Güvenlik duvarı, operasyonel teknoloji (OT) ağları ve sistemlerinin korunmasında hangi rolü oynar? Birçok kişi, bunun BT ve dış dünyadan o ortamı korumak için bir savunma mekanizması olduğunu söyler. Bu kritik sistemin çalışma süresinden sorumlu operatörler için güvenlik duvarı, diğerlerini dışarıda tutan bir çevre korumasıdır. Ayrıca, OT sisteminden iş ağlarına geçmesi gereken bilgiler ve gerektiğinde uzaktan erişim için bir geçittir. Güvenlik duvarı, o ağa girme girişimlerini izler, onları durdurur ve gerektiğinde uyarılar gönderebilir.
Güvenlik duvarından geçen trafik şifrelendiğinde ne olur? Çoğu durumda, güvenlik duvarı bu trafiği şifresini çözebilecek ve inceleyebilecek şekilde yapılandırılmamıştır, tek seçenekler onu engellemek veya geçmesine izin vermektir. Bu nedenle güvenlik duvarı tek savunma değildir ve kritik bir ağı korumaya çalışırken en iyi savunma hattı olmadığını iddia ediyorum.
Görünürlük kazanmanın görünmeyen zorlukları
Görünürlük olmadan, OT ağında normal trafiğin ne olarak kabul edilmesi gerektiğine dair bir temel oluşturmak mümkün değildir. Temel, sistemlerin ve etkileşimlerinin bir envanterini kataloglamanıza olanak tanır, böylece alışılmadık bir şey olduğunda, göze çarpar. Temel ayrıca, tüm bu ortam için güvenlik açığı yönetimini, yama yönetimini ve risk yönetimini beslemelidir.
OT ağlarında görünürlük elde etmek zor olabilir. BT ortamlarında kullanılan araçlar genellikle OT dünyasında kullanılan iletişim protokollerini yorumlayamaz ve anlamaz, ağlar genellikle trafiği kolay denetim noktaları sağlayacak şekilde yönlendirecek şekilde yapılandırılmaz ve iş istasyonlarına kurulan uç nokta aracıları konsepti işe yaramaz.
OT ve BT’nin iletişim kurması ve güven oluşturması gerekir
Tarihsel olarak, OT ve BT ekipleri arasındaki güven eksiktir çünkü her departmanın ihtiyaçları tamamen farklıdır. BT’nin, operasyonları çevrimdışı hale getirmeyi gerektiren şirket yazılımına bir yama dağıtması gerekebilir, ancak OT’nin en büyük endişesi çalışma süresidir, bu nedenle bu kesinti onlar için iyi değildir. OT’nin bununla ilgilenmemesi ve BT ile nasıl yapılacağı konusunda iletişim kurmaması nedeniyle temel yazılım yamalarının yıllarca yapılmadığı birçok örneğe tanık oldum. OT yazılımları için yazılım lisans sözleşmelerinin yamaları yalnızca satıcı tarafından önceden onaylanmış ve test edilmiş olanlarla sınırlaması alışılmadık bir durum değildir. Bu, aksi takdirde ticari olarak mevcut olan bir yamanın dağıtımını bir yıla kadar geciktirebilir.
Üçüncü taraf satıcılar veya şirket içindeki mühendisler ve bakım teknisyenleri tarafından uzaktan erişimin olduğu ortamlarda, departmanlar arası iletişim şarttır. BT tüm faaliyetlerin farkında olmalıdır – her oturum açmanın ne zaman ve nereden gerçekleştiği, hangi araçların kullanıldığı ve bunların nasıl dağıtıldığı ve ayrıca her tuş vuruşu ve yazılım ekranı. Bilgi güvenliği yalnızca bu düzeydeki bilgilerle bir güvenlik olayından önce hangi faaliyetlerin gerçekleştiğini belirleyebilir.
Her departmanın güncellemeleri, zorlukları ve hedefleri paylaştığı aylık veya iki haftada bir iletişim ritmi oluşturmak başlamak için harika bir yerdir. İş gölgeleme ve departmanlar arası eğitim daha da iyidir çünkü her ekibin günlük hayatlarına dair bir fikir edinmesini ve birbirlerine nerede yardımcı olabileceklerini gerçekten anlamasını sağlar.
Ayrıca, her iki ekibi de mutlu edecek bir güvenlik bakımı rutini oluşturun: örneğin, her çeyrekte rutin bir bakım kesintisi sırasında yama uygulayın ve ardından bunu desteklemek için test ve hazırlık yapın.
Ağınızda kimlerin olduğunu biliyor musunuz?
OT ortamlarında veri paylaşımı, örneğin tedarik zincirini ve diğer operasyonel süreçleri yönetmek için bir tesisten işletme operasyonlarına bilgi paylaşımı ihtiyacı nedeniyle ICS’de (endüstriyel kontrol sistemleri) yaygındır.
Kuruluş kimlik ve erişim yönetimi (IAM) çözümlerini kullanıyor mu ve temel parola prosedürleri mevcut mu? Bu prosedürler yalnızca çalışanlar için değil, aynı zamanda satıcılar, yükleniciler ve uzaktan çalışanlar için de geçerlidir. Yalnızca yetkili kullanıcıların kuruluşunuzun ağındaki verilere ve kaynaklara doğru erişim düzeyiyle erişebildiğinden emin olun.
Tedarikçi sözleşmeleri her zaman belirli erişim gereklilikleri, kimlik bilgileri ve erişim kontrol politikalarını içermeli ve uyumluluğu sağlamak için tüm tedarikçi faaliyetleri izlenmeli ve takip edilmelidir. Paylaşılan kimlik bilgilerini ortadan kaldırmak ve dahili ve harici ortaklarla paylaşılan hesap kullanımını en aza indirmek için rol tabanlı erişim kontrolleri uygulanmalı ve iki konsollu kimlik doğrulama yöntemleri dağıtılmalıdır.
OT ağ trafiğini izlemek için görünürlük araçlarına yatırım yapın
Dünya çapındaki kuruluşların OT altyapılarını etkili bir şekilde korumasını bu kadar zorlaştıran başka ne var? Önemli bir sorun, mevcut araçların ya BT sistemleri ya da OT sistemleri için özel olarak tasarlanmış olması, ancak her ikisi için birden olmamasıdır. Bu entegrasyon eksikliği, güvenlik ve operasyon personelinin OT sistemlerini BT sistemleri için sahip oldukları aynı düzeyde denetimle izleyememesi anlamına gelir.
Ağ iletişimlerini izlemek ve sahte faaliyetleri tespit etmek için olmazsa olmaz olan SIEM (güvenlik bilgisi ve olay yönetimi) araçları, genellikle bulut hizmetleriyle bütünleşmeyi gerektirir; bu, güvenlik endişeleri nedeniyle OT ortamlarında genellikle kaçınılan bir kavramdır. Sonuç olarak, CrowdStrike gibi en üst düzey koruyucu araçlar bile sınırlamalarla karşı karşıyadır ve Claroty veya Dragos gibi çözümlerle birlikte kullanıldığında, yine de güvenlik açıkları oluşturan internet bağlantılarına güvenirler.
Bu ortamlarda riski yönetmeye hangi stratejiler yardımcı olabilir?
Öncelikle, ortamdaki veri akışı hakkında kapsamlı bir anlayışa sahip olmak, hangi bilgilerin nereye taşınması gerektiğini bilmek çok önemlidir. Genellikle, operasyonel tasarım hakkındaki teknik dokümantasyon güncelliğini yitirmiş veya eksiktir, güncel veri akışları ve kullanımı hakkında ayrıntılar eksiktir.
İkinci olarak, bu alandaki görünürlük araçlarının çoğu, geleneksel antivirüs veya uç nokta koruma yazılımları bu cihazlar için genellikle uygun olmadığından belirli ağ yapılandırmaları gerektirir. Bu nedenle, trafiği denetim noktalarına yönlendirmek için mekanizmalara sahip olmak gerekir. Birçok OT ağı siber güvenlikten ziyade dayanıklılık ve çalışma süresi için tasarlandığından, trafik denetimini etkinleştirmek için bunları yeniden yapılandırmak zor olabilir. Ağ segmentasyonu projeleri zaman alıcıdır, pahalıdır ve genellikle OT ortamlarında kabul edilemez olan operasyonel kesintiye yol açabilir.
Görünürlük aracı hikayesi, OT ağlarında yaygın olarak kullanılan ve araçları beslemek için gerekli değişiklikleri desteklemeyen eski teknolojilerin tanımlanmasını gerektirir. Bunlara yönetilmeyen anahtarlar, RSPAN’ı desteklemeyen ağ cihazları ve eski veya aşırı aboneli kablolama altyapısı dahil olabilir.
Bu noktayı göstermek için: Yaklaşık bir yıl önce ekibimiz, büyük bir üretim tesisindeki su arıtma tesisindeki sistem yavaşlığının suçlusunu, bir buzdolabının arkasındaki duvara vidalanmış bir 3COM SuperStack II hub’ı tespit etti. Tesisin tüm trafiği, ağ ve güvenlik ekiplerinin haberi olmadan, bunun üzerinden akıyordu.
Görünürlük mü istiyorsunuz? Güvenlik duvarının ötesini düşünün…
Tüm bunların amacı ne? Neden güvenlik duvarlarının OT ağlarını korumasına izin vermiyoruz? Zaten bir şirket güvenlik duvarının ve her türlü izleme aracının içindeler. Mesele şu ki, bu araçlar OT’de neyin normal olduğunu gerçekten haritalamak ve anlamak için gereken işi yapamıyor ve bu temel olmadan neyin anormal olduğunu söyleyemeyiz.
OT ortamları, mühendislerin, teknisyenlerin ve hatta satıcıların VPN üzerinden uzaktan bağlanıp ana bilgisayarlara atlayıp ayarları değiştirmek ve aygıt yazılımını güncellemek gibi şeyler yapmalarına neden olan her türlü özel araç ve gereksinime sahiptir. Operasyonel personel genellikle bu sistemlerin siber güvenliğini gerçek zamanlı olarak izlemekten sorumlu bir kişiye sahip değildir, bu da bunun SOC’ye (güvenlik operasyon merkezi) düştüğü anlamına gelir. SOC ise tehdit ortamını anlayabilmek için veri kaynaklarının tek bir pencereden görüntülenmesini gerektirir.
Önemli olan oraya ulaşmanın ve etkili olmanın mümkün olmasıdır. Soruna zaman, para ve dikkat gerektirecektir.