Axis Communications'dan Peter Dempsey, siber saldırıların herhangi bir yerden gelebileceğini ve yıllarca fark edilmeden gizlenebileceğini, bu nedenle veri merkezlerinin giderek daha sıkı hale gelen düzenlemeleri ihlal etmekten kaçınmak için kendilerini esnek güvenlik donanımlarıyla donatmalarının zorunlu olduğunu söylüyor.
Siber suçlular için veri merkezleri, saldırının amacı ister veri çalmak, ister kritik sistemleri bozmak ya da fidye yazılımı dağıtmak olsun, kazançlı ve cazip bir ödülü temsil etmektedir. Bir veri merkezi çok sayıda sistemi, süreci ve donanım cihazını temsil eder ve bunlardan herhangi birinin zırhında bir çatlak olması yeterlidir. Eğer istismar edilebilecekse, edilecektir - ve giriş için pek çok potansiyel yol vardır.
20.000'den fazla Veri Merkezi Altyapı Yönetimi (DCIM) sisteminin kamuya açık olduğu tespit edilmiştir ve bunlar bir saldırganın sıcaklık ve nem eşiklerini değiştirerek bir veri merkezini bozmasına izin verebilir. Bazı Kesintisiz Güç Kaynağı (UPS) sistemlerinin de savunmasız olduğu ve bilgisayar korsanlarına veri merkezi gücüne erişim sağladığı tespit edilmiştir. Ayrıca veri merkezleri, saldırı vektörleri olarak işlev görebilecek Nesnelerin İnterneti (IoT) cihazlarıyla doludur. Veri merkezleri savunmasızlıklarının farkında olmalı ve altyapılarının her parçasını korumak için çaba göstermelidir.
APT31 - Gizli saldırılar için hazırlanın
Birçok veri merkezi çoktan sessizce ele geçirilmiş olabilir. Saldırganlar, kendi zararlı dosyalarını yüklemek yerine bilgisayar sistemlerinin temel araçlarından yararlanan sofistike "arazide yaşama" (LOTL) saldırılarını giderek daha fazla kullanmaktadır. Bu tür bir sızma fark edilmesi zor olup, kötü niyetli kişi harekete geçmeye hazır olana kadar yıllarca tespit edilmeden kalabilir1.
Bu aktörler büyük kuruluşlar olabilir. Birçok durumda, devlet destekli ajanlardan kaynaklanan LOTL yüklerinin kritik ağlarda gizlendiği tespit edilmiştir. Birleşik Krallık Ulusal Siber Güvenlik Merkezi, devlet destekli bilgisayar korsanlığı grubu APT31'in bir grup milletvekilini hedef alma girişiminde bulunduğunu açıkladı. APT31 siber tehdidi, Birleşik Krallık ekonomisini, kritik ulusal altyapıyı ve tedarik zincirlerini de kapsamaktadır2.
Bu durum, veri merkezi yöneticilerinin güvenlik konusunda sadece bilinen siber güvenlik ilkelerine dayanmayan, aktif izleme ve sıkı bir durum tespiti uygulayan proaktif bir yaklaşım benimsemeleri gerektiğini vurgulamaktadır. Bu da günümüzün düzenleyici ortamında özellikle önemlidir.
NIS2 - Kritik altyapıdaki veri anormalliklerini tespit etme
NIS 2 Direktifi (NIS2) ve Siber Dayanıklılık Yasası veri merkezlerini kritik altyapı olarak yeniden sınıflandırmaktadır. Artık sağlık, enerji ve ulaştırma ile aynı kategoriye girmektedirler ve yönetimleri konusunda aynı düzeyde inceleme ile karşılaşacaklardır. Bu tür bir mevzuatın yetki alanında olsun ya da olmasın, veri merkezi işletmecilerinin savunmalarını sıkılaştırmaktan başka çareleri yoktur.
Bir ağdaki her bir donanım, yazılım ve aygıt yazılımının davranışı, en zararsız görünen olağandışı etkinliği bile tespit etmek için düzenli olarak analiz edilmelidir. Bu dedektiflik çalışması veri merkezinin sınırlarının ötesine de uzanmalıdır, çünkü NIS2 kritik kuruluşların yanı sıra işbirlikçilerin faaliyetleri için de geçerlidir. Buna ekipman satıcıları ve en önemlisi tedarik zincirindeki her adım dahildir.
Tedarik zinciri güvenlik açıklarını bulma
Bir saldırgan doğrudan yollarla bir veri merkezine sızamazsa, henüz konuşlandırılmamış ekipmana kötü amaçlı bir yük enjekte etmeye çalışabilir. IoT cihazları suçlular için verimli bir zemin oluşturmaktadır: varsayılan olarak ağa bağlıdırlar ve genellikle daha belirgin saldırı vektörleri ile aynı ayrıntı düzeyinde incelenmezler. LOTL yüklerinde olduğu gibi, kötü niyetli IoT cihazları saldırganların örtülü güvene sırtlarını dayamalarına izin verdikleri için göz önünde saklanabilirler.
Tedarik zinciri saldırıları son derece tehlikelidir ve artış göstermektedir; 2022'de doğrudan yapılan kötü amaçlı yazılım saldırılarını %40 3 oranında geçmiştir. Artık herhangi bir örtülü güveni haklı çıkarmanın bir yolu yoktur: satıcılar tedarik zincirlerinin güvenliğini ve güvenilirliğini ayrıntılı bir şekilde ortaya koymalı ve yetkisiz değişikliklerin yapılmamasını sağlamak için harekete geçmelidir. Veri merkezlerinin de bu durumdan etkilenmemek için her tedarikçi ilişkisini yeniden değerlendirmesi gerekiyor.
Neyse ki modern teknoloji, tedarikçilerin donanımlarının meşruiyetini oldukça temiz bir şekilde göstermelerine olanak tanıyor. Güvenilir platform modülü donanımı, imzalı ürün yazılımını koruyarak zincir boyunca bir cihazın bütünlüğüne dair güven sunar. Güvenli önyükleme, yetkisiz ürün yazılımının çalışmasını engeller. Ve bazı cihazlar kriptografik anahtarları ve sertifikaları güvenli bir şekilde içinde saklayabilir, böylece güvenlik kimlik bilgilerini güçlendirirken kişinin savunmasını yönetme sürecini basitleştirir.
Mevzuat baskısı ile başa çıkma
NIS2 gibi düzenlemeler temelde veri merkezlerine hemen harekete geçmekten ya da büyük para cezalarıyla karşı karşıya kalmaktan başka seçenek bırakmıyor. Şartları, veri merkezi yöneticilerini yalnızca şirket içi ihlallerden değil, bazı üçüncü taraf güvenlik açıklarından kaynaklanan ihlallerden de sorumlu kılıyor. Güvenlik baştan aşağı yeniden değerlendirilmelidir.
Kameralar, termal ve radar algılama ve erişim kontrolü yoluyla güçlü fiziksel güvenlik açıkça hayati önem taşımaktadır, çünkü sahadaki bir saldırgan anlatılamaz bir bozulmaya neden olabilir. Ancak mantıksal güvenlik, saldırganların siteye sanal olarak ulaşmamasını sağlamak için aynı derecede hayati önem taşır. Düzenlemeler kapsamında olsun ya da olmasın, her donanım ve yazılım parçası düzenli olarak kataloglanmalı, analiz edilmeli, önceliklendirilmeli ve belgelenmelidir.
Uyumluluğun açık bir kayıtla kanıtlanması gerekir - ve tedarikçiler de bunu sağlamalıdır. Herhangi bir değere sahip hiçbir tedarikçi, seviyeye uygun olmayan herhangi bir şey yayınlamak istemez; ürünlerini önemseyen tedarikçilerle çalışmak, veri merkezlerinin daha akıllı ve daha güvenli bir dünya yaratmasının yoludur.
