3 olarak tüketilsin, bulut hizmetlerinin benimsenmesird Çeşitli satıcılar tarafından veya ana Bulut Hizmeti Sağlayıcılarından (CSP’ler) Hizmet Olarak Platform’dan (PaaS) yararlanan şirket içi geliştirilen yazılım ve/veya hizmetler biçiminde sağlanan taraf hizmetleri, kritik altyapıda (CI) istikrarlı bir şekilde artmaktadır. ilgili endüstriler[i]. Bu, geleneksel olarak hava boşluklu ağlar aracılığıyla izolasyona dayanan bu tür endüstriler için önemli bir değişimi temsil ediyor. “Buluta geçiş”, CIA üçlüsünün bir unsuruna (gizlilik, bütünlük ve kullanılabilirlik) diğerlerine göre daha fazla öncelik veren, kritik altyapıyla ilgili endüstriler için önemli siber güvenlik zorlukları sunuyor.[ii].
Halihazırda karmaşık bir mimari ve güvenlik ortamını daha da karmaşık hale getiren şey, çeşitli ülkelerdeki kritik altyapı endüstrilerinin kısmen veya tamamen devlet kontrolünde olma eğiliminde olmasıdır; Sağlık, Su, Elektrik, Acil Servisler ve Gıda üretimi gibi pek çok “temel hizmetler” sağlıyor.
“Temel hizmetlere” etkisi
ABD Hükümeti’nin Siber Güvenlik ve Altyapı Güvenliği Ajansı veya CISA, ulaşım sektörü, su sektörü, gıda ve tarım sektörü dahil olmak üzere “temel hizmetler” olarak kabul edilebilecek birkaçı da dahil olmak üzere, ‘kritik altyapı’ şemsiyesi içine girdiğini düşündüğü yaklaşık 16 endüstriyi listeler. sağlık ve halk sağlığı sektörü, kimya sektörü, baraj sektörü, enerji ve kamu hizmetleri sektörü (E&U), acil servis sektörü[iii]. İngiltere’nin CPNI ajansı ayrıca, temel kamu hizmetlerini doğrudan (Su, Gıda, Sağlık gibi) sunan birkaç sektörle birlikte, ABD listesiyle önemli ölçüde örtüşen yaklaşık 13 sektör veya endüstriyi listeler.[iv].
Rakip ulus devletlerden ve haydut aktörlerden gelen siber tehditler oldukça makul ve aynı zamanda mevcut çağın jeopolitiği nedeniyle giderek yaygınlaşıyor. Bu, birçok durumda, sıradan vatandaşlara sunulan kamu hizmetlerinin sürekliliğinin kaybolmasına neden oldu.
- Geçen yıldan bir örnekte, bulut yazılımının riske dayalı olarak benimsenmemesi ve ICS ağlarına erişimi önleyecek kontrollerin olmaması, kötü kontrol edilen bulut yazılımı (masaüstü paylaşımı) aracılığıyla siber saldırının gerçekleştiği bir ABD içme suyu arıtma tesisinde hizmet kesintisine neden oldu. içme suyunda artan sodyum hidroksit seviyeleri vardı[v].
- Bu yılki bir başka örnekte, bulut tabanlı e-posta sistemlerinin bir parçası olan hedef odaklı kimlik avı e-postaları aracılığıyla yayılan Industroyer kötü amaçlı yazılımının bir sürümü, elektrik şebekelerine erişim sağladı ve Ukrayna’nın başkentinin bir kısmına güç kaynağını neredeyse kapattı (eksik veya kimlik avını algılamak ve önlemek için bulut yerel denetimlerinin yetersiz uygulanması). Bu girişim aslında 2016’da başarılı olmuştu ve güçlü bir tehdit olmaya devam ediyor.[vi].
Kısacası, temel hizmetler hepimizi etkiler ve herhangi bir aksama, bunlarla ilişkili önemli ekonomik maliyetler bir yana, günlük işlerimizi gerçekleştirme şeklimizi de etkileme eğiliminde olacaktır.
Kritik Altyapı Endüstrilerinin Mevcut Güvenlik Manzarası
Siber güvenlik, bu kuruluşların çoğu için geleneksel olarak öncelik listesinin altında yer alan CI sektörlerinde nispeten hala çok yenidir. Kritik altyapı ile ilgili endüstrilerin, ürün veya hizmet tekliflerinin aşırı çeşitliliğine rağmen, onları birbirine bağlayan belirli ortak noktaları vardır:
- Endüstriyel Kontrol Sistemleri (ICS) veya OT Sistemleri
Bu endüstriler, Denetleyici Kontrol ve Veri Toplama (SCADA) sistemleri, Dağıtılmış Kontrol Sistemleri (DCS), Programlanabilir Mantık Kontrolörleri (PLC’ler), akıllı transformatörler, akıllı şebekeler, Uzak Terminal Birimleri (RTU’lar) ve diğer bu tür sistemler gibi ICS sistemlerini çeşitli ve kapsamlı bir şekilde kullanır. .
ICS sistemleri, CI endüstrilerinin ayrılmaz bir parçasıdır ve fabrikalar, rafineriler, atölyeler, trafo merkezleri vb. gibi tüm tesislerinin (şirket ofisleri hariç) omurgasını oluşturur. Bu sistemler geleneksel olarak Purdue Referansına dayalı kurumsal ve harici ağlardan hava boşlukludur. modeli.
CI’deki çoğu endüstri, en azından teoride, ağlarını ve operasyonlarını Purdue referans modeline göre düzenlemeye çalışır. Purdue referans modeli, çeşitli operasyonları ve işlevleri kuruluş genelinde gevşek mantıksal yüzme şeritlerine ayırır[vii]. Bir ağın inşa edildiği temelde hiyerarşik bölümler vardır.
Çoğu tesis ve tesis, çok özel protokoller kullanarak kablosuz olarak iletişim kuran ve farklı telemetri verilerini almak ve sağlamak için genellikle bulut tabanlı hizmetlerle etkileşime giren yüksek derecede IoT sensörlerine ve cihazlarına sahiptir.
Bu endüstrilerin bu benzersiz özellikleri, güvenlik açısından benzersiz zorluklar sunar:
- Bulut hizmetlerini benimserken Riske Dayalı karar verme eksikliği
Bulut hizmetleri, üçüncü taraf değerlendirme aracı, GRC aracı, kurumsal segmentasyon araçları vb. gibi belirli gereksinimleri karşılamak üzere benimsenmiştir. Yeni teknolojilerin tanıtılmasından kaynaklanan tehdit vektörlerinin anlaşılmasını içeren risk değerlendirmeleri tipik olarak veya yeterli düzeyde ele alınmamaktadır.
- Altın standart olarak segmentasyon için Purdue modelini kullanma
Purdue modeli, IoT cihazlarının, bulut hizmetlerinin ve sayısız diğer kurumsal çapta yazılım ve araçların yaygınlaşmasına kadar onlarca yıl boyunca mantıksal kurumsal mimari ihtiyacına hizmet etti.. Özellikle E&U endüstrisinde, akıllı şebekeler ve akıllı transformatörler, Purdue modeli tarafından düzgün bir şekilde ele alınmayan bir zorluk sunar (tanım gereği akıllı cihazlar, kontrol ağlarının ötesinde bulut bağlantısına sahip IoT özellikli cihazlardır)
- Sağlam segmentasyon ve mikro segmentasyon uygulamalarının eksikliği
Çoğu ağ, geleneksel olarak Rockwell, Honeywell, Mitsubishi, Yokogawa vb. gibi otomasyon satıcıları tarafından satılan ve optimum dağıtımlara ve ekipmanlarının performansına odaklanan tanımlanmış kurumsal ağ mimarileriyle birlikte gelen cihazlara sahiptir. Bu, özellikle bulut hizmetlerinin penetrasyonu ile birlikte çözümlerin birlikte çalışabilirliği nedeniyle, ICS ağları içinde segmentasyon etrafında en iyi uygulamaları uygulamayı çok zor hale getirir.
- Eski Cihazların Her Yerde Bulunması
Eski cihazlar ICS ağlarında bulunur ve içinde çalıştıkları organizasyona ve sektöre bağlı olarak yüzdeleri değişir. Bu eski cihazların yükseltilmesi, ‘sıfır kesinti süresi’ne verilen aşırı önem göz önüne alındığında, genellikle üstlenilmesi gerekmeyen karmaşık projelerdir.
- Çevre güvenlik duvarlarına ve endüstriyel IDS araçlarına aşırı güven
Trafiğin derin paket incelemesini gerçekleştiren birkaç endüstriyel IDS aracı, pazarı çoğalttı. Kuruluşlar, ağları güvence altına almakla eşdeğer olarak yalnızca anormal etkinliği gösteren IDS araçlarının dağıtımını karıştırıyorlar. Ek olarak, çevresel güvenlik duvarlarına, yanal güvenlik duvarlarına çok az önem verilerek büyük ölçüde güvenilmektedir.
Güvenlik hazırlığını geliştirmek için buluta ve üçüncü taraflara odaklanan bütünsel bir siber güvenlik programı
Temel kamu hizmetlerini sağlayan CI endüstrilerindeki güvenlik endişelerinin ele alınması söz konusu olduğunda gümüş kurşun yoktur. Kurumsal ve hatta ICS ortamlarında bulut hizmetlerinin çoğalmasını durdurmak imkansız ve verimsizdir. Ama aynı zamanda, ortaya koydukları güvenlik zorluklarını görmezden gelmek, kafayı kuma gömmeye benzer, çünkü bu açık ve mevcut bir tehdittir. Kamu hizmetleri endüstrileri için sağlam ağlar ve kurumsal mimari tasarlarken göz önünde bulundurulması gereken en iyi uygulamalardan bazıları şunlardır (kesinlikle kapsamlı bir liste değildir):
- Bulut güvenliğinin tüm alanlarını ele alan kapsamlı güvenlik programı[viii]:
Erişim Kontrolü, İletişim Güvenliği, Veri Güvenliği, Tehdit Modelleme gibi tüm alanlardan oluşan ve daha yeni bulut teknolojilerinin benimsenmesine odaklanan kapsamlı bir bulut güvenliği programı oluşturmak zorunludur. Bu, aynı zamanda, getirilen bulut hizmetleri/yazılımlarıyla ilgili olarak güvenliği proaktif olarak ele alan bir yönetişim programı tarafından da desteklenmelidir.
- Tüm 3 Risk Değerlendirmelerird parti bulut hizmetleri ve ayrıca PaaS hizmetleri:
Herhangi bir ürün ağa dahil edilmeden önce riski belirlemek için bileşen bazında kapsamlı bir risk değerlendirmesi yapmak zorunludur. Çeşitli tehdit vektörlerinin değerlendirildiğinden ve riskin nicelleştirildiğinden emin olmak için tehdit modellemesi, bazı riskleri azaltacaktır.
- Yalnızca çevrede değil, ICS ağlarına yayılmış güvenlik kontrolleri
ICS ağlarının güvenliğini sağlamak sadece çevre güvenliğini değil, yanal segmentasyon, muhtemelen mikro segmentasyon, cihaz düzeyinde güvenlik ve cihaz erişim kontrolü dahil olmak üzere güvenlik programının uygulaması gereken bir dizi güvenlik kontrolünü içerir. IoT cihazları için de özel kontroller mevcut olmalıdır. Azaltma stratejilerinin hala devreye girmesi gerektiğinden, IDS araçlarına aşırı güvenmek bu duruma yardımcı olmuyor.
- Purdue modeli tek başına artık onu kesmeyecek, bir bulut dünyası için yenilenmesi gerekiyor
Purdue modeli, CI kamu hizmeti kuruluşlarının faaliyet göstereceği temeli sağlamaya devam edecek olsa da, IoT cihazlarının ve bulut hizmetlerinin, mantıksal veya soyut sınırlara dayalı olarak cihazlarla etkileşime girmesi gerekmediği gerçeğini hesaba katan daha hibrit bir model. önemli. Ağların içindeki ve dışındaki API çağrıları dahil olmak üzere veri akışlarını bilmek, en iyi segmentasyon stratejisini bulmak için çok önemlidir.
Temel hizmetleri sağlayan CI endüstrilerinde kesintiyi en aza indirmek için bulut benimsemeye yönelik en iyi uygulama önerilerini ad-nauseum’da listelemek özellikle zor değil. Temel nokta, bulutun kuruluşlar için ekonomik anlam ifade eden alanlarda kalmak ve büyümek için burada olmasıdır. Ayrıca, kurumsal ve ICS ağları arasında, gelecekte yalnızca hızlanacak olan kademeli bir çizgi bulanıklığı var. Son derece değişken jeopolitik olayların olduğu bir çağda, kuruluşların bundan kaynaklanan güvenlik sorunlarına etkin bir şekilde tepki vermeye nasıl hazırlandıkları, temel hizmetlerin uzaktan (siber) kesintilerden yeterince korunup korunmadığını belirleyecek olan şeydir.
[i]
[ii]
[iii]
[iv]
[v]
[vi]
[vii]
[viii]
reklam