Sektörden Haberler

OT Sistemlerine Neden Farklı Olay Müdahalesi Yapılmalıdır?

24 Ocak 2023

IT olay müdahalesi yapabilecek binlerce şirket varken, OT olay müdahalesi yapabilen şirket sayısı oldukça azdır.

Bazı IT çalışanlarına göre imkânsız olan OT olay müdahalesi hakkındaki görüşlerinde haklılık payları olsa da ilk adım bunun farklı bir yapı olduğunu kabul etmektir.

IT için ortaya konmuş olan halihazırdaki siber güvenlik çözümleri, OT ortamlarında birebir uygulanamamaktadır. Bu durum sahada yer alan mühendisler için son derece açık olsa da sıradan siber güvenlik zihniyetine sahip IT çalışanlarının büyük çoğunluğu bunun sebebini anlamakta güçlük çekmektedir. OT müdahalesinde özel beceri setlerine ihtiyaç duyulmaktadır. Standart teknikler ve acil durum karşısında sergilenen geleneksel adli yaklaşımlar işe yaramamaktadır. Gelişmiş tehditleri algılamak ve kontrol atına almak için kullanılan IT teknolojisi endüstriyel bir ortam için uygun değildir.

Bir plan hazırlamadan önce, olaylara yanıt verme yeteneği oluşturmak veya acil durum sırasında harici olaylara Müdahale (IR) ekibi kiralamak gibi, dikkate alınması gereken birçok farklılık vardır.  Bu üretim sektörünün aylarca siber saldırılarla bombardımana tutulduğu bir ülkede tehdit yönetimi danışmanlığı işi yürütürken, sahada öğrenilen bir derstir. Eğer siber güvenlik yanıt verme konseptlerine aşinaysanız, aşağıdaki bakış açılarını okumak ilk başta kulağa garip gelse de birçok yararlı bilgi sağlayacaktır.

 

Farklı Bir Etki

Maalesef ki, güvenliği ihlal edilmiş bir OT ağına yapılacak saldırı sonuçları, IT sisteminin ihlalinden çok daha kötü olabilir. Sistemin çökmesi, fiziksel öğeler üzerinde ciddi bir etkiye sahip olabilir ve güvenlik açısından çevreye zarar verebilir.

Belirli bir sektöre ve teknolojiye yönelik ara sıra hedeflenen saldırı vakaları dışında, günümüzün saldırıları genellikle IT ihlallerinin bir uzantısıdır. Stuxnet kötü amaçlı yazılımı, Sandworms kampanyası veya Ukrayna elektrik şebekesi saldırıları gibi, kritik altyapıdaki operasyonel yönleri kontrol etmeye yönelik özel bir kötü amaçlı yazılım parçasının etkileri daha yıkıcı olacaktır.

Genellikle bir hacker, güvenliği ihlal edilen etki alanının veya ana bilgisayarın OT ortamının bir parçası olduğunu zar zor fark eder. Kötü amaçlı yazılımları yayar ve bilinen teknikleri kullanarak yanal olarak hareket eder, zayıf segmentasyon ve korumadan, zayıf ve eski işletim sistemlerinden ve kötü yönetilen erişim ayrıcalıklarından kolayca yararlanır.

 

Farklı Görünürlük Seviyesi

Olaylara müdahale sırasında siber tehdit görünürlüğü, birçok geçici çözümün etkileştiricisidir. Beklenmedik bir durumda, genellikle virüs bulaşmış sistemleri izole ederek üretime geri dönülmesiyle riskler kontrol edilmektedir.

Görünürlük ve siber tehditleri tespit etme yeteneği, siber güvenlik olgunluğuna sahip bir ortamın kalıcı olarak uyguladığı durumdur. OT sistemleri anormallikler için izlenmelidir. Yeni veya bilinen kötü amaçlı faaliyetler (kötü amaçlı yazılımlar, fidye yazılımları, mevcut veya yeni bir uzlaşmanın diğer biçimleri, yanal bir hareket vb.) ICS/SCADA ortamındaki iletişim ve protokollerinden ayrıştırılarak tespit edilmelidir. Bu, AI (Yapay zeka) öğrenimine ve anormallik tespiti için K-CLUSTERING’e dayanan endüstriyel güvenlik sistemleri tarafından kullanılan ilkedir.

 

Farklı Tehditler ve Farklı Araçlar

OT ortamına yönelik tehditler, IT ortamındakilerden farklıdır. Riskler çok daha yüksektir ve başarılı bir çözümün sonuçları çok daha önemlidir. Ortamların kendileri, çoğunlukla IT ortamlarında uzun süredir devam eden eski güvenlik açıklarıyla doludur.

OT ortamları, normal bilgisayarlar gibi donanımların yanı sıra, PLC'ler ve HMI'lar gibi birçok özel ekipmanlar kullanmaktadır. Bu tür ekipmanlardaki derleme araçları da farklılık gösterir. Bir PLC'den derleme, örneğin snap7 kütüphanesi ile yapılabilir, ancak PLC'lerdeki 'kod bloklarını' yakalamak ve analiz etmek için özel derleme araçlarının geliştirilmesini gerektirir. PLC'den kurtarılan bloklar, değişken adları veya ne yaptıklarına veya yapmaları gerektiğine dair diğer göstergeler gibi temel ayrıntılara sahip değildir. Bu tür nesnelerin analizi ve tersine mühendisliği, IT olay müdahale ekiplerinin alışkın olduklarından tamamen farklı bir süreçtir.

 

Farklı Saldırganlar

Özellikle hedefleri söz konusu olduğunda, saldırganlar da farklıdır. 'Ölüm zincirinin' IT'den OT'ye geçmesi muhtemeldir. IT'de olduğu gibi, saldırganlar basit veya karmaşık saldırılarda bulunabilir.

OT Sistemlerde yetenekli olmayan bir saldırgan bile hızlı bir şekilde çok fazla hasar verebilir. OT ortamları, protokollerin olgunlaşmaması, IT bölümlerinde eski ve modası geçmiş işletim sistemlerinin kullanılması, operasyonel ortamın standart bileşenlerinde bilinen bir dizi güvenlik açığı ve güvensiz uygulamaların yaygın kullanımı nedeniyle, nispeten karmaşık olmayan saldırılara karşı genellikle daha savunmasızdır.

Yetenekli OT tehdit aktörleri, tipik bir OT ortamının karmaşıklığı göz önüne alındığında, en ulaşılabilir hedef olan kalıcı fiziksel hasara odaklanma eğilimindedir. Bir elektrik santralinin kontrolünü sağlayan uzaktan kumandası, hala gelecekte bir yerdedir, ancak ekipmanı tekrar tekrar ve hızlı bir şekilde açıp kapatarak önemli hasara neden olmak değildir.

 

Çözüm

OT siber olay müdahale, ortamınızı gerçekten anlayan ve öncü teknolojiyi kullanabilen, klasik IT olay müdahale yöntemlerine körü körüne bağlı kalmayan, bilgili ve deneyimli bir çözüm ortağıyla çalışarak yapılmalıdır. Bu, uygun araçlar, hazırlık ve koordinasyon gerektiren bir süreçtir. 

 

Kaynak: https://otifyd.com/blog/ot-incidents/