Bölüm D – Endüstriyel Kontrol Sistemlerini Savunma
Dragonfly gibi kampanyalara göz atan birinin elde edeceği en değerli bilgilerden biri zararlı etkiye yol açan olay(lar)dan en iyi korunma seviyesinin sağlandığı bu güvenlik kontrollerinin bir değerlendirmesidir.
İlaveten, genelde ICS güvenliğinde uygulanan ve bu özel tehditlere karşı onların risklerini azaltma potensiyelini ölçen bu savunmaları belirlemek de yararlıdır. Bu şekilde , bu endüstriyel güvenlik programları için kayda değer bir geri besleme sağlayacaktır. Böyle programların özellikle kritik endüstriyel ortamlarda güvenlik kontrollerinin sürekli olarak gözden geçirilmesi ve uyarlanması ( gerekirse) gerekir.
Dragonfly için Etkisiz Savunmalar
Kimse Havex’i durdurmak neyin çalışmış olamayacağını duymak istemez. Diğerleri çözümlerinin kampanyayı hemen mağlup ettiğini iddialarında bulunacak- buna karşın , önemini sonradan anlama her zaman 20/20 dir. Bu bölüm, tartışmalı fikirler önerebilir, fakat sanayinin Dragonfly kampanyası ışığında tüm güvenlik varsayımlarını tekrar değerlendirmesi ve bu saldırgan ve sofistike kampanyadan öğrenilen dersler önemlidir.
Uygulama Beyaz Liste
Günümüzün sofistike tehdit aktörlerine bir çözüm olarak tavsiye edilen en çok “talep gören” teknik kontrollerden biri uygulama beyaz listesinin (AWL) kullanımıdır. Bu ürünler dosya tabanlı ve bellek tabanlı saldırılar için farklı düzeylerde destek sağlayarak satıcıdan satıcıya büyük ölçüde değişir. Genel olarak, AWL operasyonel sisteme tanıtılan yeni kötü amaçlı yazılımdan iyi korunmayı sağlayabilir. Ne yazık ki, Dragonfly AWL teknolojisinin zayıf noktalarını öne çıkarır. Hem dosya sistemi hem de bellek son kullanıcı tarafından kasıtlı olarak değiştirilirken AWL çözümleri yazılım güncellemeleri süresince korumayı nasıl sağlar?
Dragonfly’ın başarılı olmasının temel nedeni truva atı bulaşmış yazılımın inandırıcı ve güvenilir kaynaklardan (ICS güvenlik sunucuları) elde edilmiş olmasıdır . Ayrıca , satıcılardan birinin imzasının eksikliği kullanıcılar için onlar onu yüklemeden önce yazılımın bütünlüğünü doğrulamayı zorlaştırdı.
Kullanıcı yazılımı yüklemeye karar verdikten sonra, yazılım yükleme esnasında devre dışı olması veya baypas edilmesi için servise ihtiyaç duyacağından birçok lider AWL ürünü pek işe yaramayacaktır. AWL yazılımını birkaç dakika kapatmak sisteme kötü amaçlı yazılımı tanıtmak için ihtiyaç olan tek şeydir.
Uygulama Kara Liste
Malware için bu “fırsat penceresi” , çoğu güvenlik savunucularının da ICS de geleneksel, imza ve anomali tabanlı anti-virüs (AV) veya “karaliste” uygulamaları kullanmayı önermelerinin önde gelen nedenlerinden biridir. Düşünce her iki teknoloji de operasyonelken sadece Derinliğine Savunma sağlamak değil, aynı zamanda yazılım yaşam döngüsünde herhangi bir noktada “onların koruma kalkanlarını düşüren” birini engellemektir. Ne yazıkki, lider AV tedarikçilerinin değerlendirmesi , çoğunun 2014 ortalarına kadar Havex için imzaları yayınlamadığını gösterdi. Açıkcası, imzalar kullanıma sürülmeden önce kötü amaçlı “yasal” yazılım yüklenenler için bu çok az koruma sağladı.
Kısıtlı Kullanıcı Hesapları
Muhtemelen bu araştırmanın en şaşırtıcı gözlemlerinden biri yetki seviyesini sınırlandırmak için yapılandırılmış kullanıcı hesapları kullanarak kötü amaçlı yazılımın nasıl çalıştırılabildiğidir. Bu artık kısıtlı hesapların kullanılması gerektiğini söylemek değil, beklendiği gibi anahtar bir güvenlik kontrolü çalışırken tehditin nasıl yayılacağını hesaba katması gereken sağlam bir Derinliğine Savunma yaklaşımı gerekçesini eklemektir. Kısıtlı hesaplar hedeflenen tehditin bu türüne karşı etkisiz olduğunu kanıtlayan birkaç yaygın güvenilen ve dağıtılan kontrollerden biridir. Bu kontrollerin kullanımı artık onların hedeflenen güvenlik işlevlerini yerine getirememeleri halinde sisteme (ve karşı önlemler) risklerini kavramayı da kapsamalıdır.
Sunucu tabanlı Güvenlik Duvarları
Windows Güvenlik Duvarı gibi sunucu tabanlı güvenlik duvarlarının kullanımı bir anabilgisayarın güvenliğinde önemli bir parçadır. Çalışan servisler yetkisiz bir kaynaktan olduğu için ( Windows XP) güvenlik duvarının koruma sağlayamaması Havex kötü amaçlı yazılımlı bir sorundur. Diğer bir deyişle, kötü amaçlı yazılım düzgün bir şekilde yüklenmiş yerel servisleri çalıştırıyor ve bu yüzden, kötü amaçlı yazılım tarafından kendi emellerini gerçekleştirmek amacıyla ihtiyaç duyulan ağ erişimine izin vermek için güvenlik duvarı otomatik olarak yapılandırılacaktır.
Sanal Özel Ağlar (VPNler)
Listelenen VPNleri ” Dragonfly’e karşı Etkisiz” kategorisinde görmek garip gelebilir. Buna rağmen, çoğu uzman VPNlerin “dış” yada internet tabanlı tehditlerden haberleşme oturumunun gizliliğini, bütünlüğünü ve kullanılabilirliliğini koruyan olağanüstü bir iş yaptığı konusunda hemfikirdir. Ne yazık ki genelde sanayide uygulanmasına rağmen, VPN sınırlara sahiptir.
VPN teknolojisi ile ilgili sorun VPN tüneline “giren” şeyi kontrol etmeyi çok az yapması ve bu yüzden, ters uçta göstermesidir. Son noktalar doğrulandıktan sonra, VPN doğrulanan ana bilgisayar üzerindeki tüm trafiğe izin verir. Ondan geçen trafiklerden herhangi birini izlemez yada filtrelemez. Bunun anlamı, eğer kontrol ağınıza VPN aracılığıyla virüslü bir PC ile bağlanırsanız, VPN virüsün tünelden geçmesini ve diğer tarafta PClere virüs bulaştırmasını engellemez. Dragonfly’ın kötü amaçlı yazılımı VPN nin uzak tarafındaki bilgisayara yüklenmek ve sonra hedef ICSde çalışan hizmetleri sıralamak için bu güvenli ve doğrulanmış bağlantıyı kullanmak için kasten tasarlanmıştır.
Bu yüzden, etkili güvenlik sağlamak için, herhangi bir uzak erişimli VPN ,VPN tüneline giren veya çıkan şeyleri yöneten, güvenlik duvarı gibi, başka güvenlik önlemleri ile birleştirilmelidir.Ne yazık ki, çoğu “hafif” veya “endüstriyel” uzaktan erişim çözümü VPN üzerinden son nokta trafiği kısıtlamak yeteneğini desteklemez. Bu varlık sahibine iki seçenek bırakıyor:
- Entegre VPN ve durum denetimli güvelik duvarı teknolojisi sunan bir ürünle VPN tek çözümünü değiştirin. Bu her bir VPN tünelinde izin verilen trafiğin IP adreslerini ve TCP/UDP hedef bağlantı portlarını belirlemeyi mümkün kılacaktır. Bu gibi endüstriyel VPN/ güvenlik duvarları örnekleri Hirschmann Industrial Security Router ve Hirschmann Multi-Port Firewalldır. (Belden ürünleri hakkında daha fazla bilgi için linkler bu yazının sonunda mevcuttur).
- ICS VPN düğümü ve gerçek ICS ağı arasına şeffaf bir Derin Paket Muayenesi (DPI) güvenlik duvarı (gelecek bölümde “Protokol Beyaz Liste” de açıklanmıştır) ekleyiniz. Örneğin,Tofino EtherNet/IP Enforcer küçük bir takım cihazlar üzerinde sadece veri okuma hizmetlerine VPN bağlantısından ayrılıp ICS ağına giriş yapan EtherNEt/IP mesajlarını sınırlamak için yapılandırılabilir.
Dragonfly durumunda, bu normalde sorgulama için izin verilen ICS cihazlarını virüslü ana bilgisayarın sorugulamasını engelleyemezdi ,fakat tüm ICS sistemlerinin Dragonfly’ın aramasını sınırlayabilecekti. Ayrıca saldırganların gelecekteki yıkıcı saldırıları yaymasına engel olabilirdi. Benzer şekilde,VPN’nin Tofino OPC Klasik Enforcer aşağı akımının kullanımı kötü amaçlı yazılımın OPC numaralandırma modülünün tüm ağı tarama yeteneği kısıtlanacak, onu sadece birkaç ana bilgisayarın görmesine izin verilerek uzaktan erişimli mühendisin resmi olarak erişimine olanak tanıyacaktı. Bu çözümlerin bile mükemmel güvenliğini sağlamadığını vurgulamak önemlidir. Uzaktan erişim sistemi oluşturmak için varlık sahibinin sebeplerinin ne olduğuna bağlı olarak,
Havex VPN içinde ve güvenlik duvarları kanalıyla izin verilen hizmetleri kendi yararına kullanabilecekti.
Örneğin, dinamik bir paket filtreleme güvenlik duvarı kullanıldığı (seçenek # 1) ve EtherNet/IP trafiği için 44818/tcp portunu açmaya tanımlandığı durumu düşünün. Bu konuma ile bile, Havex’in bir takım hedeflere karşı onun endüstriyel protokol taramasını gerçekleştirmesi mümkün olabilir. Aynı şekilde, bir DPI duvarının kullanıldığı durumu(seçenek #2) düşünün. Bu sunucunun VPN üzerinden erişilebilir amaçlı olduğunu varsayarak Havex’in tünelin “iç kısmı” üzerinde bulunan OPC sunucusunu taraması hala mümkün olurdu. Her iki güvenlik duvarı çözümünün de sağladığı şey , tüm tesis yerine küçük bir takım “onaylanmış ” hedefler için kötü amaçlı yazılımları engelleme kabiliyetidir. Ayrıca onlar kötü amaçlı yazılımın birkaç virüs bulaşmış bilgisayar üzerindeki etkilerini potansiyel olarak kısıtlarlar. Bu Dragonfly gibi gelişmiş siber saldırıların çevreleme ve azaltılması yönünde önemli bir adımdır.
Öğrenilmesi gereken ders uzaktan erişim bilgisayardaki bağımsız güvenlik kontrolleri önemli olduğudur. Dragonfly saldırıları durumunda olduğu gibi , bir güvenilir uzak ana bilgisayar tamamen oluşturulsa bile,bunların ICS işleyişini sağlayabilmesi gerekir.
Yama Yönetimi
Dragonfly tarafından kullanılan bu gibi saldırı senaryoları dikkate alındığında genellikle en etkili kontrol olmamasına rağmen , yama yönetimi önemli bir güvenlik kontrolüdür. Üzücü bir şekilde , mağdurların çoğu virüs bulaşmış yazılımı ,kendi kontrol sistemlerinde halihazırda çalışan yazılımın güncellenmesi için onların isteğinin direkt bir sonucu olarak yükledi. Onlar siber saldırılara karşı korunmayı bekliyorlarsa, güncel kalmak zorunda olduklarına inandılar.
Heartbleed bazı durumlarda yeni yazılımın değiştirilmesi tasarlanan yazılımdan daha savunmasız olabileceğini sanayiye göstermiştir. Özetle, alanda titiz bir yama yönetimi programına sahip olmanın güçlü avantajları vardır. Ancak , ICS yazılımı güncellenirken, en üst seviyede güvenilirliği ve üretim operasyonlarına olası etkilerini sağlama almaya daima önem verilmelidir.
Dragonfly için Etkili Savunmalar
Bu bölüm bir kontrol sisteminin Dragonfly kampanyasından en iyi şekilde koruyan savunmaları anlatmaktadır. Bu çalışmaya Belden tarafından sponsor olunurken, bunun bağımsız bir danışman tarafından yazılmış olduğundan bahsetmeye değer. Elbette, Havex ve benzeri saldırılara karşı korumak için kullanılabilecek en etkili savunmalardan bazıları Belden ürünleri ile uyumlu olacaktır. Bazı durumlarda, sınırlı seçenek vardır,ve diğerlerinde, birçok tedarikçi benzer çözümler sağlayabilir. Fikir herhangi bir ürünü desteklemiyor, daha ziyade endüstriyel çözümler almak ve daha güvenli ICS ortamı ile sonuçlanan bir soruna direkt olarak bunları uygulamayı destekliyor.
ICS Komponentleri için Tedarik Standartları
Bir siber saldırı başlatmak için tedarik zinciri kullanımı yeni bir şey değil; Stuxnet tasarımcılarının da bunu onların mağdur penetrasyon stratejisinin bir parçası olarak kullanmış olması muhtemeldir. Bu kampanyanın altını çizdiği şey, önemli bir etki ile sonuçlanabilen son derece başarılı bir vektör olduğunu kanıtlamaya devam ettiğidir. Bu kampanyanın vurguladığı diğer bir nokta tedarik zincirindeki küçük oyuncuların önemli bir risk kaynağı olabildiğidir. Potansiyel saldırganlar her zaman genel ICS yaşam döngüsünün en zayıf kısmından yararlanmaya çalışacaktır. Çok çeşitli son kullanıcılar için değerli komponentler sunan küçük bir tedarikçiye saldırmak onlara mantıklı gelir. Muhtemelen bu binlerce çalışanın onlarcasını destekleyen sofistike bir IT departmanı ile çok uluslu bir şirketin ICS ortamının içine direkt olarak girmeyi denemekten daha kolay olacaktır. Dragonfly bunun mükemmel bir örneğidir; virüs bulaşmış tedarikçilerin genelde 50’den az çalışanı vardı.
Öğrenilen ders, bu şirketlerin ve ürünlerin kullanımı ile endüstriyel ortamlara sokulan riski anlamakdan ziyade, katma değerli çözümler sunan tedarik zinciri yolunu değiştirmemektir. Neyseki, ICSCERT onların endüstriyel güvenlikle ilgili oldukları gibi hem ürün yetenekleri hem firma uygulamalarını anlamak için kullanılabilen değerli bilgiler sunan “Kontrol Sistemleri için Siber Güvenlik Tedarik Dili”adında bir belge yayınlıyor.
Belgeden bir örnek Havex’in ICS de VPNlerin kullanımını özetlemesi ile çok ilgilidir. Burada , belge VPN inişi için yarı güvenilir askersiz bölge kullanımını ve hayati bilgilerin ( paralolar gibi) depolamada yada aktarımda nasıl korunabileceğini ele alıyor.
Belge ayrıca tedarikçiler tarafından kullanılan iç kodlama uygulamalarına gereksinimin yanı sıra , web tabalı arayüzler (çoğu VPN aletinde ortak olan ) ile ilgili güvenliği de ele alıyor. Diğer konular, basit durum bilgisi güvenlik duvarlarının(örneğin saldırı tespit sistemleri gibi) ötesinde ek tedbirleri içeren güvenlik çemberinde dikkat edilmesi gereken önlemleri içerir. Bu savunma teknikleri mevcut kontrol sistemine bir çok güvenliği eklemeyebilir,fakat gelecekteki sistemlerin ve sistem geliştirmelerin güvenliği için önemli gelişmeler sağlayabilirler.
ISA/IEC 62443 Kullanarak Güvenlik Teminatı
Endüstriyel otomasyon ve kontrol sektörü verimliliği artırmak işletme maliyetini azaltmak ve çoğu kez güvenliğini artıran ürünleri global olarak sağlayan bir dizi tedarikçi ile ürünler sunulur. Ancak tüm güvenlik teklifleri eşit değildir. Örneğin, şifreleme güvenliği sunuyor, öyleyse IEEE802.11’s eski Wireless Şifreleme Protokolü (WEP) güvenli mi? Tabiki değil. – WEP yaygın bir şekilde bir saatin altında kırılabilir olduğu gösterilmiştir.
Bu nedenle, International Society of Automation (ISA) endüstriyel otomasyon ve kontrol sistemi güvenliği için bir standartlar paketi olan ISA/IEC 62443’ye sahiptir. Onlar hem ürün geliştirme hem de iletilmiş güvenlik özellikleri açısından komponent seviye güvenliğine tahsis edilmiş standartları kapsamaktadır. Bu belgeler (ISA 62443-4-1 and ISA 62443-4-2) ICS komponentlerinin güvenlik “kabiliyetini” temsil etmeye tutarlı bir mekanizma sunmak için geliştiriliyor.
Bu standartlara uyumu kolaylaştırmak için, the ISA Security Compliance Institute (ISCI) bu standartlar dahilinde belirlenen gereksinimleri karşılayan belirli bir komponenti göstermek için kullanılabilen sertifikalar sunar.
- Security Development Lifecycle Assurance (SDLA) ICS için bir tedarikçinin ürün geliştirme süreçlerini değerlendiren bir sertifika programıdır.
- Embedded Device Security Assurance (EDSA) sertifikası , gömülü cihazların güvenliğine odaklanmakta ve cihaz özelliklerini ve bu cihazlar için tedarikçi geliştirme uygulamalarını ele almaktadır.
Bu standartların ve sertifikalar kullanılması ICS mimarisi içinde kritik işlevleri yerine getiren bu cihazlar için gerekli güvenlik seviyesinin sağlanmasında hayati bir parçadır.
Network Segmentasyonu
Ne bir danışmanlık ne de ICSERT tarafından verilen uyarı ağ segmentasyonun önemiyle tehdit azaltma girişimlerini başlamaz. ISO2700x ve ISA / IEC 62443 gibi önde gelen uluslararası standartlar, trafik gerektiren bu güvenlik “bölgeleri” için ağ trafiğini kısıtlamanın önemini vurgulamaktadır. Sonra güvenlik kontrolleri bu bölgeler arasında bulunan haberleşme linkleri veya “ kanalları” üzerinde uygulanabilir. Bunun anlamı tam olarak nedir?
Sunuculara (SCADA, DCS) ve insan-makine arayüzlerine (HMIler) bağlı temel kontrol cihazlarından (PLCler, SIS, RTUlar) oluşan tipik bir ICS mimarisi düşünün. Bu sistemler genellikle tarihçiler, parti yönetimi, varlık yönetimi, durum izleme ,vb. gibi denetim uygulamalarına bağlıdırlar. ISA / IEC 62443de bir şema yukardaki Şekil’de bunu göstermektedir. Bölgeler, dört büyük ağ alanı olarak gösterilmiştir (Enterprise Network, Endüstriyel / Şirket DMZ, Endüstriyel Network# 1 ve Endüstriyel Network # 2).
Bölgeler arasındaki kanallar bölgeleri birbirine bağlayan yeşil bağlantıları olarak görünür.
Segmentasyon arkasındaki temel dayanak noktası, belirli bölgeler ve ağların ağ trafiğinin sınırlandırılmasıdır. Başka bir deyişle, EtherNet/IP gibi bir endüstriyel protokol sadece Endüstriyel Network# 1 üzerinde kullanılıyorsa, o zaman uygun kontroller bu trafiğin diğer bölgelere sınırdan veya “kanal”dan geçmesini engellemek için kullanılabilir. Benzer şekilde, çoğu zaman denetim ağlarında (HTTP gibi) bulunan protokollerin alt ve üst seviye endüstriyel ağlara girmelerine izin verilmemelidir. Havex olayında, MS-DCOM/RPC mekanizmaları kullanan OPC bağlantısı VPN üzerinden gerekiyorsa, o aynı ağda uzaktan bağlantı ana bilgisayarını etkili şekilde OPC sunucusu olarak tayin eder. Bu durumda, diğer bölgelerdeki daha kritik kontrol trafiğinden bu trafiği (şimdi bir yabancı kaynaktan kaynaklanan) ayırmak için uygun segmentasyon uygulanmalıdır. Bu tür mimari Hirschmann RSP ve MSP ürün serileri gibi yönetilebilir sağlamlaştırılmış swithlerin uygun bir karışımı kullanılarak kolayca uygulanır. Onlar EtherNet/IP ve PROFINET gibi endüstriyel protokolleri desteklemek için tasarlanırlar.
Hirschmann yönetilen swithler ayrıca makine seviyesi swith özelliği ve segmentasyonu sağlarlar. Bölgeler ve alt bölgeler arasında erişim kontrol özellikleri sağlayan Hirschmann MACH100 serisi gibi yüksek performanslı çalışma grubu switchleri vasıtasıyla bir araya getirilebilirler. Yönetilen swithler kullanılarak birbirine bağlanmış bölgeler arasındaki güvenlik politikalarının ek uygulaması Tofino Endüstriyel Network Güvenlik Cihazı ve Hirschmann Endüstriyel Güvenlik Yönlendiricisi (Network Beyaz listeye bakınız) gibi endüstriyel güvenlik duvarı ürünleri ile uygulanabilir.
Network Beyaz Liste
Network beyaz liste yaygın olarak kullanılmayan bir terimdir, ancak uygulama beyaz liste kavramına benzer. Konsept ağda yetkili trafiği atamak için sadece bir aygıt ya da bilgisayara izin vermektir. Bu beyaz liste istenilen koruma düzeyine bağlı olarak, belirli bir ağ üzerinde iki seviyede uygulanabilir. İlk method “Hedef Siber Müdahaleleri azaltmak için Stratejiler” dokümanında Avustralya Savunma Bakanlığı tarafından tanıtıldı ve bu method belirli bir ana bilgisayar ağının ifşasını sınırlandırmak için ana bilgisayar tabanlı (Windows) güvenlik duvarı çıkış kurallarını yapılandırmaya odaklanmıştır. Bu demektir ki, bir ana bilgisayar yanlızca küçük bir dizi TCP port numarası (örneğin: 139, 445, 44818) kullanmak üzere tasarlanırsa, o zaman sadece bu portlara izin verilmeli ve tüm diğerleri bloke edilmedilir. Bu “en düşük erişim hakkı” modelinin basit bir uygulamasıdır.
Bu yaklaşımdaki sorun, eğer saldırgan bir ana bilgisayar ile uzlaşırsa, o zaman onların ana bilgisayar tabanlı güvenlik duvarını devre dışı bırakma yada değiştirme ve ağ erişimini açma kabiliyetine sahip olduğu kabul edilmelidir. Bu nedenle, bir saldırı giriş noktası olabilecek herhangi bir ana bilgisayar için bu harici ağ beyaz listeyi bulundurması için destekleniyor.
Hirschmann Endüstriyel Güvenlik Yönlendirici veya Tofino Endüstriyel Ağ Güvenliği Cihazı gibi endüstriyel şeffaf veya köprülü bir güvenlik duvarı kullanarak yapılabilir. Bunlar sadece ağda izin verilen trafik açısından değil , aynı zamanda belirli bir ana bilgisayardan kaynaklı tüm trafiğin varış noktası açısından siber olaylar için önemli esneklikler sağlamaktadırlar.
Makul büyüklükte herhangi bir endüstriyel ağ üzerinde konuşlandırılmış iseler, bazı mühendisler bunu aşırı olarak görür. Bunu ağın en düşük seviyesine yayması için nokta olmaz olmaz bir koşul değildir , daha ziyade muhtemelen VPNler ve uzaktan bağlantılı ana bilgisayarlar ile oluşturulabilen ağlardaki uzak giriş noktaları gibi kritik güvenlik bölgelerinin çevresinde onu yayar.
Protokol Beyaz Liste
Saldırıların gelişmişliği ne kadar artarsa, konuşlandırılan güvenlik savunmaları da o oranda artmalıdır. Havex , kötü amaçlı yazılıma belirli bir güvenilir hedefte izin verildiğinde , virüs bulaşmış makinenin şimdi önceden ( yeni yazılım yükleme, cihaz konfigürasyonunu değiştirmek, düğümleri kapatma /yeniden başlatmak, vb.) için yetkilendirilmiş herhangi bir işlevi nasıl sağlayabildğini gösterdi. Harici ağ beyaz liste sadece yetkisiz uygulamaların (hizmetler) ağa girmesini engeller. Bu uygulamaların her birinin gerçekleştirilebilmesi işlevlerini sınırlama yeteneği sağlamaz.Bu sadece kullanılan transferlere değil aynı zamanda uygulama içeriğine de dayalı filtreleme yapma yeteneği gerektirir. Bir ağ üzerinde konuşlandırma, bu genellikle Derin Paket Muayenesi (DPI) olarak adlandırılır ve belirli uygulama içeriğinin ağa girmesini kısıtlama kabiliyeti sağlar. Örneğin, bir kontrol mühendisi bir kontrol ağı üzerindeki HTTP POST isteklerine izin vermemek , veya kritik bir PLCde salt okunur hizmetler için EtherNet/IP işlevlerini sınırlamak için DPI kullanabilir.
Bu sadece endüstriyel ortamlara yüklenebilen değil , kullanılan endüstriyel protokollerin uygulama bilincine de sahip bir cihaz gerektirir. Böyle cihazlar genelde korudukları cihaza(lara) yakın konuşlandırılırlar. Onlar güvenlik PLCleri gibi bir veya daha fazla endüstriyel gömülü cihazları korumak için kullanılırken, onların PLCler ile aynı çevre koşullarında değerlendirilmeleri gerekir. Bu genellikle Windows tabanlı bilgisayarlar için gerekli koşullardan çok farklıdır.
Tofino Endüstriyel Güvenlik Network Cihazı özellikle bu yeteneği sağlamak için tasarlanmıştır ve çok çeşitli endüstriyel protokolleri destekler. Sadece işlev kodlarını değil , aynı zamanda cihaz kayıtları veya ağ üzerinden erişilen nesneleri de sınırlandırma yeteneğine sahiptir
OPC veri erişim fonksiyonları için bu yeteneği sağlayan cihazların sayısı sınırlıdır. Bu durumda, tüm OPC aygıtlarda düzgün sunucu güvenliği uygulamak önemlidir. Birçok önde gelen OPC uygulamaları işlevselliği kısıtlamak olanağı ve kullanıcı adına dayalı belirli bir OPC sunucusuna erişim hacmi sağlar. Bu yerel kullanıcılara tam tarama ve okuma-yazma erişimi sağlamak için kullanılabilir, fakat sadece tarama ve salt okuma yetenekleri için uzak kullanıcıları sınırlayabilir. Yukardaki Şekilde MatrikonOPC Sunucusu için bu ayarları gösterir.
Email Domain Kara Liste
Çeşitli siber olay raporları spear phishing teknikleri kullanılarak başlatılan hedefli saldırıların genellikle oldukça başarılı olduğunu kabul ediyor. Ancak, çoğu zaman ihmal edilen iş güvenliği çevresine dağıtılabilir basit mekanizmalar vardır.
Dragonfly kampanyanın erken evresi ücretsiz bir email hesabından(Gmail, Yahoo, Hotmail, MSN,vb.). kötü amaçlı yazılım içeren emailler gönderen hedeflenen spear phishing saldırısından oluşuyordu. Çoğu iş uygulaması açıkça doğrudan işle ilgili işlevler için şirket varlıklarının kullanımını kısıtlar.
Günümüzün birbirine bağlı toplumunda, iş iletişiminde bu güvensiz kanalları kullanmak için bir sebep yoktur. Bu kaynakların tüm alıcıların ( bunlar sadece kara listeye alınmış email adresleri değil) iş ağlarına girmeleri engellenirken, genel güvenlik esnekliği artacaktır.
DPI / Durumsal Güvenlik Duvarları ile VPNler
Daha önce bahsedildiği gibi, VPNler “dış” ya da Internet tabanlı tehditlere karşı iletişim oturumları gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak olağanüstü bir iş yapar. Ancak, bunların siber koruma faydası sınırlıdır, çünkü onlar VPN tüneline “girenleri” veya tünelden çıkan trafiğin bağlantı noktalarının ne olduğunu kontrol etmezler.
VPN ile aşağıdaki kombinasyonlar kullanıldığında, bu sınırlama aşılır:
- VPN tünellerine giren trafik içeriğini / yükünü kısıtlamak için DPI teknolojisi
- İzin verilen IP adreslerini ve trafiğin TCP / UDP hedef bağlantı noktalarını belirlemek için durumsal güvenlik duvarları
Dragonfly kötü amaçlı yazılım kampanyası karmaşıktı ve onun “içeriden” taktikleri onun hem algılamayı hem de engellemeyi zorlaştırdı. Bir çok IT çözümü için kullanışlı iken, bu kampanyaya karşı savunulamayan siber savunmalar şunlardır:
| Savuma | Dragonfly’a karşı etkisiz olma nedeni |
| Uygulama Beyaz Liste | • AWL satıcılarının yetkili yazılım güncellemelerini yapma ve korumayı devre dışı bırakmada kullandıkları varyasyonlar yükseltme süreci boyunca ana bilgisayarı savunmasız bırakabilir• Yazılım “gerçekliğini” garanti etmek için önlemler sağlayan ICS satıcılarının eksikliği bir saldırı penceresi sağlayabilir.• Program okuma / yazma mağazaları için kullanılan yasal bir dizine kötü amaçlı yazılımın yüklenmesi AWL etkinliğini azaltabilir.
• Yetkili süreçlerde aranan yasal prosedürü uygulayan kötü amaçlı yazılımı tespit etmenin zorluğu |
| Uygulama Kara liste (anti-virus veya AV) | • Faaliyet zirve döneminde kötü amaçlı yazılım tespit için AV imzalarının eksikliği• Standart yazılım prosedürleri genellikle enfeksiyon için bir fırsat penceresi sağlayan yazılım yüklemesi sırasında AVnin devre dışı bırakılmasını tavsiye eder. |
| Kısıtlı Kullanıcı Hesapları | • Kötü amaçlı yazılım yükleme, kayıt defteri değişiklikleri ve süreklilik , sınırlı yerel yetkilendirme haklarına sahip kullanıcı hesaplarında mümkündü.• Idari düzeyde kullanıcı hesapları kullanılırken kötü amaçlı yazılım istikrarsızlığı sistem istikrarsızlığına ve muhtemel hizmet reddine neden oldu. |
| Sunucu Tabanlı Güvenlik Duvarları | • Dragonfly ,onaylı güvenlik duvarı kuralı kümeleri aracılığıyla verilen yetkisiz ağ aramalarını gerçekleştirmek için yetkili servisleri kullandı.• Yetkisiz ağ trafiği girişini kontrol etmek için Windows XP20 güvenlik duvarının sınırlı işlevselliği |
| VPNler | •Birçok VPN yetkili uç noktalar aracılığıyla tünele neyin girip çıktığını yeterince kontrol etmez.• VPN şifreleme diğer güvenlik ve denetim kontrollerinden zararlı yazılımları gizleyebilir.• Son nokta erişimini kısıtlamak ve kötü amaçlı yazılımın ICS ağının “tam” görünürlüğünü elde etmesini önlemek için ek teknoloji ile kombine edildiğinde kullanışlı |
| Yama Yönetimi | •Çalışan sistemlere yeni yazılım yüklenmesi yeni zayıf noktaları beraberinde getirebilir• Kurulum öncesinde ICS tedarikçi yazılımının doğruluğundan emin olmak için çok az mekanizma vardır. |
| Tablo : Dragonfly için Etkisiz Savunmalar | |
Dragonfly karşı savunmanın zorluklarına rağmen, en iyi güncel uygulama politikaları ve endüstriyel odaklı güvenlik teknolojilerinin kullanımı koruma sağlayabilir. Bu kampanyaya karşı savunma yapacak siber savunmalar şunlardır:
| Savunma | Dragonfly’a Karşı Etkili Olma Nedeni |
| ICS Komponentlerinin Tedarik Standartları | • Güvenilir endüstriyel ağlara uzaktan erişim için yarı güvenilir “arındırılmış” bölge kullanımını belirtir• Depolama ve aktarımda, şifreler gibi hayati bilgilerin korunmasını öngörür• Açık kaynak ve üçüncü parti yazılımlar durumunda satıcı yazılım geliştirme yaşam döngüsü değerlendirmesi ve iç kodlama uygulamaları gerektirir.
• Güvenlik duvarları ve saldırı tespit sistemleri ile dış güvenlik çevrelerinin güçlendirilmesi gerektiğineişaret eder-özellikle de uzak erişim çözümleri kullanılırken |
| ISA / IEC 62443 Tedarikçi ve Ürün Güvencesi Uygulamalarının Kullanımı | • Yazılım geliştirme, donanım ve entegrasyon kuralları ortak güvenlik zayıflıklarını belirler ve azaltır.• Istenen uygulama için yeterli güvenlik “yeteneğine” sahip çözümlerin belirlenmesini ve kullanımını sağlar. |
| ISA / IEC 62443 Bölgeler ve Kanallar En İyi Uygulamaların Kullanımı | • Bu bölgeler arasındaki kanallarda güvenlik bölgelerinin oluşturulması ve gereksiz ağ trafiğinin kısıtlanması• Sadece önceden yetkilendirilmiş bölgeler için OPC gibi kontrolsüz trafiği sınırlama• Modbus/TCP ve EtherNet/IP gibi kontrollü trafiğin kontrolsüz bölgelerden girişini engeller.
• Kontrol işlemlerini koruyan belirli bir bölge için zararlı ağ trafiği (örneğin bir VPN üzerinden girebilen trafik gibi) içerir. • Çalışma grubunun veya geniş alan switchleri ile hücre temelli switchlerin dağınık mimarisi asgari erişim kontrolü sağlar. |
| Şeffaf Güvenlik Duvarı Kullanarak Ağ Beyaz Liste | • Bir ağ üzerinde izin verilen trafiği ve belirli bir ana bilgisayardan kaynaklanan herhangi bir trafiğin hedefe varış noktasını sınırlar.• Uzaktan giriş noktalarında VPNler ve kritik kontrol bölgeleri gibi bir ağı kullanır•diğer ağ ana bilgisayarlarından kiritk bölgelere trafiğin kısıtlı girişini zorla kabul ettirir. |
| Protokol Beyaz Liste “Derin Paket Muayenesi” | •Trafik yanlızca kullanılan protokol tarafından değil aynı zamanda uygulama içeriğinde de filtrelenir.• Belirli uygulama içeriğinin ağa girmesini engeller.• Korudukları cihazlara yakın yere kurulurlar ve bu cihazlar gibi aynı endüstriyel sertleştirmeyi gerektirirler |
| ICS Varlıklarının Kısıtlı Görünürlüğü ile VPNler | • ICSde VPN inişi için yarı güvenilir arındırılmış bölgelerin Kullanımı• VPN çıkış trafiğini detaylı filtreleme böylece sadece kritik olmayan varlıklar uzaktan izlenebilir•VPN tünelinde izin verilen trafiğin içeriklerini/yüklerini kısıtlamak için VPNler ile DPI teknolojisinin kombinasyonu |
| Email Domain Karaliste | • Ücretsiz Email hesaplarından gelen email spear phishing saldırılarını engeller |
| Tablo : Dragonfly için Etkili SavunmalarBelden’in Siber Güvenlik Uzmanı, Eric ByresBir Belden markası olan Tofino Security’nin teknolojiden sorumlu başkanı (CTO) ve endüstriyel siber güvenlikte dünya otoritesi olan Eric Byres Dragonfly ile ilgili şu açıklamaları yaptı: “Eğer Dragonfly bize bir şey öğrettiyse , o da , günümüzün sofistike saldırganlarından ICS sistemlerini korurken, ‘olağan’ güvenlik çözümlerinin doğru güvenlik çözümleri olmayabileceğidir. Kısıtlı Kullanıcı Hesapları, Yama ve Vpnler gibi teknolojiler ve prosedürler aslında saldırganların aleyhine çalıştı. ” “ ‘ herkes bu şekilde yapıyor’ veya ‘ kontrol listesi bize söyler’ şeklindeki güvenlik politikalarnı uygulamak yerine , ICS güvenliğin bütünsel bir risk esasına göre değerlendirilmesi gerekir. Ve bu analizde , kötü adamların bir noktada bizim savunmamızı ihlal edeceğini düşünmek zorundayız. Ihlalleri önleme arzu edilir, fakat bir ihlali hızlı ve etkili bir şekilde tespit edebilme ve adresleyebilmenin gelecek yıllarda her endüstriyel firma için çok daha önemli bir yetenek olduğu kanıtlanacaktır.ReferanslarEk Bilgi • “ICS Focused Malware,” ICS-ALERT-14-176-02A, DHS ICS-CERT, orijinal olarak 27 Haziran 2014 yayınlandı.
• “ICS Focused Malware,” ICSA-14-178-01, DHS ICS-CERT, orijinal olarak 30 Haziran 2014 yayınlandı. • “How Dragonfly Hackers and RAT Malware Threaten ICS Security,” Belden.com blog, Eylül 15, 2014. • “Belden Research Reveals Dragonfly Malware Likely Targets Pharmaceutical Companies,” Belden basın açıklaması, 15 Eylül 2014. • “A New Era for ICS Security – Dragonfly Introduces Offense in Depth,” Belden.com blog, 22 Ekim 2014. • “Defending Against the Dragonfly Cyber Security Attacks,” Belden.com blog, 10 Aralık 2014. Derinliğine Savunma için Belden Ürünleri Bu çalışmada aşağıdaki ürünlerden yararlanılmıştır. Tüm ürünlerin birçok sanayide kullanımı için endüstriyel olarak sertifikalar ile kuvvetlendirildiğini unutmayın. Bu Belden’in siber güvenlik portföyünün bir kısmının listesi. Tam liste için, www.belden.com (veya www.dacel.com.tr) ziyaret ediniz veya Dac-el ile iletişime geçiniz. Ürün Kategorisi ve Adı Kullanımı Açıklanan Sayfa Entegre VPN/ Durumsal Endüstriyel Güvenlik Duvarı Cihazları • Hirschmann Endüstriyel Güvenlik Yönlendiricisi Network Segmentasyonu için Endüstriyel Durumsal Güvenlik Duvarları • Tofino Endüstriyel Network Güvenlik Cihazı Protokol Beyaz Liste /Derin Paket Muayenesi Güvenlik Duvarları • Tofino EtherNet/IP Enforcer • Tofino OPC Classic Enforcer • Tofino Modbus TCP Enforcere Network Segmentasyonu için Yönetilen Switchler • Hirschmann MSP Ürün Serisi • Hirschmann Octopus Ürün Serisi Network Segmentasyonu için Çalışma Grubu Yönetilen Switchleri • Hirschmann MACH100 Ürün Serisi
Bu çalıma TLP:Beyaz veya TLP:Yeşil olarak tanımlananlar dahil, sadece kamu kaynaklarındaki mevcut bilgiler kullanılarak yazılmıştır. Tüm TLP: Amber kaynaklar dahil, kısıtlı bilgiler bu çalışmaya konulmamış ve açıklanmamıştır. F-Secure ve ICS-CERT tarafından sunulan bilinen imzalara karşı onaylanmış orjinallik ile bu degerlendirmede kullanılan tüm kötü amaçlı yazılım VirusTotal’den tedarik edilmiştir. Belden Hakkında Yüksek kaliteli, uçtan uca sinyal iletimi çözümleri alanında dünya lideri olan Belden Inc., endüstriyel, kurumsal ve yayın piyasalarının kritik görev ağ altyapısı ihtiyaçlarını karşılamak için tasarlanmış kapsamlı bir ürün portföyü sunuyor. Bugünün uygulamaları için gerekli olan hızla büyüyen miktarlarda veri,ses ve videonun güvenilir ve güvenli iletimini hedefleyen yenilikçi çözümlerle ,Belden bağlantılı bir dünya için küresel dönüşümün merkezinde yer alıyor. 1902 yılında kurulan şirket St.Louis merkezlidir ve Kuzey ve Güney Amerika, Avrupa ve Asya’da üretim yetenekleri vardır. Daha fazla bilgi için, www.belden.com ziyaret ediniz; Twitter’da @BeldenInc takip ediniz. Dac-el Hakkında Belden firmasının Türkiye distribütörlüğünü yapmaktadır. İstanbul’da 1995 yılında kurulmuş olup. Yakın coğrafyada endüstriyel otomasyon, bina otomasyonu, zayıf akım sistemleri konusunda hizmet vermekle beraber, endüstrinin ihtiyacı olana otomasyon ürünlerinin dağıtım ve satışını gerçekleştirmektedir. |
|
0 Comments