Kritik altyapı kuruluşları, teknolojilerinde ve siber güvenlik ortamlarında onları hem daha verimli hem de daha savunmasız hale getiren çarpıcı değişiklikler geçiriyor.
Güç, petrol ve gaz, kamu hizmetleri ve operasyonel teknolojiye (OT) dayanan diğer sektörler daha fazla Nesnelerin İnterneti (IoT) ve akıllı cihazları entegre ederken, OT sistemleri de sürekli olarak bulut platformlarına taşınan BT operasyonlarıyla birleşiyor. OT ve BT’nin yakınsaması, kuruluşların mobil bilgi işlemden faydalanmasına, bulutta tahmine dayalı analiz yapmasına ve ağlarını üçüncü tarafları ve tedarik zinciri ortaklarını içerecek şekilde genişletmesine olanak tanıyan operasyonları kolaylaştırır. Ancak bu aynı zamanda onları hem iç hem de dış siber saldırılara karşı daha savunmasız hale getiriyor.
Bu arada, ulus devlet aktörleri ve siber suçlular, özellikle kritik altyapıyı içeriyorlarsa, giderek daha fazla sanayi ve imalat sektörlerini hedef alıyor. Fidye yazılımı saldırıları, yine yükselişte 2022’deki durgunluğun ardından sık sık altyapıyı hedef alıyorlar çünkü operasyonlarının kritik doğası, kurbanların sistemlerini çözmek için fidye ödeme olasılığını artırıyor.
Saldırganların endüstriyel ve üretim sistemlerini hedeflemesinin bir başka nedeni de, birçok OT’nin, İnternet’ten erişilebilen ortamlarda kullanılmak üzere tasarlanmadıkları için doğası gereği güvenli olmayan eski cihaz ve sensörlerden oluşmasıdır. Orijinal ekipman üreticileri (OEM’ler) yeni cihazlara güvenlik kontrolleri uyguluyor ancak bunların mevcut sistemlere tam olarak entegre edilmesi muhtemelen yıllar alacak.
Gerçek Tehditler Düşündüğünüz Gibi Olmayabilir
Endüstriyel ve üretim kuruluşları bir zamanlar OT’nin BT’den ayrılmasına güvenebiliyordu ancak artık bölümlere ayrılmış ortamlar etrafında bir OT güvenlik stratejisi oluşturamıyorlar. OT ve BT’nin karıştırılması operasyonları kolaylaştırır, ancak aynı zamanda tehdit aktörlerinin bir topolojiden diğerine geçmek için bağlantıdan yararlanarak yararlanabileceği siber güvenlik açıkları da yaratır. OT’yi içeren saldırıların çoğu, BT sistemlerine yapılan saldırılarla başlar.
Birleştirilmiş ortamların güvenliğini sağlamak, hem güvenlik mühendislerini hem de OT uzmanlarını bulmanın zor olduğu gerçeğiyle birleştiğinde karmaşık bir zorluk haline gelebilir. Sonuç olarak çoğu şirket OT ile BT/güvenlik arasındaki ayrım konusunda zorluk yaşıyor.
Kuruluşun tamamını kapsayan bir güvenlik stratejisi oluşturmak, güvenliğin temellerini uygulamayı, zayıflıkların nerede olduğunu ve bir saldırganın izleyebileceği yolları anlamayı, simülasyonlar yürütmeyi ve yanıtlar üzerinde pratik yapmayı gerektirir. Birkaç temel gerçeği anlayarak başlamanıza yardımcı olur.
Rusya ve Çin En Büyük Endişeniz Değil
Ulus-devletler manşetlere çıkıyor ve bunun iyi bir nedeni var. Rusya, Çin, İran ve Kuzey Kore kritik altyapıyı hedeflemeOT açısından ağır olma eğiliminde olan ve son yıllardaki en yüksek profilli saldırıların bazılarından sorumlu olan, örneğin Sömürge Boru Hattı. Ancak çoğu OT kuruluşunun, fidye yazılımlarından veya diğer kârlı saldırılardan para kazanmak isteyen fırsatçı suçlular konusunda daha fazla endişelenmesi gerekir.
Sorun Cihazlar Değil; Bu Erişim
Pek çok OT cihazı güvenlik açıklarıyla doludur ve yükseltilmeleri gerekir, ancak endüstriyel sistemlerin savunmasız olması söz konusu olduğunda asıl sorun bunlar değildir. Asıl sorun BT sistemlerine erişimdir. Tehdit aktörleri OT cihazlarından doğrudan yararlanamaz. Ağa erişim sağlamak ve daha sonra ağa geçmek için BT sistemlerindeki güvenlik açıklarından (çoğunlukla yanlış yapılandırmalar ve zayıf mimari) yararlanırlar.
Alıştırma, Alıştırma, Alıştırma
Birleşik bir OT/IT ortamını korumak, eski OT cihazlarının modernleştirilmesinden çok, temel hijyenin sağlanması ve iyi BT ve OT uygulamalarının mevcut olmasını sağlamakla ilgilidir.
Başlangıç olarak, sahip olduğunuzu bilmediğiniz bir şeyi yönetemeyeceğiniz şeklindeki eski güvenlik kuralını hatırlayın. Hem BT hem de OT arasında köprü oluşturan titiz varlık yönetimi çok önemlidir. Bu görünürlük, saldırganların hedef alması muhtemel güvenlik açıklarını belirlemenize ve bir saldırının nasıl gerçekleştirilebileceğini anlamanıza olanak tanır.
Kuruluşun varlıklarına yönelik saldırıları simüle etmek de önemlidir; bu, bu saldırıların nasıl ve ne zaman gerçekleşebileceğini tahmin etme yeteneğinizi geliştirecektir. Baş bilgi güvenliği görevlilerinin (CISO’lar), BT’ye yönelik OT’ye yayılan saldırılara ve yol boyunca şok noktalarına odaklanarak düzenli olarak saldırıları simüle eden sıkı güvenlik programları uygulaması gerekir. Ve sonra tekrar yapın; pratik yapın, pratik yapın, pratik yapın. Sorunlarınızı çözecek bir satıcıdan sihirli bir değnek yok.
Bir tedarikçi, BT ile OT arasındaki tıkanıklık noktalarının nerede olduğunu belirleyerek bir kuruluşa yanıt hazırlığı konusunda yardımcı olabilir. Örneğin üçüncü bir taraf size, çevreyi aşan herhangi bir saldırıyı erken bir aşamada nasıl tanımlayacağınızı ve onu en iyi şekilde nasıl hafifletebileceğinizi gösterebilir. Ayrıca simülasyonların oluşturulmasına ve personelin eğitilmesine de yardımcı olabilir. Sonuçta, yetenekli BT uzmanlarını işe almak ve elde tutmak siber güvenlikteki en büyük zorluklardan biri olduğundan, halihazırda sahip olduğunuz kişilerin becerilerini geliştirmek özellikle önemlidir.
Ancak kritik altyapı kuruluşları için iş yine de temellere iniyor. Öncelikle teknoloji ve siber güvenlik ortamının değiştiğini kabul etmeleri gerekiyor. Daha sonra, güvenlik ekiplerinin en karmaşık tehditleri bile savuşturabilmesini sağlamak için sıkı varlık yönetimi ve tekrarlanan simülasyonlar gerçekleştirmeleri gerekiyor. Sihirli bir çözüm olmayabilir ancak bunun gibi sağlam bir planı takip etmek, savunucuların giderek daha fazla karışan BT ve OT ortamlarına karşı yapılan modern ve karmaşık saldırıların önünde kalmasına yardımcı olabilir.