Kritik Altyapı Şirketleri Neden OT Siber Güvenliğine İhtiyaç Duyar?
Endüstriyel kontrol sistemlerine (ICS) yönelik siber saldırılar her yıl sayıca artmakla kalmayıp ayrıca karmaşıklaşıyor. Bu saldırıların potansiyel finansal etkileri buna paralel olarak büyüyor. Colonial Pipeline ve JBS et tesisi olayları gibi büyük saldırılar, operasyonel teknoloji (OT) siber güvenlik çözümlerinin gerekliliği konusunda sert hatırlatmalar yaptı. Bununla birlikte, siber savunmalarını artırmak isteyen şirketler, genellikle güvenlik çözümlerinin bolluğu karşısında şaşkına dönmektedir. Her biri çeşitli ve zaman zaman örtüşen işlevler sağlayan birçok farklı satıcı vardır. Bu nedenle, spesifik ihtiyaçları belirli OT siber güvenlik çözümleriyle eşleştirmek zor bir görev olabilir. Aşağıdaki yedi soru, bir çözümün OT ortamınız için yeterli korumayı sağlayıp sağlamayacağını daha bilinçli bir şekilde anlayabilmeniz için temel bir kontrol listesi sağlar.
OT Siber Güvenlik Çözümü Seçerken Sorulması Gereken 7 Soru
1.Çıkarılabilir medya kullanımını izleyebiliyor musunuz?
Çıkarılabilir medya, en popüler türü USB flash sürücüler olmak üzere, sistemler içinde bilgi hareketini hızlandırmak için kullanılan en yaygın araçlardan biridir. Ancak bu cihazlar önemli güvenlik riskleri oluşturmaktadır. Çıkarılabilir medyanın endüstriyel kontrol sistemlerine yönelik siber saldırılarda ikinci en yaygın saldırı vektörü olduğu belirlendi. Ayrıca, İsrail, Negev'deki Ben-Gurion Üniversitesi'nden yapılan araştırma, USB flash sürücülerin dijital sistemleri tehlikeye atmak için silah olarak kullanılabileceği 29 farklı yolu indeksledi.
Bu tür saldırıların yaygınlığı ve çeşitliliği göz önüne alındığında, bir OT siber güvenlik çözümü bu cihazların kullanımını izleyebilmelidir. Bu işlev olmadan, bir endüstriyel kontrol sistemini sağlam bir şekilde savunmak neredeyse imkansızdır.
2.Uç noktalarınızdaki kritik dosyaları izleyebilir misiniz?
OT sistemlerinde, belirli dosya alışverişleri yüksek güvenlik bilinci gerektirir. Derleme dosyalarının DCS'ler ve PLC'ler arasında taşınması belirli siber güvenlik riskleri oluşturur, bu nedenle bu dosyaların bütünlüğünün doğrulanması büyük önem taşır. Örnek olarak, Ukrayna kamu hizmetlerine yönelik 2014 siber saldırıları, "temel sistem dosyalarındaki verileri silen veya üzerine yazan ve bilgisayarların çökmesine neden olan kötü amaçlı yazılımları içeriyordu. Ayrıca ana önyükleme kaydının üzerine yazdığından, virüslü bilgisayarlar yeniden başlatılamıyor."
Ukrayna örneğinde, manuel kontroller kullanılarak hasar hafifletildi. Ancak günümüzde pek çok enerji santralinde SCADA sistemlerine kadar bir manuel yedekleme yok veya varsa da günümüz iş gücündeki birçok mühendis de bunun nasıl kullanılacağı konusunda eğitimli değil. Bu, ortamınız için geçerliyse, kritik dosyaların izlenmesi daha da önemlidir.
3.İşletim sisteminin (OS) tam sürümünü ve kurulu yamaları belirleyebilir misiniz?
Eski ve desteklenmeyen işletim sistemleri büyük bir güvenlik riskidir. Yama uygulanmamış sistemler, siber saldırılar için açık hedeflerdir ve çoğu, saldırganlar tarafından kolayca yararlanılabilecek güvenlik açıkları içerir. Ancak, bu savunmasız ve güncel olmayan sistemler, özellikle daha büyük olanlar olmak üzere, OT mimarisi içinde kolayca kaybolabilir. Ayrıca, OT yama yönetimi, IT güvenliğinde görülmeyen belirli zorluklar sunar.
Eski işletim sistemlerinden kaynaklanan risklerin ciddiyeti, Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) Haziran 2021 raporunda yansıtılmaktadır. Artan fidye yazılımı saldırıları karşısında, işletim sistemlerini güncellemeyi riski azaltmak için ilk öneri olarak listeleniyor. Güncelleyemeyeceğiniz eski bir işletim sistemi belirlerseniz, bu riski yönetmek için hangi azaltıcı önlemleri uygulayacağınızı bulmanız gerekir.
4.Yerel cihaz protokollerini aktif ve/veya pasif olarak kullanmak da dahil olmak üzere birden fazla yöntem kullanarak uç noktaları izleyebilir misiniz?
Aktif izlemenin de pasif izlemenin de kendine has eksileri ve artıları vardır. Pasif izlemenin ağ trafiğini ve olağan işlevleri bozması veya engellemesi olası değildir. Ancak, pasif araçlarla ne tür bir trafikten yararlanılabileceği konusunda sınırlamalar olabilir. Öte yandan, aktif izleme, yanlış yapılırsa sistem arızası riskiyle karşı karşıya kalırken daha sağlam ağ görünürlüğü sağlayabilir. Ek olarak, uç nokta izleme, farklı yerel cihaz protokolleri tarafından engellenebilir. OT protokolleri genellikle uygunluk prensibi üzerine tasarlanır ve daha az sofistike siber güvenlik çözümleri için anlaşılmaz olabilir.
5.Uç noktalardaki kullanıcıların kimlik doğrulamasını tespit edebilir misiniz?
Kullanıcı kimlik doğrulaması, OT siber güvenliğinin temel bir gereksinimidir. Çok faktörlü kimlik doğrulama (MFA), siber güvenliğin temel bir bileşeni olmalıdır ve daha önce tartışılan CISA raporunda da temel bir öneri olarak listelenmiştir. Bu, kullanıcı kimlik doğrulamasının genellikle bulunmadığı OT ortamlarında özellikle önemlidir.
Bir güvenlik raporunda vurgulandığı gibi, "En yaygın kullanılan endüstriyel otomasyon protokollerinden biri olan Modbus, genellikle herhangi bir cihaz kimlik doğrulamasından yoksundur ve bu da iletişimin bütünlüğünü için tehdit oluşturmaktadır." Sonuç olarak, bu boşluğu doldurmak için bir OT siber güvenlik çözümü kullanılmalıdır.
6.Hassas uç noktalarda güvenlik açığı durumunu güvenle belirleyebilir misiniz?
Endüstriyel kontrol sistemleri sürekli çalışır, bu nedenle güvenlik açıklarını aktif olarak belirleyebilmek nadiren gelen bir fırsattır. Sonuç olarak, OT siber güvenlik çözümleri, hassas uç noktalarda güvenlik açıklarını belirlemenin alternatif yollarını bulmalıdır. Kullanılan yaklaşımlardan biri de belirli bir uç nokta için tüm yazılım ve yama verilerini toplamak amacıyla pasif, aracısız veya yerel aracılar da dahil olmak üzere özel OT varlık veri toplama yöntemlerini kullanmak ve ardından bunları NIST'ler*, NVD'ler** ve hatta özel OEM beslemeleri gibi güvenlik açığı beslemeleriyle karşılaştırmaktır. Bunun gibi bir çözüm, operasyonel güvenlik riskleri oluşturmadan OT varlıklarınızdaki güvenlik açıklarını fark etmenize yardımcı olacaktır.
IT odaklı çoğu güvenlik açığı yönetimi çözümü, bu özel gereksinimleri bir araya getirmede başarısız olur. Sonuç olarak, değerlendirdiğiniz siber güvenlik çözümünün OT sistemlerinin hassasiyetini kaldırabileceğini doğrulamak önemlidir.
7.Siber güvenlik standartlarıyla uyumlu, kullanıma hazır raporlama ve gösterge tabloları sağlıyor musunuz?
Güvenlik görünürlük gerektirir. Bu nedenle, güvenlik bilgileri OT siber güvenlik ekipleri için hızlı bir şekilde fark edilebilecek şekilde iletilmezse yukarıdaki tüm sorular anlamsız hale gelebilir. En sağlam güvenlik çözümü, yalnızca eyleme geçirilebilir olduğu kadar yararlıdır. Seçtiğiniz çözüm, şirketinizin öngördüğü belirli düzenlemelere, standartlara veya denetim gereksinimlerine yönelik olmalıdır. Kullanıcı dostu gösterge tablolarının ve raporlama mekanizmalarının önemi küçümsenmemelidir.
OT/ICS ortamlarının karşı karşıya olduğu siber tehditler her geçen gün artıyor ve bu 7 soru nereden başlayacağınızı anlamanıza yardımcı olacak. Yukarıdaki liste kapsamlı olmasa da bir siber güvenlik çözümünde aramanız gereken bazı şeyler için bir temel teşkil etmektedir. Modern OT ortamı karmaşıktır ve güçlü siber güvenlik sağlamak için hummalı bir planlama gerektirir.
Bu nedenle, şirketlerin kendi güvenlik ihtiyaçlarını görselleştirmelerine ve yatırımlarını buna göre uyarlamalarına yardımcı olmak için çeşitli endüstriyel kontrol sistemi satıcılarına genel bir bakış sağlayan OT siber güvenlik programıyla nereden başlayacağını anlamakta zorlanan herkese DefenderSphere'i sunuyoruz. OT ortamınızdaki olası güvenlik açıklarını daha iyi anlamak istiyorsanız, kuruluşunuz için özelleştirilmiş bir DefenderSphere talep edin.
Mathias MESICH