Olay müdahalesi söz konusu olduğunda, birçok kuruluş ağlarının BT tarafı için yaptıkları eğitim ve hazırlığın operasyonel teknoloji/endüstriyel kontrol sistemleri ortamlarını da kapsadığını varsayar. Pek çok benzerliği paylaşıyor gibi görünseler de, OT güvenliği farklı protokoller, hedefler, analizler, adli tıp ve diğer güvenlik yöntemleri gerektirir. Bir BT ağında başarılı bir şekilde çalışan şey, operasyonların kullanılabilirliği ve güvenliğinin sürdürülmesi gereken bir OT/ICS ortamında olay yanıtı (IR) yürütmek için sorunlu olabilir.
Kuruluşlar, başarılı bir OT/ICS IR senaryosunu engelleyebilecek boşluklar ve tuzaklar arasında gezinmek için temel farklılıkları anlamalıdır.
Bunlar, olay müdahale simülasyonu değerlendirmelerimiz sırasında kuruluşların yardıma ihtiyaç duyduğunu gördüğümüz en yaygın alanlardır.
Önce Kapatmak, Sonra Soru Sormak
Bir BT ortamında, daha fazla bulaşmayı önlemek için sistemi izole etmek veya kapatmak normal ve nispeten yaygın bir uygulamadır. Bir OT ortamında, izolasyon veya bir sistemi kapatmanın çok daha önemli sonuçları vardır.
Örneğin Colonial Pipeline saldırısında IT sistemlerindeki bir saldırıya karşılık verdiler. OT sistemlerine yayılmamasını sağlamak için fidye yazılımı OT seviyesine ulaşmamış olsa bile onları da kapattılar. Hareket, güvenlik kültürlerine uygundu. Ancak OT sistemlerinin kapatılması, kesinti süresi dakika başına daha yüksek bir maliyete sahiptir ve yeniden çalışmaya başlamak için daha uzun süre gerekir. Tüm BT departmanı üzerinde çalışıyorsa, bir BT sunucusu çevrimdışı hale getirilebilir ve yenisi oluşturulabilir ve yaklaşık bir gün içinde ayağa kaldırılabilir. Sömürgede‘s durumda, beş gün sürdü fidye ödendikten sonra boru hattına dayanmak‘Normal işlemler için OT ağ yedeklemesi.
Saldırıyı Durdurmak ve İyileştirmeye Çok Erken Başlamak
Bir güvenlik operasyonları merkezindeki (SOC) BT güvenlik personeli, geleneksel olarak OT sistemleri hakkında derinlemesine bilgiye sahip değildir ve OT ekipmanı, veri aktarımına karşı çok daha hassastır. SOC ekibi üyeleri, OT sisteminde meydana gelen bir şey hakkında bir uyarı alabilir ve güvenlik açıkları için bir tarama yapmak üzere atlarlarsa, hizmet reddi tarzında sistemi kolayca alt edebilirler. Bu, çalışmayı durduracağı ve üretkenlikte büyük bir kayba neden olacağı anlamına gelir. Ayrıca, OT mühendisinin içeri girip karışıklığı düzeltmesini gerektirir; bu, zaten stresli bir dönemde gereksiz bir ek hayal kırıklığı kaynağı olabilir.
Nihai Sorumluluk Konusunda Uyum Eksikliği
BT ve OT ekipleri çok ayrı olduğundan, bazen hiç kimse günlük bir bakış açısıyla OT’den sorumlu değildir. Şirketteki tüm BT sistemlerinin güvenliğinden bir SOC sorumluysa buna OT sistemleri de dahil midir? OT sistemleri‘t BT sistemleri, yani hayır diyebilir. OT sistemlerinin BT varlıkları var, peki bunlar dahil mi? Bunlar OT varlıkları mı yoksa BT varlıkları mı? Sorumluluk anından itibaren bir sorun var. OT varlıklarıyla ilgili bilgisi veya deneyimi olmayan BT uzmanlarınız ve güvenlik zihniyeti veya siber risk anlayışı olmayan OT uzmanlarınız var. Ve ikisi de diğeri tarafından dikte edilmekten hoşlanmaz.
Karşı Tarafın Neyi Başarmaya Çalıştığını Yanlış Anlamak
Bir müşteri tarafından anlatılan bir hikaye, bu noktayı mükemmel bir şekilde özetliyor. SOC’lerinin, OT sistemlerindeki bir şeyi düzeltmeleri, düzeltmeleri veya değiştirmeleri için OT mühendislerine nasıl güvenlik raporları gönderdiği hakkında konuştular. OT uzmanları bu raporu aldıklarında, hemen çöpe atarlardı. Bunun OT veya BT tarafındaki anlayış eksikliğinden kaynaklanıp kaynaklanmadığı belirsizdir, ancak net olan şu ki, ekipler arasındaki iletişim sadece yetersiz değildi – aktif olarak karşı çıktı.
Peki kuruluşlar bu zorlukların üstesinden nasıl gelebilir?
İletişim ve uzlaşma, güven oluşturmak için çok önemlidir. Bir OT sisteminde ne olması gerektiğini dikte eden güvenlik uzmanları yerine, ağın güvenliğini sürdürmesine izin verirken OT hedeflerini çok fazla engellemeyen tavizler bulmak için OT uzmanlarıyla birlikte çalışmalıdırlar. BT‘Ortak güvenlik hedefleri doğrultusunda çalışmak için her iki grubu proaktif olarak bir araya getirmek hayati önem taşır.
CISO’lar ve güvenlik yöneticileri, gerçek hayattaki bir olay müdahale olayı sırasında hem BT hem de OT disiplinlerinden siber güvenlik ve olay müdahale ekiplerinin nasıl birlikte çalışacağını simüle eden yapılandırılmış eğitim programları uygulayabilir. Her iki taraftan da doğru kişileri doğru koltuklara oturtarak ve ortak bir öğrenme yolu oluşturarak, gruplar arasında iletişim ve işbirliğini davet etmiş olursunuz. Kritik altyapıya yönelik saldırıları birlikte tespit etme, yanıtlama ve düzeltme konusunda ne kadar çok pratik yapabilirlerse, gerçek hayatta birlikte nasıl çalışacaklarını o kadar iyi anlayabilirler.
Günün sonunda ikisi de aynı şeyin peşinde: kuruluşu ve çalışanlarını endüstriyel siber saldırılardan korumak.