Risk Değerlendirmesi: OT ortamını güvence altına almaya yönelik ilk adım

Yokogawa'nın danışmanları ve mühendisleri hem tesis operasyonu hem de OT güvenliği konusunda derinlemesine bilgiye ve geniş deneyime sahip olarak, güvenlik yolculuğu boyunca rehber olarak hizmet sunabilirler.

Proses Çözümleri 03.03.2021, 00:05 Serkan KIRAÇ
61
Risk Değerlendirmesi: OT ortamını güvence altına almaya yönelik ilk adım

Bir senaryo düşünün ki; bir kimyasal işleme şirketi, üretim tesisi için siber güvenlik programı başlatmaya karar verir, bu nedenle bir IT uzmanı ile operasyon biriminden, tesis ağları hakkında orta derece bilgi sahibi olan bir kişiyi bir araya getirir. Bu iki kişinin başka sorumlulukları da vardır ve stratejik noktalara az sayıda güvenlik cihazını hızlıca yerleştirerek bu yan sorumluluklarını yerine getirdiklerini ve tesisin korunduğunu beyan ederler.

Bu sırada, tesisin ağlarını birkaç aydır sistematik olarak analiz eden bir hacker, tesis mimarisini ve hangi varlıkların bulunduğunu tesisteki herkesten daha iyi bir şekilde anlamaktadır. Hacker, birkaç yıl önce bir sistem entegratörünün kimyasal enjeksiyon problemini çözmek için kurmuş olduğu X marka PLC üzerinden erişim sağlamıştır. Teknisyen, takip hizmeti için internet üzerinden PLC'ye erişecek bir yol (path) bırakmıştır, fakat herkes bunu unutmuştur. Hacker bu PLC'deki önemli bir güvenlik açığının yani varsayılan parolanın - farkındadır, çünkü bunun özellikleri yayınlanmıştır, ancak tesis bu parolayı değiştirmek için asla bir adım atmamıştır, çünkü bu parolanın varlığını bile unutmuşlardır. Bu güvenlik açığı hacker'a PLC'den otomasyon sistemine giden korunmasız bir bağlantı yoluyla daha büyük bir ağa giden bir yol sağlar.

Bu senaryo fazla basitleştirilmiş bir örnek olsa da, operasyon teknolojisi (OT) ağlarına yönelik siber güvenlik stratejisine dair yaklaşımlar konusunda birçok şirketin karşılaştığı sorunları göstermektedir. İyi düşünülmüş bir strateji bu sorunları bulacak ve düzeltecektir, bu makalenin geri kalanında bu tür bir planın nasıl uygulanacağına bakacağız.

DEĞİŞEN SALDIRI YÜZEYİ
IT ve OT'nin bir araya getirilmesi ve IT teknolojilerinin OT ağlarındaki genişlemesinin saldırı yüzeyini nasıl geliştirdiği, aynı zamanda yeni savunma araçlarını da ortaya çıkardığı hakkında birçok şey yazılmıştır.

Daha önceleri tesisler tamamen izoleydi, ancak şimdi şirket intranetleri ve/veya internet ile, muhtemelen birçok kişinin fark ettiğinden daha fazla yollarla, dış dünya ile bağlantı halindeler. Şirketler tesislerinde yalnızca dikey bağlantı sağlayarak değil, aynı zamanda şantiyelerinde, diğer sahalarında ve tedarik zinciri boyunca yatay bağlantı sağlayarak, operasyonlarını ve işlerini rekabet adına dijital olarak dönüştürmeye çalışmaktadırlar. Bu bağlantılar iş açısından avantajlar yaratır, fakat ağ ve verilerin güvenliğini sağlamada zorluklar da yaratır.

Büyük operasyonları optimize etmek için gereken daha fazla bileşen ve işlev ile, tesislerin Windows, Ethernet ve TCP/IP gibi ticari teknolojilerin kullanımıyla giderek daha karmaşık ve otomatikleştirilmiş bir hâle gelmektedir. Araştırma, ilk üç siber tehdidin ağa eklenen cihazlar ve "sistemler" (açılış örneğimizdeki PLC gibi), iç tehditler (insan ihmali veya kazaları) ve dış tehditler (tedarik zinciri veya ortaklıklar) olduğunu göstermektedir. 


Şekil 1: IT/ICS Siber güvenlik anketinde SANS enstitüsü tarafından derlenen, önde gelen siber tehditlerin 2019 yılındaki durumu
 

OT 'NİN DEĞİŞİME KARŞI DOĞAL DİRENCİ
OT ağlarından sorumlu olanlar her zaman IT bölümünden yardım almazlar. Eğer bir şey işe yarıyorsa ve kesintisiz üretimin sağlanması için gerekliyse, eski ve iyi korunmamış olsa dahi genel cevap "Dokunma"dır. IT'nin tesise getirmek istediği araçlar ve daha üst sürümler eski ekipman ve yazılımlara uygun olmayabilir ve üretim kesintilerine hatta güvenlik tehlikelerine sebep olabilir. Öte yandan, kötü amaçlı yazılımlar da aynı şeylere sebep olabilir, dolayısıyla IT müdahale etme ihtiyacı hisseder. Ancak, OT güvenliğini artırmak için IT güvenlik teknolojisi ve politikalarını OT ortamına aktarmak işe yaramaz, çünkü IT güvenliği farklı gereksinimler ve önceliklerle çalışır.

IT, endüstriyel kontrol sistemin, tesisin beyni olduğunu anlamalıdır.Sistemin emre amadeliği, dayanıklılığı ve sürdürülebilirliği aynı zamanda güvenliği, operasyonel maliyeti ve iş performansını etkiler.Dolayısıyla endüstriyel kontrol sisteminin performansına müdahale eden her şey şirketi, üst yönetimi ve paydaşları etkiler.

Bu durum ışığında, güvenlik riski yönetimi, ciddi zorluklara rağmen kuruluşlar ve sorumlu ekipler için en önemli önceliktir:

• OT varlıklarının düşük görünürlük riskinin değerlendirilmesi — Tesisler yıllar içinde gelişir ve açılış örneğindeki PLC gibi, birçoğu değişiklikleri belgelemede iyi değildirler, potansiyel güvenlik açıklarını aramak için altyapıyı da derinlemesine incelemezler.

• Riskin azaltılması ve yatırımın önceliklendirilmesi — Şirketler OT varlıklarında az görünürlüğe sahipse, güvenlik için ne kadar yatırım gerektiğinin veya çabanın nereden başlaması gerektiğinin tahmin edilmesi zordur. Ayrıca, çaba ile bu riskin ne kadar azaldığını bilmek de imkânsız olacaktır.

• Endüstri standartlarına ayak uydurmak — Tedbirlerin uygulanması ve gelişen/değişen standartlara uyum sağlamaya devam etmek zorlayıcı bir iştir. Bu konuyu birazdan daha ayrıntılı açıklayacağız.

• Sınırlı OT güvenliği uzmanlığı ile risk yönetimi — Güvenlik önlemlerinin uygulanmasının ve yönetiminin, 20 yıldan uzun süren tesis yaşam döngüsü boyunca devam etmesi gerekirken, güvenlik ekipleri genellikle güvenlik personeli ve uzmanlık eksikliği ile karşı karşıya kalmaktadır.

RİSK TABANLI YAKLAŞIM
Riski azaltmaya yönelik iki genel yaklaşım vardır. Olgunluk tabanlı yaklaşım, her şeyde en üst düzey savunma oluşturur. En kapsamlı olanıdır, ancak çok pahalıdır. Risk tabanlı yaklaşım, en çok ihtiyaç duyulduğu zamanlarda risk azaltılmasına yönelik savunma katmanlarını optimize etmektedir. Bu bazı kapsamlardan fedakârlık eder, ancak daha ucuzdur ve uygulanması daha kolaydır, böylece gerçekleşmesi daha olasıdır.

Risk tabanlı güvenlik dört uygulamaya dayanmaktadır:
• Güvenlik temelinin (security baseline) belirlenmesi: İlk adım, risklerin tespit edilmesi ve OT güvenlik paydaşlarının bu temeli anlamasını sağlamaktır. Tesisin mevcut durumuna hakim olmak güvenlik yolculuğunun başladığı noktadır.

• Riskin bütünsel bir bakış açısıyla tanımlanması: Riskler birçok farkı yönden ve kategoriden gelir, dolayısıyla yalnızca yüksek düzey iş proseslerine odaklı bir risk değerlendirmesi, teknik uygulamalardaki kusurlar sebebiyle riskleri tespit edemeyebilir.

• Güvenlik standartlarına uyulması: Her seferinde tekerleği yeniden icat etmeye kıyasla, güvenlik programını daha etkili ve basit bir hâle getirdiği için, mevcut güvenlik standardına uygunluk faydalıdır.

• Sistematik bir proses oluşturulması: OT güvenliğine yönelik kalıcı bir operasyonel risk yönetimi oluşturmak için kuruluşlar sistematik bir prosese uymalıdır. Bu risk yönetimi süreci, kısa ve uzun vadeli konuları içeren stratejik bir faaliyettir. Bu nedenle, sürekli risk güvencesini sağlamak için stratejik risk yönetimi planlaması gereklidir.

 GÜVENLİK STANDARTLARI
Az önce de belirtildiği gibi, riske dayalı güvenliğin önemli bir unsuru ilgili standartlara uymaktır. Örneğin peynir üretimi için kurulan bir tesis, kendi belirlediği temizlik tanımlarından ziyade yürürlükteki yönetmeliklere uymak zorundadır. Benzer şekilde, siber güvenlik, şirketlere yardımcı olmak için kendi uygulamalarına ve yönergelerine sahiptir. Sayıları gitgide artan şirketler aşağıdakilere uygun şekilde çalışmaktadır:

•ISA/IEC 62443

•NIST CSF

•NIST 800-82

•CIS Kritik Güvenlik Kontrolleri.

•ISO 27000 (Genellikle IT'de kullanılır)

Tüm yönleri ve bölgeleri kapsayan tek bir düzenleme, standart veya uygulama yoktur. Avrupa’da, NIS (Ağ ve Bilgi Sistemleri) Yönergesi yürürlüğe girmiştir ve her ülke bazında geçerli kanun haline gelecektir.

Muhtemelen, yukarıdaki listedeki en önemli standart IEC 62443'tür, çünkü endüstriyel sistemler için özel olarak tasarlanmıştır ve risk değerlendirmesinden teknik tasarım özelliklerine kadar bir güvenlik programının her yönünü kapsar. Yaklaşımı, bir tesis veya bir tesisin bölgeleri için hedef güvenlik düzeyini tanımlamaktadır (Şekil 2). Şirketler, tesislerini değerlendirirken doğru hedef güvenlik düzeyini belirlemelidir.

Şekil 2: IEC 62443-3-3 'teki tanımlara dayalı güvenlik düzeyleri
 

Ayrıca, emniyet/acil duruş sistemlerinin (SIS-Safety Instrumented System) oluşturulmasına yönelik uygulamaları belirleyen teknik standart olan IEC 61511, güvenlik risk değerlendirmelerinin yapılmasının artık zorunlu bir gereksinim olduğunu açıkça belirtmektedir.

İLK ADIM: RİSK DEĞERLENDİRMESİ
Risk tabanlı siber güvenlik yönetiminin ilk adımı olarak Yokogawa, OT güvenlik temelini elde etmek için teknik güvenlik risk değerlendirmesinin (TSRA) yapılmasını önermektedir. TSRA, OT ortamının karşı karşıya kaldığı tehditlere ilişkin etki ve olasılığı değerlendirerek kuruluşun güvenlik riskini belirler.

Yokogawa'nın TSRA süreci, müşteri görüşmelerine ve teknik incelemelere dayanan bir güvenlik açığı değerlendirmesi ile başlar. Güvenlik açıkları tespit edildiğinde, OT ortamının karşı karşıya olduğu en yüksek riskleri ve hangi sorunların en acil şekilde çözülmesi gerektiğini belirlemek için senaryo tabanlı bir risk değerlendirmesi yapılır. Güvenlik açıkları ve riskler aynı değildir (Şekil 3). Bir güvenlik açığı bir kusur veya zayıflıkken, risk ise kötü bir şeyin olma olasılığıdır. Açılış örneğine dönersek, güvenlik açığı varsayılan paroladır. Bir başka tipik güvenlik açığı, belirlenmiş sınır korumasının olmaması olabilir. Risk, bir hacker bu güvenlik açığından yararlanırsa ne olabileceğidir.

Şekil 3: Her güvenlik açığı, kötü niyetli olarak kullanılabilme olasılığı ışığında incelenmelidir.
 

Teknik güvenlik açığı değerlendirme aşamasında, güvenlik açıklarını toplamak, bulguları doğrulamak ve kontrol etmek, ortamda mevcut olan güvenlik açıklarının eksiksiz ve güvenilir bir listesini oluşturmak için birden fazla yöntem kullanılır. Bu liste, güvenlik açığı değerlendirme aşamasında yer alan aynı ekip tarafından yürütülen risk değerlendirme aşamasının giriş kısmını oluşturur. Bu, risk değerlendirmesinin başlangıcında güvenlik açıkları ile ilgili büyük miktarda bilgi ve iç görünün mevcut olacağı anlamına gelir.

Teknik risk değerlendirmesi, aşağıdakileri içeren bir raporla sonuçlanır:

• Risklerin ve güvenlik açıklarının listesi

• Herhangi bir üst düzey risk ve gerekli acil önlemler hakkında bulgular;

• Tesisin mevcut durumu ile güvenlik gereksinimleri arasında bir boşluk analizi

• Tedbirler ve diğer somut öneriler için planlar da dahil olmak üzere güvenlik programının nasıl iyileştirileceğini veya geliştirileceğini gösteren bir yol haritası.

 DEĞERLENDİRME METODOLOJİSİ
Danışmanlar ve mühendisler, görüşmeler ve teknik denetimler de dahil olmak üzere çeşitli yöntemler kullanarak güvenlik açığı değerlendirmesini birlikte gerçekleştirirler.

Görüşmeler, hem IEC 62443 hem de Yokogawa'nın güvenlik deneyimine dayanan kapsamlı bir anket aracılığıyla gerçekleşir. Sorular, ayrıntılı teknik uygulamadan, güvenliğin yerel kuruluş tarafından nasıl yönetildiğine kadar çeşitlilik gösterir. Bu sorulara verilen cevaplar, kullanıcı ve PC yönetimi, ağ aygıtı envanteri, yamalar, güncellemeler ve Anti virüs yönetimi de dahil olmak üzere teknik denetimlerle entegre edilir.

Her güvenlik açığı, riski belirlemek için incelenmelidir; bu, bir hacker’ın güvenlik açığını kullanarak ne kadar zarar verebileceği ile, zarar verici bu eylemin gerçekleşme olasılığının kombinasyonudur. Etki ve olasılık kombinasyonu risk düzeyi haline gelir.

Şekil 4: Tüm saldırı vektörleri aynı değildir, bu nedenle savunma risk düzeyini yansıtmalıdır.
 

 Güvenlik açığı ve risk değerlendirmelerinin sonucu, aşağıdakileri içeren TSRA raporunda belgelenir:

• Yönetim özeti

• Metodolojiye genel bakış

• OT ortamı için risklere genel bakış

• OT ortamı için güvenlik açığına genel bakış

• Tesisin mevcut durumu ve güvenlik gereksinimleri arasındaki boşluk analizi

• Güvenlik programının nasıl iyileştirileceğine veya geliştirileceğine dair yol haritası.

Değerlendirmenin sonucu, üst düzey riski ele almak için hangi acil önlemlerin alınması gerektiği ve karşı önlemlerin uygulanması için etkili bir güvenlik programının nasıl planlanacağı konusunda yönetim ile yapıcı tartışmayı destekleyecektir. Nihai hedef, tehditler ve araçlar geliştikçe sürekli olarak değerlendirilen ve geliştirilen bir programa ulaşmaktır.

Risk tabanlı bir yaklaşımın benimsenmesi, kuruluşların karmaşık kararlar almasına, hangi eylemin yapılacağına ve nereye yatırım yapılacağına dair yol gösterecektir. Etkin risk yönetimi, şirkete ve tesise özgü riskleri bilmek ve iyice anlamak ile başlar. Ancak, karmaşık operasyonel ortam, gelişen siber tehditler ve sürekli güncellenen yasalar ve politikalar, kuruluşların bu sorumluluğu kurum içinde ele almalarını son derece zorlaştırmaktadır.

Bu, en deneyimli profesyoneller için bile zor olabileceğinden, birçok şirket güvenlik değerlendirmeleri söz konusu olduğunda güvenlik ortaklarından destek ister. Yokogawa'nın danışmanları ve mühendisleri hem tesis operasyonu hem de OT güvenliği konusunda derinlemesine bilgiye ve geniş deneyime sahip olarak, güvenlik yolculuğu boyunca rehber olarak hizmet sunabilirler.

Yorumlar (0)
Yorum yapabilmek için lütfen üye girişi yapınız!
13°
parçalı bulutlu
Günün Anketi Tümü
Sektörel dergiler okunuyor mu?
Sektörel dergiler okunuyor mu?
Puan Durumu
Takımlar O P
1. Beşiktaş 33 71
2. Fenerbahçe 33 66
3. Galatasaray 32 62
4. Trabzonspor 33 58
5. Alanyaspor 33 52
6. Gaziantep FK 32 50
7. Sivasspor 33 50
8. Hatayspor 32 49
9. Karagümrük 33 49
10. Göztepe 33 46
11. Antalyaspor 34 42
12. Konyaspor 33 41
13. Rizespor 33 39
14. Ankaragücü 33 37
15. Kasımpaşa 33 36
16. Malatyaspor 32 34
17. Kayserispor 33 34
18. Başakşehir 32 33
19. Gençlerbirliği 33 31
20. Erzurumspor 33 28
21. Denizlispor 32 26
Takımlar O P
1. Giresunspor 30 63
2. Adana Demirspor 30 58
3. Samsunspor 30 58
4. Altay 30 54
5. İstanbulspor 30 54
6. Altınordu 30 52
7. Ankara Keçiörengücü 30 49
8. Ümraniye 30 44
9. Tuzlaspor 30 44
10. Bursaspor 30 43
11. Bandırmaspor 30 39
12. Boluspor 30 35
13. Adanaspor 30 34
14. Balıkesirspor 30 32
15. Menemenspor 30 31
16. Akhisar Bld.Spor 30 25
17. Ankaraspor 30 23
18. Eskişehirspor 30 8
Takımlar O P
1. Man City 32 74
2. M. United 31 63
3. Leicester City 31 56
4. West Ham 31 55
5. Chelsea 31 54
6. Liverpool 31 52
7. Tottenham 32 50
8. Everton 31 49
9. Arsenal 31 45
10. Leeds United 31 45
11. Aston Villa 30 44
12. Wolverhampton 31 38
13. Crystal Palace 31 38
14. Southampton 31 36
15. Brighton 31 33
16. Burnley 31 33
17. Newcastle 31 32
18. Fulham 32 26
19. West Bromwich 31 24
20. Sheffield United 31 14
Takımlar O P
1. Atletico Madrid 30 67
2. Real Madrid 30 66
3. Barcelona 30 65
4. Sevilla 30 61
5. Real Sociedad 30 47
6. Real Betis 30 47
7. Villarreal 30 46
8. Granada 30 39
9. Levante 30 38
10. Celta de Vigo 30 37
11. Athletic Bilbao 30 37
12. Cádiz 30 35
13. Valencia 30 34
14. Osasuna 30 34
15. Getafe 30 30
16. Huesca 30 27
17. Real Valladolid 30 27
18. Elche 30 26
19. Deportivo Alaves 30 24
20. Eibar 30 23

Gelişmelerden Haberdar Olun

@