Bu karmaşık sistemler içinde hareket eden dijital veriler, bir organizasyonun mali can damarlarına dönüşen işlemleri veya hem bir şirket hem de ona bağlı olan kurumlar için kritik olan süreçlerin, makinelerin ve altyapıların çalışması için hayati olan verileri içeriyor olabilir. Bu nedenle siber güvenlik, her ağ sistemi için bir seçenek değil temel bir ilke olmak zorundadır.
Güvenli bir gelecek için ilk adım işbirliğidir. Eğer politikalar pratik değilse veya çok kısıtlayıcı ise operatörler onları ve teknik kontrolleri geçersiz kılabilir. Organizasyonun güvenlik politikasının geliştirilmesi aşamasında işbirliği, çalışanların bu politikalara uyması ihtimalini arttırır.
Güvenli bir ortam oluşturmaya yardımcı olmak için bir dizi prosedürel ve teknolojik adımın da tamamlanması gereklidir. İyi bir güvenlik programı %20 teknoloji, %80 süreç ve prosedürden oluşur. Bu süreçler ve prosedürler, şirketin çalışan politikaları ile birlikte, güvenliğin teknik olmayan kısmını oluşturur.
Güvenlik operasyon protokolünüzü gözden geçirerek zayıf yönlerinizi tanımlayabilir ve öncelik verebilir ve riskleri minimize etmek için kapsamlı bir strateji geliştirebilirsiniz. Güvenlik çözümleri zayıf yönlerin tipine, ciddiyetine ve etkisine göre değiştiği için varlık sahipleri bir derinlemesine savunma (defense-in-depth - DiD) stratejisi uygulamalıdır.
Endüstriyel varlıkların korunması, hem iç hem de dış güvenlik tehditlerine karşılık veren bir DiD güvenlik yaklaşımı gerektirir. DiD güvenlik mimarisi, tek noktadan yürütülen herhangi bir korumanın, aşılabileceğini ve muhtemelen aşılacağı fikrini temel alır. Bu yaklaşım farklı birimlerde birden çok savunma katmanı (fiziksel, elektronik ve prosedürel) kullanarak farklı risk tipleri için uygun kontroller uygular.
Örneğin çok katmanlı ağ güvenliği ile ağ halindeki varlıkları, verileri ve uç noktaları korumaya yardımcı olduğu gibi çok katmanlı fiziksel güvenlik de değeri yüksek fiziksel varlıkları korumanıza yardımcı olur. Böylece şu sonuçlar elde edilir:
Sistem güvenliği altyapı için tasarlanır ve genel ağ güvenliği içinde bir dizi katmana dönüşür
Saldırganlar tespit edilmeden birden çok güvenlik katmanını başarıyla bypass etmek ve geçmek gibi zor bir görevle karşı karşıya gelir
Bir katmandaki bir zayıflık veya eksiklik diğer güvenlik katmanlarının gücü, yetenekleri ve yeni değişkenleri ile korunur
DiD güvenliği fiziksel, ağ, bilgisayar, uygulama ve cihaz güvenliğine odaklanan beş katmanlı bir yaklaşımdır.
Fiziksel Güvenlik güvenlik görevlilerini, kapıları ve diğer fiziksel güvenlik mekanizmalarını içerir.
Ağ Güvenliği bir altyapı çerçevesidir ve güvenlik duvarı, izinsiz giriş tespit ve engelleme sistemleri (IDS/IPS) gibi çeşitli donanım elemanlarıyla ve güvenlik özellikleri etkinleştirilecek biçimde konfigüre edilmiş yönetimli anahtarlar ve yönlendiriciler gibi genel ağ ekipmanları ile donatılmalıdır. Güvenli erişim için güvenilir etki alanları oluşturmak üzere alanlar ve ağ trafiğini biçimlendirmek ve yönetmek için daha ufak yerel alan ağları (LAN’lar) kullanılır.
Endüstriyel Güvenlik için Ulusal Standartlar ve Teknoloji Enstitüsü (NIST 800-82), İç Güvenlik Departmanı (DHS INL/EXT-06-11478) ve Uluslararası Elektroteknik Komisyonu (IEC 624433 – önceden ISA99) güvenlik sorunlarına ve endüstriyel kontrol sistemlerine (ICS’ler) odaklanmaya devam etmektedir. Birçok standartta, standardın kullanıldığı özel uyarlamaya ve uygulamaya bağlı olarak kullanım farkları ve varyasyonları mevcuttur.
Ancak güvenlik söz konusu olduğunda bu standartlar içinde operasyonlarınızı güvenli kılmak için iki temel ve ortak yön vardır: Ağ bölümleme (örneğin alanlar ve devreler, bkz. illüstrasyon) ve DiD katmanlı yaklaşımı. Burada iki güvenlik stratejisini önerilir.
Bu katman içinde varlık sahipleri “En Düşük Yol Prensibi”ni takip etmelidir. En Düşük Yetki adlı IT prensibini temel alan bu yöntem, operatöre sadece kendi özel işi için gerekli olan bilgilere ve kaynaklara erişim vermek konusunda kullanıcılara yol gösterir. Bu, güvenlik sistemine erişim yollarını sınırlayarak girişi zorlaştırır.
İyi tanınan (ve yayınlanmış) yazılım zayıflıkları, saldırganların otomasyon sistemlerine erişim sağladığı yollardan biridir. Bilgisayarları güçlendirmek için kullanılan yöntemlerden bazıları:
Anti virüs yazılımı
Güvenilir uygulama listesi
Host saldırı tespit sistemleri (HIDS’ler) ve diğer uç nokta güvenlik çözümleri
Kullanılmayan uygulamaların, protokollerin ve servislerin kaldırılması
Gereksiz portların kapatılması
Üretim holündeki bilgisayarlar, HMI veya endüstriyel bilgisayarlar, virüsler ve truva atları gibi kötü amaçlı yazılım siber risklerine açıktır. Yazılım yamaları bu güçlendirme teknikleri ile birlikte kullanıldığında bilgisayar risklerini daha da azaltır. Riski azaltmak için şu ilkelere uyun:
PC’lerdeki yazılım otomatik güncelleme servislerini devre dışı bırakın
Hedef bilgisayarların uygulama, yazılım versiyonu ve yazılım revizyonu envanterini çıkarın
Yama uyumluluklarını takip etmek için tedarikçi yama nitelik servislerine abone olun ve bunları takip edin
Ürün yamalarını ve yazılım yükseltmelerini doğrudan tedarikçiden temin edin
Uygulamadan önce tüm operasyonel olmayan ve görevler açısından kritik olmayan tüm yamalara sistemde ön test uygulayın
Yama ve yükseltme uygulamalarını çizelgeleyin ve beklenmeyen olaylar için plan yapın
Uygulama güvenliği güvenlik konsepti dahilinde ICS uygulamaları sürecine işaret eder. Bu, Rol Tabanlı Erişim Kontrol Sistemi kullanarak En Düşük Kullanım ve Yetki Prensibi gibi yöntemlerle kritik süreç fonksiyonlarına erişimi kilitlemek, kullanıcı adı/parola ile oturum açma yöntemlerini ve kombinasyonlarını zorla kullandırmak gibi en iyi uygulamaları içerir.ICS uygulamaları için bu daha ayrıntılı ürünleri kullanmak, ortam için genel güvenlik duruşunu geliştirir ve karmaşık değişkenlerin azaltılmasına izin verir. Sonuç daha stabil, daha güvenli bir sistemdir.
Cihaz güçlendirme standart gömülü ürünleri daha güvenli hale getirmek için varsayılan konfigürasyonları değiştirmeyi gerektirir. Bu gömülü cihazlardan bazıları: Programlanabilir otomasyon kontrolörleri (PAC’ler), yönlendiriciler, yönetimli anahtarlar, güvenlik duvarları ve diğer gömülü cihazlardır. Bunların varsayılan güvenlikleri cihazın sınıfına ve tipine göre değişir ve bu durum belirli bir cihazı güçlendirmek için gereken çalışma miktarını değiştirir.
Doğru ürünleri ve servisleri seçmek söz konusu olduğunda bazı varlık sahipleri otomasyon tedarikçisine bir ürünün belirli bir standarda uygun olup olmadığını sorar. Güvenlik standartları önemli olsa da çoğu ürünler için değil, sistemler için geçerlidir. Ürünlerin belirli standart gerekliliklere uyması gerekebilir, ama tüm teknik spesifikasyonlara uymasının gerektiği durumlar çok nadirdir.
Önemli olan sisteme odaklanmak ve seçtiğiniz ürünlere DiD stratejisini uygulamaktır. Bu süreç, genelde ürünlerin içinde mevcut olan kurcalama engelleme özelliklerini etkinleştirmekle başlar. Fiziksel güvenlik kontrol cihazı tuşu anahtarının ayarlanması, yetkisiz erişimi engellemek için CPU kilitlerini kullanmak, okuma/yazma etiketlerini kullanmak ve ana kontrol cihazı Fonksiyon Bloklarının kullanıcı erişimine kapalı olduğundan emin olmak da bu sürece dâhildir. Bazı kontrol cihazlarında Eklenti Talimatı (Add-On Instruction - AOI) da kilitlenebilir.
Ayrıca aygıt yazılımının özgünlüğünü aygıt yazılımı dijital imzaları ile doğrulamak da önemlidir. Ek kontroller arasında altyapı ve uygulama güvenliği özelliklerini uygulamak; Microsoft Active Directory kullanmak; otomasyon cihazlarında yazılım uygulamaları, ağlar, konfigürasyonlar ve verilere bilgisayar erişimini sınırlamak için uygun güvenlik duvarı ayarlarını kullanmak; ve saldırgan tespit koruması kullanmak da buna dâhildir. Kullanıcı erişimini kontrol etmek için katman 3 Erişim Kontrol Listeleri (ACL’ler) kullanılabilir.
Comments
Post a Comment