Bugünkü yazımda, ilk olarak bal küplerinin ne olduğu, hangi amaçla kullanıldığını, avantajlarının neler olduğunu ve bu teknik konseptin Endüstriyel Kontrol sistemlerinde nasıl kullanılabileceği konularına değineceğim.
Güvenlikte savunma ne kadar güçlü olsa da saldırgan mutlaka sisteme sızacak bir açık bulur. Bu sebeple iyi bir güvenlik sürekliliği ile ölçülür. Sistemlerinize saldırdırı yapılmadan önce bilgisayar korsanlarının nasıl saldıracağını tahmin etmek ve buna göre güvenliği sağlamak çok işinize yarayacaktır. Sisteminizde ki açıkları sürekli takip edemezsiniz, bu açıkların ya da sisteminizde yayımladığınız servislerin güvenliği hakkında her zaman gözden kaçırmış olduğunuz bir şeyler olabilir. Bu durumda size yardım edecek birşeyler lazım ya birini bu iş için görevlendireceksiniz ya da bunlardan daha fazlasını sizin için loglayan ve sadece loglamakla kalmayan saldırganla da dalga geçebileceğiniz gibi onu oyalayabileyen bir yazılım bulunduracaksınız. Honeypots (Bal Küpü), bilgisayar sistemlerini daha da geliştirmek için saldırılar hakkında bilgi edinme amacıyla, bilgi sistemlerinin herhangi bir şekilde kullanılmaması girişimlerini tespit etmek üzere ayarlanmış tuzaklardır. Ava giderken avlanmak tabiri burada tam otuyor. Geleneksel olarak, ağ güvenliğini sürdürmek, güvenlik duvarları, saldırı tespit sistemleri ve şifreleme gibi ağ tabanlı savunma tekniklerini içerir. Ancak mevcut durum, bilgi sistemlerinin yasadışı kullanımı konusundaki teşebbüsleri tespit etmek, saptırmak ve bunlara karşı koymak için daha proaktif teknikler gerektirmektedir. Böyle bir senaryoda, bal küplerinin kullanımı, ağ güvenliği tehditleriyle mücadele etmek için proaktif ve umut verici bir yaklaşımdır.
Bal Küpü, bilgi sistemlerinin yetkisiz kullanımında teşebbüsleri tespit etmek üzere ayarlanmış bir tuzak olarak tanımlanabilir. Bir Bal Küpünün temel amacı saldırıları tespit etmek ve öğrenmek ve güvenliği arttırmak için bilgiyi kullanmaktır. Bal Küpü uzun zamandır saldırganların faaliyetlerini izlemek ve gelecek tehditlere karşı savunmak için kullanılmaktadır. İki çeşit Bal Küpü vardır:
1. Araştırma Bal Küpleri: Bir Araştırma bal küpü, davetsiz misafirlerin taktiklerini ve tekniklerini incelemek için kullanılır. Bir sistemden taviz verirken bir saldırganın nasıl çalıştığını görmek için bir nöbetçi olarak kullanılır.
2. Üretim Bal Küpleri: Bunlar öncelikle tespit etme ve organizasyonları korumak için kullanılır. Bir üretim bal küpünün temel amacı, bir organizasyondaki riski azaltmaya yardımcı olmaktır.
Bal küplerinin avantajlarını aşağıda belirttiğim şekilde sıralayabiliriz.

  1. Gerçek Zamanlı Verilerin Toplanması: Bal Küpleri, küçük bir hacimde veri toplarken, bu verilerin neredeyse hepsi gerçek bir saldırı veya yetkisiz bir etkinliktir.
  2. Düşük Seviye Yanlış Uyarılar: Çoğu algılama teknolojisiyle (IDS, IPS) uyarıların büyük bir kısmı yanlış uyarılar olurken Bal Küplerinde algılamalar daha yüksek seviyede doğruluk sağlar.
  3. Maliyet etkin: Bal Küpleri sadece kötü amaçlı etkinlikle etkileşir ve yüksek performanslı kaynak gerektirmez.
  4. Şifreleme: Bir Bal Küpü ile, bir saldırganın şifreleme kullanması fark etmez; etkinlik her türlü yakalanacaktır.
  5. Basit: Bal Küplerini anlamak, yaygınlaştırmak ve korumak çok basittir.

Bal küpleri, uygulanması için gerekli olan karmaşıklık derecesine ve izin verilen saldırganla etkileşim düzeyine göre sınıflandırılabilir. Bu şekilde, bir bal küpü yalnızca hizmet ve işletim sistemlerini simüle ettiğinde, düşük etkileşimli bal küpü olarak sınıflandırılır; Bunlar kolayca kullanılabilir ve saklanabilir ve ilgili risk neredeyse sıfırdır. Ne yazık ki, genellikle saldırgan tarafından kolayca tanımlanabilirler, bu yüzden normalde sadece otomatik veya otomatik saldırılarla hedeflenirler ve kendileri tarafından kaydedilen bilgiler oldukça sınırlıdır. Ayrıca, yüksek etkileşimli Bal küpleri olarak sınıflandırılan Bal küpleri genellikle gerçek sistemlerde çalışan gerçek uygulamalardır. Bu nedenle, saldırganlar hakkında daha az etkileşimli Bal küplerinden çok daha fazla bilgi toplayabilirler. Ancak, saldırganlar bu Bal küplerini diğer sistemler için bir erişim noktası olarak kullanabilir ve bu nedenle, hiçbir sistemin tehlikeye girmediğinden emin olmak için ek güvenlik önlemlerini almak gerekir.
Şunana kadar bahsettiğim konseptlerin çoğu Bilgi Teknolojileri ortamları için geliştirilmiştir, ancak diğerleri arasında Conpot veya GasPot gibi Operasyonel Teknolojiler alanı için birkaç bal küpü projesi de oluşturulmuştur. Örnek bir bal ağı (Honeynet) aşağıdaki sizlerle paylaşılmıştır.

İnternette bulunan ve Shodan ve Censys gibi meta-arama motorları vasıtasıyla kolayca izlenebilir olan Operasyonel Teknoloji sistemlerinin çok büyük bir kısmı, yeterli güvenlik mekanizmalarının eksikliğini kanıtlamaktadır. (örneğin şifreli iletişim, iki faktörlü kimlik doğrulama, vb.). Bu nedenle, saldırganların metodolojileri, potansiyel hedefleri ve sistemleri hakkında mümkün olduğunca fazla bilgi elde etmek yararlıdır, böylece olası saldırıları tahmin edebilir ve ortaya çıkan herhangi bir olaya hızlı müdehale etme seviyemizi geliştirebiliriz.
Bir bal küpünü uygulamak, söz konusu bilgileri elde etmenin iyi bir yolu olabilir; fakat ihtiyaçlarımızın karşılandığından ve belirli gereksinimleri göz önünde bulundurduğumuzdan emin olmak koşuluyla: Saldırganın onu algılayıp tuzağa düşmesini önlemek için olabildiğince eksiksiz olmalıdır. Bazı otomatik araçlar, bir IP adresinin bir bal küpüne ait olup olmadığını ve bir olasılığa göre derecelendirip değerlendirmediğini saptayabilen, Shodan’ın bal küpü detektörlerine sahiptir.
Kurduğunuz Bal Küpü, kötü niyetli kullanıcılara olabildiğince çekici gelirse, böylece sistemlerinize saldırması daha olasıdır. Saldırganın ilgisini kaybettiren bir sisteme saldırmanın zorluğu, çok kolay olmayan bir şey olmak zorundadır. Bu şekilde açıkça gerçek olmayan ve çok karmaşık bir şey olarak tanımlanabilir. Bu şekilde, saldırganlar metodolojileri hakkında daha fazla bilgi toplayabilirsiniz. Ağın her parçasında, bir bal ağı görüntülemek ve mümkün olduğunca fazla bilgi elde etmek için tüm ağı simüle etmelidir.
Kontrol sisteminizin güvenliğini geliştirmek için bal küpünün kullanışlı bir araç olduğuna ikna oldunuz mu? Bir kontrol sistemindeki çözümün hızlı ve kolay bir şekilde görüntülenmesini sağlayan çeşitli seçenekler vardır. Bunlardan bazıları şunlardır:

  • Conpot, kolayca uygulanabilen, değiştirilebilen ve genişletilebilen bir endüstriyel kontrol sistemi olan düşük etkileşimli bal küpüdür. Temel elemanların oluşturulmasını sağlar, böylece çok çeşitli ortak endüstriyel protokoller sayesinde neredeyse her sisteme kurulabilir. Şu anda Honeynet Projesi‘ne entegre edilmiş durumdadır.
  • Gridpot, gerçekçi bir elektrik ağı olan SCADA’yı simüle eden açık kaynaklı bir bal küpüdür. Gridpot, Conpot honeypot ve GridLAB-D güç dağıtım sistemi simülatörünü birleştirir. Bu kombinasyon, bu Honeypot’a, Conpot’un veri edinimi ile ilgili avantajları ve GridLAB-D sayesinde daha gerçekçi hale getiren farklı konseptlere sahip bir simülasyon ortamı sunmaktadır.
  • GasPot, Veeder Root tarafından Guardian AST tank izleme sistemini simüle etmek için tasarlanmış bir bal küpüdür. Bu izleme sistemleri, yakıt seviyesini ölçmek için petrol endüstrisinde yaygın olarak kullanılmaktadır. GasPot mümkün olduğu kadar öngörülemeyen bir şekilde geliştirilmiştir, böylece iki bal küpü tuzağı birbirine benzemez. Github üzerindeki deposundan indirilebilen açık kaynaklı bir araçtır.
  • iHoney, 2017 yılında S2 Grubu ile birlikte İspanya Sanayi, Enerji ve Turizm Bakanlığı tarafından oluşturulan bir araştırma projesidir. Bu projede, bu tür tesislerin yaşayabileceği gerçek saldırılar hakkında mümkün olan en fazla bilgiyi elde edebilmek için gerçek bir tesiste bulunabilecek her olası unsur dahil olmak üzere bir atık su arıtma tesisi tamamen simüle edilmiştir.

Her bir endüstriyel kontrol sistemi birbirinden farklıdır, bu yüzden her sistemi doğru bir şekilde simüle eden bir bal küpünü uygulamak zor bir görevdir, ancak bal küpü kullanmanın çeşitli faydalarını aşağıda belirttiğim gibi sıralayabiliriz:

  • Saldırganlar için dikkat dağıtıcı olmak ile beraber gerçek bir sisteme saldırdıklarına inanmalarını sağlıyorsunuz.
  • Endüstriyel kontrol sisteminize kimin saldıracağı hakkında bilgi toplanması ve bunu yapmak için kullanılan yöntemleri ve araçları izlemenize olanak sağlar.
  • Sistemin güvenliğini test etmek için bir araç olarak hizmet eder. Bal Küpü, sistemin mevcut güvenlik düzeyini doğru bir şekilde taklit ederse, güvenliği analiz etmek için gerçek endüstriyel süreci etkilemeyecek şekilde sızma testi yapan uzmanlar tarafından da kullanılabilir.
  • Saldırganları engellemek ve daha fazla sisteme saldırmaktan kaçınmaları için kullanılabilir.

Ancak, bal küpü uygulanmasından kaynaklanan dezavantajlar da dikkate almanız gerekmektedir:

  • Bal küpleri uygun ve gerekli olan yerlere konumlandırılmazsa, tuzak bir erişim noktası olarak kullanılabilir (saldırganların bunu engellemek yerine sisteme girmesini kolaylaştırır).
  • İkinci sorun ise, bir bal küpünün uygulanmasının, gerçek veya simüle edilmiş yazılım ve donanım gibi ek bir maliyete yol açan ekstra ekipman gerektirmesidir.
  • Operasyonel Teknoloji cihazlarının gerçekçi bir simülasyonuna sahip olmanın zorluğu da bir dezavantajdır çünkü bir saldırı almak ve düşmanı kandırmak istiyorsak gerçek görünmemiz gerekiyor.
  • Son olarak, bilgi toplamak ve güvenliği arttırmak için kullanmak istiyorsak, bal küplerinde toplanan bilgilerin analizini yapmak için ek çalışanların da işe alınması gerekmektedir ve insan kaynağı ihtiyacı bulunmaktadır.

Bal Küpleri, endüstriyel kontrol sistemleri alanında tehditlere erişim ve bunların avantajları ve dezavantajları için bir erişim noktası kullanılmasını önlemek için uygun güvenlik önlemlerine sahip oldukları sürece, izleme ve savunma amaçlı güçlü bir araçtır. Ülkemizde Endüstriyel kontrol sistemleri ihtiyaçlarına cevap verecek şekilde yerli ve milli kaynaklarla honeypotların geliştirilmesi, uygulanması sistemlerin güvenliği açısından büyük önem arz etmektedir.