Yönetişim ve Risk Yönetimi, Operasyonel Teknoloji (OT)
OT operatörleri ağı korumak için izolasyona güvenemez
Prajeet Nair (@prajeaetspeaks) •
9 Nisan 2025
Mayıs 2021’de Amerikan güneydoğusundaki dolgu istasyonlarında bekleyen otomobil hatlarıyla hafifçe vurulan malzemeler, kritik altyapı operatörleri için bir uyandırma çağrısıydı. Çizgiler birikti çünkü Amerika Birleşik Devletleri’ndeki en büyük boru hattı sisteminin operatörü olan sömürge boru hattı gaz akışını durdurdu.
Houston’daki Texan rafinerilerinden Manhattan’ın kapısındaki New Jersey distribütörlerine 5.500 mil uzanan boru hattı kuruydu. Operatörleri, Darkside fidye yazılımı operasyonu şirket sistemlerini rehin aldıktan sonra 4,4 milyon dolarlık fidye ödemesi talep etti. Şirket sonunda ödedi.
Ayrıca bakınız: Endüstriyel güvenliği artırın ve üretim kesinti süresini en aza indirin
Bilgisayar korsanları, tüm kurumsal ağa bağlı çok faktörlü kimlik doğrulama ile korunmayan eski bir VPN hesabı bulduktan sonra sömürge boru hattına nüfuz etti. Operasyonel teknoloji ortamını ihlal etmediler – sömürge boru hattı yöneticileri proaktif olarak “belirli sistemleri tehdidi içerecek şekilde çevrimdışı aldıklarını” söylediler. Ancak paket servisi açıktır: Operasyonel teknoloji ortamlarında artık sessiz güvenlik uygulamaları yeterli değildir.
Nadiren, bir iş ağından gerçekten izole edilen OT ortamıdır. OT sistemleri güvenlik duvarları ile korunabilir ve bölgelerde sınıflandırılabilir – ancak yine de faturalandırma, planlama ve lojistik için verilere ihtiyaç duyan işletmelerinin BT iş sistemlerine bağlanırlar. Daha fazla bağlantı, daha çevik bir işletme anlamına gelir. Aynı zamanda risklerin artması anlamına gelir. Uzmanlar, gerçek zamanlı, bağlamsal tehdit istihbaratının artık OT sistemlerini güvence altına almak için gerekli olduğunu, daha hızlı algılama, daha doğru yanıtlar ve BT ve OT ekipleri arasında koordineli eylemin sağlanması için gerekli olduğunu söylüyor.
Fortinet’in Fortiguard Labs baş güvenlik stratejisti Derek Manky, “Gerçek zamanlı tehdit zekası, endüstriyel operasyonları etkilemeden önce siber telleri tespit etmek ve yanıtlamak için gereklidir” dedi. Manky, büyük bir enerji sağlayıcısının endüstriyel kontrol sistemlerini hedefleyen bir fidye yazılımı saldırısını önlemek için gerçek zamanlı tehdit istihbaratını kullandığını söyledi. Güvenlik ekipleri, ilk erişim brokerleri tarafından kullanılan bilinen taktiklerle uyumlu olağandışı keşif faaliyeti tespit etti. Organizasyon, tehdit istihbarat beslemelerinde tanımlanan kötü niyetli IP’leri engelleyebildi ve daha katı kimlik doğrulama kontrollerini zorladı.
MANKY, “Sonuç olarak, endüstriyel operasyonları bozmadan önce, kritik altyapının korunmasında gerçek zamanlı istihbarat gücünü göstermeden önce etkisiz hale getirildi.”
Eaton’daki OT siber güvenlik hizmetlerinin liderliği olan Prateek Singh, gerçek zamanlı zekanın bir insan makinesi arayüzü ile programlanabilir mantık denetleyicisi arasında olağandışı trafiği nasıl tanımladığı konusunda bir üretim firmasını içeren bir davayı paylaştı.
Singh, “Bilinen kötü amaçlı yazılımlarla eşleşen SOC, cihazları izole etti, tehdit avı gerçekleştirdi ve yanal hareketi önledi, üretim kesinti süresini önledi.” Dedi.
Opswat’taki tehdit analizi CTO’su Jan Miller, gerçek zamanlı zekanın OT-IT bölünmesinin her iki tarafı için de yararlı olması gerektiğini vurguladı. Miller, “Veri toplamak için yeterli değil, hem BT hem de OT ekipleri için kullanılabilir hale getirmelisiniz.” Dedi. “Bu, teknik bilgileri mühendislerin kesinti riski olmadan hareket edebilecekleri operasyonel terimlere çevirmeyi de içeriyor.”
Uzmanlar, istihbaratın saldırı öncesi önleme ve aktif olay tepkisini yayması gerektiği konusunda hemfikirdir. Claroty baş strateji sorumlusu Grant Geyer, “Tehdit istihbaratı, bir saldırıdan önce erken uyarı işaretleri sağlayarak ve birinde ciddiyeti açıklığa kavuşturarak ikili bir rol oynuyor.” Dedi. “Zekanız çevreniz için ne kadar özel olursa, cevabınız daha hızlı ve daha etkili olacak. OT’de tek bedene uyan bir yaklaşım alamazsınız.”
Bu zekayı operasyonları bozmadan entegre etmek bir dengeleme eylemi olmaya devam ediyor. Mangy, “Tehdit istihbaratını başarıyla entegre etmek için, BT ve OT ekipleri çalışma süresinden veya operasyonel verimlilikten ödün vermeden birlikte çalışmalıdır.” Dedi.
Kuruluşlara, BT ve OT verilerini birleştiren birleşik tehdit platformlarını kullanmalarını, sıfır güven erişim kontrollerini uygulamalarını ve ekipler arasında uyum sağlamak için ortak güvenlik tatbikatları çalıştırmalarını tavsiye etti.
Miller, tek yönlü veri diyotları gibi güvenli veri aktarım mekanizmalarını ve içerik silahsızlandırma ve yeniden yapılanma gibi gelişmiş içerik dörizasyon tekniklerini içeren katmanlı bir entegrasyon stratejisini onayladı. Diyot, verilerin yalnızca bir yönden geçmesini sağlayan tek yönlü bir ağ geçididir. Bu yöntemler, tehdit istihbarat beslemeleri doğrulanmış ve güvenli bir şekilde uygulanırken operasyonel iş akışlarının rahatsız edilmemesini sağlar.
Gelişen teknolojiler tehdit manzarasını daha da dönüştürecektir. Manky, “Otomatik SOAR platformlarıyla birlikte sürekli olarak yeni saldırı modellerine uyum sağlayan AI odaklı tehdit tespiti, olay tepkisini kolaylaştıracak ve manuel iş yüklerini azaltacak.” Dedi.
Büyüyen ulus-devlet tehdidi
Sömürge boru hattının askıya alınmasından yaklaşık 18 ay sonra, Avrupa Birliği Siber Güvenlik Ajansı kritik altyapı operasyonları için bir uyarı yayınladı: ulus-devlet hack grupları geliyor.
Ve gel onlar var. Endüstri siber güvenlik firması Dragos, Mart ayında, birkaç ulus devlet grubunun aktif olarak operasyonel teknoloji sistemlerini hedefliyor, en önde gelen Çin ile bağlantılı bir tehdit grubu Voltzite adı verildi (bkz: bkz: Çin, Rusya, İran’dan Gruplar Dünya Çapında OT Sistemlerine Vuruyor).
Darktrace Tehdit Araştırma Başkan Yardımcısı Nathaniel Jones, ileri süren ısrarlı tehditlerin üretim ortamlarına girmek için sık sık serbest bırakılmamış, internete dönük OT ve IoT cihazlarına güvendiğini söyledi. “Bu operasyonlar, genellikle panolar oluşturan ve bekleyen devlet destekli aktörleri içeren uzun vadeli, stratejik bir niyet öneriyor, ancak jeopolitik koşullar değiştiğinde artan aktivite” dedi.
Darktrace analistleri, SCADA ortamlarındaki PLC motorlarının hedefli kesintilerinden yaygın sis fidye yazılımı olaylarına kadar değişen enerji sektörü saldırıları gözlemlemiştir.
Jones, birçok grubun artık geleneksel uzlaşma göstergelerinden kaçındığını, bunun yerine tespitten kaçınmak için kara tekniklerini yaşamaya güventiğini söyledi.
“BT ve OT sistemleri giderek daha yakınlaşarak CNI’yi savunmak, tam dijital mülkte koordineli, sürekli izleme ve proaktif güvenlik talep ediyor” dedi.
Singh, BT ve OT çözümlerinin yakınsamasının, risksiz bir ortamda saldırıları ve model etkilerini simüle etmek için birleşik tehdit algılama platformlarına ve dijital ikizlerin fiziksel OT sistemlerinin sanal kopyalarına yol açacağına inanıyor.
“Bu, ekiplerin gerçek hasar yapılmadan önce saldırı vektörlerini ve operasyonel sonuçları anlamalarına izin veriyor.” Dedi.
Claroty’den Geyer, OT’nin bulut ve mobil sistemlere olan bağlantısı ile saldırı yüzeyinin katlanarak büyüyeceği konusunda uyardı. “Güvenlik ve risk yöneticileri varlıkları ve ortamları proaktif olarak bölümlere ayırmadıkça, operasyonel aksamalar daha yaygın hale gelecektir.” Dedi.
Geyer, “Kuruluşların tehdit istihbaratını statik bir girdi olarak görmenin ötesine geçmesi gerekiyor.” Dedi. “OT’de eylem her şeydir.”