Sıfır güven mimarisi, önceki kale ve hendek modellerinden daha kapsamlı bir siber güvenlik çerçevesi olduğundan popüler hale geliyor. Artan iç tehdit aktörleri ve sosyal mühendislik, daha sağlam önlemlerin alınmasını gerektirmektedir. Küçük işletmeler ve hükümetler içeriden veya dışarıdan hiç kimseye güvenemez; bu nedenle kendilerinin ve müşterilerinin değerli verilerinin güvende olmasını sağlamak için harekete geçmeleri gerekir.
Kamu hizmeti sağlayıcıları ve tıbbi tesisler gibi kritik altyapılar, siber tehditlere karşı yüksek risk altındadır; bu durum, güvenlik araçlarının artırılmasını ve operasyonel teknolojilere olan güvenin azalmasını gerektirir. Sıfır güven mimarisi ilkeleri, OT’yi dayanıklılığın artırılması konusunda nasıl olumlu bir yola sokuyor?
OT’de Sıfır Güven Mimarisi İlkeleri
Sıfır güven uygulaması sürekli olarak “asla güvenme, her zaman doğrula” deyimini ifade eder. Uzmanlar, erişim isteklerini yetkilendirmek, doğrulamak ve kayıtlarını tutmak için ZTA’yı oluşturur. Birinin bir kuruluşun dışında veya içinde olması önemli değildir. ZTA, herhangi bir ağın avantajlı olduğu algısını ortadan kaldırır. İşyerleri her zamankinden daha mobil ve uluslararası hale gelerek sınırları daha da bulanıklaştırıyor.
Uygulama, BT entegrasyonunda olduğu gibi hâlâ iyi ayarlanmış ve güvenli segmentasyon, uzak sistemler ve tehdit tanımlamayı gerektiriyor. OT ZTA, veriler gibi dijital varlıkları korumak yerine, makine tarafından desteklenen fiziksel süreçlerin bozulmasına karşı korumaya odaklanıyor.
ZTA standartları NIST 800-207 altındadır. Sıfır güven mimarisi ilkelerini benimserler, dahili olarak minimum yanal harekete öncelik verirler ve mümkün olduğunca çok sayıda ihlali önlerler. Belirli ilkeler aşağıdakileri içerir:
1. Tüm veriler ve bilgi işlem kaynakları ve hizmetleri kaynaktır. Bulutta veya veri merkezinde konumları güvenliği belirlemez.
2. Ağın konumu ne olursa olsun tüm iletişim güvence altına alınır.
3. Sistemler, ağ akışına yardımcı olmak amacıyla her oturum için kaynak erişimi sağlar.
4. Sıfır güven politikası dinamiktir ve benzersiz ortamlara ve kullanıcı davranışlarına göre düzenlenmiştir.
5. Kuruluşlar, tedbirlerinin geçerliliğini izlemekten sorumludur.
6. Kimlik doğrulama ve yetkilendirme de her erişim izninden önce dinamik ancak katıdır.
7. İşletmeler, sürekli iyileştirmeler için kaynaklar ve ağ altyapısı hakkında veri toplar.
OT Ortamlarında ZTA Nasıl Görünüyor?
OT ortamları ve cihazları bu ilkeleri göz ardı edemeyecek kadar güçlüdür. Yangın güvenlik sistemlerinden fiziksel bina erişim kontrollerine kadar her şeyi içerirler. ZTA ilkelerinin OT’de uygulanmasının neye benzediğini ve korumayı nasıl artırdığını burada bulabilirsiniz.
Endüstri 4.0’ı şekillendiren Güvenliği ihlal edilmiş Endüstriyel Nesnelerin İnterneti (IIoT), üretim hatlarındaki dahili tehdit aktörlerinin denetleyici kontrol ve veri toplama sistemlerindeki (SCADA) veri toplama yeteneklerini devre dışı bırakması durumunda çöker. Sağlayıcılar artık ürün kalitesi veya güvenliği konusunda görünürlüğe sahip değil, bu da ölçümleri ne kadar iyi elde ettiklerini yanlış yorumluyor. ZTA ilkelerinin uygulanması, SCADA ve ilgili OT’nin, değişiklikleri yürütmeden önce doğrulamasını sağlar. Ayrıca ZTA, risk tanımlamasına yardımcı olmak için onaylanmış ayarlamalar ve tutarsız veri noktaları hakkında bilgi toplar.
Benzer şekilde, bilgisayar korsanlarının bir saldırının parçası olarak işlevselliği kasıtlı olarak kaldırması durumunda, uzak terminal üniteleri atık sudaki doğru kimyasal dozajı için saha dışında teşhis gerçekleştiremez. ZTA ile uzaktan bağlantı daha güvenlidir çünkü kötü niyetli erişim isteklerinin reddedilme şansı daha yüksektir.
Sürdürülebilirlik hedeflerine ulaşmak için enerji izleme ve güvenlik sistemlerini kullanan bir kurum, ZTA ile daha doğru ve güvenli teknolojilere sahip olacaktır. Bu sistemler bina yönetim sistemleri veya aydınlatma kontrolleri gibi diğer OT merkezlerine bağlanırsa OT saldırı yüzeyinde ZTA ilkelerini uygulamak daha da kritik hale gelir.
Enerji yönetimindeki bir ihlal, veri toplamayı kesintiye uğratırken kesintilere ve güvenlik tehlikelerine neden olabilir. Güvenlik açısından bu daha az önemli görünebilir. Ancak doğru ve tutarlı ölçümler sağlamanın paydaşları etkileyip etkilemediğini dikkate almak önemlidir.
ZTA Fazla Uzatma Tehditlerini Nasıl Önler?
2023 tarihli bir rapor, OT ekiplerinin %75’inin geçen yıl nasıl ihlal yaşadığını aktardı ve şirketlerin %32’si bilgisayar korsanlarının OT’den BT ortamlarına geçtiğini belirtti. Anket, OT’nin BT altyapısı için nasıl bir giriş noktası olduğunu ve korumayı daha önemli hale getirdiğini ortaya koyuyor.
OT’yi korumak, bu kaynakları güvende tutmaktan daha fazlasıdır; aynı zamanda dünyanın bilgi teknolojisi güvenliğine yönelik bir hizmettir. Bilgisayar korsanlarının, geleneksel BT ile karşılaştırıldığında OT ZTA’yı ihlal etmek ve manipüle etmek için daha yüksek beceri setlerine ihtiyacı var, ancak bu, varlıkların daha az savunmasız olduğu anlamına gelmiyor.
Sıfır güven, hükümet ve federal OT’de tartışmasız en kritik olanıdır. Altyapı ve çevre birimleri iyi test edilmeli, sağlam malzemelerden yapılmalı ve benzersiz savunma sistemlerine göre özelleştirilmelidir. Federal ZTA araçları ve dijital yapıları, daha katı modellere uyum gerektirir. Tehdit aktörleri bunu biliyor ve bu da olası bir caydırıcıdır.
Duvarların yıkılması ne kadar karmaşık olursa, şirketler bilgisayar korsanlarının başarılı olmak için ne kadar kaynak harcaması gerektiğini öğrendikçe OT ihlalleri de o kadar az olacak. Ancak ulusal güvenliği ihlal etmekten elde edilecek çok fazla kazanç var; girişimler devam edecek.
Amerika Birleşik Devletleri Savunma Bakanlığı’nın bir vaka çalışması, ZTA’yı uyguladıktan sonra OT ile elde edilen faydaları ortaya koydu. Hızlı tespit için ZTA’yı kendi kendine öğrenen yapay zeka ile birleştirdikten sonra en yüksek siber güvenlik olgunluğunu elde etti. İkili, müdahaleyi düzenlerken verinin gücünden yararlanmak için çok önemliydi.
Savunma Bakanlığı artık geleceğe yönelik eylemlerini yönlendiren paha biçilemez bir içgörüye sahip. Bilginin zaman aşımına uğramaması ve ölçeklenebilirliği yalnızca zaman geçtikçe OT’nin ZTA’sını güçlendirir. Verilerden aşağıdakileri öğrenebilir:
● Taleplerin günün ortalama saatinde yapıldığı
● Tanıdık ve tanıdık olmayan isteklerin dengesi
● Yetkili kullanıcıların en çok hangi kaynaklara eriştiği
● Yaygın sunucu isteği yöntemleri
● İstenmeyen erişim izinlerine dayalı potansiyel tehdit kategorileri
Zorluklar Fazla Uzatma Yüzleri ZTA’yı dahil etmek
OT, ZTA’ya geçerken BT ortamlarından farklı zorluklarla karşılaşır. İlkeler, yalnızca bazen daha düşük OT seviyelerinde geçerli olan kimlik doğrulamaya odaklanıyor. Programlanabilir mantık bilgisayarı genellikle komutları kimin gönderdiğini sormaz.
Her komuta yetki vermek operasyonları aksatır mı veya güvenliği artırır mı? ZTA, belirli emirlerin zamanlaması ve yeri açısından alışılmadık görünen faaliyeti biliyor olabilir, ancak davranışı sorgulamayı öğrenmek zaman alır ve veri toplamayı gerektirir. OT makineleri bu önlemlere ihtiyaç duymaz çünkü bazı komutların hemen ele alınması gerekir. ZTA, operatörleri veya süreçleri engellememelidir; gömülü ZTA da engelleyebilir.
OT ZTA’yı BT ZTA ile harmanlamak, bazı şirketlerin yaşadığı başka bir mücadeledir. İdeal olarak, her departman nihai ağ koruması için sinerji oluşturacaktır, ancak kullanım durumları ve istihdam ekipler arasında bazı örtüşmelerle farklılık gösterir. Uygulamadaki tutarsızlıklar, özellikle iletişim zayıfsa, gözden kaçmaya neden olabilir.
OT, ZTA’yı Uygulamaktan Ne Kazanır?
Ağ isteklerinin her zaman düşmanca olduğunu varsaymak anında fayda sağlar. OT ortamlarında her zaman gelen tehditlerin olacağı beklentisini yeniden yazarak personelin farkındalığını artırır. ZTA’nın OT’ye dahil edilmesi, manuel gözlem için kesinti gerektirmeden şirket kaynakları üzerinde sürekli görünürlük sağlar.
ZTA’nın dahil edilmesi, OT’nin sektörde yaygın olan eski güvenlik ilkelerini aşamalı olarak ortadan kaldırmasına olanak tanır. Endüstriyel kontrol sistemlerine yönelik Purdue modeli ve kahverengi alan akıllı teknoloji dağıtımı, dikkate değer güvenlik açıklarından bazılarıdır. Her biri BT bölgelerine karışmak yerine kendisini onlardan ayırıyor.
ZTA daha verimli çalışıyor ve her ikisini de geliştiriyor çünkü eski ekipmanı uzun süredir devam eden siber güvenlik endişeleriyle daha iyi koruyor. Eski OT ekipmanı üreticileri, bunları oluştururken güvenliği göz önünde bulundurmuyordu. Makinelerin, fiziksel süreç manipülasyonuna karşı savunmalar yerine siber güvenlik korumalarıyla yapılmış olması daha muhtemeldir.
Bu sistemlerin çoğu, kolay anlaşılması için bilgileri ilgili yazılımda toplayarak sıkıcı süreçleri otomatikleştirir. Ağa kaç isteğin ulaştığını, kaç tanesini kabul edip geri çevirdiğini ve şüpheli tehditlerin sayısını derler. Veriler, ZTA’nın son ilkesini benimseyerek etkinlik ve tehdit düzeylerine ilişkin daha ayrıntılı bilgiler elde etmek için yapay zeka ve makine öğrenimi gibi diğer teknolojilerle entegre edilebilir.
Programlar, şüpheli etkinlikleri daha ayrıntılı inceleme için siber güvenlik analistlerine yönlendirir. Bunun gibi gelişmiş tespit yöntemleri savunmayı, analistlerin trafik konusundaki farkındalığını ve modern hackleme metası anlayışını artırır. Müşteriler, çalışanlar ve paydaşlar bu çabaları fark ederek verilerinin ve finansal yatırımlarının ne kadar güvende olduğunu takdir ediyorlar.
İtibarın ve kurumsal dayanıklılığın arttırılması, ZTA’yı uygulamanın en hayati ve uzun vadeli faydasıdır. Uyarlanabilirliği nedeniyle sıfır güven, işletmenin edindiği yeni varlıklara göre sürekli olarak ölçeklenebilir. İhlallerin maliyeti hızla artıyor, ancak ZTA, şirketlerin bir etkinlik sırasında potansiyel olarak 1 milyon doların üzerinde tasarruf etmesini sağlıyor. Fazla uzatma çok çeşitlidir ve artan saldırı vektörlerine isabet eden saldırıların sayısıyla tutarsızdır. Her uygulama para ve itibar tasarrufu sağlayan bir çabadır.
Optimum OT Güvenliği için Sıfır Güvenden Yararlanmak
Ne yazık ki siber güvenlik tehditleri o kadar şiddetli hale geldi ki artık kimse uzun süreli güven kazanamıyor; bunu sürekli olarak doğrulamaları gerekiyor. ZTA, müşterilerinin emin ellerde kalması için kritik altyapı ve sektör çalışanlarını güvende tutmak amacıyla bu süreçlerin çoğunu otomatikleştiriyor. Operasyonlar için hayati önem taşıyan güvenliği sağlayarak şirket yetkilileri, çalışanlar ve müşterilerin gönül rahatlığı sağlar.
Kritik OT için kapsamlı bir siber güvenlik çözümü yoktur ancak altyapı daha güvenilir hale gelir ve en kötü senaryo varsayılarak hazırlanır. ZTA, OT’yi sivillerin ışıklarını açık tutmak, ilaçların sağlık hizmeti sağlayıcılarına ve finans kurumlarına sigorta talep etme ihtiyacını ortadan kaldırmak için ihtiyaç duyduğu araçlarla donatıyor. Artık endüstrilerin ZTA’yı normalleştirmesinin zamanı geldi çünkü ZTA güvenliğe her açıdan öncelik veriyor.
