Sektörden Haberler

SANS’ın Düzenlediği Ankete Göre 2023'te ICS-OT Güvenlik Bütçelerinde Düşüş Olduğu Tespit Edilmiştir

10 Ekim 2023

SANS Enstitüsü tarafından yapılan bir araştırmaya göre, kuruluşların endüstriyel kontrol sistemleri (ICS) ve operasyonel teknolojileri (OT) güvenliği için ayırdıkları bütçelerin 2023 yılında bir önceki yıla göre önemli ölçüde azaldığı görülmüştür.

SANS, 2023 ICS/OT Siber Güvenlik Anketi için her kıtadan 700'den fazla kişiyle anket yaptığını ve katılımcıların enerji, BT ve devlet dahil her ölçekteki kuruluşu temsil ettiğini bildirmiştir.

ICS/OT siber güvenlik bütçeleri sorulduğunda, %21'den fazlası bütçelerinin olmadığını söylemiştir ki bu oran 2022'deki %7'lik orana göre önemli bir artışa işaret etmektedir. SANS, çeşitli aralıklardaki bütçeleri izlemekte ve bunların birçoğunun bir önceki yıla göre azaldığını görmüştür.

Kuruluşların %60'ından fazlası önümüzdeki 18 ay içinde kontrol sistemi varlıkları ve konfigürasyonlarına yönelik görünürlüğü artırmalarına yardımcı olacak ürünlere yatırım yapmayı planladıklarını, %30'u ise kontrol sistemi ağları için anomali ve saldırı tespit araçlarına yatırım yapmayı planladıklarını söyledi.

SANS, bazı tesislerin 2023 için düşük bir bütçeye sahip olsalar da ICS siber güvenlik yol haritalarına odaklanmaya devam etmeleri tavsiyesinde bulundu.

Anket ayrıca birçok durumda tehdit aktörlerinin BT sistemlerini tehlikeye attıktan sonra ICS/OT sistemlerine erişim sağlamaya devam ettiğini ortaya koymuştur. Bu, katılımcıların %38'i tarafından ilk saldırı vektörü olarak adlandırılmış ve bunu mühendislik iş istasyonları, harici uzaktan hizmetler ve istismar edilen internete açık uygulamalar izlemiştir.

Sızma testi çabaları sorulduğunda, katılımcıların yarısından fazlası Purdue Modelinin Seviye 3 ve DMZ katmanını hedeflediklerini söylemiştir. Seviye 3, üretimi yöneten özelleştirilmiş OT cihazlarını ve DMZ ise güvenlik duvarlarını, yama yönetimi sunucularını, uygulama sunucularını ve uzaktan erişim sunucularını içermektedir.

Katılımcıların %40'ından fazlası Seviye 2 (HMI ve SCADA sistemleri) ve Seviye 4'ü (kurumsal ağ) de hedeflediklerini belirtmiştir.

SANS raporunda, "Gerçek dünya senaryosunun pratik bir sızma testi, BT üzerinden ICS'ye TTP'leri taklit etmek, teste Seviye 4 gibi yerleşik bir BT dayanağıyla başlamak, ardından ICS ağı DMZ'sine veya daha düşük (Seviye 3 gibi) geleneksel işletim sistemi tabanlı HMI'lara veya mühendislik iş istasyonlarına doğru ilerlemeye çalışmak olabilir" şeklinde ifade etmiştir.

OT savunma duruşlarını iyileştirmek için tehdit istihbaratının kullanımına gelince, katılımcıların %61'i kamuya açık bilgilere ve %30'u güvenlik tedarikçisi tarafından sağlanan istihbarata güvendiklerini söylemiştir. Katılımcıların %40'ından fazlası ayrıca bilgi paylaşım ortaklıklarından, BT tehdit istihbaratından ve ICS üreticisi veya entegratörü istihbaratından da yararlandığı görülmektedir.

SANS raporu ICS/OT sistemleri için bulut hizmetlerinin kullanımını, olay müdahale uygulamalarını ve yama yönetimini de ayrıca kapsamaktadır.

 

Kaynak: https://www.securityweek.com/sans-survey-shows-drop-in-2023-ics-ot-security-budgets/