RSAC
2021 RSA Konferansı‘nda düzenlenen Bir IoT Hackerının Zihnine (Into the Mind of an IoT Hacker) oturumunda güvenlik uzmanları Itzik Feiglevitch ve Justin Sowder, çeşitli IoT cihazlarındaki güvenlik açıkları ve kurumsal siber güvenlik açısından ele alınması gereken özel uygulamalar konusuna dikkat çektiler. Bununla birlikte günümüz işletmelerideki IoT güvenliğine ilişkin durumu gösteren birkaç çarpıcı örnek sundular.
Kurumsal IoT donanımlarını takip eden az sayıda siber güvenlik uzmanı var. Büyük bir çoğunluğu bu donanımları takip etmez çünkü akıllı asansörler, her türdeki sensörler, IPTV, yazıcılar, güvenlik kameraları ve bunun gibi çok geniş bir yelpazede yer alan cihazların her biri kendi işletim sistemine ve tescilli protokollere sahiptir ve birçoğunda olup biteni görebileceğiniz düzgün bir kontrol arayüzü bulunmaz. Şirketinizde bu cihazlardan binlercesi olabilir.
IoT cihazlarının yeni siber güvenlik riskleri yaratmasının nedeni
IoT cihazları her zaman ilgili altyapıya ait değildir; bir ağa bağlı bir yazıcı normalde bir ağ aygıtı olarak sayılsa da, aynı şey “akıllı bina” bileşenleri ve hatta IP telefon sistemleri için geçerli değildir. Açık olmak gerekirse, bu tür cihazlar kurumsal iş istasyonlarıyla aynı ağa bağlanma eğilimindedir.
Personel değişikliği de durumun daha karmaşık hale gelmesine neden olabiliyor. Siber güvenlik ve BT personelindeki değişim oranı ne kadar yüksekse, yeni çalışmaya başlayan bir personelin ağa bağlı IoT hayvanat bahçesi hakkında bilgi sahibi olma olasılığı da o kadar düşük olur.
Belki de bu durumla ilgili yaşanabilecek en kötü senaryo, bu cihazlardan bazılarına dışarıdan erişilebilmesidir. Bunu konuda sağlayıcının cihaz üzerinde bazı kontroller gerçekleştirmesi, evden çalışma imkanı, bakım gibi geçerli nedenler olabilir ancak ancak bir yandan kurumsal ağa bağlı cihazların olması, diğer yandan cihazların sürekli internet bağlı olması risk doğurur.
Kulağa çelişkili gelebilir ancak günümüz elektronik cihazların sağlamlığı bir başka risk faktörüdür: Bazı IoT cihazlarının ömrü çok uzundur ve tasarlandıkları zamana göre çok daha karmaşık güvenlik ortamlarında çalışırlar.
Örneğin bazı cihazlar, artık güncellenmeyen eski, güvenlik açığı bulunan işletim sistemleri üzerinde çalışırlar ve bu sistemler güncellenebilseler bile güncellemenin cihaza fiziksel erişim sağlanarak yapılması gerekebilir ki bu da zordan imkansıza varan seviyede bir olasılıktır. Bazı cihazlarda ise değiştirilemeyen parolalar, arka kapı hata ayıklamalarının yanlışlıkla son sürümdeki ürün yazılımında kalması ve bunun gibi, bir BT güvenlik uzmanının hayatına heyecan katacak bir çok sürpriz vardır.
Saldırganların IoT cihazlarına ilgi duymalarının nedeni
Siber suçlular, hem ana bilgisayarın bulunduğu şirketlere saldırmak hem de diğer şirketlere yönelik saldırılar düzenlemek gibi çeşitli nedenlerle IoT cihazlarını ilgi çekici buluyorlar. Güvenliği ihlal edilmiş akıllı cihazlar genellikle şu temel amaçlar için kullanılıyor:
- DDoS saldırıları için bir botnet oluşturmak;
- Kripto para madenciliği;
- Gizli bilgileri çalmak;
- Sabotaj;
- Ağda daha fazla saldırı gerçekleştirmek ve yanal hareket için bir sıçrama tahtası olarak kullanmak.
Örnek olay incelemeleri
Araştırmacılar oldukça saçma bazı vakalar anlattılar. Bunlar hem internete bağlı standart cihazlarla hem de oldukça belirli bir amaca yönelik olan özel cihazlarla ilgiliydi. Dikkat çeken iki örnekte, ultrason cihazları ve Zigbee protokollerini kullanan cihazlar öne çıkıyor.
Ultrason cihazı
Sağlık sektöründe faaliyet gösteren günümüz işletmeleri, çok sayıda IoT tıbbi cihazdan yararlanıyor. Araştırmacılar, bu cihazların güvenliğini test etmek için kullanılmış bir ultrason cihazı satın aldı ve onu hacklemeye çalıştı. Cihazı ele geçirmek yalnızca beş dakikalarını aldı; cihaz, Windows 2000’in hiç güncellenmemiş bir sürümün ile çalışıyordu. Ayrıca, sadece cihazın kontrolünü ele geçirmekle kalmayıp, aynı zamanda önceki sahibin cihazdan silmediği hasta verilerine de erişebildiler.
Doktorlar genellikle tıbbi cihazları yıllarca, hatta on yıllarca güncellemeden veya yükseltmeden kullanırlar. Eğer cihaz bozulmadıysa ya da başka bir neden yoksa bu anlaşılabilir bir durumdur ancak bu cihazlar ömürleri boyunca sadece onları satın alan ilk işletmede kullanılmazlar; genellikle başkasına satılır ve kullanılmaya devam ederler.
Zigbee protokolleri
Şirketler, örgüsel ağ oluşturmak ve çoğunlukla akıllı bir binadaki çeşitli bileşenleri birbiriyle bağlamak için cihazlar arasında enerji tasarruflu kablosuz iletişim sağlanması amacıyla 2003 yılında geliştirilen Zigbee ağ protokollerini kullanırlar. Sonuç olarak, ofiste herhangi bir yerde olan bir ağ geçidi ile örneğin bir akıllı aydınlatma sistemi gibi düzinelerce farklı cihazı kontrol edilir.
Bazı araştırmacılar, bir siber suçlunun normal bir dizüstü bilgisayarda, bir Zigbee cihazını kolayca taklit edebileceğini, bir ağ geçidine bağlanabileceğini ve kötü amaçlı yazılım yükleyebileceğini söylüyor. Siber suçlunun, örneğin ofis lobisi gibi Zigbee ağının kapsama alanı içinde olması yeterlidir. Ağ geçidinin kontrolünü ele geçirdikten sonra ağa bağlı cihazları, örneğin binadaki tüm akıllı ışıkları kapatmak gibi bir çok bir şekilde sabote edebilirler.
Kurumsal bir ağın güvenliğinin sağlanması
Güvenlik görevlileri, kurumsal ağdaki IOT cihazlarının mı, yoksa kurumsal ağın IOT cihazlarından mı korunması gerektiği konusundan her zaman emin olamıyorlar. Aslında her iki sorunun da çözülmesi gerekiyor. Buradaki asıl önemli nokta, ağdaki her unsurun ve işlemin görünür olmasının sağlanmasıdır. Kurumsal güvenliğin sağlanması, öncelikle ağa bağlı tüm cihazların tanımlanmasını, doğru şekilde sınıflandırılmasını ve ideal olarak ilgili risklerin analiz edilmesini gerektirir.
Bir sonraki adım, tabi ki, analiz sonuçlarına göre ağ bölümlendirmesi yapılmasıdır. Bir cihazın kullanımı zorunlu ve ikamesi mümkün değil ancak güncellemelerle giderilemeyecek güvenlik açıklarına sahipse ağınızı, savunmasız cihazların internete erişimini engelleyecek şekilde yapılandırmanız ve ayrıca diğer ağ segmentlerine olan erişimlerini kaldırmanız gereklidir. İdeali, segmentasyon için bir Sıfır Güven konsepti kullanmanızdır.
İlgili segmentlerdeki anormallikler için ağ trafiğini izlemek, DDoS saldırıları veya madencilik amacıyla kullanılan güvenliği ihlal edilmiş IoT cihazlarını izleme beceriniz açısından da kritik öneme sahiptir.
Son olarak, ağa erişim için bağlantı noktası oluşturmak ve diğer sistemlere saldırmak amacıyla IoT cihazlarını kullanan gelişmiş saldırıların erken tespiti için EDR sınıfı bir çözüm kullanın.
İpuçları