OT güvenliği bulmacasını çözüyoruz
Yazan: Kevin Kumpf, Cyolo Siber Güvenlik Evangelisti
Güvenli Uzaktan Erişim (SRA), kiminle konuştuğunuza, müşteri veya satıcı rolüne ve onların hangi “mercek” aracılığıyla baktığına bağlı olarak teknolojik olarak birçok şekilde tanımlanabilecek bir terimdir. Kişinin rolü veya bakış açısı ne olursa olsun, Güvenli Uzaktan Erişim güvenli ve emniyetli olmalıdır, ancak Güvenli Uzaktan Erişimi kapsayabilecek diğer her şey gerçekten tartışmaya açıktır.
“Güvenli” Uzaktan Erişim Nedir?
Teknik tanım gereği “Güvenli” Uzaktan Erişim, dijital kaynaklara yetkisiz erişimi engellemek için tasarlanmış güvenlik süreçlerinin/kontrollerinin birleşimidir. Ancak başarıyla uygulanan SRA, yalnızca bir kullanıcıyı bir kaynağa, hatta bir kaynağı bir kaynağa bağlamak için kullanılan teknolojiyi içermez. Herhangi bir SRA uygulamasındaki en zayıf halka insanlardır.
Operasyonel Teknoloji (OT) alanından katılımcılarla yapılan anketin yakın zamanda yayınlanan “Endüstriyel Güvenli Uzaktan Erişimin Durumu (I-SRA)” raporunda, katılımcıların %75’i ezici bir çoğunlukla herhangi bir sorunla uğraşırken iş operasyonlarına yönelik tehditlerin en büyük endişe olduğunu kabul etti. Bir kaynağa SRA formu. Ek olarak, katılımcıların %67’si Gelişmiş Kalıcı Tehditlerin (APT’ler) büyüyen bir endişe olduğunu düşünüyor ve %72’si üçüncü taraf bağlantılarını herhangi bir Uzaktan Erişim için en büyük risk olarak görüyor.
Şimdi, OT hedefli bir raporun neden herhangi bir kuruluştaki SRA ile alakalı olduğunu soruyor olabilirsiniz ve bunun yanıtı basittir. Birçok SRA çözümü, bir kuruluş içindeki BT kaynakları tarafından bir biçimde paylaşılır, korunur, yönetilir veya kontrol edilir. Örnek olarak Fidye Yazılımı tehdidi yalnızca belirli şirket kaynaklarına saldırmaya odaklanmaz, aynı zamanda tehdit aktörleri için finansal kazanç elde etmek amacıyla mümkün olduğunca çok sayıda ticari operasyonu kesintiye uğratmaya odaklanır.
Güvenli Uzaktan Erişim Bileşenlerinin Kapsamında Gezinme
SRA’nın insan bileşenine gelince, yanıt verenlerin %59’u kaynaklara doğrudan erişimi olan güvenilir kullanıcılardan bile endişe duyuyordu. SRA ve güvenilir kullanıcıların tanımının bulanıklaştığı yer burasıdır.
Çoğu kuruluşta, SRA yalnızca üçüncü taraflarca kullanılmaz, aynı zamanda uzaktaki çalışanlar, kaynaklara bağlanmak için kuruluş sınırlarını aşan dahili kullanıcılar ve SRA ile Yazılım Tanımlı Ağ İletişiminin (SDN) birlikte kullanıldığı büyüyen bir segment tarafından da kullanılır. Bu bizi yukarıdaki “lens” ifadesine geri getiriyor.
Birçok kuruluş veya teknoloji satıcısı için Sanal Özel Ağ (VPN), Güvenli Uzaktan Erişimin bir biçimidir ve bu ifadede yanlış değiller. Bir VPN şifrelenir (güvenli) ve erişim izni verilmeden önce (güvenli) bir tür 2FA/MFA kullanıcı/cihaz kimlik doğrulaması (ör. belirteç, sertifika, anahtar vb.) kullanır, ancak genel olarak burada sona erer. Bazıları erişim politikalarını, kaynak kontrollerini, bağlantı süresini zorunlu kılabilir ancak genellikle sizi uygulamaların birden fazla kullanıcıya yayınlandığı bir atlama/bastion ana bilgisayarına yerleştirir.
Oturum kaydı, denetimli erişim, paylaşılan kimlik bilgileri kasası ve işlev kısıtlama gibi özellikler mevcut değildir. Son olarak, bu tür bağlantı, uygulama katmanında değil Ağ katmanındadır (VPN’de N harfi), böylece son cihazın güvenliği ihlal edilirse fidye yazılımı ve diğer ağ katmanı tehdit vektörleri başarılı bir şekilde denenebilir.
Diğer bir form ise, bilmeyenler için NIST SP 800-207’yi temel alan, çok tartışılan ve tanıtılan ZTA / ZTNA’dır (terimi özgürce kullanmadan önce bu Özel Yayını okumanızı şiddetle tavsiye ederim). SRA’nın bu vizyonunda öncül hiçbir şeye güvenmemektir, dolayısıyla Sıfır için Z. Ayrıca, her şeyin hala güvenli ve emniyette olduğundan emin olmak için oturumun denetlenmesi anlamına gelen sürekli doğrulama ilkesini de uygular. SRA’nın bu biçimi aynı zamanda ayrıntılı kontrol veya SRA oturumunda kullanılan insanlar, süreç ve teknoloji anlamına gelen politikaya da derinden kök salmıştır.
Güvenli Uzaktan Erişimde En Zayıf Halkanın Maskesini Ortaya Çıkarma
Bu makalenin amacı hangi teknoloji modelinin (ve başkaları da vardır) en iyi olduğunu anlamak değil, herhangi bir SRA çözümünün altında yatan gerçek sorunları ve bunların uygun konfigürasyon, gözetim, kullanım ve yönetim olduğunu tartışmaktır.
Her şeyden önce altta yatan sorunlar, herhangi bir SRA uygulamasının en zayıf halkasıyla doğrudan ilgilidir ve bu da insan bileşenidir. Bağlandıkları veya bağlandıkları son kullanıcılara veya cihazlara (dolayısıyla ZTA / ZTNA’daki Sıfır) ve geçerli nedenlerden dolayı gerçekten güvenmiyoruz. Ayrıca dahili personelin (veya SRA uygulamalarımızı yöneten harici kaynakların) güvenli ve emniyetli bir erişim altyapısı oluşturmaya yönelik yayınlanmış en iyi uygulamaları takip edeceğine de güvenemeyiz. Denetleyicinin “merceğinden” hepimiz açık VPN bağlantıları, zayıf şifreler, paylaşılan kullanıcı hesapları, etkisiz politikalar ve genel olarak zayıf güvenlik hijyeni bulduk. Ayrıca, üçüncü bir tarafın mesai saatleri dışında acil işler yapmak üzere kolayca içeri girebilmesi için denetim yollarının eksikliğini veya bir atlama sunucusuna kurulan işbirliği aracının eksik olduğunu da tespit ettik.
Sonuç olarak, SRA çözümü olarak ne tanımlarsak tanımlayalım, genel olarak SRA uygulamaları için daha güvenli ve riskleri azaltan bir güvenlik duruşu oluşturma konusunda hem satıcı hem de son kullanıcı açısından daha iyi bir iş yapmalıyız; yanıt verenlerin %55’i bunun bir güvenlik duruşu olduğunu belirtti. endişe de var.
yazar hakkında
Kevin Kumpf, enerji, tıp, üretim, ulaşım ve FedRAMP alanlarında çalışan 10 yılı aşkın siber güvenlik, yönetişim ve kritik altyapı deneyimi de dahil olmak üzere 20 yılı aşkın BT güvenliği ve uyumluluk deneyimine sahiptir. Kevin’in geçmişteki görevleri arasında Iberdrola için OT Güvenlik Direktörü (NA), birden fazla OpCo’nun güvenliğini ve mevzuata uygunluğunu denetlediği ve NY ve NE ISO’lar, NERC, ISAC’ların yanı sıra eyalet ve kuruluşlarla etkileşimler için Baş Güvenlik ve Düzenleme Lideri yer alıyor. federal kuruluşlar. Ayrıca fidye yazılımı, içeriden öğrenilen tehditler ve kötü amaçlı yazılım istilasıyla ilgili olarak maruz kaldıkları tehditleri azaltmak için birden fazla sağlık ve üretim kuruluşunda dahili olarak ve satıcı/danışman olarak çalıştı. Kevin bugün Cyolo’da OT Teknik Lideri olarak çalışıyor. Daha fazla bilgiyi Cyolo’nun web sitesinde bulabilirsiniz: https://cyolo.io/