Yazılım & İşletim SistemiOrta

Kritik Altyapı Güvenliği: Rockwell/Allen-Bradley PLC'lerin Korunması

İran bağlantılı tehdit aktörlerinin internete açık Rockwell/Allen-Bradley PLC sistemlerine yönelik saldırılarını engelleme ve sistem güvenliğini artırma rehberi.

B
Bleeping Computer Tutorials
13 görüntülenme
Kritik Altyapı Güvenliği: Rockwell/Allen-Bradley PLC'lerin Korunması

Genel Bakış

Son dönemde yapılan güvenlik uyarıları, İran bağlantılı siber saldırganların, özellikle kritik altyapı sektörlerinde kullanılan Rockwell Automation ve Allen-Bradley marka Programlanabilir Mantıksal Denetleyicileri (PLC) hedef aldığını göstermektedir. Bu saldırılar, cihazların internete doğrudan açık olmasından ve varsayılan kimlik doğrulama ayarlarının değiştirilmemesinden faydalanmaktadır.

Sorun Tanımı

İnternete açık PLC'ler, saldırganların endüstriyel kontrol sistemlerine (ICS) sızması, konfigürasyonları değiştirmesi veya operasyonel süreçleri sabote etmesi için bir giriş noktası oluşturmaktadır. Bu durum, kritik altyapı tesisleri için ciddi bir güvenlik riski teşkil eder.

Çözüm Adımları

  1. İnternet Erişimini Kapatın: PLC'lerinizi doğrudan internete açmaktan kaçının. Cihazları izole bir ağ (VLAN) içine alın.
  2. Güvenlik Duvarı Yapılandırması: Erişimleri sadece belirli IP adresleri ile sınırlandırın.
  3. Kimlik Doğrulama: Varsayılan parolaları mutlaka değiştirin ve güçlü, karmaşık parolalar kullanın.
  4. Firmware Güncellemeleri: Rockwell Automation tarafından sağlanan en son güvenlik yamalarını periyodik olarak uygulayın.
  5. VPN Kullanımı: Uzaktan erişim gerekiyorsa, mutlaka çok faktörlü kimlik doğrulama (MFA) destekli bir VPN tüneli kullanın.
Uyarı: PLC cihazlarında yapılacak herhangi bir konfigürasyon değişikliği, üretim süreçlerini etkileyebilir. Değişiklikleri mutlaka bir test ortamında doğrulayın.

Güvenlik Kontrol Komutları

Ağınızdaki cihazların internete açık olup olmadığını kontrol etmek için aşağıdaki Nmap komutunu kullanabilirsiniz:

nmap -sV -p 44818

Bu komut, EtherNet/IP protokolünü kullanan cihazları tarar ve port 44818 üzerinden açık olup olmadıklarını raporlar. Eğer cihazlarınız bu port üzerinden dış dünyaya açıksa, derhal güvenlik duvarı kurallarınızı gözden geçirmelisiniz.

İzleme ve Loglama

Saldırı girişimlerini tespit etmek için IDS/IPS sistemlerinizde endüstriyel protokol (Modbus, EtherNet/IP) imzalarını aktif hale getirin. Log kayıtlarını merkezi bir SIEM sistemine yönlendirerek anormal trafik akışlarını izleyin.

İlgili Makaleler