İle Jayakumar (Jay) Kurulum, Küresel Satış Mühendisliği Direktörü
Operasyonel teknolojiyi (OT) güvence altına almak benzersiz zorluklar yaratır.
Fabrikalarda, limanlarda, bankalarda, arıtma tesislerinde ve diğer OT ortamlarında kesinti süresine sıfır tolerans, yama yönetimi veya uç noktalara koruyucu çözümler dağıtma gibi standart güvenlik uygulamalarının sürdürülmesinin neredeyse imkansız olabileceği anlamına gelir.
Bazen bunun nedeni kültürel sebeplerdir (yönetimin en ufak bir aksama ihtimalinden bile korkması); diğer zamanlarda teknolojiktir. OT sistemleri genellikle bir tedarikçi tarafından yüklenen sabit yazılım ve yazılıma sahip kapalı sistemler olarak gelir.
Bu zorluklara rağmen, OT ortamlarının güvenliğini sağlamak hala olması gereken bir şey. Öyleyse, dokunmak istemediğiniz, doğası gereği savunmasız bir sistemle ne yaparsınız? Hava boşluğunu açmaya çalışırsın. Teoride harika. Bununla birlikte, pratikte, bir OT sisteminin hava aralığını kapatmak veya korunan ağına güvenlik duvarı oluşturmak, genel güvenliğini sağlamlaştırmanın yalnızca başlangıcıdır.
OT Saldırıları Artıyor
Jeopolitik amaçlarla veya fidye toplamak için, OT sistemlerinin performansını bozmak veya tehdit etmek, tehdit aktörleri için büyük bir kazanç olabilir. Bu her zaman böyle olmuştur, ancak OT siber saldırılarının artmasıyla OT’ye yönelik tehdit düzeyi her zamankinden daha yüksektir.
Rusya ile Ukrayna arasındaki kinetik çatışma başladığından beri buna paralel olarak bir siber savaş yaşanıyor. Sonuç, Rosent, Nordex, Birleşik Krallık posta hizmeti ve daha fazlası gibi şirketleri tehlikeye atan küresel bir OT saldırıları dalgası oldu.
Tehdit aktörleri ayrıca OT ortamlarından taviz vermenin daha fazla yolunu buluyor.
Altyapısal saldırı zincirlerinin yalnızca küçük bir kısmı, 2010’da Stuxnet, 2018 Shamoon’un Saudi Aramco’ya yaptığı saldırılar ve daha yakın zamanda Honda ve Enel’e yönelik 2020 EKANS fidye yazılımı saldırılarında gördüğümüz türden “saf” OT uzlaşmalarıdır. Bunun yerine saldırılar, içerideki kişiler, korumalı ağlara ve OT varlıklarına bağlanan iş ağları ve aşağı akış tedarik zinciri uzlaşması, yani “” gibi çeşitli vektörlerden gelebilir.
Bu farklı vektörlerin tümü, OT sistemleri için bir tehdittir çünkü bir OT sisteminde tamamen hava aralığı oluşturmak imkansızdır. Endüstriyel kontrol sistemlerinin (ICS) düzenli aralıklarla kurumsal TCP/IP ağlarına bağlanması gerekir ve bağlandıklarında daha geniş bir ağa bağlanarak sistemi potansiyel güvenlik açıklarına ve risklere maruz bırakabilirler.
Bir sisteme veri akışını bozan (Nordex saldırısında gördüğümüz gibi) uç noktalar arasındaki bağlantıları tehdit eden veya özel bilgilere sızan fidye yazılımı veya kötü amaçlı yazılım, operasyonları da durdurabilir.
Uzaktan erişim yeteneklerinin ve iş bağlantısının artması, OT ağlarının BT ortamlarına her zamankinden daha fazla bağlandığı anlamına da geliyor. En güvenli ağlarda bile kör noktalar ve güvenlik açıkları ortaya çıkacaktır. OT kullanıcıları, eski sistemlerini ve güvenlik teknolojilerini tamamlayacak şekilde bu boşlukları kapatmak için nokta çözümlerine ihtiyaç duyar.
OT Güvenlik Kontrollerinin Yapması Gerekenler
OT sistemlerini korumak için tek bir güvenlik katmanına güvenilemez ve katmanlama güvenliği (“”) çok önemlidir. Ancak, etkili güvenlik kontrolleri olmadan derinlemesine savunma mümkün değildir. Birçok OT güvenlik programının mücadele ettiği yer burasıdır. Güvenlik çözümleri, geleneksel olmayan, kısıtlı kaynaklara sahip ve güvenilirlik odaklı OT sistemlerindeki ve çevresindeki tehditleri durdurmak için üç ciddi zorluğun üstesinden gelmelidir.
İlk olarak, bir OT veya OT bitişik sistemine dağıtılan herhangi bir şeyin yanlış pozitif uyarı sorununu önlemesi gerekir.. OT ortamlarında, yanlış pozitifler nedeniyle süreçler kapatılamaz.
İkincisi, koruma, kaynakları kısıtlı cihazlarda ve karmaşık ağ topolojileri ile düşük bant genişliğinde devreye alındığında verimli bir şekilde gerçekleşmelidir. OT ortamlarında, güncellemelerin indirilmesine dayanan çözümler (varlıkları istemeden ifşa edebilir) risk oluşturur.
Üçüncüsü ve en önemlisi, herhangi bir OT güvenlik çözümünün, gelişmiş tehditlerin bir BT (BT/iş) ağından BT/OT DMZ’ye ve OT (operasyonel) ağına yayılmasını durdurması gerekir. Bu kritiktir çünkü bu ortamlar, değerli hedeflere saldırmak için sıfır gün, dosyasız solucanlar, truva atları ve özelleştirilmiş fidye yazılımları ve kötü amaçlı yazılımları kullanabilen ve kullanacak olan dünyanın en iyi kaynaklara sahip ATP’lerinden bazıları için hedeflerdir.
OT ortamlarının dışında, BT uç noktalarını korumak için uç nokta algılama ve yanıt (EDR) platformları gibi tarama tabanlı çözümler kullanılıyor. Ancak OT ortamlarında uygun çözümler değildirler ve genellikle çok düşük performans gösterirler. EPP’ler ve EDR’ler imza ve davranış modeli güncellemeleri ve tehdit akışları için sürekli telemetriye güvendiğinden bu önemlidir. Sonuç olarak, EDR’ler hava boşluklu bir durumda düzgün çalışamaz.
Bu çözümler kötü amaçlı yazılım kancalarını tararken, kıt bilgi işlem kaynaklarını tüketirler. EDR’lerin çoğu, tipik bir OT ortamında bulunan ve birçok yanlış pozitif oluşturan çeşitli eski işletim sistemi, donanım ve uygulamalarla da uyumsuzdur. Hiçbiri, herhangi bir hassas bölgede uzun ömürleri için iyiye işaret değildir.
En önemlisi, bitişik OT sistemlerini ve ağlarını korumak için EDR’leri kullanmanın en büyük sorunu, dosyasız ve kaçamak saldırıları güvenilir bir şekilde tespit edememeleridir. EDR’nin aradığı pek çok tehdit vardır. Gelişmiş tehditler (Cobalt Strike gibi), çalışma süresi boyunca cihaz belleği gibi taranamayan ortamlarda da çalışır.
Aynısı, ağ trafiğini analiz etmek için dağıtılan NDR’ler gibi BT ortamının diğer bölümlerinde benzer teknolojiyi kullanan çözümler için de geçerlidir.
AMTD ile OT Ortamlarını Koruma
Otomatik Hareketli Hedef Savunması (AMTD), saldırı yollarını kapatmak için OT sistemlerinin içinde ve çevresinde konuşlandırılabilen süper hafif, önleyici bir çözümdür.
AMTD temelde OT ortamları için uygundur çünkü tehditleri algılamaya gerek kalmadan durdurur. Ayrıca internet bağlantısı, tarih telemetri güncellemeleri veya modern işletim sistemi sürümleri gerektirmez.
Sıfır gün, dosyasız ve kaçamak saldırıları durdurabilen AMTD, çalışma zamanı bellek ortamını rastgele değiştirerek öngörülemeyen bir saldırı yüzeyi oluşturur ve hedeflerin olduğu yerde tuzak tuzakları bırakır.
OT tehditleri standart oyun kitaplarını takip etmez. Genellikle bilinmeyen ve dinamiktirler ve OT sistemleri güvenlik duvarları çözülerek daha fazla yerden gelirler. Değişen bir tehdit ortamı böyle görünüyor. Her zaman olduğu gibi, en iyi yanıt önlemi ikiye katlamaktır. AMTD, OT güvenlik ekiplerinin karşılaşacağı en kötü tehditleri önlemek için kanıtlanmış bir çözümdür.
reklam