Son yıllarda uzaktan ve hibrit çalışma uygulamalarının yaygın olarak benimsenmesi, çeşitli sektörlere çok sayıda fayda sağlarken, özellikle kritik altyapı sektöründe yeni siber tehditleri de beraberinde getirdi.
Bu tehditler yalnızca BT ağlarını değil, aynı zamanda önemli fiziksel süreçleri doğrudan etkileyebilen operasyonel teknoloji (OT) ve siber-fiziksel sistemleri de kapsar.
Bu risklere yanıt olarak ABD hükümeti, ABD Siber Güvenlik Altyapısı ve Güvenlik Ajansı (CISA) tarafından zorunlu kılınan Sektörler Arası Siber Güvenlik Performans Hedefleri (CPG’ler) getirerek kritik altyapı güvenliğini güçlendirdi.
Son zamanlarda CISA, CPG’leri NIST’in standart siber güvenlik çerçevesiyle uyumlu olacak şekilde güncelleyerek, beş hedefin her birini BT ve OT siber güvenlik uygulamalarının öncelikli bir alt kümesi olarak belirledi.
Bu makalede, CISA’nın yenilenen CPG’lerine daha ayrıntılı olarak bakacağız ve kuruluşların bu kritik hedeflere ulaşmalarına yardımcı olacak mevcut potansiyel çözümleri tartışacağız.
CPG 1.0 Belirleme: OT ortamındaki güvenlik açıklarını belirleme
CISA’nın ilk CPG’si, BT ve OT varlıkları envanterindeki güvenlik açıklarının belirlenmesini, tedarik zinciri olay raporlaması ve güvenlik açığı açıklama programının oluşturulmasını, BT ve OT ağlarınız genelinde üçüncü taraf güvenlik kontrollerinin etkinliğinin doğrulanmasını, OT güvenliğinin kurulmasını içeren “Tanımla”dır. liderlik ve bilinen güvenlik açıklarını hafifletme. Kritik altyapı kuruluşları, ilk CPG’ye ulaşmak için tüm bu alt kategorileri özel olarak ele almalıdır.
Bu sorumlulukları ele almak dinamik bir çaba gerektirir. İlk olarak kuruluşlar, her iki departmanın güvenlik ekipleri arasında daha etkili işbirliğini teşvik ederek BT ve OT ilişkilerini güçlendirmelidir. Ancak en önemlisi, BT ve OT ekiplerinin her ortamın potansiyel siber tehditlerini ve risklerini ve diğerini nasıl etkilediğini anlamak için bir araya gelmesi gerekiyor. İlk CPG’ye ulaşmak için, bu departmanların izole edilmemesi, bunun yerine işbirliği yapması ve sık sık iletişim kurması çok önemlidir.
Aynı zamanda kuruluşlar, OT’ye özgü siber güvenlikten sorumlu ve sorumlu olacak tek bir lideri açıkça belirleyerek OT liderliği oluşturmalıdır. Buradan, kuruluşların tüm ekosistemdeki tüm OT ve BT varlıklarını açıkça tanımlayan ve izleyen bir varlık envanteri veya sözlük oluşturması gerekir. Bu varlıklar, güvenlik açığı yönetimi programlarına göre düzenli olarak denetlenmelidir. Satıcıların, üçüncü şahısların veya çalışanların OT ve BT varlıklarıyla ilgili herhangi bir olası güvenlik açığını ifşa edebileceği açık, halka açık ve kolay erişilebilir bir iletişim kanalına sahip olmak da son derece önemlidir.
CPG 2.0 Protect: OT varlıklarına ayrıcalıklı erişimi koruma
CISA’nın ikinci CPG’si, OT varlıklarının hesap güvenliği yönlerini vurgulayan “Koru” dur. Bu hedefe ulaşmak için, kritik altyapı kuruluşlarının parola politikalarını güçlendirmeleri, OT uzaktan erişim sistemlerinde varsayılan kimlik bilgilerini değiştirmeleri, OT ve BT ağlarını ayırmak için ağ bölümlendirmesi uygulamaları ve genel kullanıcı ve ayrıcalıklı hesapları ayırmaları gerekir.
Hesap güvenliğinin tüm bu yönlerini ele almak çoğu kuruluş için bir angarya olabilir, ancak çok faktörlü kimlik doğrulamanın (MFA) zorlanması yoluyla OT uzak kullanıcılarına birden çok hesap düzeyinde güvenlik denetimini genişletebilen birleşik güvenli uzaktan erişim (SRA) çözümlerine yönelebilirler. ), en az ayrıcalık ilkeleri ve rol tabanlı erişim. Bu tür çözümler, yetkisiz erişim ve hizmet reddi saldırıları riskini daha da azaltmak için gelişmiş kimlik bilgisi politikalarını da destekleyebilir.
Kuruluşların yalnızca sıfır güven ilkelerine dayalı SRA çözümlerinden yararlanmaları da önemlidir. Bu, kuruluşların OT varlıklarına doğrudan, sınırsız uzaktan bağlantıyı ortadan kaldıran etkili ağ segmentasyonu oluşturmasına ve tüm uzak OT bağlantıları sırasında personel etkinliğini sürekli olarak izlemesine yardımcı olacaktır.
CPG 3.0 Tespiti: OT ortamınızdaki kritik tehditler ve potansiyel saldırı vektörleri hakkında farkındalık
CISA’nın üçüncü CPG’si, ilgili tehditlerin tespitini ve OT güvenliğini tehlikeye atabilecek ve potansiyel olarak kritik hizmetleri kesintiye uğratabilecek potansiyel saldırı vektörleri ve TTP’ler (taktikler, teknikler ve prosedürler) hakkındaki bilgileri vurgular.
OT varlıklarında ve ağlarında ilgili tehditleri ve TTP’leri tespit etmek, gelişmiş izleme ve analizi birleştiren proaktif bir yaklaşım gerektirir. Gerçek zamanlı izleme çözümü, anormalliklerin ve olağandışı modellerin hızlı bir şekilde tespit edilmesini sağlayan kapsamlı ağ görünürlüğü ile tamamlanmalıdır.
OT ortamlarında tehdit algılamanın ve CPG görevini yerine getirmenin kritik bir yönü, çeşitli paydaşlar arasında bilgi paylaşımı ve işbirliğidir. Tehdit istihbaratı platformları, mevcut ve gelişmekte olan tehditler hakkında bilgi toplama ve yaymada önemli bir rol oynamaktadır. Kuruluşlar, bu değerli verilerden yararlanarak potansiyel risklerin bir adım önünde kalabilir, savunmalarına ince ayar yapabilir ve OT varlıklarının emniyetini ve güvenliğini sağlayabilir. Ek olarak, düzenli güvenlik değerlendirmeleri, penetrasyon testi ve güvenlik açığı taraması yapmak, altyapıdaki tüm zayıflıkların ortaya çıkarılmasına yardımcı olarak zamanında iyileştirmeye ve siber saldırılara karşı gelişmiş dayanıklılığa olanak tanır.
CPG 4.0 ve 5.0: Yanıt Ver ve Kurtar
CISA’nın son iki CPG’si, olay raporlama ve planlamanın önemini vurgulamaktadır. OT güvenlik uygulamalarınız ne kadar sağlam olursa olsun, günümüzün birbirine bağlı ve giderek uzaklaşan ağ oluşturma çağında siber tehditler neredeyse kaçınılmazdır. Bu nedenle, proaktif güvenlik çözümleri gerekli olsa da, özellikle kritik altyapı gibi yüksek oranda hedeflenen bir sektörde saldırılar kaçınılmazdır.
Bu nedenle CISA, kuruluşların güvenlik olaylarını raporlamak ve bir ihlal durumunda etkilenen sistemlerini veya hizmetlerini etkili bir şekilde kurtarmak için ana hatları çizilen kapsamlı bir plana ve sürece sahip olması gerektiğini vurgular.
Gelişmiş SRA çözümleri, kullanıcı etkinliklerinin ve varlıklarla ilgili verilerin otomatik olarak kaydedilmesinin yanı sıra kritik verilerin otomatik yedeklerini oluşturarak kuruluşların bu hedeflere ulaşmasına yardımcı olabilir. Daha spesifik olarak, tüm kullanıcı oturumlarını günlüğe kaydedebilir, kullanıcı ve varlıkla ilgili tüm verileri şifreleyebilir ve OT uzak kullanıcı etkinliğinin günlüklerini tutabilirler. Bu önlemler, kritik bilgilerin ilgili tüm düzenleyici gerekliliklere ve yedekleme ve kurtarma gereksinimlerine uygun olarak saklanmasını sağlamaya yardımcı olur.
Çözüm
Genel olarak, yaşlanan OT varlıklarının ve silo haline getirilmiş OT ve BT ağlarının güvenlik açıkları, kritik altyapı varlıkları için önemli bir tehdit oluşturdu ve bu, uzaktan erişimin yaygınlığıyla daha da şiddetlendi.
CISA’nın CPG’ler içindeki OT’ye özgü hedefleri ve eylemleri, CNI kuruluşlarının güvenlik duruşlarını güçlendirmeleri ve siber dayanıklılığı artırmaları için çok ihtiyaç duyulan bir dizi kılavuz sağlar. Kuruluşlar, CISA’nın tavsiyelerini izleyerek ve yenilikçi güvenlik teknolojilerini kullanarak, fiziksel dünyayı ve kamu güvenliğini etkileyen siber saldırı riskini en aza indirebilir.