Sektörden Haberler

OT Olay Müdahalesinde Kaçınılması Gereken 4 Büyük Hata

27 Temmuz 2023

BT Sistemlerinde işe yarayan siber güvenlik tedbirleri, operasyonların kullanılabilirliği ve güvenliğinin sürdürülmesi gereken bir operasyonel teknoloji/endüstriyel kontrol sistemleri ortamında işe yaramayabilir.

Olay müdahalesi söz konusu olduğunda, birçok kuruluş BT tarafı için yaptıkları eğitim ve hazırlığın OT /EKS ortamlarını da kapsadığını varsayarak hareket etmektedir. Pek çok benzerliği paylaşıyor gibi görünseler de OT güvenliği farklı protokoller, hedefler, analizler ve diğer güvenlik yöntemleri gerektirir. Bir BT ağında başarılı bir şekilde çalışan güvenlik tedbiri, operasyonların kullanılabilirliği ve güvenliğinin sürdürülmesi gereken bir OT/EKS ortamında olaya müdahale (IR) açısından   sorunlu olabilir.

Kuruluşlar, başarılı bir OT/EKS olay müdahale (IR) senaryosunu engelleyebilecek boşluklar ve tuzaklar arasında gezinmek için temel farklılıkları anlamalıdır. 

Kuruluşların yardıma ihtiyaç duyduğunu en yaygın alanlar şunlardır:

Önce Kapat, Sonra Soru Sor

Bir BT ortamında, sistemlere daha fazla bulaşmayı önlemek için sistemleri izole etmek veya kapatmak normal ve nispeten yaygın bir uygulamadır. Bir OT ortamında, izolasyon veya bir sistemi kapatmanın çok daha önemli ve farklı sonuçları vardır. 

Örneğin Colonial Pipeline saldırısında IT sistemlerindeki saldırıya karşılık verilmiştir. Saldırının OT sistemlerine yayılmasını önlemek için, fidye yazılımı OT seviyesine ulaşmamış olsa bile OT sistemleri de kapatılmıştır. Bu yapılan hareket, o anki güvenlik kültürlerine uygun bir davranıştı. Ancak OT sistemlerinin kapatılması sonucunda oluşan kesinti süresinin dakika başına maliyeti çok yüksektir ve yeniden çalışmaya başlaması için daha uzun süre gerektirmektedir. Tüm BT departmanın üzerinde çalıştığı bir BT sunucusu çevrimdışı hale getirilebilir ve yenisi oluşturulabilir ve yaklaşık bir gün içinde ayağa kaldırılabilir. Colonial Pipeline saldırısında, fidyenin ödenmesinden sonra boru hattının OT ağının normal operasyonlara dönmesi beş gün sürmüştür.

Saldırıyı Durdur ve İyileştirmeye Çok Erken Başla

Geleneksel olarak, bir güvenlik operasyon merkezindeki (SOC) güvenlik personeli, OT (Operasyonel Teknoloji) sistemleri hakkında detaylı bilgi sahibi değildir. OT ekipmanları veri transferine çok daha hassastır. SOC ekibi üyeleri, OT sistemlerinde bir olay olup olmadığına dair bir uyarı alabilirler ve zafiyet taraması yapmaya hemen geçerlerse, sistemi kolayca aşırı yükleyerek hizmeti reddetme saldırısı (DOS) tarzında kendi sistemlerini işlevsiz hale getirebilirler. Bu da verimlilikte büyük bir kayba yol açabilir. Ayrıca OT mühendislerinin gelip sistemi yeniden düzenlemesi gerekeceğinden, zaten stresli bir dönemde gereksiz ekstra sorun ve hayal kırıklığı kaynağı olabilir.

Nihai Sorumluluk Konusunda Uyum Eksikliği

BT ve OT ekipleri çok ayrı yapıda olduğundan, hiç kimse günlük bir bakış açısıyla OT'den sorumlu değildir. Şirketteki tüm BT sistemlerinin güvenliğinden bir SOC sorumluysa buna OT sistemleri de dahil midir? OT sistemleri BT sistemleri değildir, dolayısıyla hayır denilebilir. OT sistemlerinin BT varlıkları var, peki bunlar dahil midir? Bunlar OT varlıkları mı yoksa BT varlıkları mıdır? İşletme açısından bakıldığında, sorumluluk anından itibaren bir problem vardır. Sahada OT varlıklarıyla ilgili bilgisi veya deneyimi olmayan BT uzmanları ve güvenlik zihniyeti veya siber risk anlayışı olmayan OT uzmanları bulunmaktadır. Her iki grupta sorumluluğun kendinde olmadığı öne sürmektedir.

Karşı Tarafın Neyi Başarmaya Çalıştığını Yanlış Anlamak

Bir müşteri tarafından anlatılan bir hikâye, bu noktayı mükemmel bir şekilde özetlemektedir. SOC'lerinin, OT sistemlerindeki bir şeyi düzeltmeleri veya değiştirmeleri için OT mühendislerine güvenlik raporları gönderdiğinde, OT uzmanlarının bu raporu hemen çöp kutusuna attıklarını belirtmiştir. Bunun OT veya BT tarafındaki anlayış eksikliğinden kaynaklanıp kaynaklanmadığı belirsizdir. Ancak ekipler arasındaki iletişimin yetersizliği ve sorumluluk alınmayışı aşikardır.

Peki kuruluşlar bu zorlukların üstesinden nasıl gelebilir? 

İletişim ve uzlaşma, güven oluşturmak için çok önemlidir. Bir OT sisteminde ne olması gerektiğini dikte eden güvenlik uzmanları yerine, ağın güvenliğinin sürdürmesine izin verirken, OT hedeflerini çok fazla engellemeyen, tavizlerde bulunmak için OT uzmanlarıyla birlikte çalışan güvenlik uzmanları olmalıdır. Ortak güvenlik hedefleri doğrultusunda çalışmak için her iki grubu proaktif olarak bir araya getirmek hayati önem taşımaktadır.

CISO'lar ve güvenlik yöneticileri, gerçek hayattaki bir olay müdahale olayı sırasında hem BT hem de OT disiplinlerinden siber güvenlik ve olay müdahale ekiplerinin nasıl birlikte çalışacağını simüle eden yapılandırılmış eğitim programları uygulayabilir. Her iki taraftan da doğru kişileri doğru koltuklara oturtarak ve ortak bir öğrenme yolu oluşturarak, gruplar arasında iletişim ve işbirliği geliştirilmiş olur. Kritik altyapıya yönelik saldırıları birlikte tespit etme, yanıtlama ve düzeltme konusunda ne kadar çok pratik yapabilirlerse, gerçek hayatta birlikte nasıl çalışacaklarını o kadar iyi anlayabilirler. 

Günün sonunda ikisinin amacı kuruluşu ve çalışanlarını endüstriyel siber saldırılardan korumaktır.