Bu yardımda net güvenlik röportajında, Yokogawa Europe’daki siber güvenlik lideri Cindy Segond Von Banchet CC, sürdürülebilir bir OT güvenlik programını tanımlayan şeylere ilişkin görüşlerini paylaşıyor. Kısa vadeli düzeltmeler ve uzun vadeli esneklik arasındaki temel farklılıkları özetlemekte ve kuruluşların OT güvenliğini daha geniş risk çerçevelerine nasıl yerleştirebileceğini tartışmaktadır.
Eski sistem güvenlik açıklarını ele almaktan OT’yi mevcut SOC operasyonlarına entegre etmeye kadar, görünürlük, eğitim ve ISA/IEC 62443 gibi küresel standartlarla uyum gibi konuları kapsamaktadır.
Pratikte “sürdürülebilir” bir OT güvenlik programı nasıl görünüyor? Kısa vadeli girişimleri uzun vadeli esneklikten ayıran temel sütunları tanımlayabilir misiniz?
Yokogawa’nın sürdürülebilir endüstriyel güvenlik programı ISA/IEC62443 standardına dayanmaktadır, OT güvenliği için küresel standardı ve sağlam koruma ve operasyonel sürekliliği uzun vadeli sürdürülebilirlikle birleştirir.
Güvenlik programımız altı unsurdan oluşur ve risk değerlendirmelerinin yürütülmesi, boşluk analizi ve güvenlik duvarları, virüs yazılımı ve yamalar gibi güvenlik kontrollerinin uygulanması gibi kısa vadeli girişimlerden oluşur.
Siber güvenlik görünürlükle başlar. Ağınızda olduğunu bilmediğiniz şeyi koruyamazsınız. Ağınızı 7/24 izlemeye başlayın ve tüm OT cihazlarına (PLC’ler, SCADA sistemleri, RTU’lar, HMIS, vb.) Açıkça genel bir bakışla varlık merkezli bir yaklaşım uygulayın.
Uzun vadeli siber esnekliği sağlamak için, kuruluşların tüm çalışanları (yönetim kurulu dahil) siber güvenlik farkındalığı konusunda eğitmeleri çok önemlidir. İnsanları bir organizasyondaki en zayıf bağlantı olarak görmüyoruz. İyi (OT) Siber Güvenlik Farkındalık Eğitimi ile personeliniz ilk savunma hattınız olarak işlev görebilir.
Kuruluşlar ayrıca tasarım ve sistem yaşam döngüsü yönetimi ile güvenlik ile uzun vadeli esneklik sağlayacaktır.
Politikalar ve prosedürler genellikle göz ardı edilir ve daha uzun vadeli esnekliği desteklediği düşünülmektedir.
Ancak, yazıldıktan ve belgelendikten sonra taşa yerleştirilmemelidir. Tehdit manzarası hızla geliştikçe, politikalarınızı ve prosedürlerinizi buna göre gözden geçirmeniz ve güncellemeniz gerekir.
OT Güvenliği, bir işletmenin daha geniş risk yönetimi yapısında nerede oturmalıdır?
OT Security, genel siber güvenlik stratejisinin ve politikasının entegre bir bileşeni olarak kuruluşun kurumsal çapında risk yönetimi yapısı içinde bulunmalıdır.
BT güvenlik ekibine ve kuruluşun daha geniş risk politikalarına uyum sağlamak için C (i) So veya CRO üzerinden bir raporlama hattı şiddetle tavsiye edilir. Ayrıca, NIST RMF veya ISO27001 gibi birleşik bir risk çerçevesi, mühendislik, olay yanıtı ve üretim ekipleri ile yönetişim, işbirliği ve iletişim için yararlıdır.
Birçok eski OT sistemi tasarıma göre güvensizdir. Güvenlik ekipleri, işletim çalışma süresini dengelerken telafi eden kontrollere nasıl öncelik vermelidir?
İlk olarak, gerçek yüksek riskli varlıkların ne olduğunu ve kuruluşunuz için kabul edilebilir risk seviyesinin ne olduğunu bilmiyorsanız, telafi edici güvenlik kontrollerine öncelik veremezsiniz. Bunun yerine, sonuçlara dayalı bir risk değerlendirmesi ile başlayın. Güvenlik ekipleri, güvenlik, mevcudiyet ve düzenleyici uyum üzerindeki potansiyel etkiye dayalı olarak telafi edici kontrollere öncelik verebilir.
Yamalama gibi güvenlik kontrollerini telafi etmek, servis/bakım pencereleri veya planlanan tesis kapatmaları sırasında titiz bir prosedür izlenerek dağıtılır.
Segmentli bir ağın, OT ağlarını BT alanından izole etmek ve dışarıdan erişmek için güvenlik duvarları, demilitarize edilmiş bölgeler (DMZ’ler) ve VLAN’lara sahiptir.
OT güvenliğini SOC’yi ezmeden mevcut kurumsal güvenlik operasyonlarına entegre etmeyi nasıl tavsiye edersiniz?
Bir BT SOC OT KOBİ ekibine dönüştürebileceğinize inanmak bir yanılgıdır. En önemli şey, güvenlik operasyonları ekibine doğru araçlar, veri ve ortaklıklar sağlamaktır, böylece güvenlik olaylarına akıllı ve etkili bir şekilde yanıt vermek için donanımlıdırlar.
OT’ye özgü bağlam ve görünürlük oluşturmak için bir OT varlık envanteri geliştirmeniz gerekir. Piyasada, operasyonları bozmadan OT sistemlerini tanımlamak için ağda pasif tarama yürütmek için araç seti var.
Oradan, ağ trafiğinde normal davranışın temelini belirleyebilir ve yanlış pozitiflerden kaçınmak için tipik OT trafiğini ve olayları tanımlayabilirsiniz. SOC analistlerinin MODBUS, BACnet, DNP3, Ethernet/IP gibi endüstriyel protokolleri belgelemek ve görünürlüğe sahip olması çok önemlidir.
SoC katmanlı bir perspektiften bakıldığında, düşük öncelikli OT uyarılarını Seviye 1 SOC analistlerine yönlendirirken, daha karmaşık OT olayları Tier 2/3’e veya OT KOBİ’li özel bir ekip olarak yönlendirilebilir.
Hangi metrikler veya KPI’lar bir OT güvenlik programının olgunluğunu ve sürdürülebilirliğini en iyi yansıtır?
ISA/IEC 62443, bir OT ortamında siber güvenlik korumalarının gücü için risk odaklı, tehdit temelli bir ölçütü temsil eden dört güvenlik seviyesini (SL1-SL4) tanımlar. Güvenlik seviyeleri temelden gelişmiş saldırgan senaryolarına kadar ölçeklenir ve siber savunmaların sürekli gelişen tehdit manzarasına göre uyarlanmış ve orantılı olmasını sağlar. Müşterilerimizle ortaklık kurarken ve birlikte işbirliği yaparken, öncelikle temel güvenlik hijyeninin yerinde olmasını sağlıyoruz (AV, WSUS güncellemeleri, MFA, bölgeler ve kanallarla ağ segmentasyonu). Oradan, müşterimizin elde etmek istediği hedeflenen güvenlik seviyesine doğru yol haritasını tanımlıyoruz.
Yönetilen güvenlik hizmeti perspektifinden bakıldığında, KPI’ları SLA’ya koyduk.
Genel olarak, bir OT güvenlik programının olgunluğu ve sürdürülebilirliği, saygın müşterilerimizi yol boyunca desteklemek için birlikte seyahat ettiğimiz bir OT güvenlik yolculuğunu düşünüyoruz.