CS4CA Zirvesi, BT ve OT Ekiplerinin Sıfır Güveni Uygulamak İçin Nasıl Bir Araya Gelebileceğini Vurguluyor
Tony Morbin (@tonymorbin) •
14 Ekim 2025
Londra’daki son CS4CA Avrupa konferansında bir delege, BT’den OT güvenliğine geçmenin artık “akıllara durgunluk veren değişim hızına” ayak uyduramamak anlamına geldiğini belirtti. Tam olarak değil; uzatmadaki tempo artık hızlanıyor ve yetişmek için yarışıyor.
Ayrıca bakınız: Kimlik Koruması Başarısız Olduğunda: Modern Tehdit Ortamı İçin Dayanıklılığı Yeniden Düşünmek
Konuşmacı kesinlikle artan saldırı hacminden ya da buluta genişleyen ve yapay zekayı içeren OT saldırı yüzeyinden bahsetmiyordu. Bunun yerine, geniş, heterojen ortamlarda, uzun ömürlü ekipmanlarda, bilinmeyen bağımlılıklarda ve hızlı bir şekilde yamalanamayan sistemlerde savunmaları güncel tutmayı beklemenin bariz pratiksizliğinden bahsediyordu. Bu ödünleşim, CS4CA Avrupa’da yinelenen bir temaydı ve OT’de sıfır güveni operasyonel hale getirmenin (bir diyagramdaki bölümlere ayrılmış kutuların ötesine geçerek bunları gerçek dünya operasyonlarında uygulamaya koymanın) zorluğuyla birlikte ortaya çıktı.
OT’de güvenlik ve esneklik, veri bütünlüğünün önüne geçerek kabul edilebilir “siber risk”i BT için farklı kılar; bu nedenle “üretimi çalışır durumda tutmak”, “her CVE’yi yamalamak”tan daha üstündür. Bu durum düzenleyici ve uygulayıcı yaklaşımlara da yansımaktadır. CISA’nın Temmuz ayındaki mikro segmentasyon kılavuzu, segmentasyonu statik VLAN’lardan ana bilgisayarlar, uygulamalar ve veritabanları genelinde iş akışına duyarlı politika uygulamasına doğru yeniden çerçeveledi ve sürecin gerçekte çalıştığı yerde sıfır güven kimlik doğrulama kontrolleri uyguladı.
Aralarında Cisco’nun endüstriyel güvenlik çözüm yöneticisi Andrew McPhee’nin de bulunduğu CS4CA Avrupa’daki konuşmacılar, fiziksel konumlar yerine iş akışı süreçlerine dayalı sanal segmentasyon ihtiyacını anlattı. Bunun yazılım tabanlı segmentasyonun uygulanmasına nasıl yardımcı olabileceğini açıkladı. Ancak ağlar, ekipmanlar ve cihazlar arasındaki bağlantıların ve bağımlılıkların karmaşıklığı göz önüne alındığında, segmentasyon politikalarına bilgi sağlamak amacıyla varlık gruplamanın otomatikleştirilmesine yardımcı olmak için yapay zekanın kullanılması gerektiğini de savunuyor.
Uygulayıcıların dirençliliğe ve kritik altyapı sistemlerini desteklemeye odaklanmasıyla, OT maruziyetini ele almanın aciliyeti hızla artıyor. Bir BitSight raporu, 200.000 savunmasız ICS/OT cihazının bir yıldan kısa bir süre içinde potansiyel tehlikeye maruz kalacağını öngörüyor ve CISA’nın ICS cihazları hakkında halihazırda 1.850 CVE tavsiyesi yayınladığını ve bunların yaklaşık %30’unun herhangi bir yama veya güncellemeye sahip olmadığını ekliyor.
Varlık bölümlemeniz yalnızca kağıt üzerinde mevcutsa, bu acımasız bir kombinasyondur.
OT kötü amaçlı yazılımları artık teorik değil. FrostyGoop, yaklaşık iki gün boyunca Ukrayna’nın Lviv kentinde bölgesel ısıtmayı kesintiye uğratmak için Modbus TCP’yi kötüye kullandı. Blackjack hack grubuna atfedilen Fuxnet, M-Bus sensör ağ geçitlerini bozdu ve Moskova’nın belediye sistemlerine bağlanan NAND cihazlarını tuğlaladı. Her iki kötü amaçlı yazılım türü de ICS’ye özeldir ve güvenlik süreçlerini kırmak, görünürlüğü azaltmak ve kesintiye neden olmak için özel olarak tasarlanmıştır.
CS4CA Avrupa’da yinelenen bir uygulayıcı taktik kitabı, yalnızca yıllar önce oluşturulmuş varlık listelerinin değil, temel gerçeklerin görünürlüğünün elde edilmesini sağlamaktı; işleve/iş akışına dayalı olarak mantıksal gruplamalar türetin; politikaları yalnızca fiziksel olarak değil sanal olarak uygulamak; ve hacklerin patlama yarıçapını kontrol altına almak için gerekli olmayan bağlantıları kesin.
Ancak Katman-3 bölgelerinde durmayın. Ana bilgisayar ve uygulama düzeyindeki kontrolleri, riskin gerçekten oluştuğu yerde kontrol altına alınmasını sağlamak için iş akışını anlayan politika uygulama noktaları olarak uygulayın.
Segmentlerin kat planını değil gerçek süreci yansıtmasını sağlamak amacıyla akışları işleve dayalı olarak haritalamak ve kümelemek için yapay zeka/makine öğrenimi kullanılabilir. Çeşitli 2025 analizleri, mikro segmentasyon yığınlarında standart özellikler olarak AI/ML destekli politika önerilerini ve otomatik politika oluşturmayı vurgulamaktadır.
Yapay zeka destekli kural önerileri, “gözlenen, izin verilen iş akışını” haftalarca çalıştay gerektirmeden uygulanabilir, en az ayrıcalıklı politikalara dönüştürebilir. Örneğin Zscaler, mikro segmentasyon için gerçek zamanlı, telemetri odaklı, yapay zeka tarafından önerilen kuralları belgeliyor.
Yapay zeka, OT segmentasyonu sorununu çözmeyecek. Ancak yapay zeka, özellikle güvenlik marjlarının dar olduğu Seviye 0/1 cihazları için trafik temel belirleme, politika taslağı hazırlama ve anormallik önceliklendirme ve ardından uygulamadan önce döngüdeki insan incelemesi yoluyla iş yüklerini ve hata oranlarını azaltabilir.
Diğer yaklaşımlar arasında, mantıksal bölgeleri sürece göre tanımlamak için yapay zeka destekli envanterlerin ve trafik haritalarının kullanılmasını ve ardından yatay hareketi engellemek için merkezi olarak uygulanan (ana bilgisayar tabanlı veya ağ geçidi aracılı) politikaların takip edilmesini içeren mevcut OT ağları üzerinde kimlik/iş akışı tabanlı segmentasyon yer alır. 2025 Gartner Hype Döngüsü Çıkarımları, mikro segmentasyonu “Aydınlanma Eğimi”ne yerleştiriyor ve CISA’nın rehberliği, bunu modern sıfır güven mimarisinin temeli olarak adlandırıyor.
OT görünürlüğüne dayalı tehdit odaklı korumanın kullanımı, derin OT protokolü farkındalığını segmentasyon kontrolüyle bütünleştiren birden fazla platform gerektirir. Bu, örneğin, bir ana bilgisayardan gelen anormal Modbus işlev kodlarının, etkilenen cihazın/bölümün tam zamanında izolasyonunu tetiklemesine olanak tanır – FrostyGoop’un Ukrayna’da kaçmayı başardığı kontrole benzer şekilde.
Görünürlük oluşturmanın ve ardından gerçek bağlantıları ve gerekli bağlantılardan bağımlılıkları çözmenin katıksız karmaşıklığı, başlangıçta bunaltıcı görünebilir, ancak her şeyin bir anda çözülmesi gerekmez.
Kuruluşlar kendi sınırlarını belirleyerek başlayabilir, ardından BT ve OT’yi ayırabilir. Veri aktarımının mevcut olduğu durumlarda, BT verilerinin risk toleranslarının dışında OT parametrelerini doğrudan değiştirmesini önlemek için tek yönlü veya sıkı bir şekilde sınırlandırılmış arayüzler ve önceden kararlaştırılmış ayar noktası limitleri sağlayın. CISA ve Birleşik Krallık NCSC, bu yaklaşımı güçlendirmek için ortak OT güvenliği kılavuzu yayınladı.
Görünürlük elde etmek için canlı bir envanter ve akış haritası oluşturun; varlıkları coğrafyaya göre değil süreç/iş akışına göre gruplandırın; ve “yalnızca diyagram” segmentasyonunu tanımlayarak, uygulanabilir kontrollerle aradaki farkı kapatabilirsiniz. Dragos, düz ağlar, zayıf uzaktan erişim ve sınırlı OT görünürlüğü nedeniyle ne kadar kalıcı boşlukların mevcut olduğunu işaret etti.
Sonuçların en yüksek olduğu yerden başlayın. Yamalamanın mümkün olmadığı durumlarda telafi edici kontrolleri kullanarak güvenlik enstrümanlı sistemler ve kritik kontrolörler gibi en önemli değerlerinizi koruyun. BitSight raporu, maruziyetin neden arttığını ve yamasız ICS CVE’lerin yaygın olduğunu vurguluyor.
Coğrafi işareti yalnızca teslimat taktiği olarak kullanın. Amaç mantıksal segmentasyondur, ancak tek bir ülke, tek bir tesis, tek bir hat ve tek bir iş sürecini kullanıma sunmak, küresel mülklerde kesinti olmadan değişimi gerçekleştirmenin hala yararlı bir yoludur.
İnternete açık ICS/OT büyümeye devam ederek, segmentasyon ve filtrelemeyi yalnızca çevre güvenlik duvarları için değil, aynı zamanda potansiyel yıkıcı saldırıları önlemek için de bir gereklilik haline getiriyor. OT siberi, BT’den farklı hareket eder ve sanal segmentasyon, uzun ömürlü, kırılgan sistemlerin hızlı hareket eden modern tehditlerle uzlaştırılmasına yardımcı olabilir.
Son zamanlarda yapılan kritik altyapı dayanıklılığı konferanslarında vurgulandığı gibi, kuruluşların iş akışlarıyla eşlenen görünürlük oluşturması, insan hatasını azaltmak için yapay zeka destekli politika oluşturması ve güvenlik sistemlerini etkilemeden olayları kontrol altına almak için uygulamayı sürece yakın tutması gerekiyor. BT ve OT ekiplerinin ağ diyagramında değil, süreç sınırında, ortada buluşması gerekecektir.