Siber güvenlik şirketi ESET, kapalı ağlara saldırmak üzere kullanılan 17 kötü amaçlı çerçeveyi (framework) inceleyerek bir analiz yaptı. Kritik öneme sahip altyapıları yürüten sistemleri içeren, kapalı ağlarda savunmanın geliştirilmesine yardımcı olabilecek güvenlik ipuçlarını paylaştı.
Kapalı ağlar, güvenliği artırmak amacıyla fiziksel olarak başka bir ağla bağlantısı olmayan izole ağlardır. Bu teknik, boru hatlarını ve enerji şebekelerini yürüten endüstriyel kontrol sistemleri (ICS), oy verme sistemleri ve nükleer santrifüjleri çalıştıran SCADA sistemleri gibi en hassas ağların korunmasına yardımcı olabilir. Kritik öneme sahip altyapıları yürüten sistemler, APT grupları dahil olmak üzere birçok saldırganın hedefindedir.
Yalnızca 2020 yılının ilk yarısında kapalı ağlara sızmak üzere tasarlanan dört kötü amaçlı framework ortaya çıktı. Bu dört framework ile birlikte, kötü amaçlı frameworklerin sayısı 17’ye ulaştı.
Bazı teknik ayrıntıları netleştirmek veya onaylamak üzere yıllar içerisinde 10 farklı kuruluşun kamuoyuyla paylaştığı bilgileri ve bazı resmi olmayan analizleri kullanan Alexis Dorais-Joncas liderliğindeki ESET araştırmacıları, geçmişte yaşananların siber güvenlik profesyonellerine ve belli bir ölçüde daha geniş kitlelere kapalı ağ güvenliğini arttırmak için neler yapılabileceğini öğretmenin yanı sıra ilerideki saldırıları tespit etmek ve azaltmak üzere becerilerini geliştirmelerine katkıda bulunmak amacıyla bu frameworkleri yakından inceledi. Bugüne kadar bilinen tüm frameworkleri yeniden ele aldılar ve oluşturmalarının üzerinden 15 yıl geçmiş olsa bile tüm bu frameworkler arasındaki başlıca tüm benzerlikleri sıraladılar.
Montreal’daki ESET güvenlik istihbarat ekibinin lideri Alexis Dorais-Joncas, “Maalesef tehdit grupları bu sistemleri hedef almanın sinsi yollarını bulmayı başarıyor. Kapalı ağlar daha yaygınlaştıkça ve kuruluşlar sistemlerini korumak için daha yenilikçi yollar buldukça siber saldırganlar da sistemlerin güvenliğini ihlal etmek üzere yeni güvenlik açıkları bulmak için becerilerini geliştiriyor. Araştırmamızın sonuçlarına göre tamamı casusluk amacıyla tasarlanan bu frameworkler, hedeflenen kapalı ağlardan verilerin aktarılması için fiziksel iletim aracı olarak USB sürücüler kullanıyor” dedi.
Kapalı ağları korumak için alınacak önlemler
Risklerin belirlenmesiyle ESET, bugüne kadar bilinen kötü amaçlı tüm frameworklerde kullanılan temel tekniklere karşı kapalı ağları korumak amacıyla uygulanabilecek önlemlerin listesini oluşturdu.
İlk olarak bağlı ana makinelerden e-posta erişimini engelleyin. Bağlı sistemlerden e-postalara doğrudan erişimi engellemek, bu popüler tehdit vektörünü önler. Bu, tüm e-posta etkinliğinin izole edilmiş ayrı bir sanal ortamda yürütüldüğü tarayıcı/e-posta izolasyon mimarisi ile sağlanabilir.
İkinci olarak USB bağlantı noktalarını devre dışı bırakın ve USB sürücüleri temizleyin. Kapalı bir ağda yer alan tüm sistemlerdeki USB bağlantı noktalarını kaldırmak veya devre dışı bırakmak en iyi korunma yöntemidir. Bazı kuruluşlarda sistemlerden USB bağlantı noktalarını kaldırmak mümkün olmayabilir, ancak USB bağlantı noktalarının işlevi mutlaka bu noktalara gereksinim duyan sistemlerle kısıtlanabilir. Bir USB sürücü kapalı bir sisteme yerleştirilmeden önce USB sürücü temizleme işleminin gerçekleştirilmesiyle incelenen çerçevelerin uyguladığı birçok teknik ortadan kaldırılabilir.
Üçüncü olarak çıkarılabilir sürücülerde dosya yürütmeyi sınırlandırın. Kapalı sistemlere sızmak için kullanılan birçok teknik, diskte bir yerlerde depolanan yürütülebilir bir dosyanın doğrudan yürütülmesine dayanır. Çıkarılabilir Depolama Alanına Erişim ile ilgili politikaların yapılandırılmasıyla bu durumun önüne geçilebilir.
Dördüncü olarak ise düzenli olarak sistem analizi gerçekleştirin. Kötü amaçlı çerçeveleri kontrol etmek üzere kapalı sistemin düzenli olarak analiz edilmesi, verileri güvende tutmak için güvenliğin önemli bir parçasıdır.