YORUM
O meşhur olayın üzerinden 10 yıl geçti Stuxnet saldırısı kritik altyapımızda önemli bir rol oynayan operasyonel teknoloji (OT) sistemlerinin güvenlik açıklarını vurguladı. Ancak ilerlemelere rağmen bu sistemlerin açıkta kalması, gelecekteki siber tehditlere karşı hazırlıklılığımız konusunda endişeleri artırıyor. Yakın zamanda Karanlık Okuma madde Dan Raywood, programlanabilir mantık denetleyicilerinin (PLC’ler), özellikle de Siemens markalı denetleyicilerin hâlâ nasıl savunmasız olduğunu vurguladı.
OT Güvenlik Açığı
OT güvenlik açığıyla ilgili temel zorluk insan davranışında yatmaktadır. Tehdit aktörleri insan davranışlarından yararlanarak tembelliğin veya rahatlığın güvenliğe galip gelmesine neden oluyor. Bu, zayıf şifrelere, ihmal edilen güncellemelere ve protokollere bağlılığın gevşek olmasına yol açar. Bu eğilimlerden yararlanan bilgisayar korsanları, kolayca tahmin edilebilecek parolaları ana anahtarlara dönüştürür ve erişim sağlamak için yama yapılmamış güvenlik açıklarından yararlanır.
BT ve OT’nin yakınlaşması iki ucu keskin bir kılıç yaratıyor. Verimliliği ve yeniliği teşvik ederken aynı zamanda saldırı yüzeyini de genişletir. Üretim ekipmanına yönelik güvenlikleri yönetmek için bir ağ oluşturmak, makineleri yöneten kritik cihazları (PLC’ler gibi) saldırılara maruz bırakır. Bu nedenle, BT ve OT’nin birbirine bağlılığı bir güvenlik kabusuna dönüşme potansiyeli taşıyor.
OT Güvenliğine Katmanlı Yaklaşım En İyisidir
Dark Reading’in makalesi, aktarım katmanı güvenliği (TLS) gibi güvenlik önlemlerini zorlayan teknolojilerin kullanılmasını öneriyor. Her ne kadar bu değerli korumalar sunsa da kusursuz olmaktan uzaktır. Kararlı tehdit aktörleri hâlâ yama yapılmamış güvenlik açıklarından yararlanabilir veya BT ve OT yakınsaması gibi alternatif saldırı vektörlerinden yararlanabilir. Saldırganlar yeterince motive olursa TLS’nin faydasız olduğu diğer yöntemlere geçebilirler. Saldırgan, Siemens PLC’deki güvenlik açıklarına atıfta bulunarak API talimatlarını doğrudan PLC’ye göndererek ona kritik süreçlere zarar verebilecek talimatlar verebilir.
Makale, Enlyze’de tersine mühendislik ve bağlantı alanında teknoloji lideri olan Colin Finck’in, TLS’yi destekleyen en yeni Siemens aygıt yazılımı hakkında yeterince iyi olmadığını belirttiği yorumlarına atıfta bulunuyor. Bu bakımdan yazı doğrudur. Ancak siber güvenliğin katmanlı bir yaklaşıma ihtiyacı olduğu açıkça söylenmiyor; şifreleme bulmacanın yalnızca bir parçası.
Kimseye Güvenme
Cihaz düzeyinde korumanın kritik hale geldiği yer burasıdır. PLC gibi cihazların korunması ve güvenliğinin sağlanması hem büyüyen saldırı yüzeylerine hem de insan unsuruna çözüm sağlar. Güvenlik basit bir yaklaşımı içerir: Kimseye güvenmeyin. Bu nedenle, sıfır güvenin uygulanması ve uygulanması kritik altyapının korunmasına yardımcı olur.
Bu güçlü güvenlik politikalarının desteklenmesi ve güvenli bir OT ortamı için net yönergelerin oluşturulması, PLC’lere yapılan her erişim girişiminin titizlikle doğrulanmasını gerektirir. Ayrıca belirli kullanıcılara yalnızca gerekli minimum izinlerin verilmesi gerekir. Güvenlik ekipleri ve OT yöneticileri, erişim kontrollerini desteklemeli ve yalnızca yetkili kullanıcıların fabrikadaki kritik sistemleri kontrol eden PLC’lerle etkileşime girebilmesini sağlamalıdır. Bu güvenlik politikalarının uygulanması, kararlı saldırganların API talimatlarını doğrudan PLC’ye göndermesini engeller.
İleriye Doğru: Direnci Geliştirmek
Siemens PLC’lerindeki güvenlik açıkları, kritik altyapımızı güvence altına almak için devam eden mücadeleyi net bir şekilde hatırlatıyor. Siemens, her biri farklı güvenlik açıklarına sahip birçok PLC satıcısından yalnızca biri. Bu nedenle siber güvenlik, BT ekiplerinin yanı sıra kat yöneticilerinin de sorumlulukları arasında yer almalıdır. İlk katmanın PLC’lerin korunması olduğu katmanlı bir yaklaşımın gerekli olduğunu anlamaları gerekir. PLC’lere erişim ve kimlik bilgilerinin uygulanması ve yönetilmesi, hassas altyapıyı dayanıklı altyapıya dönüştürür.
