asvin CTO’su Rohit Bohara ile yaptığımız son röportajımız, farklı OT protokollerinin zorluklarını ve BT ile artan yakınsamayı anlamaktan insan hatasının devasa rolüyle boğuşmaya kadar, OT güvenliği manzarasını derinlemesine inceliyor.
Bulut çözümleri öne çıktıkça ve sıfır güven yaklaşımı daha alakalı hale geldikçe, endüstri standartlarının ve pasif izleme stratejilerinin geleceği nasıl şekillendirdiğini de keşfediyoruz.
OT protokollerinin çeşitliliğini göz önünde bulundurarak OT ortamları için farklı güvenlik sistemleri oluşturmanın zorluğu hakkında yorum yapabilir misiniz? BT ve OT sistemleri arasındaki standardizasyon farkı bu karmaşıklığa nasıl katkıda bulunur?
Gelişmekte olan siber risk yönetimi yaklaşımları, tüm protokol ve ortam kategorileri için birleşik uçtan uca siber güvenlik yönetimine doğru OT ve BT arasında artan yakınsamaya yol açmaktadır. En son OT siber olaylarının çoğu, BT ortamlarında tetiklendi ve başlatıldı (ve son derece etkili Colonial Pipeline fidye yazılımı saldırısı gibi bazı durumlarda, OT ortamlarını etkileyen BT siber saldırılarıydı).
Tüm BT ve OT ortamları için tüm yeni nesil siber güvenlik çözümleri, aynı güçlü siber güvenlik temel yapı taşlarına dayanmalıdır: güçlü segmentasyon, güçlü dijital kimlikler, güçlü kimlik doğrulama ve erişim kontrolü, güçlü güvenlik açığı yönetimi, güçlü şifreleme ve kriptografi ve güçlü anormallik algılama .
OT güvenliğinde insan hatası tehdidi ne kadar önemlidir? Kuruluşlar bu riski en aza indirmek için hangi pratik adımları atabilir?
Genel olarak insan faktörü, sistemlerin güvenliğindeki en zayıf halkadır. “IBM Siber Güvenlik İstihbarat Endeksi Raporu”na göre, siber güvenlik ihlallerinin önde gelen nedeni insan hatasıdır ve 2021’de bu ihlallerin %95’inden sorumlu olduğu tespit edilmiştir. OT güvenliği, insan hatası tehdidinden etkilenmez ve sonuçlanabilir ciddi sonuçlarda.
Farkındalık eksikliği, yetersiz eğitim, yanlış bilgilendirme, yanlış değerlendirme veya kasıtsız hatalardan kaynaklanan bir insan hatası olabilir. OT sistemlerinin güvenliği, kullanılabilirliği ve daha da önemlisi güvenliği üzerinde önemli bir etkisi olabilir. OT sistemleri kritik altyapı süreçlerini yönetip kontrol ettiğinden, bir dakikalık insan hatası bile yaygın kesintilere, kesintilere ve güvenlik tehlikelerine dönüşebilir.
Siber güvenlik ihlaline yol açabilecek insan hatalarına örnek olarak halka açık Wi-Fi kullanımı, zayıf parolalar oluşturma, kimlik avı e-postalarının tuzağına düşme, birden çok sistem için aynı parolaları ayarlama, yazılım güncellememe vb. verilebilir. Kuruluşlar riskleri azaltmak için birden çok adım atabilir etkili siber güvenlik farkındalığı, yeterli personel eğitimi, etkili parola politikaları, açık yazılı prosedürler, çok faktörlü kimlik doğrulama, rol tabanlı erişim kontrolü, düzenli güvenlik denetimleri, ayrıntılı dokümantasyon gibi insan hatalarının önlenmesi, güvenlik kültürü oluşturmak.
Bulut tabanlı çözümler, ICS sektöründe giderek daha popüler hale geliyor. Hangi güvenlik zorluklarını ortaya çıkarıyorlar ve bunlar nasıl hafifletilebilir?
IIoT teknolojisinin ortaya çıkmasıyla, OT sistemleri BT sistemleriyle daha sık etkileşime girer. Sensör verilerini toplayabilir ve fiziksel süreçleri kontrol edebilirler ve artık verileri sürekli olarak itip çektikleri ve sonuç olarak siber fiziksel sistem (CPS) oluşturdukları bulut tabanlı çözümlere bağlıdırlar.
Ölçeklenebilirlik, esneklik, yüksek performans ve diğer bulut tabanlı çözümlerle entegrasyon işlevselliği, ICS sektöründe popülerliklerini artırdı. ICS ve bulut tabanlı çözümlerin birlikteliği, OT sistemleri için benzersiz saldırı vektörleri ve güvenlik zorlukları ortaya çıkardı. Güvenlik zorlukları arasında veri yerleşimi ve egemenliği, bulutta veri ihlalleri, kimlik ve erişim yönetimi, aradaki adamlar, sektöre özgü düzenlemelere ve standartlara uygunluk, veri gizliliği vb. yer alır.
Kuruluşlar etkili bir erişim ve kimlik yönetimi, veri kaybı önleme, veri şifreleme, sürekli izleme, günlük kaydı ve değerlendirme vb. oluşturmalıdır.
Bu sayısız OT güvenlik tehdidi karşısında, OT sistemlerinin güvenliğini sağlamada sıfır güven yaklaşımı ne kadar etkilidir?
Sıfır güven yaklaşımı, OT sistemleri için mevcut kaotik güvenlik ortamında oldukça uygundur.
Karakteristik olarak, OT sistemleri çeşitlidir ve IIoT teknolojisinin tanıtılması, bu sistemlerin ve ağların heterojenliğini ve dinamikliğini artırmıştır. Bu nedenle, güvenlik tehditlerinin potansiyel etkisini en aza indirmek için sıfır güven yaklaşımı, kimliği doğrulama, en az ayrıcalık atama, mikro segmentasyon, sürekli izleme, otomatik tehdit yönetimi, şifreleme ilkeleri OT sistemlerine uyarlanmalıdır.
Endüstriyel Kontrol Sistemleri Siber Acil Durum Müdahale Ekibinin (ICS-CERT) ve ISA/IEC-62443 veya ISA-99 gibi standartların, OT güvenlik tehditlerinin ele alınmasına nasıl yardımcı olabileceğini tartışabilir misiniz?
AB veya ulusal düzeyde mevcut veya gelecekte yapılacak düzenlemeler, özellikle siber saldırıların önlenmesinde önemli bir etkiye sahiptir. Orada alınması gereken önlemler, saldırganların sistemlere sızmasını zorlaştırmak veya saldırganların verebileceği zararı sınırlamak içindir. ISO 62443, siber güvenli bir üretim ortamının temellerini tanımlarken, NIS2 veya Siber Dayanıklılık Yasası (CRA) gibi yakında çıkacak yasal gereksinimler, yazılım tedarik zincirinin güvenliğini çok daha fazla hedefliyor.
Siber saldırıların 2/3’ünün bir şirketin tedarik zinciri üzerinden gerçekleşmesi nedeniyle AB artık burada çok daha güçlü düzenlemeler tasarladı. Bunlar, şirketlere siber güvenlik önlemlerinde yeni zorluklar getiriyor, ancak aynı zamanda siber suçluların saldırılarına karşı önemli ölçüde daha fazla koruma sağlıyor. Bu nedenle, SBOM, güncelleme yönetimi ve bağlam tabanlı risk analizi gibi araçlar, gelecekte bir şirketin güvenlik mimarisinin yararlı ve vazgeçilmez bileşenleri olacaktır.
Son olarak, kritik altyapı ortamlarında konuşlandırılan sensörlerin ve sistemlerin son derece hassas doğası göz önüne alındığında, OT ortamında pasif izleme ve kontroller oluşturmak için hangi stratejiler kullanılabilir?
“İzlenen şey iyileştirilir” dediği gibi. Etkili bir pasif izleme ve kontrol sisteminin OT güvenliğine katkısı daha fazla vurgulanamaz. Pasif izleme, operasyonel süreçlere aktif olarak müdahale etmeden ağ trafiğini, sistem davranışlarını ve anormallikleri gözlemleyebilme ve bunları günlüğe kaydetme yeteneğidir. Bunu başarmaya yönelik stratejiler arasında izinsiz giriş tespit sistemleri (IDS), anormallik tespiti, derin paket incelemesi, davranışsal profil oluşturma, siber tehdit istihbaratı (CTI), güvenlik bilgileri ve olay yönetimi (SIEM), bal küpleri, ağ segmentasyonu vb. yer alır.