Kritik Altyapı Güvenliği
SANS Araştırması Olay Tespitinin İyileştiğini Buldu
Prajeet Nair (@prajeetspeaks) •
22 Ekim 2024
Yıllık SANS anketine katılanlara göre, daha fazla olay, bir yıla yayılabilen güvenlik açığı iyileştirme zaman çizelgeleri ve uyumsuz bütçe öncelikleri; 2024’teki operasyonel teknoloji siber güvenliğinin durumu böyle.
Ayrıca bakınız: Canlı Web Semineri | Finansal Hizmetlerde Sertifika Yaşam Döngüsü Yönetimi, PKI ve Yazılım Tedarik Zinciri Güvenliğinin Durumu
Kritik altyapı sektöründeki 530’dan fazla profesyonelin yanıtlarına dayanan anket, algılama yetenekleri gelişmiş olsa da birçok kuruluşun etkili bir olay müdahale planına sahip olmadığını ortaya çıkardı.
Tespit edilen fidye yazılımı dışındaki olayların sayısı 2023 rakamlarına kıyasla %19 arttı; ilk saldırı vektörlerinin çoğu, saldırganların birleşik bir OT/IT ağına sızmasına izin veren bir bilgi teknolojisi güvenlik açığından geliyordu. Saldırıların yaklaşık %46’sı bu şekilde gerçekleşti; ikinci en yaygın vektör (%24 ile) harici bir uzaktan hizmet aracılığıyla OT ağına geliyordu.
Fidye yazılımı büyük bir tehdit olmaya devam ediyor. Fidye yazılımı saldırılarında hafif bir düşüş yaşanırken, katılımcıların %38’i fidye yazılımının fiziksel süreçlerinin güvenliğini veya güvenilirliğini etkilediğini bildirdi.
İşin iyi tarafına bakıldığında, SANS’tan Jason Christopher 6 Ekim’deki web seminerinde “‘kapsamlı’ ICS/OT ağ izleme olanağına sahip katılımcılar ICS olaylarını tespit etmede önemli ölçüde daha hızlıydı – 6 saatten kısa sürede %50’nin üzerinde tespit” dedi.
Ankete katılan kuruluşların çoğunluğunun artık özel olay müdahale planları var ve dörtte üçü uzaktan erişim için çok faktörlü kimlik doğrulamayı uyguluyor; her ikisi de önceki yıllara göre artışları temsil ediyor. ICS’ye özgü olay müdahale planlarına sahip olmayan kuruluşların oranı ankete katılanların %28’ini oluşturdu.
Gelişmelere rağmen rapor, olaya müdahalenin zayıf bir nokta olmaya devam ettiğini ortaya çıkardı. Çoğunluk (yüzde 26) güvenlik açığının giderilmesini tamamlamak için 8 ila 30 güne ihtiyaç duyduklarını söylerken, yüzde 3,5’i bir yıl kadar en az yedi ay gerektiğini kabul etti. İşgücü sorunları yanıt süresi gecikmelerini daha da kötüleştirebilir.
Raporda “İşgücü, herhangi bir ICS/OT güvenlik programının atan kalbidir” denildi. Ancak yanıt verenlerin yalnızca dörtte biri iş gücünün eğitimi ve işte tutulmasına önemli miktarda bütçe ayırırken, %52’si yeni teknoloji çözümlerine yapılan harcamalara öncelik veriyor.
Christopher, “Alanımız son 5 yılda büyük ölçüde olgunlaştı ve +15 yıl öncesine göre tanınmaz durumda, ancak yine de uygulayıcıları teknolojiler ve tehditler konusunda eğitmeye yatırım yapmamız gerekiyor” dedi.
Anket, düzenleyici olmayan devlet kurumlarıyla bilgi paylaşımında yıllar süren bir düşüş eğilimi kaydetti. 2019’da beş yılın zirvesi olan %41’den bu yana ankete katılan kuruluşların yalnızca %12’si bu tür ajanslarla işbirliği yapacaklarını söylüyor. Sayılar her geçen yıl azaldı. Arc Advisory Group araştırma başkan yardımcısı Larry O’Brien, “Zorunlu raporlama için gereklilikler daha katı hale geldi, bu nedenle gönüllü raporlamanın azalması beni şaşırtmıyor” dedi. “Gönüllü raporlama biraz çetrefilli bir iş. Gönüllü bilgi paylaşımının yeterli olduğunu düşünmüyorum, ancak bunun için yeterli teşvik de yok.”
Şirketler, denetimlerin artmasından korktukları için hükümetle ilişki kurmaktan çekiniyorlar. “Bunu biliyorum. Çoğu zaman insanlar hükümetin kaynaklarına güvenmeyi düşünüyorlar, ‘Eğer hükümeti içeri alırsam, burada her şeyin ters gittiğini görecekler'” dedi. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’na atıfta bulunarak, “Keşke daha fazla insan CISA ile iletişime geçse, yardım etmek için oradalar. İsteksizliği anlasam da bunun haklı olduğuna inanmıyorum” diye ekledi.
İlgili bir zorluk da kaynak eksikliğidir. O’Brien, “İnsan bulamıyorlar. Bu personel sıkıntısı aynı zamanda gönüllü habercilikteki düşüşe de katkıda bulunuyor olabilir, çünkü herkes çok zayıf ve sadece iş yüküne ayak uydurmaya çalışıyor.” dedi.
Rapor aynı zamanda iş gücü geliştirme eksikliğinin OT güvenliğindeki kritik bir boşluk olduğuna da işaret ediyor. Yanıt verenlerin %51’inden fazlasının ICS/OT’ye özgü sertifikaları yok ve pek çok profesyonelin bu alanda beş yıldan az deneyimi var.