Belden’in Önsözü (Bu yazı Belden firmasının yazılarından tercüme edilmiştir.)
Özellikle endüstriyel kontrol sistemlerini (ICS) hedef alan kötü amaçlı yazılımın çağı Stuxnet’in Iran nükleer işletmesindeki operasyonların taciz edildiğinin gösterildiği 2010 yılında başladı. Dragonfly olarak bilinen ve ISC komponentlerine karşı siber casusluk yaptığı anlaşılan diğer bir sofistike saldırıdan önce bu dört yıl sürdü.
Bu beyaz kitap (white paper) onun hedeflerine, saldırı methodlarına, etkilerine ve gelecekte benzer saldırılardan operasyonları korumak için ne amaçladığına bakarak Dragonfly siber kampanyasını analiz ediyor.
Dragonfly kampanyası geç 2010 ya da 2011 başlarında kadar uzanmaktadır.Ancak ,Sanayi bunu Fin güvenlik firması F-Secure tarafından Haziran 2014 de endüstriyel kötü amaçlı yazılımların endüstriyel kontrol cihazlarını aramakta nasıl kullanıldığını tanımladığı blogu yayınladığında farketti.
Daha sonra Symantec basında hızlıca yer alan detaylı bir teknik rapor yayınladı. Bu raporlar saldırının sabotaj potansiyeli ile enerji şirketleri hedef aldığını iddia etti.
Bu bulguların önemi hedefleri değildi (En kritik altyapı sağlayıcıları düzenli olarak siber tehditlerle karşı karşıya), ama Dragonfly kötü amaçlı yazılım özel ICS bileşenlerini hedaf almak için tasarlanmış yükleri içeriyordu.
Bu bulgunun önemi göz önüne alındığında, Belden gelişmiş kötü amaçlı yazılımlara karşı korunmada müşterilerine en iyi tavsiyeleri sunma amacıyla derinliğine Dragonfly araştırması için önde gelen bağımsız ICS güvenlik uzmanı RedHat Siber’den Joel Langill’i yetkilendirdi. Mr.Langill’in araştırması Belden ürünlerine Derinliğine savunma siber güvenlik koruması için nasıl katkıda bulunabileceğine göz atmayı içerir.
Araştırma daha önce yapılan kötü amaçlı yazılım mühendisliğinin tersine , gerçek dünya ICS yapılandırmaları yansıtan sistemlerde zararlı kod yürüterek uygulanmıştır.
Bu Mr.Langill’in Dragonfly ve onun özellikle üretim firmalarında kullanılan endüstriyel sistemlere etkileri hakkında bir bakış açısı edinmesini sağladı .
Özet
Bu yazı üretim şirketlerinin sahipleri ve operatörlerinin ICS ve SCADA sistemlerine karşı gelişmiş siber güvenlik tehditlerinin doğasını anlamalarına yardımcı olmak için tasarlanmıştır.
Bu rapor 4 bölümden oluşur ve her biri doğa, kasti mağdurlar, kampanya sonuçları ile ilgili kanıtlar içerir. Genellikle şirketler tarafından kullanılan siber savunma etkinliğini araştırarak ve sanayideki bu yeni form sofistike saldırılara karşı korumak için gerçekçi çözümler önererek kapanır.
Bölüm A – Hedefleri tanımlama Dragonfly’ın hedefinin enerji endüstrisi yerine ilaç sanayi olduğu kanıtını ortaya koyar. Bu sofistike bir saldırı vektörünün kesikli üretim sektöründen sonra geldiğini ilk kez gösteriyor. Bu sonuca varabilmek için anahtar kanıtlar saldırganların endüstriyel sistemlerin ihlal için kullanılan ustaca yol oldu. Bir hedefin sistemlerine karşı geleneksel doğrudan saldırı yerine, çoğunlukla ilaç endüstrisi tarafından kullanılan ürün ve hizmetler sunan üç ICS tedarikçisinin yasal yazılımına bulaşmışlar. Üç şirket “enerji” tesislerinin birincil tedarikçileri değildir.
Dragonfly da bunu kontrol sistemine alan yöntem ve yolların çokluğu nedeniyle dikkat çekici oldu .
Bunlar Bölüm B – Kötü açamlı yazılımları analiz etme de açıklanıyor. Mr. Langill çalıştırdığı saldırı vektörünün çeşitli cephaneliğini tanımlamak için “ derinlemesine hücüm” terimini icat etti.
Bölüm C – Sonuçları değerlendirme herhangi bir güvenlik risk değerlendirmesi için bu kötü amaçlı yazılım kampanyasından öğrenmek için bu derslere göz atar. Örneğin, Dragonfly uzağa göç etmenin zor ve yama artık imkansız olduğu endüstride yaygın olarak kullanılan Windows XP tabanlı bilgisayarlara odaklanmış. Ve Dragonfly yaratıcıları fikri mülkiyet hırsızlığı için bu saldırıyı amaçladıkları görünürken, bu kötü amaçlı yazılımın tasarımının onu potansiyel olarak çok daha tehlikeli süreç kontrol işlemlerini yaşamak için yaptığı açıktır.
Onlar gelecekte yıkıcı bir saldırı isterlerse, modülleri değiştirmek ve kurbanlarının operasyonlarını ciddi şekilde etkilemek saldırganlar için önemsiz olacak.
Son olarak, Bölüm D – Endüstriyel Kontrol Sistemlerini Savunma ICS için yaygın olarak kullanılan siber savunmaları inceler ve Dragonfly’a karşı etkili olup olamadıklarını değerlendirir. Ne yazık ki, “her zamanki” güvenlik çözümleri birçok Dragonfly’ı durduramayacaktır.
Endüstriyel siber güvenlikte bir dünya otoritesi olan Eric Byres “Dragonfly bize bir şey öğretti ise,bunun güvenlik politikalarına konuşlanmak yerine olduğudur çünkü “herkes bunu bu yolla yapar” veya “ bize söylenilen listeyi kontrol et”, ICS güvenliğin bütüncül risk temelinde değerlendirilmesi gerekir. CIOların ve diğer yöneticilerin bu saldırıları bilmesi ve ona karşı savunma için tekniklerin ve ürünlerin mevcut olduğundan emin olmaları gerekir,” diye not etti.
Yazı ICS ve SCADA sistemlerini Dragonfly gibi gelişmiş kalıcı tehditlerden etkili şekilde koruyan önemli derinliğine savunma stratejileri ve teknolojislerini özetleyerek son bulur.
| Bölüm | Tanım | Bu posizyonlardaki insalar için uygun: |
| Bölüm A – Hedefleri Tanımlama | Kimin hedefleri olduğunu tanımaya odaklı tüm saldırı kampanyasını tanımlama | • Yöneticiler• Kontrol Mühendisleri• elektrik Mühendisleri• ağ Mühendisleri• IT uzmanları• Güvenlik uzmanları
|
| Bölüm B – Kötü amaçlı yazılımları analiz etme | Saldırılarda kullanılan anahtar temel ilkelerin detayları | • IT uzmanları• Güvenlik uzmanları |
| Bölüm C – Sonuçlarını Değerlendirme | Sanayiye yapılan saldırıların sonuçlarını tartışma ve mağdurun ICS altyapısına etkilerini analiz etme | • Yöneticiler• Kontrol Mühendisleri• elektrik Mühendisleri• ağ Mühendisleri• IT uzmanları• Güvenlik uzmanları |
| Bölüm D – Endüstriyel Kontrol Sistemleri Savunma | Sadece Dragonfly değil aynı zamanda benzer amaçlı saldırıların da operasyonlarda oluşturfuğu riski minimize etmek için uygulanabilen en etkili savunmaları tanımlar.Bu yaklaşım, gelecekteki saldırılarda ICS tesislerinin siber dayanıklılığını geliştirmeye yardım etmek anlamına gelir. | • Yöneticiler• Kontrol Mühendisleri• elektrik Mühendisleri• ağ Mühendisleri• IT uzmanları• Güvenlik uzmanları
|
Joel Langill ve RedHat Siber Hakkında
Joel Langill bağımsız bir güvenlik araştırmacısı, danışman, SCADAhacker.com web sitesinin yaratıcısıdır ve RedHat Siber’in kurucusudur. O siber güvenliğe endüstriyel fonksiyonel güvenliği benzer bir şekilde yaklaşmış ve onun hizmetleri firmalara otomasyonlarının ve SCADA sistemlerinin güvenilirliğini sağlamada yardım ediyor. Müşterileri son kullanıcılar, firma sahibi / operatörler, mühendislik firmaları, sistem entegratörleri, distribütörler, dünya çapında güvenlik ortakları ve kontrol sistemi satıcıları oluşturur. www.redhatcyber.com, www.scadahacker.com
0 Comments