Kritik altyapılar, görünmeyen kablosuz tehditlere karşı savunmasız durumdadır. Artık kablosuz saldırılar “olursa” değil, “ne zaman olur” sorusuyla değerlendirilmekte olup; özellikle OT sistemlerinde sebep olabileceği kesintiler geri dönülmesi mümkün olmayan sonuçlara yol açabilmektedir.
Bu ihtiyaçtan yola çıkan Nozomi Networks, OT ve IoT ortamları için özel olarak geliştirdiği, endüstriyel sektöre yönelik ilk çok spektrumlu kablosuz güvenlik sensörü olan Guardian Air’i geliştirmiştir. Guardian Air, bu kesintileri henüz gerçekleşmeden engellemek üzere tasarlanmıştır.
Guardian Air sensörü, 800 MHz ile 5895 MHz arasındaki wireless spektrum teknolojilerini WiFi, Bluetooth, IEEE 802.15.4, LoRaWAN, Zwave, Hücresel ağlar ve dronlar dahil sürekli olarak izler. Guardian Air, dakikalar içinde çalışmaya hazır hâle gelebilen, tak-çalıştır bir sensördür. Topladığı veriler, kablolu ağ ve uç nokta verileriyle birlikte Vantage adlı bulut tabanlı yönetim sistemine sorunsuz bir şekilde entegre edilir ve OT ile IoT ortamlarınızda neler olup bittiğine dair kapsamlı bir görünürlük sağlar.
GÖRÜNMEYEN SALDIRI YÜZEYLERİ: KABLOSUZ PROTOKOLLER
Kablosuz iletişim, IoT cihazlarından endüstriyel kontrol sistemlerine kadar kritik altyapı güvenliği açısından hâlâ tam olarak çözülememiş en büyük tehditlerden biri olmaya devam etmektedir. Üretim tesislerindeki robotlardan, uzak bölgelerde boru hatlarını izleyen dronelara; enerji tüketimini kablosuz olarak yöneten sistemlerden bina otomasyon altyapılarına kadar endüstriyel ortamlar bu teknolojilere güvenmektedir.
Artık yalnızca Wi-Fi ve Bluetooth değil, LoRaWAN ve hücresel gibi uzun menzilli teknolojiler, Zigbee ve 802.15.4 tabanlı bina otomasyon sistemleri, Bluetooth, GPS, WirelessHART gibi birçok kablosuz protokol OT/IoT sistemlerinde aktif olarak kullanılmaktadır. Bu protokoller günlük operasyonların merkezinde yer almakta, ancak çoğu zaman görünmez durumda olmaktadır.
Kablosuz protokollerin yaygınlaşması, görünmeyen ve yeterince kontrol edilemeyen bir saldırı yüzeyinin oluşmasına neden olmakta, bu da yeni nesil tehditlerin önünü açmaktadır. Bu tehditler arasında yetkisiz erişim, kiralanabilir anten kullanımı (antenna-for-hire), ağ segmenti atlama (segmentation hopping), sinyal bozma (jamming), parazit (interference) ve sahte erişim noktası saldırıları (evil twin) gibi yöntemler yer almaktadırlar.
Üstelik bu tehditler yalnızca teoride kalmamaktadır. Nozomi Networks müşterilerinden edinilen örneklerde, bazı üretici firmaların üretim hatlarındaki makinelere uzaktan bakım amacıyla LoRaWAN cihazları entegre ettiği ancak bu cihazların kablosuz bağlantı yeteneklerinin varlık sahiplerine bildirilmediği vakalar tespit edilmiştir.
Kablosuz tehditlerin büyük bir bölümü, ancak cihazlar kablolu bir ağa bağlandığında fark edilebilmektedir. Bu durum, özellikle tamamen kablosuz çalışan sistemlerde tehdidin uzun süre algılanamamasına ve dolayısıyla zarara yol açmasına neden olmaktadır.
GUARDIAN AIR’İN İZLEDİĞİ KABLOSUZ FREKANSLAR VE PROTOKOLLER
Guardian Air; 6LoWPAN, Bluetooth / Bluetooth Low Energy @ 2.4GHz, Hücresel (Cellular), GPS, IEEE 802.15.4 @ 2.4GHz, ISA100.11a, LoRaWAN, MiWi, SNAP, Thread, WiFi, WirelessHART, Zigbee, Zwave @ 800-900MHz kablosuz frekanslarını ve protokollerini izleme yeteneğine sahiptir.
SAHA ÖRNEKLERİ VE GERÇEKLEŞMİŞ VAKA İNCELEMELERİ
Bu tehditler yalnızca üretim alanında değil, farklı sektörlerde de ciddi sonuçlara yol açmaktadır. Örneğin, Las Vegas’taki bir kumarhanede, lobiye yerleştirilen internet bağlantılı akıllı bir akvaryum, saldırganlar tarafından kullanılarak kurum ağına sızmak amacıyla kullanılmıştır. Bu saldırıda, yüksek bahis yapan müşterilere ait 10 gigabaytlık veri dışarıya aktarılmıştır.(Bkz.)
Bir başka vaka 2022 yazında ABD’nin doğu yakasında bir finans şirketinde, olağandışı aktivitelerin fark edilmesiyle tespit edilmiştir. Yapılan incelemelerde, saldırganların şirketin Wi-Fi ağına modifiye edilmiş, üzerinde Raspberry Pi ve çeşitli penetrasyon test cihazları bulunan dronlar aracılığıyla sızmaya çalıştıkları tespit edilmiştir. (Bkz.)
Bu ve benzeri birçok vakada, kablosuz ağ görünürlüğünün olmaması nedeniyle saldırılar fark edildiğinde genellikle artık çok geç olmaktadır.
Saldırganlar yalnızca fiziksel erişim ile değil, uzaktan kablosuz iletişim yoluyla da kurum ağına sızabilmektedir. Kamera sanılan bir drone, aslında bir siber saldırı aracı olabilir. Akıllı cihazların içine bir saldırı aracı eklenebilir.Bu tür cihazların ortamdayken tespit edilebilmesi ya da sinyal yaydığı alanın kat planı üzerinde görselleştirilebilmesi, tehdidin önüne geçilmesinde büyük fayda sağlamaktadır.
GUARDIAN AIR İLE ENDÜSTRİYEL KABLOSUZ GÜVENLİKTE YENİ NESİL YAKLAŞIM
Bu ihtiyaçtan yola çıkan Nozomi Networks, OT ve IoT ortamları için özel olarak geliştirdiği, endüstriyel sektöre yönelik ilk çok spektrumlu kablosuz güvenlik sensörü olan Guardian Air’i geliştirmiştir.
Guardian Air sinyal yaymamakta, ağlara katılmamakta; yalnızca ortamda bulunan farklı protokollere sahip kablosuz ağları ve yayın yapan varlıkları pasif olarak izlemekte, anında ve sürekli görünürlük sağlamaktadır. Guardian Air sistemi bağlı cihazların envanterini oluşturmakta; bunları IT, OT ve IoT olarak sınıflandırmakta ve donanım markası, modeli ile işletim sistemi bilgilerini raporlamaktadır.
Power over Ethernet (PoE) üzerinden çalışan bu küçük form faktörlü cihaz, tavan veya duvara monte edilmekte ve ortamı sürekli olarak dinlemektedir. Sisteme bağlanmamakta, veri göndermemekte, yalnızca gözlem yapmaktadır. En az üç sensörle üçgenleme yöntemini kullanarak rogue cihazların fiziksel konumunu belirleyebilmekte ve tüm bu verileri Nozomi’nin bulut tabanlı yönetim platformu olan Vantage’a aktarmaktadır.
Kablosuz tehditleri etkili şekilde tespit edebilmek için yalnızca varlık envanteri oluşturmak yeterli değildir. Yayın yapmakta olan ancak ağa bağlı olmayan şüpheli cihazların da fark edilmesi gerekir. Guardian Air, bu noktada da fark yaratmaktadır. Sahte erişim noktası (evil twin) saldırılarını, brute force girişimlerini ve sinyal bozma (jamming) gibi fiziksel katman saldırılarını tespit edebilmektedir.
GUARDIAN AIR İLE TESPİT, SINIFLANDIRMA VE GÖRSELLEŞTİRME BİR ARADA
Guardian Air ağdaki kablosuz trafiği analiz etmekte, anlık ve sürekli görünürlük sağlamaktadır. Bağlı cihazların envanterini çıkarmakta, iletişimde hangi protokollerin kullanıldığı, kimlerin yayın yaptığı gibi bilgilerin tamamını sağlamaktadır.
Yasal kısıtlamalar nedeniyle LoRaWAN ve hücresel protokollerde cihaz bilgisi toplanmamaktadır ancak bu frekanslardaki tehditler (örneğin sahte baz istasyonları) algılanabilmektedir.
Guardian Air sistemi sadece tespit değil, sınıflandırma da yapar. Ağa bağlı cihazları IT, OT ve IoT olarak ayırabilir; marka, model, işletim sistemi gibi bilgileri çıkarabilir. Yani sadece “ne var?” değil, “nereden gelmiş, ne yapıyor, ne kadar riskli?” sorularının da cevabı verilir. Ayrıca, bluetooth yasaklı alanlara giren cihazları tespit edebilmekte, bina otomasyon sistemlerine yönelik saldırıları izleyebilmekte ve uzun menzilli iletişim tehditlerine karşı uyarılar oluşturabilmektedir. Wi-Fi’de mavi nokta, Bluetooth’ta kırmızı alan gibi görsel haritalandırmalarla tehditlerin fiziksel konumu görüntülenebilmektedir.
Guardian Air sistemi, Nozomi Vantage platformu üzerinden merkezi olarak yönetilen; sensör durumu, ağ yapısı, sinyal gücü gibi bilgiler takip eden, kurulumda sıfır konfigürasyon gerektiren bir sistemdir. Otomatik yapılandırılmakta ve sürekli olarak güncellenmektedir.