Sektörden Haberler

Kritik Altyapı Güvenliği için CISA ve NSA Rehberliği Ne Anlama Gelmektedir?

25 Ağustos 2023

Siber Güvenlik Altyapısı Güvenlik Ajansı (CISA) ve Ulusal Güvenlik Ajansı (NSA) yakın zamanda Kimlik ve Erişim Yönetimi ve Yöneticiler için Önerilen En İyi Uygulamalar  adlı yeni ve önemli bir belge oluşturmak için iş birliği yapmıştır. Kalıcı Güvenlik Çerçevesinin (ESF) bir parçası olan bu belge, NIST standartlarına dayalı olarak CISA tarafından bugüne kadar ortaya konan kimlik erişim yönetimi (IAM) ve siber güvenlik rehberliğinin bir özetini sunmaktadır. Bu belge bilgi güvenliği ve risk yönetimi (ISRM) yöneticisi için özel olarak paketlenmiş olup, özel sektörü hedef almaktadır.

Kritik Altyapıları Koruma İhtiyacı

Kritik altyapı ve hizmetler genellikle siber saldırıların ana hedefleridir . İster Koloni Boru Hattı tedarik zinciri saldırısı olsun, ister Florida şehrinin su kaynağını hackleme ve zehirleme girişimi olsun, ister Ukrayna'nın elektrik şebekesini hedef almak olsun, kamu yaşamını ve güvenliğini kitlesel olarak kesintiye uğratmaya çalışan kötü niyetli aktörlerin sayısı çok fazladır ve her geçen gün artmaktadır. Bu saldırılar, yalnızca insanlığın bağlı olduğu en hassas bilgilerin, süreçlerin ve sistemlerin değil, aynı zamanda dünya çapında milyonlarca insanın dijital yaşamlarının da güvence altına alınmasının yadsınamaz ihtiyacını ortaya koymaktadır.

Özel sektördeki en iyi siber güvenlik rehberliğini acilen sağlamlaştırmaya yönelik bu hamle memnuniyetle karşılandı. NIST tavsiyelerinin geçmiş özel standartlar ve yönergelerde nasıl benimsendiğine dayanarak, daha geniş düzenleyici sektörün bu belgeyi fiili bir yürüyüş emirleri dizisi olarak görmesi beklenebilir.

ESF (Kalıcı Güvenlik Çerçevesi) Rehberine İlişkin En Önemli Çıkarımlar ve Yorumlar

Genel olarak, son ESF kılavuzu, ortak siber güvenlik tanımlarını eğitmeyi ve sağlamlaştırmayı, mevcut tehditlere ışık tutmayı, önemli terimleri tanımlamayı ve oyun alanında nasıl güvende kalınacağını özetlemeyi amaçlamaktadır. İşte öne çıkan bazı önemli alanlar:

Kural 1: OT Sistemlerinin koruması unutulmamalı. Kılavuz, BT endüstrisindeki en iyi IAM uygulamalarını standartlaştırma ve normalleştirme çabalarından dolayı büyük beğeni toplamaktadır. Ancak enerji, üretim ve operasyonel teknolojiye (OT) odaklanan diğer kuruluşlar için kritik olan bazı alanlarda daha fazla açıklamaya ihtiyaç vardır. Belgede ağ segmentasyonu, çok faktörlü kimlik doğrulama (MFA) ve kimlik yaşam döngüsü yönetiminden bahsedilirken, yalnızca BT altyapısı perspektifine odaklanma gibi ortak bir hataya düşülmektedir.

Bu alanların imalat ve enerji sektörleri açısından yenilenmesi gerekmektedir. Bu belgenin gelecekteki revizyonlarının, OT alanının ihtiyaçlarına ve zorluklarına özel ek ayrıntılar ekleyeceği ve bu sistemleri tehditlerden korumanın ve sorumlu bir şekilde azaltmanın önemini açıkça vurgulayacağı ümit edilmektedir.

Kural 2: OT ağ segmentasyonuna daha fazla dikkat edilmesi gerekmekte. Ağ segmentasyonundan, yalnızca üstünkörü bir kontrol listesi öğesi olarak bahsedilmektedir. Gelecek sürümlerin, ağ tasarımı ve tek yönlü trafik akışı ihtiyacı ile yankılanan sistem günlüğü ve telemetri raporlaması ile OT alanı için temel kontroller kullanılması ve ağ izolasyonu ihtiyacını dahil etme konusunun daha da genişlemesinin verimli olacağı düşünülmektedir. Bunlar ve diğer OT'ye özgü tasarım hususları, daha büyük BT uygulamaları tarafından sıklıkla gözden kaçırılmaktadır. Kritik altyapımızı gerçekten güçlendirmek için bu araç ve tekniklerin daha sık vurgulanması gerekmektedir.

Kural 3: Kimlik yaşam döngüsü yönetimi programlarına önem verilmeli. Çoğu zaman “birleşenler, hareket edenler ve ayrılanlar" olarak anılan kimlik yaşam döngüsü yönetimi, daha fazla genişleme ve rehberlik gerektirebilecek başka bir alandır. Araçlar olgunlaştıkça daha ayrıntılı erişim atanabilir. Pek çok sektörde sıfır güven (zero trust) uygulamalarının benimsenmesiyle, gerçek öznitelik tabanlı erişim kontrolleri yapma yeteneği her geçen gün daha da ulaşılabilir hale gelmektedir. Bu, olgun kimlik yönetimi uygulamalarının yanı sıra, yalnızca kullanıcı dizinlerinin verimli bir şekilde muhafaza edilip, sunabileceği gerekli meta verilerin sağlanmasını da gerektirmektedir.

Paylaşılan hesaplar, özellikle de kimlik bilgileri yüksek olanlar, birçok temel erişim yönetimi kontrolünü ihlal eder. Ne yazık ki sistemlerin yaşı veya konfigürasyon sınırlamaları nedeniyle OT alanında sıklıkla gereklidirler. Güçlü bir yaşam döngüsü programı sağlamak için kullanıcıların, bu paylaşılan hesaplara erişim elde etme konusunda yüksek güvence gereksinimlerini karşılayan, kimlik avına karşı güçlü kimlik doğrulama yöntemlerine ihtiyacı vardır. Bu, FIDO2/şifre veya PIV/akıllı kart gibi güçlü tanımlama yöntemlerine (CISA tarafından önerildiği gibi) olanak tanıyan MFA teknolojilerinden yararlanmak, bu hesapların ne zaman teslim alınıp alındığına ve bu hesapların ne zaman teslim alındığına ve giriş yapıldığına ilişkin zamana dayalı raporlama da dahil olmak üzere, paylaşılan hesap kasasının kullanılması anlamına gelmektedir.

Kural 4: MFA, siber güvenlik programında kritik bir rol oynamalı. MFA, başarılı bir siber güvenlik programında merkezi bir rol oynar ve en iyi uygulamalar belgesi, yalnızca bu konuya sekiz sayfa ayırarak bunu doğrulamaktadır. Küresel en iyi uygulama, ortak/özel anahtar şifrelemesine (WebAuthn/parola veya akıllı kart/PIV gibi) dayalı modern, güvenli kimlik doğrulamadan yararlanan geçiş anahtarları, güvenlik anahtarları ve akıllı kartlar gibi kimlik avına karşı dayanıklı modern MFA çözümlerinin kullanılmasıdır.

Bunu yapmak, kapılardaki sistemleri korur ve davranışları günlükler aracılığıyla incelerken daha yüksek düzeyde kesinlik sağlar. Bu yöntemlerin kimlik avına karşı dayanıklı yapısı aynı zamanda saldırganların hem BT hem de OT ağlarında yer edinmesine olanak tanıyan en yaygın saldırıların çoğuna karşı korunmaya yardımcı olacakları anlamına da gelmektedir.

Bu Kılavuzun İşletmeler İçin Anlamı Nedir?

Sonuç olarak, modern siber tehditler, modern siber güvenlik uygulamalarını gerektirmektedir. Kritik altyapıyı güvenli ve emniyetli bir şekilde korumak için verileri, sistemleri ve tedarik zincirini korumaya mümkün olduğu kadar erken yatırım yapılmalıdır. Siber güvenliği modernleştirirken eski altyapıyı yönetmek zor olabilir, ancak duruşunuzu güçlendirirken sizi bulunduğunuz yerde karşılayan çözümlere stratejik olarak yatırım yaptığınızda, uzun vadede siber tehditlerine karşı güvende kalmanız büyük fark yaratacaktır.

 

 

Kaynak:     https://www.darkreading.com/ics-ot/what-cisa-and-nsa-esf-guidance-means-for-critical-infrastructure-security