Bu Help Net Security röportajında Brown & Brown CISO’su Ken Deitz, siber risk tanımının BT’nin ötesine geçerek IoT, OT ve daha geniş tedarik zinciri ekosistemlerini nasıl kapsadığını tartışıyor. Kuruluşlar bu varlıkları bulut ve ağ bağlantılı sistemler aracılığıyla birbirine bağladıkça, saldırı yüzeyi ve bağımlılıklar da arttı.
Deitz ayrıca görünürlük, segmentasyon ve esnek kurtarma planlaması yoluyla riski yönetmeye yönelik stratejileri de paylaşıyor.
Sizin bakış açınıza göre “siber riskin” sınırları son yıllarda IoT, OT ve daha geniş tedarik zincirini kapsayacak şekilde nasıl genişledi?
Siber risk eskiden “BT riski”nin kısaltmasıydı. O sınır kalktı. Tipik varsayılan, kameralar, kimlik kartı okuyucuları, HVAC sistemleri, filo sensörleri ve fabrika kontrolörleri için harici/bulut bağlantısıdır. İş dünyasının talepleri aynı zamanda BT, OT ve IoT arasındaki duvarları da yıkarak telemetrinin analitiği, otomasyonu ve iş kararlarını beslemesine olanak tanıdı.
Risk perspektifinden gördüğümüz en önemli değişiklik bağımlılıkların yoğunlaşmasıdır. Tek bir kimlik sağlayıcı, yazılım güncelleyici, uzaktan yönetim aracı veya lojistik ortağı artık birden fazla sistem için tek bir arıza noktası olabilir. Risk birimi artık bir uç nokta değil. Binlerce uç noktayı ve kritik süreci yöneten kontrol düzlemidir (bulut konsolları, API’ler vb.).
Kaynak kısıtlamaları ve uzun yaşam döngüleri göz önüne alındığında kuruluşlar, dağıtımdan sonra IoT cihazlarını güvence altına almak için hangi pratik yaklaşımları benimseyebilir?
Her zaman neyi savunacağınızı bilerek başlayın ve ardından en az ayrıcalık ilkelerini uygulayın. “İhlal olduğunu varsayalım” zihniyetini benimseyin. Pasif keşif ve mevcut günlüklerden (DHCP, DNS, NetFlow) canlı bir envanter oluşturun ve sürdürün. Aksi kanıtlanana kadar bilinmeyen cihazlara güvensiz muamelesi yapın. İşleve ve kritikliğe göre bölümlere ayırın, kameraları kayıt cihazlarıyla, ödeme cihazlarını ağ geçitleriyle birlikte yerleştirin ve varsayılan olarak sınırlar arası trafiği engelleyin. Cihazların şifrelemeyi veya kimlik doğrulamayı yönetemediği durumlarda, TLS’yi sonlandıran ve gözlemlenebilirlik sağlarken politikayı uygulayabilen ağ geçitleri üzerinden aracılık yapın.
Sanal yama (IPS/WAF) ile mümkün olduğunda yama yapın, yapamadıklarında koruma sağlayın. Kesin çıkış izin verilenler listeleri ve DNS filtrelemesi oluşturun. Varsayılan kimlik bilgilerini ortadan kaldırın ve cihaz başına gizli dizilere veya sertifikalara geçiş yapın. Ağır aracılar olmadan sapmayı tespit etmek için basit davranış temelleri (bağlantı noktaları, hedefler, güncelleme temposu) oluşturun. Tedarik işlevinizi bir kontrol olarak kullanın: SBOM’ları zorunlu kılın, taahhütleri güncelleyin ve denetleyebileceğiniz veya satın alamayacağınız uzaktan erişim modellerine ihtiyaç duyun.
OT ortamlarının operasyonları aksatmadan güvenliğini sağlamanın oldukça zor olduğu biliniyor. Bu bağlamlarda riski azaltmak için hangi stratejilerin en etkili olduğu kanıtlanmıştır?
Fazla mesai değişikliklerini iş değişiklikleri olarak değerlendirin (çünkü öyledir). Risk kararlarına tesis yöneticilerini, güvenlik yöneticilerini ve bakım liderlerini dahil edin. Mümkün olan yerlerde üretim ortamını yeterince modelleyen bir geliştirme ortamındaki tüm değişiklikleri test ettiğinizden emin olun. Geri alma işlemlerinin hazır olmasıyla, planlı kesinti süresi boyunca değişiklikleri planlayın. PLC erişimi gerektirmeden varlık ve trafik haritaları oluşturmak için salt okunur toplayıcılar ve protokole duyarlı izlemeyle pasif olarak görünürlük oluşturun.
Zaman sınırlamalı onaylar ve oturum kaydıyla MFA tarafından zorlanan atlama ana bilgisayarları aracılığıyla tüm satıcı oturumlarına aracılık ederek uzaktan erişimi sıkılaştırın. Özel modemleri ve yönetilmeyen tünelleri tanımlayın ve kullanımdan kaldırın. Değiştirme ve geri yüklemeyi etkinleştirmek için altın görüntüleri, doğrulanmış yedeklemeleri ve etkin yedekleri koruyun.
Bir yönetim kuruluna veya CISO’ya danışmanlık yapıyor olsaydınız IoT, OT ve tedarik zincirlerindeki riski azaltmak için en önemli üç önceliğin neler olduğunu söylerdiniz?
Bir yönetim kuruluna, bir CISO’ya vereceğim tavsiyelerden çok farklı tavsiyeler verirdim. Bir yönetim kuruluna tavsiyem basit olacaktır: İş operasyonlarınızı, risk iştahlarınızı anlayabilecek ve yüksek performanslı bir siber güvenlik fonksiyonuna yönelik vizyonunu aktarabilecek bir CISO bulun.
Riski azaltmak için bir CISO’ya tavsiye edebileceğim ilk üç öncelik:
1. Patlama yarıçapını azaltın. En önemli süreçleri tanımlayın ve bu süreçler etrafında segmentasyon, kimlik ve en az ayrıcalığa sahip olduğunuzdan emin olmak için aktif olarak test edin. Envanterdeki varlıkların yüzdesi, bölümlere ayrılmış yüzde, MFA kapsamında uzaktan erişim yüzdesi ve bir bölgeyi izole etme süresi dahil olmak üzere istediğiniz sonuçları ölçtüğünüzden emin olun.
2. Kontrol düzlemlerini ve tedarik zincirini güçlendirin. Aynı anda birden fazla şeyi değiştirebilecek konsolları, API’leri, güncelleme sunucularını ve üçüncü taraf yollarını güvence altına alın. SBOM’lar için sözleşme, denetim hakkı ve SLA’lara yama yapılması. Üçüncü taraf saldırı yüzeyini ve ayrıcalıklı erişimi sürekli olarak izleyin, bir tedarikçinin arızalanması veya güvenliğinin ihlal edilmesi durumunda “güvenli mod operasyonlarını” önceden planlayın.
3. Güvenli bir şekilde iyileşmeye hazırlanın. Kritik hatlar için operasyonları, satıcıları, temiz oda geri yükleme yeteneklerini ve iş RTO/RPO hedeflerini içeren etki alanları arası olay taktik kitaplarını koruyun ve kullanın. Niyetiniz doğrultusunda liderliğe rapor vermeyin; egzersizlerden ve masa üstlerinden elde edilen kanıtları rapor edin.
BT, OT ve IoT’nin yakınlaşmasıyla önümüzdeki 3-5 yıl içinde en büyük risklerin nerede ortaya çıkacağını görüyorsunuz?
Hiç kimse geleceği tahmin edemez. Ancak geçmiş geleceğin bir göstergesiyse, rakipler işletmeleri endüstriyel ölçekte etkilemek için cihazları giderek daha fazla bypass etmeye ve bulut konsollarını, API belirteçlerini ve uzaktan yönetim platformlarını ele geçirmeye devam edecek.
Bir başka risk alanı da ürün yazılımı tedarik zinciridir. Küçük cihazlar genellikle kolaylıkla yamalayamayacağımız üçüncü taraf kodları taşır. Tek çözümün donanımı değiştirmek olduğu daha fazla “değişim yoluyla yama” gerçeğiyle karşı karşıya kalacağız.
Ek olarak, sertifikalar ve tokenlar gibi uçtaki makine kimliklerinin sayısı, büyüklük bakımından insanlardan daha fazla olacaktır. Bu kimliklerin yaşam döngüsü ve ayrıcalıkları yeni çevreyi oluşturuyor.
Tehdit açısından bakıldığında, tehdit aktörlerinin gücünü artırmak için fiziksel kesintiyi hedefleyen fidye yazılımı saldırılarının yanı sıra, yanlış yapılandırıldığında riski herhangi bir LAN’dan daha hızlı yayan özel 5G/akıllı tesisleri de göreceğiz.
Nesnelerin İnterneti, OT ve tedarik zincirini özel istisnalar olarak değil, kurumsal risk açısından birinci sınıf vatandaşlar olarak ele almalıyız. Durmaksızın envanter yapın, acımasızca bölümlere ayırın, sürekli olarak doğrulayın ve işin devamını sağlayan kişilerle iyileştirme provası yapın.