Yazan: Craig Burland, CISO, Inversion6
Bilgisayar kontrollü cihazlar etrafımızdadır. Teslimat robotlarından akıllı binalara, nakliye ve ulaşıma kadar, dijital değil fiziksel alanı etkileyen bilgisayar kontrollü cihazlar günlük yaşamımızın içine yerleşmiş durumda. Bu Operasyonel Teknoloji (OT) fabrikayı birbirine bağlıyor ve otomatikleştiriyor, son teknoloji binaları yönetiyor, gemileri okyanuslar boyunca yönlendiriyor ve yakında sokaklarımız ve otoyollarımızdaki insan sürücü sayısını aşacak.
OT aynı zamanda doğrudan kâra dönüşebilecek sistemler hakkında veri toplamak için de muazzam fırsatlar sunuyor. Ne yazık ki, bu bilgisayar kontrollü cihazlar, teknik borçlarla dolu vapur sandıkları taşıyor ve bu durum, olumlu gidişatı boşa çıkarma ve potansiyel olarak şirket çapında felaketler yaratma tehdidi oluşturan bir dizi siber güvenlik endişesini artırıyor. Bilgi Teknolojileri ve Operasyonel Teknoloji dünyalarının çarpışması geldi çattı.
OT güvenliği dünya sahnesine 2010 yılında, artık meşhur olan Stuxnet virüsünün İran nükleer silah tesisinin santrifüjlerini yöneten Programlanabilir Mantık Denetleyicilerine (PLC’ler) bulaşarak İran’ın silah programını raydan çıkaran operasyonel bir olaya neden olmasıyla başladı. Solucan, istemeden hedeflenen hedefin çok ötesine yayılıyor ve dünya çapında binlerce başka cihaza bulaşarak OT’nin oluşturduğu tehdide dikkat çekiyor. Son zamanlarda Rusya, Ukrayna’ya karşı savaşının bir parçası olarak güvenli olmayan UPS cihazlarına yönelik saldırıları da dahil ederek, dikkatleri OT güvenliğindeki kusurlara çevirdi.
Birbiriyle bağlantılı dört sorun, OT’nin güvenliğini ciddi ve zorlu bir siber güvenlik sorunu haline getiriyor:
- Çalışma süresi kraldır
- Verimlilik kraliçedir
- OT üretim yaşam döngüsü için tasarlandı
- Siber güvenlik tasarım sürecinin bir parçası değildi
OT çözümleri, çalışma süresinin ana gereklilik olduğu ortamlar için tasarlanmıştır. Makinelerin devre dışı kalması, ürünlerin üretilmediği anlamına gelir ve bu da müşterileri ve geliri doğrudan etkiler. Birden fazla 9’lu kullanılabilirlik ihtiyacı, yama uygulama veya dinamik korumalar gibi gereksinimleri ortadan kaldırır. Üreticiler genellikle operasyonel kesintileri önlemek için aşırı önlemlere başvuruyor; ortamdaki dinamik unsurlara uyum sağlamaktan kaçınmak için Windows XP PC’ler gibi eski ekipmanları stoklamaya ve klonlamaya kadar gidiyor. Bu nedenle “Nakit Kraldır”ın Wall Street’teki üretim alanındaki karşılığı “Çalışma Süresi Kraldır”dır.
Operatörler ve mühendisler için üretkenlik, benzer nedenlerden dolayı çalışma süresinin hemen hemen gerisinde kalıyor. Daha verimli çalışanlar aynı işçilik maliyetiyle daha fazla ürün üreterek daha fazla kar elde ederler. Kullanıcı adı ve şifre girme gibi sürtüşmeler kayıp zaman olarak görülüyor. Standartlaştırılmış otomasyon sistemleri, cihazlara fiziksel erişimi olmayan ancak veri çekmek veya makine parametrelerini optimize etmek için uzaktan erişim sağlayan mühendisler ve tasarımcılar tarafından giderek daha fazla destekleniyor. Kuruluş için bu, verimliliği en üst düzeye çıkarır. Siber güvenlik açısından bu, saldırı yüzeyini maksimuma çıkarır.
Üretim dünyasındaki cihazlar onlarca yıl dayanacak şekilde üretilir ve çoğu zaman milyonlarca dolara mal olur. Fabrika ortamında bakım, sensörleri kalibre etmek, yağı değiştirmek, cıvataları sıkmak veya parçaları yenilemek için makinelerin periyodik olarak kapatılması anlamına gelir. Bu, HMI veya PLC’ye aylık güvenlik yamaları uygulamak anlamına gelmez. Bu önemsiz bir eksiklik değil. Bu cihazların yaşam döngüsü, siber ve BT organizasyonlarına önemli bir yük getiren bir BT varlığı için 3 ila 5 yıl değil, 15 ila 20 yıl olabilir.
Son zorluk (tasarım sürecinde siber güvenlik gereksinimlerinin bulunmaması), çalışma süresini, üretkenliği ve uzun yaşam döngülerini en üst düzeye çıkarmak için tasarlanmış basit bir teknoloji türevinden daha fazlasıdır. Bu, tehdide ilişkin farkındalık veya anlayış eksikliğinin altını çiziyor. Kimlik avı veya kötü amaçlı yazılım olaylarının aksine, OT ihlalleri nadiren manşetlere çıkar. Standart bir ısı haritasının adreslenmemiş bir çeyreğine düşerler – pek olası değildir, ancak potansiyel olarak felakettir – genellikle onları öncelik listesinde adreslenmemiş bir öğe olarak bırakırlar.
Ancak bu engellere rağmen kuruluşların riski azaltma seçenekleri var. Bu seçenekler akıllıca kullanılmalı, bir miktar kontrolün hiç olmamasından daha iyi olduğu kabul edilmeli ve çok fazla sürtüşmenin geri tepeceği anlaşılmalıdır. Ayrıca OT’nin BT olmadığını kabul ederek özel olarak kullanılmaları gerekir. Makine operatörüne güçlü kimlik bilgileri ve Çok Faktörlü Kimlik Doğrulamayı (MFA) zorlamak işe yaramaz. Tercih ettiğiniz Uç Nokta Algılama ve Yanıt (EDR), Windows7’nin özel bir sürümüyle oluşturulmuş bir PLC’de çalışmaz. Oturum zaman aşımına neden olan bu standart GPO kilitlemesi, etki alanına bağlı İnsan Makine Arayüzünü (HMI) devre dışı bırakacaktır.
Kullanılacak en önemli kontrol segmentasyondur. Las Vegas turizminden bir slogan ödünç alırsak, “Uzatmada olan, Uzatmada kalır.” BT ve OT ortamları arasında bir sınır oluşturmak, görünürlük kazanmak, riskleri belirlemek ve bir kontrol önlemi uygulamak açısından çok önemlidir. Birçok bakımdan bu, özel ağ ile İnternet arasındaki engeli taklit eder. Yönetilmeyen doğası ve bilinmeyen tehditleri göz önüne alındığında, bir kuruluşun İnternet’in Vahşi Batı’sına yönetilmeyen bir erişime sahip olması düşünülemez. Tipik bir OT ortamının hijyeni göz önüne alındığında, BT ile OT arasında sınırsız erişime izin verilmesi de aynı derecede düşünülemez olmalıdır.
Yetenekli bir sınır mevcut olduğunda, siber savunmanın diğer temel unsurlarının konuşlandırılması mümkün hale gelir. Siber dünyada, Görünürlük (Nakit değil) Kraldır. Göremediğiniz şeyi savunamazsınız. OT segmentine giren ve çıkan trafiği yakalamak şaşırtıcı riskleri ortaya çıkarabilir, ancak aynı zamanda bu riskleri kontrol altına almanın kapısını da açar. OT segmentine çok sayıda KOBİ trafiği mi taşınıyor? Neden olduğunu bul. Kim olduğunu bul. 3üçüncü Taraflar OT segmentine taşınıyor. Kim olduğunu bul. Neden olduğunu bul. Bilinen C2 sitelerine işaret veren cihazlar mı var? Peki… durdurun bunları. Ardından, farkındalıktan varlık yönetimine, tedarikten aktif önlemeye, siber gereksinimlerden iyileştirmeye kadar geniş bir yelpazeyi kapsayan OT’yi savunmak için kapsamlı bir strateji oluşturmak için olaydan yararlanın.
OT’yi korumak, temel etkenleri (çalışma süresi, üretkenlik ve uzatılmış yaşam döngüleri) nedeniyle karmaşık ve benzersizdir, ancak imkansız değildir. Siber savunucuların bilgi teknolojisini korumak için kullandıkları ilkeler operasyonel teknolojiye de uygulanabilir; Kullanılan araçlar başarıyla uyarlanabilir. BT ve OT dünyaları bir araya gelirken, iyi planlanmış bir siber müdahale, bir çökmeye neden olmak yerine bu dünyaların birleşmesine yardımcı olabilir.
yazar hakkında
Craig Burland, Inversion6’nın CISO’sudur. Craig, bir Fortune 200 Şirketi için bilgi güvenliği operasyonlarına liderlik eden en son rolü de dahil olmak üzere onlarca yıllık sektör deneyimini Inversion6’ya taşıyor. Aynı zamanda Kuzeydoğu Ohio Siber Konsorsiyumunun eski Teknik Eş Başkanı ve Çözümsel MSSP, NTT Küresel Güvenlik ve Oracle Web Merkezi’nin eski Müşteri Danışma Kurulu Üyesidir. Craig olabilir
LinkedIn’den ve http://www.inversion6.com şirket web sitemizden çevrimiçi olarak erişebilirsiniz.