Federal Soruşturma Bürosu (FBI) ile Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) yakın zamanda yayınladığı kılavuz, OT ortamlarına yönelik acil ve giderek artan bir tehdidi vurgulamaktadır. Ortak bir uyarı notunda, kurumlar İran bağlantılı siber aktörlerin, su ve atık su sistemleri, enerji ve devlet tesisleri dahil olmak üzere ABD’nin kritik altyapı sektörlerinde internete bağlı PLC’leri (programlanabilir mantık denetleyicileri) aktif olarak istismar ettikleri konusunda uyarıda bulundu. AA26-097A numaralı bildirim , sektördeki birçok kişinin uzun süredir şüphelendiği , ancak şimdi gerçek olaylarda gözlemlenen bir eğilimi vurgulamaktadır : Bu aktörler , endüstriyel ortamları etkilemek için artık yazılım güvenlik açıklarına veya sıfır gün istismarlarına güvenmiyor. Bunun yerine, kontrol sistemleriyle doğrudan etkileşim kurmak için meşru erişim yollarını, yerel endüstriyel protokolleri ve standart mühendislik araçlarını kullanıyorlar.
Açığa Çıkan Kontrol Yolları, Güvenlik Açıkları Değil
OT ortamları için asıl risk, yamalanmamış güvenlik açıkları değil, açıkta kalan kontrol yollarıdır. Güvenlik açıklarını tespit etme, sistemlere yama uygulama ve kötü niyetli davranışları izleme üzerine kurulu geleneksel stratejiler hâlâ önemini korumaktadır; ancak son güvenlik uyarısı şunu açıkça ortaya koymaktadır: Bir saldırgan OT ortamınıza erişebilirse, bu ortamın içinde faaliyet gösterebilir.
Gözlemlenen birçok vakada, saldırganlar 44818, 2222, 102 ve 502 gibi standart endüstriyel iletişim bağlantı noktalarını kullanarak internete açık PLC’lere doğrudan bağlanabildiler. Yaygın olarak kullanılan mühendislik yazılımlarını kullanarak bu cihazlarla geçerli oturumlar kurdular ve yetkili operatörlermiş gibi bu cihazlarla etkileşime girdiler.
"Erişilebilir" ile "güvenlik açığı bulunan" arasındaki ayrım, temel bir dönüşümdür. Artık mesele, bir sistemin sadece güvenlik açığı olup olmadığı değil, erişilebilir olup olmadığıdır. Bir kontrol sistemine ağ üzerinden erişilebiliyorsa, bu sistem çalıştırılabilir. Ve çalıştırılabiliyorsa, işleyişi bozulabilir.
Modern OT Saldırıları Nasıl Gerçekleştiriliyor?
Duyuruda açıklanan saldırı şeması oldukça basit bir yol izlemektedir:
- İlk Erişim: PLC’lerin veya OT sistemlerinin doğrudan ya da VPN’ler veya ara sunucular gibi uzaktan erişim yolları aracılığıyla harici ağlara maruz kalması
- Meşru Yollarla Etkileşim: Bu aşamadan sonra saldırganlar, cihaza bağlantı kurmak için Studio 5000 Logix Designer gibi meşru mühendislik araçlarını kullanır. Mühendislik iş istasyonlarının, satıcı araçlarının veya yerel protokollerin (örn. Modbus, EtherNet/IP) kullanımı
- Uygulama:
- Kontrol mantığının değiştirilmesi
- Proje dosyalarının yüklenmesi/indirilmesi
- Fiziksel süreçlere komutların verilmesi
- Etkisi: Operasyonel aksaklıklar, güvenlik riskleri ve olası mali kayıplar
Bu yaklaşımı etkili kılan şey, birçok geleneksel güvenlik kontrolünü atlatmasıdır. Protokol veya araç düzeyinde, algılamayı tetikleyecek doğası gereği “zararlı” hiçbir unsur bulunmamaktadır.
Geleneksel Kontroller Artık Yeterli Değil
Günümüzde çoğu OT ortamı, güvenlik duvarları, VPN'ler, segmentasyon stratejileri ve uzaktan erişim denetimlerinin bir kombinasyonuna dayanmaktadır. Bu önlemler gerekli olmakla birlikte, doğası gereği bazı sınırlamaları vardır:
- Güvenlik duvarları, doğru yapılandırma ve kural yönetimine bağlıdır; ayrıca tasarımları gereği gerekli protokollere izin verirler.
- VPN'ler ve uzaktan erişim, kimlik bilgilerinin bütünlüğüne dayanır
- Algılama/izleme sistemleri, erişim kurulduktan sonra devreye girer
CISA'nın vurguladığı senaryolarda, saldırganların bu denetimleri geleneksel anlamda atlatmalarına gerek kalmadı. Sadece halihazırda mevcut olan erişim imkânını kullandılar.
Bu nedenle, bu kılavuzda gereksiz risklerin ortadan kaldırılmasına ve ağ segmentasyonunun sıkılaştırılmasına büyük önem verilmektedir.
Segmentasyon ve Deterministik İzolasyonun Birleştirilmesi
Segmentasyon uzun zamandır önerilen bir en iyi uygulama olmuştur, ancak her segmentasyon aynı değildir.
Yazılım ve politikalar aracılığıyla uygulanan mantıksal segmentasyon, riski azaltabilir ancak tamamen ortadan kaldırmaz. Yanlış yapılandırmalar, kimlik bilgilerinin ele geçirilmesi veya dolaylı erişim yolları, BT ve OT ortamları arasında hâlâ istenmeyen bağlantılar oluşturabilir.
Yüksek riskli ortamlarda gerekli olan şey, deterministik izolasyondur.
Tek Yönlü İletişimle Saldırı Yolu Ortadan Kaldırma
Daha sağlam bir yaklaşım, dışarıdan erişim imkânını tamamen ortadan kaldırmaktır.
Veri diyotları, ağlar arasında donanım tabanlı, tek yönlü iletişimi sağlar. Bu sayede, izleme, analiz veya uyumluluk amaçlarıyla operasyonel verilerin kontrol ortamından dışarı akışı sağlanırken, herhangi bir veri, komut veya bağlantının geri akışı teknik olarak imkansız hale gelir.
CISA tarafından açıklanan saldırı modelleri bağlamında, bunun doğrudan bir etkisi vardır:
- PLC’lere uzaktan komut gönderilemiyor
- Hiçbir mühendislik aracı harici ağlardan bağlanamaz
- Kontrol ortamına hiçbir kötü amaçlı yazılım veya yetkisiz trafik giremez
Mesele, kötü niyetli faaliyetleri tespit etmek ya da engellemek değil. Mesele, bu yolu tamamen ortadan kaldırmak.
CISA’nın Tavsiyelerine Uyum Sağlama
CISA’nın risk azaltma kılavuzu üç temel önlemi vurgulamaktadır:
- OT varlıklarını doğrudan internet erişiminden uzaklaştırma
- BT ve OT ağları arasındaki ayrımı güçlendirme
- Uzaktan erişimin kısıtlanması ve denetlenmesi
Tek yönlü iletişim mimarileri, üst ağlar ele geçirilse bile kritik kontrol sistemlerine erişilememesini sağlayarak bu önerileri daha yüksek bir güvenlik seviyesinde hayata geçirir.
OT Security Yeniden Düşünmek: Savunmadan Tasarıma
AA26-097A sayılı Tavsiye Belgesi, savunma varsayımlarının, ele aldıkları tehditlerle birlikte gelişmesi gerektiğini savunmaktadır. Saldırganların artık güvenlik açıklarından yararlanmasına gerek kalmazsa, yalnızca tespit ve önlemeye odaklanmak yetersiz kalır. Öncelik, risk sınıflarının tamamını ortadan kaldıran mimari kontrollere kaydırılmalıdır. OT sistemlerini dış ağlardan erişilemez hale getirmek, bu tür bir kontrol örneğidir.
Güvenliğe Öncelik Vermek
CISA’nın son uyarısı, kuruluşların artık görmezden gelemeyeceği bir gerçeği vurgulamaktadır:
- İşyeri ortamlarında maruz kalma, risk demektir
- Saldırganlar meşru erişim ve sistemin kendi işlevlerini giderek daha fazla kullanmaya başladıkça, en etkili savunma yöntemi sadece daha iyi izleme veya daha sıkı kurallar uygulamak değil, gereksiz bağlantıların tamamen ortadan kaldırılmasıdır.
- OT ortamlarını tasarım gereği erişilemez hale getirmek artık sadece teorik bir en iyi uygulama değildir. Bu, operasyonel dayanıklılığı sağlamak için pratik bir gereklilik haline gelmektedir.
