Sektörden Haberler

Kuruluşunuzun Endüstriyel Güvenli Uzaktan Erişimini Önceliklendirme

08 Temmuz 2023

Geçmişte operasyonel görevler müşteri sitelerini ziyaret ederek yapılırken, günümüzde, maliyet ve zaman verimliliği nedeniyle, OT ortamına uzaktan erişim tercih edilmektedir. Elbette uzaktan erişim yeni bir yöntem değildir, ancak tüm uzaktan erişimin güvenli ve güvende olduğundan emin olmanın da bir gereklilik haline gelmesi artık endüstriyel işletmeler için evrensel bir gereklilik haline gelmiştir. Neyse ki, OT ortamlarının benzersiz karmaşıklıklarını ve karşılaştıkları tehditleri ele almak için sürekli gelişen teknolojiler bulunmaktadır, ancak tüm endüstriyel kuruluşlar daha fazla güvenlik sağlamak için mevcut uzaktan erişim olgunluk seviyelerini bilmelidir.

Endüstriyel Güvenli Uzaktan Erişim Nedir?

Endüstriyel Güvenli Uzaktan Erişim genellikle kullanıcıların herhangi bir konumdan, herhangi bir zamanda IT ve OT varlıklarına bağlanmalarını sağlamak için tipik olarak bir dizi farklı güvenlik stratejisi kullanır. Çözümler, başlangıçta, dijital IT varlıklarına bağlantı sağlamak için tasarlanırken, OT varlıkları kurumsal LAN'lardan tecrit edilmiş ve hava boşluğu bırakılmıştır. OT ağları İnternet bağlantısı ve uzaktan hizmetleri benimsemeye başladığında, genellikle şirketlerin başka yerlerinde zaten kullanılmakta olan IT tipi çözümler uygulanmaktadır. Bugüne kadar, çok sayıda endüstriyel işletme hala IT için tasarlanmış ve bu nedenle OT/ICS operasyonlarının, yönetiminin ve güvenliğinin özel ihtiyaçlarına göre ayarlanmamış çözümlere güvenmektedir. Neyse ki günümüzün siber güvenlik pazarı, endüstriyel ağlar için özel olarak üretilmiş bir dizi I-SRA (Industrial Secure Remote Access)  çözümü sunmaktadır.

OT ortamları için tasarlanmış uzaktan erişim çözümlerine sahip olmak neden önemlidir?

Çünkü, siber saldırı yöntemleri her geçen gün gelişmekte ve gelişen tehdit ortamına ayak uyduramayan uzaktan erişim uygulamalarının güvenlik açıklarını bulma ve bunlardan yararlanma konusunda çok daha sofistike hale gelmektedir. Uzaktan erişim uygulamalarının tüm endüstriyel tesislerde veya tüm dış bağlantılar için aynı olmadığına dikkat etmek de önemlidir. Sonuç olarak, endüstriyel kuruluş paydaşları I-SRA çözümleri olgunluk spektrumundaki mevcut konumlarının farkında olmalıdırlar.

Endüstriyel Güvenli Uzaktan Erişim ile ilişkili riskler nelerdir?

Uzaktan bağlantılar, güvence altına alınması, izlenmesi ve yönetilmesi gereken kendi tehdit vektörlerini oluşturur. Uzaktan erişimi etkileyen yaygın sorunlar arasında şunlar bulunur:

1.Açık kapılar

Kurum içi çalışan ve tedarikçilerden gelen kişiler, OT varlıklarını harici bir konumdan çalıştırmak için açık bir erişim portuna ve hatta paylaşılan bir şifreye sahip olabilir. Temel kimlik doğrulama ve çok az izleme ile birleştiğinde veya hiç izleme olmadığında, işletmeyi içeriden kötüye kullanımlara ve dış saldırılara karşı açık ve savunmasız bırakır.

2.Arka kapılar

İzleme ve yönetim yeteneklerinden yoksun olan ilk uygulamalar, boşlukları ve arka kapıları kamuya açık bırakmalarıyla ünlüdür. Uzak bağlantıların faaliyetlerin durdurulmasının ardından derhal hizmet dışı bırakılmaması ve bazen süresiz olarak açık bırakılarak bir saldırıya izin verilmesi buna bir örnek olarak verilebilir.

3.Farklı protokollerin kullanımı

Uzak hizmetler, erişim noktaları ve metodolojiler çeşitli erişim ve iletişim protokolleri kullanır. Entegre olmayan bir teknoloji karışımı kullanıldığında, tek tip bir politika uygulamak veya tüm uzak bağlantıları yeterince güvence altına almak neredeyse imkansızdır.

4.Gizliliği ihlal edilmiş kimlik bilgileri

Geçerli kullanıcı kimlik bilgileri (zayıf veya güçlü) mühendisler ve çalışanlar tarafından başkalarıyla paylaşılırsa veya saldırganlar tarafından ele geçirilirse,  saldırganlar OT/ICS operasyonlarına doğrudan erişebilir. Çok fazla güven ve çok az kimlik doğrulama, OT ağlarını sızmaya karşı savunmasız bırakır.

5.Bir saldırı vektörü olarak uzaktan erişim

MITRE ATT&CK bilgi tabanına göre, saldırganların uzaktan yöntemler kullanarak erişim elde etmek için kullandığı çeşitli yolları vardır. Genellikle, herkese açık uygulamalardaki ve uzak hizmetlerdeki yazılım açıklarından ve yeterli korumaya sahip olmayan internet erişimli cihazların açıklıklarından faydalanırlar. Geçerli kimlik bilgilerini ele geçirdikten sonra, bunları serbestçe kullanarak kullanıcıları ve sistemleri taklit ederler. Oldsmar Su Arıtma Tesisi'nde yaşandığı gibi, saldırganlar içeriye girdikten sonra, OT varlıkları ve ağ segmentleri arasında hareket etmek için tıpkı yetkili operatörler ve satıcıların yaptığı gibi uzaktan hizmetlerden yararlanabilirler.

Endüstriyel işletmeler için güvenli mimariler

Birçok sanayi kuruluşu, OT/IT ağları arasındaki ayrım seviyelerini belirlemek ve OT/ IT sistemleri arasındaki güvenli veri akışlarını yöneten karşılıklı ilişkileri oluşturmak için Purdue Modelini kullanır. DMZ (demilitarized zone -askerden arındırılmış bölge) de dahil olmak üzere ağ segmentasyonu Purdue Modelinin ayrılmaz bir parçasıdır. Birçok sanayi kuruluşu OT/IT ağlarını ve uzaktan erişimlerini farklı derecelerde bu mimari model üzerine inşa etmiş ve işletmektedir.


Şekil 1: ICS Ağ Segmentasyonu için Purdue Modeli

 

 

Endüstriyel Güvenli Uzaktan Erişim yöntemleri nelerdir?


Endüstriyel güvenli uzaktan erişim yöntemleri, iki temel kategoriye ayrılır: Doğrudan Erişim ve I-DMZ üzerinden dolaylı çok adımlı erişim. I-DMZ aracılığıyla uzaktan erişim, daha güvenli bir yöntem olup, kuruluşlar tarafından belirli ölçüde uygulanmıştır. Bununla birlikte, birçok endüstriyel ortam, çeşitli nedenlerle hala doğrudan erişim yöntemlerini kullanmaya devam etmektedir.

 

Doğrudan Erişim (I-DMZ'yi atlar)

            Doğrudan Uzaktan Erişim üç temel yöntem kullanır:

1.Özel İnternet İletişim Dongle'ı genellikle sahada bırakılan ve bir sonraki ihtiyaç olduğunda kullanılmak üzere hazır bulunan bir cihazdır. İnternet iletişimi için özel olarak tasarlanmış bir dongledır.

2.Kullanıcıların istemci yazılımı aracılığıyla ağa eriştiği uzak masaüstü yardımcı programıdır.

3.Bu doğrudan erişim uygulamaları, erişimi mümkün kılmak için portu dışarıya açık kalacak şekilde tasarlanmış olan HTTPS veya SSH gibi protokolleri kullanır. Bu uygulamalar, güvenli erişimi sağlamak için firewall, router, switch ve belirli kontrol sistem cihazları üzerinden geçer.

 

I-DMZ üzerinden çok adımlı erişim

Hem içerden hem de dışarıdan güvenli uzaktan erişim, bu amaç için çeşitli özel erişim sistemleri ve protokolleri barındıran I-DMZ'den geçer. Bazı örnekler şunlardır:

*Atlama sunucuları

*Proxy sunucuları

*VPN Tunelleme /RDP/SSH sunucuları

*İnternet uygulamasına doğrudan erişim

*Hiçbir şeye güvenme (Zero trust security)

Yazılım tabanlı güvenli uzaktan erişim

Mevcut I-SRA pozisyonunun ve istenen hedefin değerlendirilmesi

Kritik endüstriyel ortamlara yönelik endüstriyel güvenli uzaktan erişim uygulamanın birden fazla yolu bulunmaktadır. Bu yöntemlerden bazıları diğerlerine göre daha olgun ve güvenilir olmasına karşın, bazılarının da uygulanması daha pahalıdır. Endüstriyel işletmeler Siber riski azaltmak için, mevcut I-SRA pozisyonlarını, mevcut pazar çözümleri ve içinde olmak istedikleri I-SRA pozisyonunu periyodik olarak değerlendirmelidir. Bu nedenle sanayi kuruluşlarının olgunluk ölçeğinde nerede durduklarını ve endüstriyel güvenli uzaktan erişim stratejilerini geliştirmeleri gerekip gerekmediğini bilmeleri çok önemlidir.

TPR ile mevcut olgunluk seviyenizi belirleyin

TPR modeli, endüstriyel güvenli uzaktan erişim raporunu kullanarak kuruluşunuzun olgunluk düzeyini belirlemenize yardımcı olabilir. Bu model, gelişen I-SRA ortamını dikkate alır ve her kuruluşa uyacak şekilde özelleştirilebilir. Rapor, bütçe, karmaşıklık ve yol haritaları gibi faktörleri göz önünde bulundurarak, I-SRA hedeflerinizi ilerletmek için adımlar sunar.

Rapor, yukarıda bahsedilen I-SRA çözümlerinin daha detaylı bir analizini sunmanın yanı sıra her birinin olgunluk seviyesini de açıklamaktadır. Doğru tedarikçi seçimlerini yapmanın ne kadar önemli olduğunun farkında olmakla, tedarikçilerden beklentilerin belirlenmesi konusunda rehberlik sunulmaktadır.

Rapor kuruluşunuzun Endüstriyel Güvenli Uzaktan Erişim için bir sonraki adımı atmasına yardımcı olacaktır.