OT Güvenlik Açıklarına Karşı Koruma
Kritik altyapı kuruluşlarındaki OT sistemlerine yönelik siber saldırıların sonuçlarını artık daha iyi anlıyoruz. Bu bağlamda, OT güvenlik açıklarının tanımlanması ve bu açıkları önlemek için alınması gereken önlemleri anlamak büyük önem taşır.
Görsel 1: Endüstriyel Kuruluşlarda Görülen Yaygın Güvenlik Zafiyetleri
OT güvenlik açıkları, bir OT sistemindeki, Ortak Zafiyetler ve Açıklar yani CVE’ler (Common Vulnerabilities and Exposures), yanlış yapılandırmalar veya bir bilgisayar korsanının bu sistemler üzerinde sınırsız erişim ve kontrol elde etmesine yol açabilecek diğer güvenlik zafiyetleri olarak tanımlanabilir. Bu tür açıklar, çoğunlukla aşağıdaki durumlar nedeniyle ortaya çıkar:
- Ağ Segmentasyonunun Eksikliği
OT ağlarının uygun şekilde segmentlere ayrılmaması, bir saldırganın ağın bir bölümüne girmesi durumunda, diğer tüm alanlarda yanal hareket etmesine olanak tanır. Bu da ağın güvenlik bariyerlerinin zayıf olmasına ve geniş çaplı saldırılara yol açabilir. Hatta bazı kritik sistemlerde Mikro-Segmentasyon yapılarak daha da güvenli hale getirilebilir. Nitekim 2017 yılında gerçekleşen NotPetya[1] saldırısı, ağ segmentasyonunun eksikliği nedeniyle büyük zarara yol açtı. Saldırganlar, ilk olarak hedef ağın bir kısmına sızdı ve segmentasyon eksikliği sayesinde ağın diğer alanlarına hızla yayıldılar. Eğer ağ düzgün bir şekilde segmentlere ayrılmış olsaydı, saldırganların yanal hareketleri engellenebilirdi. - Eski Yazılım ve Cihazlar
Kritik altyapı sektörlerinde, eski ve yeni cihazların karışık bir şekilde kullanılması yaygındır. Eski cihazlar genellikle desteklenmeyen yazılımlar kullanır ve bu durum, CVE’ler gibi güvenlik açıklarının ortaya çıkmasına neden olur. Güncellemeler ve yamaların düzenli yapılmaması, bu açıkları siber saldırganlar için kolay hedefler haline getirir. 2015 yılında Ukrayna Elektrik Şebekesi[2] saldırısında, eski yazılımlar ve cihazlar kullanıldığı için saldırganlar bu açıkları kolayca buldu. Eski SCADA sistemleri, siber saldırganların sisteme girmesine olanak sağladı. Sonuç olarak, Ukrayna’daki yaklaşık 230.000 kişi elektriksiz kaldı. - Güvenli Erişim Denetiminin Eksikliği
OT sistemlerine, özellikle uzaktan erişim sağlayan personel, bakım teknisyenleri ve üçüncü taraf hizmet sağlayıcıları tarafından yapılan erişimler, denetlenmediği, izlenmediği veya güvence altına alınmadığı takdirde, kötü niyetli kişiler tarafından yetkisiz erişim için kullanılabilir. Uzaktan erişim noktaları, siber saldırganlar için önemli bir giriş kapısı oluşturur. - Zayıf Parola Güvenliği
Kolayca tahmin edilebilen parolalar veya aynı parolaların farklı platformlarda tekrar kullanılması, siber saldırganların OT sistemlerine girmesini kolaylaştırır. Zayıf parola hijyeni, potansiyel ihlalleri artırır ve bu ihlallerin erken tespiti ile mücadeleyi zorlaştırır. Kullanıcı oturumlarının izlenmemesi durumunda, bu tür ihlallerin fark edilmesi ve hızlıca engellenmesi daha da güçleşir. 2021 yılında, Colonial Pipeline[3] saldırısında, zayıf güvenlik önlemleri ve kimlik doğrulama eksiklikleri, saldırganların sisteme girmesine olanak tanıdı. Saldırganlar, bir çalışan hesabının eski ve zayıf bir parolasını kullanarak, şirketin ağlarına sızdılar ve geniş çaplı bir siber saldırı başlattılar. Saldırı sonucunda, ABD’nin en büyük petrol boru hattı geçici olarak kapanmış ve ülke çapında yakıt sıkıntısı yaşanmıştır. Bu tür saldırılar, güçlü parola güvenliği ve iki faktörlü kimlik doğrulamanın önemini bir kez daha gözler önüne sermektedir.
Yukarıda bahsedilen güvenlik açıkları, mali kayıplar, üretim kesintileri, çevresel zararlar ve insan sağlığına yönelik ciddi tehditler gibi çok çeşitli sonuçlara yol açabilir. Bu sebeple, her OT sisteminin benzersiz güvenlik açıklarına sahip olduğunu kabul etmek ve her bir sistemin ihtiyacı olan özel güvenlik önlemleriyle korunması gerektiğini anlamak kritik öneme sahiptir.
Ekiplerin hangi güvenlik açıklarına öncelik vereceğini belirlemeden önce, bu açıkların ne olduğunu net bir şekilde tanımlamaları gerekmektedir. Bu süreç, OT ağınızdaki tüm varlıkların kapsamlı, ayrıntılı ve güncel bir envanterinin çıkarılmasıyla başlar. Ardından, her bir OT varlığının detaylarını, en son CVE’ler ve diğer güvenlik açıkları veritabanlarıyla ilişkilendirerek, bu sistemlerdeki potansiyel tehditleri belirlemek gerekir.
Bu veritabanı, yalnızca CVE’leri içermekle kalmamalı, aynı zamanda savunmasız protokoller, yanlış yapılandırmalar ve benzeri diğer güvenlik zafiyetlerini de kapsamalıdır. Bu şekilde, kuruluşlar, güvenlik açıklarını doğru bir şekilde tespit edebilir ve bu zafiyetlere karşı etkili bir savunma oluşturabilir. Ancak, tüm bu veriler bir araya getirildikten sonra, en önemli zorluk güvenlik açığı yönetiminin etkin bir şekilde uygulanması ve güçlü bir genel OT güvenlik stratejisinin oluşturulmasıdır.
Kaynaklar
[1] https://www.sipa.columbia.edu/sites/default/files/2022-11/NotPetya%20Final.pdf
[2] https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2016/05/20081514/E-ISAC_SANS_Ukraine_DUC_5.pdf
[3] https://www.techtarget.com/whatis/feature/Colonial-Pipeline-hack-explained-Everything-you-need-to-know
Leave a comment