Kurumsal liderler için mobil, Nesnelerin İnterneti (IoT) ve Operasyonel Teknoloji (OT) sistemlerinin entegrasyonu, iki ucu keskin bir kılıca dönüştü. Bu teknolojiler bir yandan ticari operasyonların bel kemiğini oluşturup inovasyonu tetiklerken, diğer yandan da devasa, birbirine bağlı ve savunmasız yeni bir saldırı yüzeyi yarattı.
Zscaler ThreatLabz tarafından yayımlanan ve günde 500 trilyondan fazla sinyali ve 20 milyon mobil kaynaklı tehdidi analiz eden yeni bir rapor, tehdit aktörlerinin bu “genişleyen bağlantı ve karşılıklı bağımlılık ağını” başarılı bir şekilde istismar ettiği sonucuna varıyor.
IoT ve OT Sistemleri Ana Hedefte
Varlık ağırlıklı sektörlerdeki operasyon (COO) ve bilgi güvenliği (CISO) yöneticileri için raporun IoT ve OT bulguları endişe verici. Kötü amaçlı faaliyetler artık yüksek hacimli bir gerçeklik haline gelmiş durumda.
Saldırı alanına Mirai, Mozi ve Gafgyt gibi birkaç kalıcı kötü amaçlı yazılım ailesi hakim; bu üçü, tüm kötü amaçlı IoT yüklerinin yaklaşık %75’ini oluşturuyor. Bu yazılımların birincil hedefleri ise ağa açılan kapılar. Yönlendiriciler (Router), tüm saldırıların %75’inden fazlasını oluşturarak en çok hedeflenen cihaz türü olmaya devam ediyor, çünkü saldırganlar bu cihazları “botnet genişletme ve kötü amaçlı yazılım dağıtımı” için kullanıyor.
Ağ donanımına odaklanılmasının endüstriyel sektör üzerinde doğrudan bir etkisi var. Üretim ve ulaşım sektörleri, her biri tüm IoT kötü amaçlı yazılım saldırılarının %20.2’sini alarak en çok hedeflenen endüstriler olarak başı çekiyor.
Bu geleneksel OT sektörleri yüksek öncelikli hedefler olmaya devam ederken, tehdit yayılıyor. Rapor, kurumsal IoT sistemlerini benimseyen sektörlere yönelik saldırılarda yıldan yıla patlayıcı bir büyüme olduğunu belgeliyor:
- Sanat, Medya ve Eğlence (%1.862 artış)
- Eğitim (%861 artış)
- Finans ve Sigorta (%702 artış)
- Enerji, Kamu Hizmetleri ve Petrol & Gaz (%459 artış)
Durumu daha da kötüleştiren şey, hücresel bağlantılı IoT’ye olan bağımlılığın artması. Genellikle uzak veya zorlu ortamlarda konuşlandırılan bu cihazlar, bağlantı boşlukları ve zayıf SIM korumaları nedeniyle “tespit edilmesi ve savunulması zor bir gölge saldırı yüzeyi” yaratıyor.
Giriş Noktası: Mobil Cihazlar ve Hibrit Çalışma
Kurumsal IoT ve OT sistemlerinin ötesinde, tehdit aktörleri güvenli bir operasyonel ortama giden en kolay yolun genellikle kurumsal ağ olduğunu ve bu ağa giden en kolay yolun da bir çalışanın mobil cihazı olduğunu çok iyi biliyor.
Rapor, Android kötü amaçlı yazılım işlemlerinde yıldan yıla %67’lik bir büyüme kaydediyor. Bu, doğrudan modern çalışmanın gerçekleriyle bağlantılı. Hibrit modeller kalıcı hale geldikçe, “çalışanlar zamanlarını ev ve ofis arasında bölüyor, iletişim, üretkenlik ve kurumsal kaynaklara erişim için genellikle mobil cihazlarına yoğun bir şekilde güveniyorlar.”
Kendi Cihazını Getir (BYOD) politikalarının yaygın olarak benimsenmesi, esnek olsa da saldırı yüzeyini genişletiyor. Raporun belirttiği gibi, çalışanların sahip olduğu cihazlar “genellikle hassas kurumsal verilere erişmek, kurumsal ağlara bağlanmak ve üretkenlik uygulamalarını kullanmak için kullanılıyor ve bu da potansiyel güvenlik açıkları yaratıyor.”
Saldırganlar bu cihazları birkaç temel vektör aracılığıyla hedef alıyor. Birincil yöntem, güvenilir pazar yerlerine sızmak; Google Play Store’daki ‘Araçlar’ kategorisi, kötü amaçlı yazılımlar için sıkça kullanılan bir kılıf. Yakın zamanda bir raporda 239 kötü amaçlı uygulamanın 42 milyon kez indirildiği belirtildi.
Bu genellikle “mishing” (SMS tabanlı kimlik avı) gibi sosyal mühendislik yöntemleriyle birleştiriliyor. Bu yöntemde, kullanıcıları sahte teslimat veya banka uyarılarıyla kötü amaçlı sitelere çekmek için acil durum mesajları kullanılıyor.
Son olarak, amaç genellikle izin istismarı yoluyla kontrolü ele geçirmek. Xnotice RAT gibi birçok kötü amaçlı yazılım ailesi, kullanıcıları erişilebilirlik hizmeti izinlerini vermeye kandırmak için tasarlanmıştır; bu, “tehdit aktörlerinin enfekte olmuş cihazların tam kontrolünü ele geçirmesinin en yaygın yolu” olarak tanımlanıyor.
Mobil kötü amaçlı yazılımlar tarafından hedeflenen sektörler, OT cephesinde hedeflenenlerle örtüşüyor. Üretim (%26.06) ve Enerji, Kamu Hizmetleri, Petrol & Gaz (%18.97), mobil tehditlerin en çok vurduğu ilk iki sektör.
Enerji sektörüne yönelik saldırılardaki artış (yıldan yıla %387) ve Sağlık sektöründeki artış (%225), temel altyapıyı ve hassas verileri yöneten kuruluşlardaki çalışanları tehlikeye atmaya yönelik kasıtlı bir çabayı gösteriyor.
Kurumsal IoT, Mobil ve OT Sistemlerini Güvence Altına Alma Stratejileri
IoT, mobil ve OT tehditlerinin yakınsaması, savunmada da buna karşılık gelen bir yakınsama gerektiriyor. Raporun bulguları, çevre tabanlı güvenlikten (perimeter-based security) sıfır güven (zero-trust) mimarisine geçişi savunuyor.
Kurumsal liderler için bu durum üç acil öncelik anlamına geliyor:
- Keşfet ve Sınıflandır: İlk adım tam görünürlüktür. Kuruluşlar, “yönetilen, yönetilmeyen ve ‘gölge’ sistemler de dâhil olmak üzere tüm IoT ve OT ekosisteminizde tam görünürlük elde etmek için birleşik bir strateji geliştirmeli.” Tam bir envanter olmadan güvenli segmentasyon imkânsızdır.
- Ağ Segmentasyonuna Odaklan: Sıfır güvenin temel ilkesi, bir ihlalin olduğunu varsaymak ve yanal hareketi (lateral movement) önlemektir. Rapor, liderleri “gelişmiş sıfır güven ağ segmentasyonu uygulamaya” ve “yönetilmeyen OT sistemlerini ‘tekil ağlara’ (networks of one) izole etmeye” çağırıyor. Bu, bir cihaz ele geçirilse bile, temel operasyonel kontrollere ulaşmak için bir sıçrama tahtası olarak kullanılmamasını sağlar.
- Hücresel Bağlantıları Güvence Altına Al: Hücresel IoT’nin “gölge saldırı yüzeyi” aydınlığa çıkarılmalıdır. Bu, “dahili uygulamalara yetkisiz erişimi veya sınırsız veri planlarının kötüye kullanılmasını önlemek” için SIM kartları güvence altına alarak “hücresel IoT cihazları için güvenliği” artırmayı içerir.
Bu birbirine bağımlı IoT, mobil ve OT kurumsal sistemler ekosistemini güvence altına almak artık sadece CISO’nun bir görevi değil; tüm yönetici ekibinin dikkatini gerektiren temel bir iş dayanıklılığı meselesidir.
