Yeni nesil bağlı Endüstriyel IoT (IIoT) cihazları, işletmelerin daha akıllı operasyonel teknolojisi (OT) için internetin gücünden yararlanmasına yardımcı oluyor. Programlanabilir lojik kontrolörler (PLC’ler), imalat ve robotik için endüstriyel elektromekanik süreçleri kontrol etmek ve yaygın olarak çevrimiçi olmak üzere yaygın olarak kullanılmaktadır. Şehirlerde, bir dizi kritik hizmet için verimliliği ve üretkenliği artırmak için bağlantılı OT çözümlerinden yararlanır.
Bu kentsel OT çözümleri, bağlantılı ulaşım ve altyapı teknolojilerinin yanı sıra kuruluşların toplumun giderek artan mobil kültürel ve ekonomik ortamına ayak uydurmasını sağlıyor. Bu nedenle, IIoT cihazlarını içeren OT çözümleri, modern ticari otomasyon çözümlerinin, iş operasyonlarının ve kritik altyapının belkemiği haline geldi.
Ancak bu cihazların hızlı yükselişi onları ve (yardımcı olmak için tasarladıkları işletmeleri) savunmasız bıraktı. Ponemon Enstitüsü tarafından yapılan bir 2019 araştırmasında, su ve elektrik gibi kritik yardımcı programların yürütülmesinde yer alan OT’nin giderek “ciddi” hasara neden olabilecek siber saldırılarla hedeflendiğini buldu.
Daha önce, kontrol sistemleri belirli işlevlere sahipti ve çoğu zaman diğer sistemlere bağlı değildi, bu da saldırıları daha az olası ve daha zor hale getirdi. Ancak, şirketler ağları kontrol etmek, işlemleri izlemek ve verimliliği artırmak için sensörler ve gömülü cihazlar ekliyor. Bu sistemler, veri aktarımını kolaylaştırmak için kurumsal iç teknoloji sistemlerine giderek daha fazla bağlanmaktadır.
Ağ izleme ve diğer güvenlik uygulamalarının aygıtlardaki güvenliği yönetmek için düzenlenmemiş veya yerinde olması nedeniyle sorunlar ortaya çıkar. Örneğin Stuxnet, uranyum izotoplarını izole etmek için tasarlanmış nükleer santrallerdeki santrifüjleri, cihazları hedeflemek için geliştirilmiştir. Stuxnet, belirli güvenlik önlemleri tarafından tespit edilmeyecek korumalara sahip bir solucandır ve santrifüjleri aramak ve santrifüjlerin parçalanmasına neden olacak döngüleri tekrarlamak için bunları yeniden programlamak üzere tasarlanmıştır.
IIoT cihazları ayrıca genellikle IP ağlarıyla yerel entegrasyona sahiptir. Bu yetenek operasyonel görevleri kolaylaştırır ama aynı zamanda bağlı olan her şeyin artık daha savunmasız hale geldiği anlamına gelir. Standart IT cihazları gibi, küresel siber tehditlere karşı savunmasız “yumuşak hedefler” olarak kalırlar.
Ancak sadece OT sistemlerinde IIoT cihazlarından yararlanılmıyor: Windows bilgisayarları ve ağları da saldırı altında. Tarihsel olarak siber saldırılar, veri hırsızlığı için bilgisayarlar ve mobil cihazlar gibi ticari operasyonları mümkün kılan IT varlıklarını hedeflemiştir. Bununla birlikte, bir OT sisteminde güç ileten veya dağıtan makineler, ağlar ve sistemler gibi IT cihazlarına yönelik yeni saldırılar, kritik altyapıyı çalıştıran kontrol sistemlerini ele geçirerek fiziksel hasara ve yaygın kesintilere neden olabilir.
OT sistemlerinde IIoT ve IT cihazlarına sahip kuruluşlar maruziyeti değerlendirmeli ve anomalileri hızlı bir şekilde tespit etme ve araştırma yeteneklerinin yanı sıra saldırılara yanıt verme ve hafifletme yeteneklerini en üst düzeye çıkarmalıdır. Bununla birlikte, özellikle IIoT ve IT aygıtları doğal olarak farklı olduğundan, aygıt güvenliği sağlamak zor olabilir.
IIoT cihazları ayrıca güvenlik yönetim araçlarıyla entegre olacak şekilde tasarlanmamıştır. Cihaz riskinin sınırlamalarını ve fırsatlarını anlamak, bir şirketin uzun vadeli uygulanabilirliğini artırmaya yardımcı olmak için çok önemlidir.
OT Çözüm Güvenliğinin Zorlukları
Herhangi bir problemde olduğu gibi, bir alanda ele alındığında zorlukların önlenmesi zorlaşır. Ancak, geleneksel olarak, OT ve IT güvenliği, bütünsel bir yaklaşımdan ziyade, kendi içlerinde ele alınmıştır.
Örneğin, hava boşluğu, eski OT sistemlerinin güvenliğini artırmaya çalışmak için yaygın bir tekniktir ve operasyonel bütünlük ve kontrol için sınırlı güvence sağlar. Hava boşluğu gibi teknikler bir aralık boşluğu güvenlik önlemi sağlarken, çeşitli mimariler modern operasyonel komut ve kontrol için eski OT’yi internete bağlamaya izin verir. Özellikle, sanayi sitelerinin% 40’ının kamuya açık internete en az bir doğrudan bağlantısı vardır ve bu da kırılganlıklarını arttırmaktadır.
Bağlı OT çözümleri, şirketlere önemli ölçüde zarar verebilecek yapısal güvenlik zorlukları ve zorlukları taşır. Ayrıca, OT sistemlerindeki cihazlar güvenlik yönetimi için entegre bir kapasiteye sahip değildir. Şirketlerin risklere bakışı olmadan, şirketlerin hızlı tehdit tespiti ve uygun müdahale için önemli bir işletme kabiliyeti yoktur.
Ancak cihazları verimli ve etkili bir şekilde izlemek bir umut değildir. OT ortamlarındaki cihazlar genellikle insan eylemi olmadan çalışır ve belirli bir şekilde ‘davranış’ yapacak şekilde modellenmiştir. Bu programlama, algoritmaların ‘davranış’ olarak yeniden yorumlanabileceği ve güvenlik izleme yeteneklerini ve SIEM entegrasyonunu artırmak için kullanıcı varlığı davranış analitiğinin (UEBA) konuşlandırılabileceği anlamına gelir.
Davranışsal Analitik Adres Cihazı Nasıl Risklenir
Bağlı OT sistemleri ve büyük veri yaşı için eski tehdit algılama çözümleri tasarlanmamıştır. Güvenlik ekiplerinin statik korelasyon kurallarını sürdürmek için saatler dökmelerini ve ortaya çıkan yeni tehditleri tespit etmelerinin istenildiğini düşünelim. Analistler olayların zaman çizelgesini manuel olarak oluşturmak için yeterli kanıt toplayana kadar güvenlik ve IT sistemleri arasında sorgulama ve döndürme gerektirdi. Analistler ne olduğunu anladıktan sonra, olayı içerebilecek ve müdahale edebileceklerdi. Buradaki zorluk, her OT kontrol noktasının saniyede binlerce günlük olmasa bile yüzlerce günlük oluşturması ve bu da ağdaki bir düşmanı tespit etmeyi zorlaştırmasıdır.
UEBA, zaman ve akran grubu ufkunda kullanıcıların ve varlıkların standart profillerini ve davranışlarını oluşturmak için analitik kullanarak farklı bir yaklaşım sunar. Bu standart temel çizgilere anormal olan etkinlik şüpheli olarak sunulur ve bu anormalliklere uygulanan paket analitikler tehditleri ve olası olayları keşfetmeye yardımcı olabilir. UEBA çözümleri, normal etkinliği tanımlamak için kullanıcı ve varlık profilleri için taban çizgileri oluşturur ve potansiyel güvenlik tehditleri için IIoT cihazlarından ve IT cihazlarından gelen hacimli çıktıları sistematik olarak izlemenin bir yolunu sunar.
Modern SIEM ile Entegre IT ve OT Güvenliği
Daha önce tartışıldığı gibi, hem eski hem de modern IIoT / OT / IoT çözümlerinin sınırlamaları doğal ve kalıcıdır. Ama bunun etrafında yollar var. Şirketler iş operasyonlarının güvenliğini ve bütünlüğünü sağlamak istiyorlarsa, bir “nokta çözüm” yaklaşımından kaçınmalı ve kurumsal ve IT ve OT güvenliği bakış açısı elde etmek için UEBA ile modern bir SIEM platformunu birleştiren entegre bir çözüm seçmelidirler. İzlemenin merkezileştirilmesi için bu adım, yanal hareket gibi saptanması zor teknikler de dahil olmak üzere tehditlerin daha fazla tespit edilmesine yol açabilir. SIEM, kuruluşun tüm kaynaklarından veri alıp analiz edebilir, böylece bir güvenlik operasyonları merkezi (SOC) ekibinin OT ortamlarındaki tüm cihazlarda tüm güvenlik ve görünürlük hakkında gerçek zamanlı bir görünüme sahip olmasını sağlar.
