USB’ler için üretim otomasyonu endüstrisindeki sistemlerde kullanmaya karşı geliştirilmiş bir teknoloji olmasına rağmen USB’ler hala endüstriyel kontrol sistemlerine (ICS) karşı büyük bir tehdit oluşturuyor. Honeywell’in yayınladığı bir rapora göre Honeywell özellikle endüstriyel kontrol sistemleri (ICS) ve Internet of Things (IoT)’ye yönelik kötü yazılımların yüzde 16’sını USB güvenlik platformu Secure Media Exchange (SMX) sayesinde engellemeyi başardı.

 https://www.youtube.com/watch?v=nF5nhuIQSjQ&feature=youtu.be

Rapora göre saldırıların yüzde 26’sının endüstriyel kontrol ortamlarına kontrol kaybı veya görüş kaybı gibi büyük bir kesintiye neden olabilecek zararlar verme potansiyeli var.

“Mesele USB’lerin oluşturduğu tehditler değil, artık herkes bu araçların virüslerin yayılması için bir yol olduğunu biliyor” diyen Honeywell Endüstriyel Siber Güvenlik, Siber Güvenlik Çözümleri ve Teknoloji Mühendisi Eric Knapp şöyle devam etti : “Araştırmalarımızda karşılaştığımız kötü amaçlı yazılımların ne kadar güçlü olduğunu görünce bir hayli şaşırdık. Yüzde 16’sı özellikle endüstriyel kontrol sistemleri veya IoT’yi hedef alıyordu. Bulduğumuz tüm bu virüslerin yüzde 15’i Stuxnet, Triton, Mirai ve Even gibi bilinen kuvvetli yazılımlar. Şaşırtıcı bir miktarı, çeşitli aksamalara neden olabilecek özellikte. ”

Her ne kadar üreticiler USB sürücü kullanmanın doğal tehlikelerini anlasalar da, yine güvenlik nedeniyle endüstriyel kontrol sistemlerine ağ erişimini sınırlamak gerektiği için bilgi, dosya, eklemeler ve güncellemeleri aktarmak için çıkarılabilir sürücülere bağımlı olmak her zamankinden daha fazla. USB’ler sistemlere doğrudan saldırı için kullanılabildiğinden beri virüslerin yayılmasını sağlamaktan daha büyük bir tehlikeyle karşı karşıya gelmiş olduk. Rapora göre, Kötü USB olarak tanımlanan teknik ile fanlar ve şarj kabloları gibi USB aygıtları potansiyel saldırı vektörlerine dönüştürülerek silah haline getirilmeye başlandı.

Bu USB güvenlik endişeleri ve devam eden tehdit vektörü değişiklikleri bağlamında, Honeywell'in Endüstriyel Siber Güvenlik ekibinden araştırmacılar, dünya çapında canlı üretim tesislerinin USB kullanımını ve davranış verilerini analiz ettiler. Bu raporda araştırmadan elde edilen bulgular ve günümüz USB tehditlerine yer verildi. USB kullanımı ve davranışsal veri SMX platformundan çıkarıldı. SMX, USB aracının kullanımını izleyebilir, kontrol edebilir, takip edebilir ve koruyabilir ve USB aracının ve USB verilerini analiz ederken endüstri tesislerindeki USB aktivitelerine de hızlı bir bakış olanağı sunar.

Tüm SMX verilerinden sadece bir örnek grup analiz edildi. Bu nedenle, bulgular toplu veri kümesine konsolide görünümleri temsil eder ve örnek set bulguları, daha büyük örnek kümesinin etkisi ışığında yorumlanır.

Honeywell’in 50 müşterisinde USB cihazlarını tarayıp kontrol ederek elde ettiği veriler ile yapılan çalışmada kontrollerin yapıldığı lokasyonların hemen hemen yarısında (%44) tehdit tespit edildi ve en az bir dosya güvenlik nedeni ile engellendi. Tarama sonucunda tespit edilen tehditlerin %26’sının işletmeye ciddi zarar verecek boyutta olduğu görüldü.

Tehditler rafineri, kimyasal tesisler ve kağıt tesisleri gibi farklı endüstriyel tesisleri hedef alıyor. Bunun yanında, tespit edilen tehditler de farklı boyutlarda oluyor. Tehditlerin ’sı endüstriyel kontrol sistemlerini veya nesnelerin internetini hedef alırken, ’i tanınan kötü amaçlı yazılımlardan oluşuyor. %9 oranındaki tehdit ise bizzat USB’nin kullanılmaz hale gelmesine neden oluyor.

“Genellikle USB sürücülerinin kötü amaçlı yazılımları kapabileceği düşünülür, ancak daha tipik virüslerin adware veya casus yazılımları ve kaza sonucu bulaşan daha tipik virüsler de oluyor ancak bazı virüsler doğrudan güvenlik açıklarını ve zafiyetleri bilerek endüstri sektörünü hedef alıyor. Hepsine birden baktığınızda, USB sürücüler aracılığıyla endüstri sektörünün doğrudan hedef alındığı açıkça görülebilir.”diyor Knapp.

Kötü amaçlı olduğu bilinen toplam dosyalardan, kötü amaçlı yazılımın türü ve davranışı önemli ölçüde değişkenlik gösterir. Raporda, en yaygın kötü amaçlı yazılım kategorisi, tespit edilenler arasında yüzde 55 ile Truva atlarından oluşuyor. Bu araştırmada keşfedilen diğer kötü amaçlı yazılım türleri arasında botlar (yüzde 11), hack araçları (yüzde 6) ve potansiyel olarak istenmeyen uygulamalar (yüzde 5) yer alıyor.

Bulunan kötü amaçlı yazılımın yüzde 9'u, doğrudan USB protokolünü veya arayüz zayıflıklarını kullanacak şekilde tasarlandı. Bu, rapora göre, USB yayınlarını daha duyarlı olan eski veya zayıf yapılandırılmış bilgisayarlarda USB teslimatını daha da etkili hale getirdi.

Rapora göre bulunan kötü amaçlı yazılımların yüzde 9'u, doğrudan USB protokolünü veya arayüz zayıflıklarını kullanacak şekilde tasarlanarak, USB’nin kötü amaçlı kullanımına daha açık olan eski veya zayıf yapılandırılmış bilgisayarlarda USB kullanılarak yayılmasını daha da etkili hale getirdi.

Bazıları daha da ileri giderek doğrudan USB arayüzüne saldırdı. Yüzde ikisi USB kontrolörünü sisteme bir klavye bağlanıyormuş uygulamaları manipüle etmek üzere tasarlandı (human interfca device HID). Honeywell’in yaptığı araştırma ile yakın zamanda ortaya çıkardığı bulgulara göre HID saldırıları HID saldırıları da endüstri tesisleri için BadUSB gibi ciddi tehdit oluşturuyor.


Araştırma sonucuna bakacak olursak, bulduğumuz tüm kötü amaçlı yazılımların yüzde 16’sının özellikle endüstriyel tesisler veya IoT sistemlerini hedef aldığını ve tüm bu USB sürücülerin endüstriyel tesislere girdiği gerçeğini görürüz. Bu akademik bir çalışma değil, bu endüstriyel tesislere giren USB’lerden doğrudan topluyor. Yüzde 16 hayli yüksek bir rakam. Yüzde yüz emin olamayız ama yüzde 16 gibi bir oran kazara olma olasılığını düşünmek için fazla yüksek. Her iki durumda da düşünülmesi gereken bir durum. Eğer doğrudan hedeflemediği halde bu kadar yüksek oranda virüsün yanlışlıkla kontrol odalarına giriyor olması neredeyse daha kötü bir olasılık olarak düşünülmeli. Bulunan kötü amaçlı yazılım, reklam yazılımından fidye yazılımlarına kadar bir düzine işlevsellik türü ortaya çıkarmak için analiz edildi. Rapora göre, uzaktan erişim araç takımları (RAT'ler), işlevselliği (yüzde 32) ve ek zararlı yazılımları indirmek ve yüklemek için tasarlanan dropperslar (yüzde 12)  en çok rastlananlar.

 

RAT'ların en çok rastlanan kötü amaçlı yazılım türü olması ilginç çünkü endüstriyel kontrol ortamlarında giden bağlantı sıkı bir şekilde kontrol ediliyor olmalı.

 

“Kötü amaçlı yazılımın bir tesise girip girmemesi, dış ağlara geri bağlanma yeteneğine bağlıdır.”

diyen Knapp şöyle devam ediyor: “Herkes ağı dışarıdan gelecek tehlikelere karşı korumaya odaklanmış, dışarıdaki dünyayı kontrol odasından korumak kimsenin aklına gelmiyor. Eğer bir yerde bir güvenlik duvarı varsa, içeriye ne girdiğinin yanı sıra ne çıktığını da kontrol etmekte olduğunuzu söylemek önemlidir.”

 

Rapor bulguları siber güvenlik aşağıdaki maddeleri içeren en iyi uygulamalarının benimsenmesinin ve bunlara uymanın önemini gösteriyor:

 

  • USB güvenliği teknik kontrol ve uygulamalar içermelidir. Genel kuralların güncellenmesi veya personele verilecek eğitimler ile virüs tehditlerini önlemek yeterli olamaz. USB sürücülerinin tehlikeli olduğu ve kurumsal USB kullanım politikalarının yaygınlığına rağmen, elde edilen veriler gösteriyor ki USB güvenliği zayıftır.
  • Proses kontrol ağlarından giden ağ bağlantısı sıkı bir şekilde kontrol edilmeli ve bu tür kısıtlamalar ağ anahtarları, yönlendiriciler ve güvenlik duvarları tarafından uygulanmalıdır.
  • Güvenlik önlemlerinin güncel olması önemli: Proses kontrol sistemlerinde kullanılan antivirüs programları verimliliklerini koruyabilmek için günlük olarak güncellenmeli.
  • Sisteme eklenen yazılım (patching) üretme sisteminin zorluğuna rağmen ek yazılımlar üretmek ve devreleri güçlendirmek önemli bir gereklilik.
  • USB güvenliği zayıf. Çıkarılabilir depolama aygıtlarının uygun ve doğru kullanımı için ek siber güvenlik eğitimi gereklidir. Bunun gerekliliği yapılan araştırmalar sonucunda bulunan video oyun hile motorları, şifre kırıcılar ve bilinen hakleme araçları ile de kanıtlanmış durumda. Bu, çalışan ve partner farkındalık programları aracılığıyla ele alınmalı ve uygulanmalıdır.
  • Fidye yazılımı endüstriyel tesisler için ciddi bir tehdittir. Fidye yazılımlarının mali kayıpları, düzenli yedeklemeler sağlayarak ve test edilmiş bir kurtarma yöntemi bulundurularak kolayca engellenir.

Şirketlerin ve güvenlik uzmanlarının tüm bu tehdit türlerini bildiği ancak kendilerinin tehdit altında olduğunun farkında olmadıkları gözlemlendi. Geleneksel güvenlik tedbirleri internet üzerinden gelecek olan harici saldırılara odaklanıyor, oysa işletmelere fiziksel olarak giren taşınabilir aygıtlar en az harici tehditler kadar önem taşıyor.

 

PAYLAŞ: