CloudSEK güvenlik araştırmacıları tarafından bildirildiği üzere, endüstriyel kontrol sistemleri genellikle siber saldırılara karşı yeterince güvenli değildir. Bu aynı zamanda kritik altyapı şirketleri için de geçerlidir. 8com'dan bir yorum.
Her gün sayısız şirket ve kurum siber suçluların saldırısına uğruyor - çoğu durumda onlar farkına bile varmadan. Web'den yapılan saldırılar son birkaç yılda istikrarlı bir şekilde arttı ve artık her BT yöneticisi, siber suçlulara karşı istikrarlı bir savunma hattının şart olduğunun farkında olmalıdır.
KRITIS'e yapılan saldırıların güçlü etkileri var
Kritik altyapı şirketlerine yönelik başarılı bir saldırının etkileri Colonial Pipeline ile gözlemlenebilir. Bir fidye yazılımı saldırısından sonra, ABD'nin bazı bölgelerinde yakıt tedariki çökerek panikle satın almalara ve yakıt kıtlığına yol açtı. Sonunda, hasar, başlangıçta saldıran şirketin çok ötesine geçti. Teksas, Houston limanını işleten şirkete yapılan saldırı, başka bir yol olduğunu gösteriyor çünkü burada davetsiz misafirlere karşı savunma yapmak mümkündü.
İyi savunma şart
Bu tür olumlu örneklere rağmen, çok sayıda şirket, kritik altyapı alanında bile siber saldırılara karşı korumayı cezai olarak ihmal ediyor. Bu, CloudSEK'ten güvenlik araştırmacılarının az önce yayınladığı bir raporda da açıkça ifade ediliyor.. Orada, internet erişimi olan endüstriyel kontrol sistemlerini (ICS) ve bunların endüstriyel, tedarik ve üretim hedeflerine yönelik siber saldırılara karşı korumasını incelediler. Sonuç: Çoğu ICS, belirli bir dereceye kadar kendi güvenlik önlemlerini sunsa da, bunlar insan müdahalesi veya hatalarıyla hızla zayıflatılabilir.
Raporda belirtilen en yaygın sorunlardan bazıları:
- zayıf veya varsayılan kimlik bilgileri
- eski veya yamasız yazılım
- Veri ve kaynak kodu sızıntıları
- Gölge BT
İkincisi, bir şirkette resmi BT yönetiminin bilgisi olmadan var olan süreçler veya programlar anlamına gelir; örneğin, bir çalışan kesinlikle şirketin BT'si tarafından güvenlik açıkları açısından izlenmeyen her zamanki görüntü işleme programını kullanmak ister.
CloudSEK çalışması, savunmasız ICS'leri aradı
Mevcut çalışma için CloudSEK ayrıca savunmasız ICS'leri arayan bir web taraması yaptı ve yüzlerce savunmasız arayüz buldu. Güvenlik araştırmacıları en bariz vakalardan dördünü seçti ve bunları daha ayrıntılı olarak açıkladı. Örneğin, Hindistan'daki bir su kuruluşunda, su kaynağını kontrol etmek için kullanılan yazılıma, üreticinin standart oturum açma bilgileri kullanılarak erişilebilir. Saldırganlar içme suyunun bileşimini değiştirebilir veya tüm mahalleleri borulardan kesebilirdi. Güvenlik araştırmacıları, GitHub platformunda ücretsiz olarak sunulan posta sunucuları için bir dizi erişim verisi bulduklarından, Hindistan hükümeti de önlenebilir güvenlik açıklarıyla suçlanmalıdır.
GitHub'da bulunan kimlik bilgileri
CloudSEK'in ekibi ayrıca ülke genelindeki çeşitli hizmetlerde ve eyaletlerde CCTV görüntü monitörlerini destekleyen bir web sunucusunda sabit kodlanmış Hindistan hükümeti kimlik bilgileri buldu. Güvenlik araştırmacıları, petrol kamyonlarını yönetme ve izleme konusunda uzmanlaşmış bir şirkette SQL enjeksiyon saldırılarına karşı savunmasız hale getiren bir güvenlik açığı buldu. Ayrıca, yönetici hesapları için erişim verileri düz metin olarak bulunabilir.
Çalışma, fidye yazılımı ve kimlik avı dışında göz ardı edilmemesi gereken çok gerçek tehditler olduğunu gösteriyor. Şirketler için bu, endüstriyel kontrol sistemlerini de düzenli olarak kontrol etmeleri gerektiği anlamına gelir. Bu, güncel olup olmadıklarını veya bilgisayar korsanlarını önlemek için daha fazla önlem gerekip gerekmediğini kontrol etmek içindir.
8com hakkında 8com Siber Savunma Merkezi, 8com müşterilerinin dijital altyapılarını siber saldırılara karşı etkin bir şekilde koruyor. Güvenlik bilgileri ve olay yönetimi (SIEM), güvenlik açığı yönetimi ve profesyonel sızma testleri içerir. Ayrıca, ortak standartlara göre belgelendirme de dahil olmak üzere bir Bilgi Güvenliği Yönetim Sisteminin (BGYS) geliştirilmesini ve entegrasyonunu sunar. Farkındalık önlemleri, güvenlik eğitimi ve olay müdahale yönetimi teklifi tamamlar.