Ulusal Güvenlik Ajansı (NSA) ve CISA, ABD kritik altyapısının bir parçası olan operasyonel teknolojinin (OT) ve endüstriyel kontrol sistemlerinin (ICS’ler) nasıl güvence altına alınacağı konusunda kılavuz yayınladı.
Ortak danışma belgesi, daha geniş bir saldırı yüzeyi sağlayan BT destekli OT ve ICS varlıklarını tehlikeye atmak için kötü niyetli aktörler tarafından kullanılan tüm adımlar hakkında bilgi paylaşır ve güvenlik uzmanlarının bunlara karşı savunmak için alabilecekleri önlemleri vurgular.
“Gelişmiş kalıcı tehdit (APT) grupları da dahil olmak üzere siber aktörler, son yıllarda siyasi kazanımlar, ekonomik avantajlar ve muhtemelen yıkıcı etkiler gerçekleştirmek için OT/ICS sistemlerini hedef aldı. Son zamanlarda, tarama, uzlaşma ve NSA, hedeflenen OT cihazlarını kontrol ediyor” söz konusu.
Danışmanlık ayrıca “günlük kritik altyapı ve endüstriyel süreçleri işleten, kontrol eden ve izleyen OT ve ICS varlıklarına yönelik artan tehditlere de dikkat çekiyor. sistemler.”
Bugünkü danışma belgesinde [PDF]istihbarat toplama, ilk erişim elde etme veya güvenliği ihlal edilmiş kritik altyapı sistemlerinde kötü amaçlı araçları dağıtma ve yürütme girişimleri de dahil olmak üzere her adımda tehdit aktörlerinin saldırılarını nasıl engelleyeceğiniz hakkında ayrıntılı bilgi bulabilirsiniz.
Etki azaltma önlemleri
Bununla birlikte, bazı savunucular, kritik altyapı kontrol sistemlerini hedeflemek için kullanılan birçok yaygın taktiğin hafifletilmesine yardımcı olabilecek önerilen güvenlik stratejilerinden bazılarını uygulayamayabilir.
Onlar için, NSA ve CISA, rakiplerin taktiklerine, tekniklerine ve prosedürlerine (TTP’ler) karşı koymak için bazı en iyi güvenlik uygulamaları sağlar:
- Sistem bilgilerinin maruz kalmasını sınırlayın: Operasyonel ve sistem bilgileri ve konfigürasyon verileri, kritik altyapı operasyonlarının çok önemli unsurlarıdır. Bu tür verileri gizli tutmanın önemi göz ardı edilemez.
- Uzaktan erişim noktalarını belirleyin ve güvenli hale getirin: Sahip/operatörler, kontrol sistemi ağında hangi uzaktan erişim noktalarının çalıştığı veya çalışabileceği de dahil olmak üzere, kurulu tüm sistemler hakkında ayrıntılı bilgi sahibi olmalıdır. Tam bir “bağlanabilirlik envanteri” oluşturmak, sisteme erişimi güvence altına almak için kritik bir adımdır.
- Araçları ve komut dosyalarını kısıtlayın: Ağa ve kontrol sistemi uygulama araçlarına ve komut dosyalarına erişimi, kontrol sisteminde meşru görevler gerçekleştiren meşru kullanıcılarla sınırlandırın. Araçları ve komut dosyalarını tamamen kaldırmak ve sömürülebilir güvenlik açıkları için yerleşik kontrol sistemi bileşenlerine yama uygulamak çoğu zaman mümkün değildir. Bu nedenle, tehdidi sınırlamak için özellikle hassas süreçlere ve bileşenlere erişim ve kullanım sınırlamalarını dikkatli bir şekilde uygulayın.
- Düzenli güvenlik denetimleri yapın: Bu tür bir denetim, siber savunma duruşunu iyileştirmek ve nihayetinde kötü niyetli siber aktörlerin amaçlanan etkilere neden olmalarını önlemek için ortadan kaldırılması gereken sistem güvenlik açıklarını, uygulamaları ve prosedürleri belirlemeyi ve belgelemeyi amaçlar.
- Dinamik bir ağ ortamı uygulayın: Küçük bir değişiklik, kötü niyetli bir aktör tarafından önceden elde edilen erişimi kesintiye uğratmak için uzun bir yol kat edebilir.
İki federal kurum, “OT/ICS savunucularının, BT uzmanlığını mühendislik bilgisiyle birleştiren siber aktörlerin TTP’lerini tahmin etmesi hayati önem taşıyor” diye ekledi.
“Savunanlar, yetkisiz erişimi sınırlamak, araçları ve veri akışlarını kilitlemek ve kötü niyetli aktörlerin istenen etkileri elde etmelerini engellemek için bu danışma belgesinde listelenen hafifletme yöntemlerini kullanabilir.”
ABD kritik altyapısını güvence altına almak için daha geniş hükümet çabası
Bugünün tavsiyesi, durdurma için 2021’den önceki rehberliği temel alıyor OT kontrol sistemlerini hedef alan kötü niyetli saldırılar ve 2020’den nasıl İnternete maruz kalan OT varlıklarını savunmak.
Ayrıca, kritik altyapı güvenliğini artırmak ve yükseltmek için yakın zamanda Biden yönetiminin öncülük ettiği birkaç girişimin ardından geldi.
Örneğin, Temmuz 2021’de bir CISA ve NIST’e talimat veren ulusal güvenlik muhtırası ABD kritik altyapısının güvenliğini güçlendirmeye yardımcı olmak için kritik altyapı sahipleri ve operatörler için siber güvenlik performans hedefleri ve rehberliği geliştirmek.
Nisan ayında Five Eyes siber güvenlik yetkilileri de dünya çapında kritik altyapı savunucularını uyardı Rusya destekli bilgisayar korsanlığı gruplarının Ukrayna sınırları içindeki ve dışındaki kuruluşları hedef alma riskinin artması.
O zamanlar, ağ savunucularına, aktif olarak yararlanılan güvenlik kusurlarını yamalamaya öncelik vermeleri, son kullanıcılara eğitim sağlamaları, çok faktörlü kimlik doğrulamasını zorlamaları ve uzak masaüstü protokolü (RDP) varlıklarını güvenli hale getirmeleri ve izlemeleri tavsiye edildi.
Ocak ayında FBI, CISA ve NSA benzer bir ortak tavsiye yayınladıABD kritik altyapı kuruluşlarını hedef alan birden fazla Rus tehdit grubunu (APT29, APT28 ve Sandworm Team dahil) açığa çıkardı.