Trend Micro, endüstriyel robotlar için eski programlama dillerindeki tehlikeli tasarım kusurları ve güvenlik açıkları hakkında bilgi sağlar. Politecnico di Milano ile işbirliği içinde Trend Micro, güvenli OT geliştirme için temel yönergeler yayınlar.
Trend Micro, endüstriyel sistemlerde kullanılan eski programlama dillerindeki tasarım zayıflıklarına işaret eden yeni bir araştırma sunuyor. Güvenlik araştırmacıları ayrıca, Endüstri 4.0 sistem geliştiricilerinin yazılım saldırıları için yüzey alanını önemli ölçüde azaltmalarına yardımcı olmayı amaçlayan güvenli programlama için yeni yönergeler yayınlıyor. Bu, OT (Operasyonel Teknoloji) ortamlarında hizmet kesintilerini etkili bir şekilde önleyebilir.
Endüstriyel robotların savunmasız otomasyon programları
Politecnico di Milano (Politecnico di Milano) ile işbirliği içinde yürütülen araştırma, eski programlama dillerindeki tasarım zayıflıklarının otomasyon programlarını nasıl savunmasız hale getirdiğini kapsamlı bir şekilde gösteriyor. Manipülasyonlar, saldırganlara endüstriyel robotları, otomasyonu ve üretim sistemlerini bozma ve fikri mülkiyeti çalma fırsatı verir. Rapora göre endüstriyel otomasyon dünyası, bulunan güvenlik açıklarını tespit etmeye ve istismarı önlemeye hazır görünmüyor. Bu nedenle, endüstrinin ağ güvenliği ve güvenli şifreleme uygulamalarından kanıtlanmış güvenlik önlemlerini benimsemesi ve oluşturması zorunludur. Bu amaçla, araştırmacılar zaten endüstri liderleriyle yakın temas halindedir.
Trend Micro IoT Güvenlik Evangelisti Avrupa'dan Udo Schneider, "Ağa bağlı bir OT sistemine yamalar ve güncellemeler uygulamak genellikle imkansız olduğundan, geliştirme önceden güvenli olmalıdır" diye açıklıyor. "Bugün, endüstriyel otomasyonun yazılım omurgası, çoğu zaman gizli güvenlik açıkları içeren eski teknolojilere dayanıyor. Bunlar Urgent/11 ve Ripple20'nin yanı sıra Y2K benzeri mimari problemlerinin varyasyonlarını içerir. Bu zorluklara dikkat çekmenin yanı sıra, tasarım, geliştirme, doğrulama ve sürekli bakım için somut rehberlik ve ayrıca kötü niyetli ve savunmasız kodları taramak ve engellemek için araçlar sağlayarak Endüstri 4.0'ın korunmasında bir kez daha liderliği ele geçirmek istiyoruz."
Aktif bir saldırganın olasılığı dikkate alınmadı
RAPID, KRL, AS, PDL2 ve PacScript gibi önceki, üreticiye özel programlama dillerinin geliştirilmesinde aktif bir saldırgan olasılığı dikkate alınmadı. Bu diller on yıllardır ortalıkta olduğundan, artık fabrika katındaki önemli otomasyon görevleri için gereklidirler, ancak kendi başlarına kolayca onarılamazlar.
Zafiyetler sadece üreticiye özel dillerle yazılmış otomasyon programlarında bir sorun değildir. Araştırmacıların bir örnekle gösterdiği gibi, eski programlama dillerinden birinde kendi kendine yayılan yeni bir kötü amaçlı yazılım türü bile oluşturulabilir.
Trend Micro Research, belirlenen sorunların istismar edilebilirliğinin nasıl azaltılacağına ilişkin öneriler geliştirmek için Robotik İşletim Sistemi Endüstriyel Konsorsiyumu ile yakın bir şekilde çalıştı.
Politikalar saldırıları önlemeye yardımcı olur
ROS-Industrial Consortium Europe program yöneticisi Christoph Hellmann Santos, "Çoğu endüstriyel robot, yalıtılmış üretim ağları için tasarlanmıştır ve eski programlama dillerini kullanır" diyor. “Örneğin, bir şirketin BT ağına bağlılarsa, saldırılara karşı savunmasız olabilirler. Bu nedenle, ROS-Industrial ve Trend Micro, endüstriyel robotları ROS ile kontrol etmek için doğru ve güvenli bir ağ kurulumu için ortaklaşa yönergeler geliştirdi."
Yeni yönergelere göre, endüstriyel robotların otomatik hareketlerini kontrol eden bu dillere dayalı görev programları, Endüstri 4.0'daki riski azaltmak için daha güvenli bir şekilde yazılabilir. Güvenli çalışma programları yazarken dikkate alınması gereken kilit noktalar şunlardır:
- Endüstriyel makinelere bilgisayar ve çalışma programlarına güçlü kodlar gibi davranın
- Her iletişimi doğrulayın
Erişim denetimi ilkelerini uygulayın - Her zaman giriş doğrulaması gerçekleştir
- Her zaman bir çıktı temizleme gerçekleştirin
- Ayrıntıları ifşa etmeden uygun hata işlemeyi uygulayın
- Uygun yapılandırma ve devreye alma prosedürlerini kurun!
Ayrıca, Trend Micro Research ve Politecnico di Milano, görev programlarındaki güvenlik açığı bulunan veya kötü niyetli kodları tespit etmek için kullanılabilecek, böylece çalışma zamanındaki hasarı önleyen, patent bekleyen bir araç geliştirdi.
40 savunmasız açık kaynak kodu vakası bulundu
Bu inceleme sonucunda, en yaygın olarak kullanılan sekiz endüstriyel robot programlama platformunda güvenlikle ilgili özellikler tespit edildi ve toplam 40 açık kaynak kodunda savunmasızlık tespit edildi. Bir satıcı, bir güvenlik açığından etkilenen otomasyon programını endüstriyel yazılım uygulama mağazasından çoktan kaldırdı. Geliştirici tarafından iki güvenlik açığı daha doğrulandı ve bu da verimli bir tartışmaya yol açtı. Güvenlik açıklarının ayrıntıları, ABD İç Güvenlik Bakanlığı'nın ICS-CERT (Endüstriyel Kontrol Sistemleri Siber Acil Durum Müdahale Ekibi) tarafından yapılan bir uyarıda da yayınlandı. Bu araştırmanın sonuçları 5 Ağustos'ta Black Hat USA'da ve Ekim'de Taipei'de düzenlenecek ACM AsiaCCS konferansında sunulacaktır.
Trendmicro.com'da daha fazla bilgi edinin
Trend Micro Hakkında Dünyanın önde gelen BT güvenliği sağlayıcılarından biri olan Trend Micro, dijital veri alışverişi için güvenli bir dünya yaratılmasına yardımcı olur. 30 yılı aşkın güvenlik uzmanlığı, küresel tehdit araştırması ve sürekli yenilikle Trend Micro işletmeler, devlet kurumları ve tüketiciler için koruma sunar. XGen™ güvenlik stratejimiz sayesinde çözümlerimiz, öncü ortamlar için optimize edilmiş nesiller arası savunma teknikleri kombinasyonundan yararlanır. Ağa bağlı tehdit bilgileri, daha iyi ve daha hızlı koruma sağlar. Bulut iş yükleri, uç noktalar, e-posta, IIoT ve ağlar için optimize edilmiş bağlantılı çözümlerimiz, daha hızlı tehdit algılama ve yanıt için tüm kuruluş genelinde merkezileştirilmiş görünürlük sağlar.