Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), diğer sekiz ulusal siber ajansla ortaklaşa, kapsamlı bir “OT Siber Güvenliği için Vakıflar: Sahipler ve Operatörler için Varlık Envanter Rehberi” yayınladı.
13 Ağustos 2025’te yayınlanan bu yeni rehber, kritik altyapı paydaşlarını – enerji, su ve atık su, üretim ve ötesi – operasyonel teknoloji (OT) varlık stokları ve taksonomilerin geliştirilmesi ve sürdürülmesi için en iyi uygulamalarla donatıyor.
Modern savunulabilir mimarileri güçlendirmek
CISA, kapsamlı bir OT varlık envanterinin modern bir savunmasız mimarinin inşa edilmesinin temel olduğunu vurgulamaktadır.
Her kontrol sistemi, sensör, iletişim cihazı ve ilişkili donanım ve yazılım kataloglayarak sahipler ve operatörler, ağlarının saldırı yüzeylerinde görünürlük kazanır.
Kılavuz, bir OT taksonomisinin – varlık fonksiyonuna ve kritikliğe dayalı yapılandırılmış bir sınıflandırma sistemi – daha verimli risk tanımlama, güvenlik açığı yönetimi ve olay yanıtının nasıl sağladığını açıklar.
Kılavuz, beş aşamalı açık bir işlemin ana hatlarını çiziyor:
- Kapsamı ve Hedefleri Tanımlayın: Yönetişim oluşturun, rol atayın ve envanter programının sınırlarını belirleyin.
- Varlıkları tanımlayın ve özellikleri toplayın: Varlıkları listelemek ve IP adresleri, üretici, işletim sistemi sürümleri ve kritiklik gibi yüksek öncelikli özellikleri yakalamak için fiziksel denetimleri ağ anketleriyle birleştirin.
- Bir taksonomi oluşturun: İletişim yollarını, işlevsel bağımlılıkları ve güvenlik gereksinimlerini yansıtmak için varlıkları bölgelere ve kanallara (ISA/IEC 62443 standartlarında sürükleyen) gruplayarak bir sınıflandırma çerçevesi oluşturun.
- Verileri yönetin ve toplayın: Ek veri kaynaklarını tanımlayın, merkezi bir veritabanı uygulayın ve envanter bilgilerini korumak için güvenlik kontrolleri uygulayın.
- Yaşam Döngüsü Yönetimini Uygula: Her varlığın yaşam döngüsü aşamalarını – satın alımdan hizmetten çıkarma yoluyla tanımlayın ve envanter kayıtlarını herhangi bir değişiklikle güncellemek için politikaları uygulamak.
Farklı sektörlerdeki kuruluşlara rehberlik etmek için belge, petrol ve gaz, elektrik, su ve atık su için kavramsal taksonomiler içerir.
Regription olmasa da, bu ekler yüksek, orta ve düşük kritiklik varlıklarının nasıl gruplandırılabileceğini göstermektedir-örneğin, acil durum kapatma sistemlerini, dağıtılmış kontrol sistemlerini ve yedek jeneratörleri petrol ve gaz operasyonlarında yüksek kritiklik olarak sınıflandırır.
Envanter yaratmanın ötesinde, CISA envanterin daha geniş siber güvenlik ve risk yönetimi çabalarına entegrasyonunu vurgular.
Paydaşlar, CISA’nın bilinen sömürülen güvenlik açıkları kataloğu ve MITER CVVE listeleri gibi yetkili güvenlik açığı veritabanlarına sahip çapraz referans stokları ve endüstriyel kontrol sistemleri için Giriş ATT & CK gibi çerçeveleri kullanarak tehdit faktörlerini önceliklendirmeye teşvik edilir.
Ayrıca, kılavuz operasyonel esnekliği sağlamak için bakım planlaması, performans izleme ve yedek parça analizini teşvik eder.
Rehber, düzenli taksonomi incelemeleri, paydaş geri bildirim döngüleri ve titiz değişim yönetimi yoluyla sürekli iyileştirmeyi savunmaktadır. Ayrıca Personel Eğitimi, Farkındalık Programları ve BT ve OT ekipleri arasındaki işbirliğinin önemini vurgulamaktadır.
Bu varlık envanter rehberliğini yayınlayarak, CISA ve ortak ajansları, ülkenin en hayati hizmetlerinden sorumlu kuruluşların siber güvenlik duruşunu artırmayı amaçlamaktadır.
Paydaşlar, işletmelerindeki önerileri sosyalleştirmeye ve gelecekteki güncellemeleri bilgilendirmek için CISA’nın anonim anketi aracılığıyla geri bildirim sağlamaya teşvik edilmektedir.
AWS Security Services: 10-Point Executive Checklist - Download for Free