Endüstriyel kuruluşlar ortamlarını dijitalleştirdikçe, bu durum kritik operasyonel teknolojiyi (OT) güvenlik açıklarına maruz bırakırken siber suçlular için yeni fırsat pencereleri sunuyor.
Geçen yıldan bu yana, kritik altyapılara saldırmak ve hayati sistemleri potansiyel olarak yıkıcı ihlallere maruz bırakmak için kullanılan OT güvenlik açıklarında %88’lik bir artış oldu.[i] Enerji, su, ulaşım, çevre kontrol sistemleri ve diğer temel endüstriyel ekipmanları destekleyen OT sistemleri ile bu hayati varlıklara yönelik saldırılar ciddi ekonomik zararlara yol açabilir ve hatta halk sağlığı ve güvenliğini tehlikeye atabilir.
Tehdide yanıt olarak endüstriyel ağların siber güvenliğine öncelik veriliyor, ancak en büyük zorluklardan biri, tüm OT varlıklarının kolayca yamalanamamasıdır. OT ortamlarındaki endüstriyel kontrol sistemleri, genellikle artık güvenlik güncellemelerini almayan eski veya eski ekipman ve yazılımları kullanır. Sistemlerin taranması operasyonlarda risklere neden olabilir ve yamaların uygulanması, bu sistemlerin bakım için çevrimdışına alınmasını gerektirir; bu yalnızca pahalı olmakla kalmaz, aynı zamanda kritik operasyonları da kesintiye uğratır.
Çözüm nedir? Endüstriyel kuruluşlar, yamalar kolayca uygulanamasa bile OT’yi nasıl güvence altına alabilir ve kritik görev sistemlerini güvenlik risklerine karşı nasıl koruyabilir?
Endüstriyel OT zorlukları
Geleneksel olarak, güvenlik o kadar kritik bir konu değildi çünkü bir kuruluşun OT ağı, daha az bilinen endüstriyel protokoller ve özel yazılımlar çalıştırarak izole edilecek şekilde tasarlandı. Bu sistemler sınırlı maruziyete sahipken, bugün OT ortamları birleşti ve artık BT ağlarından hava boşluklu değil, bu da güvenlik önlemlerinin eksikliğinin kritik bir risk oluşturduğu anlamına geliyor.
Ne yazık ki, bu bağlantı tehdit aktörleri tarafından fark edilmedi. Industroyer, Triton ve Incontroller gibi ICS ve OT’ye özgü kötü amaçlı yazılımlar, saldırganların ICS ve OT tesislerine saldırmak için kullanmaya başladıkları ve birçok ciddi olayla sonuçlanan giderek daha karmaşık hale gelen yeteneklerin kanıtıdır.
Ayrıca, son araştırmalar, önemli “tasarım gereği güvenli olmayan” uygulamalar sergileyen 10 operasyonel teknoloji (OT) satıcısının ürününde 56 yeni güvenlik açığı ortaya çıkardı. [ii]
Çoğu OT cihazı, güvenlik açıklarının kimliği doğrulanmamış protokollerden, güvenli olmayan bellenim güncellemelerinden ve güvenli olmayan yerel işlevlerden kaynaklandığı yerlerde tasarım gereği güvensizdir. Örneğin, keşfedilen güvenlik açıklarının %38’i kimlik bilgilerinin ele geçirilmesine izin verdi ve %21’i saldırganlara çevreye zehirli bellenimi sokmanın bir yolunu verdi. Ek olarak, kusurların yüzde 14’ü, saldırganlara OT sistemlerinde uzaktan kötü amaçlı kod yürütme yolu sağlayan mantıksal indirmeler, bellenim güncellemeleri ve bellek okuma/yazma işlemleri gibi yerel işlevlerden kaynaklanıyordu.
Aslında, OT güvenliğinin karşılaştığı en büyük sorunlardan biri, kasıtsız güvenlik açıklarının varlığı değil, temel güvenlik kontrollerinin sürekli yokluğudur. Bu cihazlarda genellikle kullanıcıların ve eylemlerin kimliğini doğrulamak, verileri şifrelemek ve ürün yazılımı güncellemelerinin ve yazılımların imzalanıp doğrulanmadığını doğrulamak için gereken kritik kontroller yoktur. Bu mekanizmalar mevcut olduğunda, genellikle zayıftırlar ve kolayca saldırıya uğrarlar veya cihazda sabit kodlanmış ve düz metin kimlik bilgilerinin varlığı gibi diğer sorunlar tarafından ciddi şekilde zayıflatılırlar.
Araştırma ayrıca, tasarım gereği güvensiz birçok cihazın güvenlik sertifikalarına sahip olduğunu ve bunun genellikle yanlış bir güvenlik duygusuyla sonuçlandığını ve önemli ölçüde karmaşık risk yönetimi çabalarına yol açabileceğini buldu. Bu sertifikaların test gereksinimleri bazen savunma kabiliyetinin stres testinden ziyade özelliklerin işlevsel doğrulamasıyla sınırlıdır; yani özellik mevcut olduğu sürece güvenli olduğu varsayılır.
Diğer bir sorun, endüstriyel kontrol sistemleri için genel güvenlik açıkları ve maruz kalma (CVE) raporlamasının olmamasıdır. Tasarım gereği güvensizliğin sonucu olarak kabul edilen sorunlara her zaman CVE atanmamıştır, bu nedenle genellikle olması gerekenden daha az görünür ve eyleme dönüştürülebilir kalırlar. Tedarik zinciri bileşenlerindeki güvenlik açıkları da etkilenen üreticiler tarafından rapor edilme konusunda çok iyi bir geçmişe sahip değildir.
Çoğu durumda, bu belirli özellik kötüye kullanımı sorunları giderilemezken, görünürlük ve varlık yönetimi, segmentasyon ve ağ trafiğinin özel olarak izlenmesi gibi zayıflıkları ele alan uygulamalar vardır.
Güvenlik temellerinin atılması
Görünürlük ve varlık yönetimi, ağ güvenliğinin temelini oluşturur. Göremediğiniz şeyi koruyamazsınız, bu nedenle endüstriyel kuruluşlar, ağlarındaki tüm bağlı cihazlara görünürlük sahibi olmalarını sağlamalıdır. Verimliliği artırmak için ağ görünürlük çözümleri BT, OT ve IoT cihazlarına yayılarak ağdaki savunmasız cihazların keşfedilmesini sağlayarak uygun kontrol ve azaltma eylemlerinin uygulanabilmesini sağlamalıdır. Ek olarak, bu çözüm aynı zamanda ağı yeni cihazlar için sürekli olarak izlemeli, yeni bağlantıları otomatik olarak tespit etmeli, böylece kuruluşu riske atabilecek görünürlük boşlukları olmamalıdır.
Güvenlik açığı bulunan cihazlar, çoğu yama uygulanamayacak kadar eski veya kırılgan olduğu için OT ortamlarında her zaman var olacaktır. Bir cihaz bu kategoriye girdiğinde, bağlı cihaza minimum miktarda ayrıcalık verilmesine odaklanılmalıdır. Bu, bir saldırgan ona erişim elde ederse, yapabilecekleri, ağa nasıl yayılabileceği ve neye erişebilecekleri konusunda sınırlı bir yeteneğe sahip olacağı anlamına gelir. Yanal hareket saldırılarını önleyeceğinden, onu kritik görev sistemlerinden ayırmak da önemlidir.
Segmentasyon, savunmasız cihazlardan kaynaklanan riski azaltmak için uygun ağ hijyenini uygulayan temel bir kontroldür. Segmentasyon, harici iletişim yollarını kısıtlar ve yama uygulanamayana veya yama yapılabilene kadar azaltıcı bir kontrol olarak bölgelerdeki hassas cihazları izole eder.
Cihaz üreticileri, tasarımı gereği güvenli olmayan bellenim ve protokollerle ilgili temel sorunları ele alırken, varlık sahipleri, etkilenen cihaz satıcıları tarafından yayınlanan aşamalı yamaları izleyebilir ve bunları kendi ağlarında uygulayabilir. Riski daha da azaltmak için endüstriyel kuruluşlar, ağları tasarım işleviyle güvensiz olan kötü amaçlı paketler için izlemeli, OT/ICS ağlarını kurumsal ağlardan ve internetten ayırmalı, ağ bağlantılarını sınırlandırmalı ve mümkün olduğunda sonuçların azaltılmasına odaklanmalıdır.
Hazırlık ve işbirliği el ele gider
Zorlukların üstesinden gelmenin en iyi yolu, hazırlıktan geçer. Envanteri ve ağlara ne tür varlıkların bağlı olduğunu, risklerini ve gerekli bağlantıyı anlamak için saha değerlendirmeleri yapın. Çoğu durumda, endüstriyel bir çerçeve içindeki bilinen internete bağlı cihazların sayısı, ağ gerçekliğinin yalnızca bir kısmıdır.
BT, güvenlik ve OT saha ekipleri arasındaki işbirliği, güvenli endüstriyel operasyonların devam eden başarısı için çok önemlidir. Dijitalleştirme, güvenlik politikalarını standartlaştırma ve otomatik varlık ve ağ izlemeyi devreye sokma şansı sağlar. Bu da, kuruluşların güvenlik ve operasyonel risklerinin sürekli olarak farkında olmaları için bu sistemler hakkında daha iyi bilgiler sağlar. Bu daha sonra risk tabanlı segmentasyon ve en düşük ayrıcalık erişiminin uygulanmasını sağlar, böylece herhangi bir siber olay meydana gelirse etki minimum olacaktır.
OT güvenliği kademeli olarak iyileşirken, birçok kuruluşta hala güvenlik açıkları bulunmaktadır. Bağlı cihazların sayısındaki hızlı artış, endüstriyel kuruluşlar için risk duruşunu katlanarak artırıyor. OT’yi IoT ve BT cihazlarına bağlayarak, bir zamanlar bağlantı eksikliği nedeniyle önemsiz görülen güvenlik açıkları artık kötü aktörler için yüksek hedefler haline geldi. Endüstriler arasında OT ve IoT’ye bağımlılık arttıkça, bağlı her cihaz da dahil olmak üzere siber güvenlik riskinin üstesinden gelme ihtiyacı zorunludur.
[i] https://venturebeat.com/2022/04/20/report-88-increase-in-ot-vulnerabilities-last-year/
[ii] https://www.forescout.com/blog/ot-icefall-56-vulnerabilities-Caused-by-insecure-by-design-practices-in-ot/
Daniel dos Santos, Güvenlik Araştırmaları Başkanı, Forescout
