Sıfır güvenilir OT ağ segmentasyonu ile dahili ve harici siber güvenlik ihlallerini önleme
Ryan Lung, TXOne Networks Kıdemli Ürün Müdürü
Son yıllarda, kötü niyetli aktörler, giderek daha yüksek para kaybı ve hatta can kaybı riskleriyle kuruluşları tehdit etti. Buna karşılık, güvenlik araştırmacıları daha güvenli ve güvenilir ağ güvenliği metodolojileri geliştirdi. Sıfır güven yaklaşımının icadından önce, ağ savunması tipik olarak ağ içinde ve ağ dışında (internet) olmak üzere iki ayrı “güven düzeyine” dayanıyordu. İç ağdan gelen iletişimler güvenilir kabul edildi; dış ağdan olanlar değildi. Kötü niyetli aktörler becerilerini hızla geliştirdikçe, bu geleneksel yöntemlerin dijital dönüşüm sonrası güvenlik ihtiyaçlarını karşılayamayacağını açıkça gösterdiler. Bu nedenle sıfır güven modeli, “asla güvenme, her zaman doğrulama” konusunda ısrar ediyor ve endüstriyel kontrol sistemi (ICS) ağları için bile ondan ödünç alınan temel fikirler OT (operasyonel teknoloji) ortamlarında çok daha iyi bir genel güvenliğe yol açabilir. OT sıfır güven siber güvenlik sağlayıcısı TXOne Networks, bu savunma geliştirmelerinin her geçen gün daha gerekli olduğunu gösteriyor.
Artan OT tehdit ortamı
OT tehdit ortamının alanı, Endüstri 4.0, endüstriyel IoT ve dijital dönüşümün ritimleriyle değişiyor. Stuxnet, bir endüstriyel kontrol sistemini (ICS) hedef almak için özel olarak tasarlanmış ilk kötü amaçlı yazılım parçalarından biriydi ve ilk büyük OT siber olayına neden oldu. Bu tür bir saldırı, WannaCry adlı bir solucanın son derece yaygın bir şekilde yayıldığı 2017 yılına kadar OT ortamında olası değildi. Sonrasında birçok farklı türde kötü amaçlı yazılım ortaya çıktı ve kötü niyetli aktörler, belirli sektör sektörlerinden yararlanmak için hedefli fidye yazılımı saldırıları tasarlamak için ciddi çalışmalar yapmaya başladı. Modern teknolojilerin vaat ettiği daha yüksek üretkenlik, üreticileri onları benimsemeye ve ağ ve internete daha fazla kapı açma riskini almaya itiyor. Bununla birlikte, her gelişme, yeni saldırı yüzeylerini ve daha da agresif bir siber saldırı dalgası potansiyelini beraberinde getiriyor.
Son olarak, merkezi olmayan, izlenemez bir dijital para birimi olarak Bitcoin, suçluların kimliklerini ortaya çıkarmak için izlenen ödeme korkusu olmadan fidye toplayabilecekleri mükemmel bir araçtır. Bu faktörler, tehdit ortamının sürekli değişmesini sağlar. Saldırganlar yeni bir kötü amaçlı yazılım biçimi oluşturduğunda, kötü amaçlı yazılım genellikle içeriden gelen tehditler veya harici siber saldırılar yoluyla bir OT ortamına girer.
İç tehditler ve dış saldırılar
İçeriden gelen tehditler kasıtsız veya kasıtlı olabilir. İstenmeyen bir durumda, bir çalışan veya üçüncü taraf ziyaretçi bilmeden virüslü bir cihazı tesise getirir. Memnun olmayan bir çalışandan veya sabotaj yapmak için üçüncü şahıslar tarafından ödeme yapılan bir çalışandan kasıtlı bir dava kaynaklanabilir. Her iki durumda da, güvenli olmayan USB’ler veya dizüstü bilgisayarlar, tehditleri ileten tipik cihazlardır.
Dış siber saldırılar genellikle BT ağında başlar, çoğunlukla bir kimlik avı saldırısıyla başlar ve genellikle fidye yazılımı veya botlar biçimini alır. Fidye yazılımı, varlıkları şifreler ve bunları yüksek bir fiyata paydaşlara geri sunar. Botlar genellikle saldırganların saldırının geri kalanına hazırlanmalarına veya bunları kurmalarına, örneğin sistemlerin doğrudan kontrolünü ele geçirmelerine, uygulamaları yürütmelerine veya önemli bilgiler toplamalarına izin verir. Saldırganlar, kontrol merkezi ağının güvenliğini bir kez ele geçirdikten sonra, kötü amaçlı yazılım yaymaları ve ayrıcalıkları sistemin farklı seviyelerine yükseltmeleri çok kolaydır. Etkiler, tüm üretim döngüsünün kapanmasını, varlıklara verilen zararı veya insani tehlikeyi içerebilir.
Ağ segmentasyonu ve siber saldırılar
Ağ segmentasyonu, kuruluşların modern siber saldırıları püskürtmek için yaygın bir araç haline geldi ve bu uygulama yalnızca siber güvenliği güçlendirmekle kalmıyor, aynı zamanda yönetimi basitleştirmeye de yardımcı oluyor. Kötü amaçlı yazılım için karantina ağın tasarımına dahil edildiğinden, bir varlığa virüs bulaşırsa, yalnızca o segment etkilenir. Davetsiz misafirler için seçenekler büyük ölçüde azalır ve yanlamasına hareket edemezler. IoT cihazları için, verilerin ve kontrol yollarının ayrılmasına izin vererek, saldırganların cihazlardan ödün vermesini daha zor hale getirir. Bir üretim hattı bir siber saldırıdan etkilense bile, diğerlerinin çalışmaya devam edebilmesi için tehdit kontrol altına alınacaktır.
Yönetim için ağ segmentasyonu, bölgeler arasındaki trafiği izlemeyi kolaylaştırır ve yöneticilerin çok sayıda IoT cihazıyla ilgilenmesini sağlar. Şantiye ortamlarına yeni iletişim teknolojileri eklendikçe, ağ segmentasyonu ilk savunma hattı ve riski düşük tutmanın temeli olacaktır.
Sıfır güven OT ortamları oluşturma
Sıfır güvenin özü ağ segmentasyonu olsa da, çalışma alanlarını kurşun geçirmez hale getirmek ve operasyonu çalışır durumda tutmak isteyen paydaşlar ayrıca sanal yama, güven listeleri, kritik varlıkların sağlamlaştırılması ve güvenlik denetimleri uygulamalıdır.
İlke yönetimi, bakım ve olay günlüğü incelemesini desteklemek için bu uygulamaları uygulamak için kullanılan çözümler merkezileştirilmelidir. Ayrıca, OT ve ICS ortamları için ideal ağ segmentasyonu çözümleri OT-native olmalı ve farklı form faktörlerinde gelmelidir.
farklı amaçlar. İki temel form faktörü, mikro segmentasyon ve kritik varlıkların 1’e 1 koruması için OT-yerel IPS’ler ve şeffaf bir şekilde segmentasyon oluşturmak için OT-yerel güvenlik duvarlarıdır.
ağ güvenliği politikasının daha geniş tanımı. IPS’ler, yönetim kolaylığı için birçoğunun tek bir cihaza dahil edildiği bir “dizi” olarak da gelebilir.
Komut düzeyinde gelişmiş konfigürasyonlar oluşturmak için bu cihazların, çalışma sahasının varlıklarının kullandığı OT protokollerini destekleme yeteneğine sahip olması gerekir. Böylece, ağ düzeyinde ayarlanan güven listeleri ve protokol düzeyinde OT-yerel IPS’ler veya güvenlik duvarları kullanılarak mikro segmentasyon gerçekleştirilebilir. Ek olarak, sanal yama desteği de gereklidir ve kritik varlıklar, uygulama ve süreçler düzeyinde cihaz içinde dağıtılan güven listeleri kullanılarak sağlamlaştırılmalıdır.
Güven listeleri oluşturma
İlk olarak, sabit kullanımlı eski varlıklar için, yalnızca varlığın amacı için gerekli olan uygulamaların ve süreçlerin çalışmasına izin veren ve aynı zamanda kötü amaçlı yazılımların çalışmasını önleyen bir güven listesi oluşturmak kadar basittir. İkinci olarak, daha fazla kaynağa sahip olan ve çeşitli görevleri yerine getirmesi gereken modernize edilmiş makineler için sağlamlaştırma, makine öğreniminin yanı sıra onaylı ICS uygulamaları ve sertifikalarından oluşan bir kitaplık içeren güven listelerine dayanmalıdır. Ayrıca, bağımsız veya hava boşluklu sistemlerin yanı sıra gelen ve giden cihazlar için güvenlik denetimleri, içeriden gelen tehditlerin şirket operasyonlarını etkilemesini önler. Sıfır güven kavramı, OT güvenlik istihbaratı uzmanlarına, ağ güven farkındalığının operasyonel bütünlüğü korumak için kritik olduğunu göstermiştir.
Çözüm
OT ve ICS ortamlarında sıfır güven uygulamak, ağ segmentasyonu ile çok daha kolaydır ve bu nedenle ağ segmentasyonu, çalışma sitesi siber savunmasında bir atasözü haline gelmiştir. Bununla birlikte, BT tabanlı çözümler operasyonel teknoloji ve ICS ortamlarında konuşlandırıldığında, kaynaklara yönelik büyük talepleri ve OT protokollerine duyarlılık eksikliği, operasyonları korumak için olduğu kadar operasyonlara da müdahale etme olasılığına sahiptir. Bu nedenle, TXOne Networks, tehdit ortamını sürekli izleyen tehdit araştırmacılarının çabalarıyla desteklenen OT-yerel çözümler geliştirmiştir. Kötü niyetli aktörler yeni siber saldırı yöntemleri geliştirirken, ağ segmentasyonu, sanal yama, güven listeleri, kritik varlıkların sağlamlaştırılması ve periyodik güvenlik denetimlerinin en iyi uygulamaları, kuruluşların bugünün siber tehditlerini püskürtmesine ve yarının tehditlerini önlemesine olanak tanır.
Daha fazla bilgi için TXOne Networks’ü ziyaret edin.
yazar hakkında
Ryan Akciğer TXOne Networks’te üst düzey ürün yöneticisidir ve burada TXOne Networks’ün ağ oluşturma ürün yönetimi ve tasarım ekiplerini yönetir ve ICS ağ güvenliği ürünlerinden sorumludur. 14 yılı aşkın bir süredir ağ güvenliği ürün yönetimi ve tasarımında çalıştı. Ryan Lung, National United University’den Bilgi Yönetimi alanında yüksek lisans derecesi aldı.
Ryan Akciğer [email protected] adresinden çevrimiçi olarak ulaşılabilir
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserinden izin almadan sınırlı olarak yararlanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.