Sistematik bir dizi kimyasal, fiziksel, elektriksel ve mekanik işlemden oluşan Industrial , genellikle siber güvenlik alanındaki modern tehditlere karşı çalışmak üzere tasarlanmamış geleneksel, eski sistemlerle korunmaktadır.
Enerji üretimi ve rafineri endüstrilerinde bu süreçler, hammaddelerin büyük ölçekte enerjiye dönüştürülmesiyle ilgilidir. Petrol rafinerilerinde kullanılan çeşitli OT ekipmanlarının, mühendislik süreçlerinin sorunsuz bir şekilde işleyebilmesi için birbirleriyle iletişim kurması gerekmektedir.
İşte tam da burada kritik güvenlik açığı ortaya çıkıyor.
PLC, DCS ve SCADA gibi kontrol sistemleri genellikle kendileriyle iletişim kuran her şeyin güvenilir olduğunu varsayar. Dolayısıyla, bu sistemlerde kimlik doğrulama, şifreleme veya komutları doğrulama yeteneği bulunmayabilir.
OT sistemleri, IT sistemleriyle aynı ağa yerleştirilirse (uzaktan erişim araçları, yüklenici bağlantıları veya bakım amaçlı dizüstü bilgisayarlar), bu daha az güvenli alanlarda meydana gelen herhangi bir güvenlik ihlali, kontrol ortamına doğrudan ulaşabilir. Sonuç olarak, IT sistemlerinde başlayan bir güvenlik olayı, neredeyse hiç dirençle karşılaşmadan OT sistemlerine yatay olarak yayılabilir.
DoS/DDoS saldırıları, yanlış yapılandırılmış yazılımlar veya kötü niyetli kullanıcılar, kontrol sistemleriyle doğrudan iletişim kurabilir ve bu da proses değerlerini değiştirebilir, üretimi durdurabilir, ekipmana zarar verebilir veya güvenli olmayan çalışma koşulları yaratabilir.
OT ortamlarında kullanılabilirlik ve istikrar önceliklidir. Bu sistemlere hızlı bir şekilde yama uygulanamaz; bu da güvenlik açıklarının uzun süreler boyunca istismar edilebilir durumda kalacağı anlamına gelir. Düz bir ağda veya yetersiz şekilde bölümlere ayrılmış bir ağda, tek bir olay bu nedenle hızla yayılabilir ve birden fazla varlığı veya tesisi etkileyebilir.
Dünyanın en büyük halka açık enerji ve kimya şirketlerinden biri olan müşterimiz, maruz kaldığı risklerin farkına vararak, segmentasyon yoluyla eski sistemlerden kaynaklanan güvenlik açıklarını gidermeye karar verdi.
Uygun bir segmentasyon uygulandığında, ağlar risk ve işlevlerine göre birbirinden ayrılır. Bu sayede, kritik OT varlıklarına yalnızca sıkı bir şekilde kontrol edilen yollar üzerinden erişilebilir; iletişim ise varsayılan olarak güvenli kabul edilmez, aksine açıkça tanımlanır ve kısıtlanır.
Geleneksel BT güvenlik duvarlarının, bu sistemlerin kendine özgü iletişim protokollerini yönetmede yetersiz kaldığı görüldüğünden, kuruluş, kritik OT varlıkları ile daha az güvenli bölgeler arasında güvenli bir segmentasyon oluşturmakFirewall OPSWAT MetaDefender Industrial Firewall tercih etti.
Siber Güvenlik Ulusal Güvenlik Haline Geldiğinde
Avrupa’nın önde gelen petrol ve gaz işletmecilerinden biri olan müşterinin süreçleri, çok sayıda rafineri, açık deniz sondaj platformu ve boru hattı kontrol merkezine yayılmış altyapıya dayanıyordu.
Bu altyapı, PLC’ler, SCADA platformları ve HMI’lar gibi eski endüstriyel sistemlere büyük ölçüde bağlıydı.
Bu sistemler başlangıçta siber güvenlik için değil, güvenilirlik ve erişilebilirlik amacıyla tasarlanmıştı. Bu sistemlerde yerleşik kimlik doğrulama, şifreleme ve ayrıntılı günlük kaydı özellikleri bulunmuyordu.
Kullanılan geleneksel BT güvenlik duvarları, OT ve CPS ortamlarında kullanılan kendine özgü iletişim protokollerini yönetmede yetersiz kalmış ve sistemleri aşağıdakilere karşı savunmasız bırakmıştır:
- Gereksiz ağ trafiği ve yanal hareket riskleri
- Fidye yazılımı ve hedefli siber saldırılar için olası giriş noktaları
- Endüstriyel protokoller üzerinde ayrıntılı kontrol sağlamada karşılaşılan zorluklar
Enerji üretimi ve rafineri sektörlerinde faaliyet gösteren bir kuruluşun bu riskleri öylece göz ardı edemeyeceği açıktır: Enerji sistemlerine yönelik saldırılar kamu güvenliğini tehdit edebilir, hayati öneme sahip hizmetleri aksatabilir ve ulusal güvenliği zayıflatabilir.
Müşteri, en kötü senaryonun gerçekleşmesini beklemek yerine, OPSWAT MetaDefender Industrial Firewall devreye alarak kuruluşun karşı karşıya kaldığı riskli durumu çözmeye koyuldu.
IEC 62443 ve NIS2 Gerekliliklerini Karşılarken Industrial Dayanıklılığın Sağlanması
Şirket, kritik OT varlıkları ile daha az güvenli bölgeler arasında güvenli bir segmentasyon oluşturmakFirewall OPSWAT MetaDefender Industrial Firewall devreye aldı.
MetaDefender Industrial Firewall
OperasyonlarFirewall Industrial Firewall , kazara yapılan yanlış yapılandırmalara, kötü niyetli kötüye kullanımlara, sıfırıncı gün tehditlerine, DoS ve DDoS saldırılarına ve potansiyel olarak zararlı anomalilere karşı son savunma hattı olarak tasarlanmış, yüksek performanslı ve dayanıklı bir güvenlik duvarıdır.
Endüstriyel protokoller için derin paket incelemesi ve ilke tabanlı erişim kontrolü özellikleriyle bu güvenlik duvarı, müşterinin aşağıdakileri gerçekleştirmesini sağladı:
- PLC, SCADA ve DCS sistemlerini hedef alan siber saldırılara karşı OT/ICS varlıklarını izole edin.
- Endüstriyel protokolleri filtreleyip denetleyerek, güvenli çalışmayı sağlarken yetkisiz komutları engelleyin.
- Tarihçilerin ve mühendislik iş istasyonlarını yetkisiz erişim girişimlerine karşı koruyun.
IEC 62443 ve NIS2 Standartlarına Uyum Desteği
OperasyonFirewall Industrial Firewall sayesinde, müşteriye, Avrupa’daki temel hizmet sağlayıcıları için geçerli olan IEC 62443 ve NIS2 Direktifi gerekliliklerine uyum sağlama çabalarında da destek sağlandı.
NIS2 Direktifi | IEC 62443 |
Risk Yönetimi Uygulaması: Temel hizmetlere yönelik sistemik siber riski azaltmak amacıyla BT ve OT arasında ağ segmentasyonu sağlar. | Bölge ve Kanal Mimarisi: |
Saldırı Yüzeyinin Azaltılması: | Komut Düzeyinde Doğrulama: |
Operasyonel Dayanıklılık: | Industrial Komut Filtreleme: |
Denetime Hazır Kontroller: | Kontrol ve İletişim Bütünlüğü (SR 3.x) kullanımı: |
Yönetim Kurulu Düzeyinde Hesap Verebilirlik: | OT Varlıkları için Erişim Kontrolü Uygulaması: PLC’lere, SCADA sistemlerine ve mühendislik iş istasyonlarına erişimi kısıtlar |
Mimari Kontrol veya Segmentasyon, Operasyonel İstikrar ve Geliştirilmiş Yönetişim
MetaDefender Industrial Firewall , rafinerilerde ve boru hattı sistemlerinde oldukça yaygın olan eski veya yama uygulanamayan varlıklar için telafi edici bir kontrol sistemi işleviFirewall görür.
Firewall sayesinde müşteri artık şunları yapabilir:
- Endüstriyel protokol denetimi yoluyla kontrol cihazlarına yönelik kazara veya yetkisiz komutların verilmesini önleyin.
- Kesintileri tesis düzeyinde sınırlayarak, birbirine bağlı tesisler arasında çoklu lokasyona yayılmasını önlemek.
- Denetleyicinin kullanılabilirliğini korumak için anormal trafiği ve hatalı biçimlendirilmiş paketleri sınırlayın.
- Operasyonel riski azaltmak için güvenlik sistemlerini standart kontrol ağlarından ayırın.
- Tedarikçiler ve yükleniciler için erişim yönetiminin denetlenebilir bir şekilde uygulanmasını sağlamak.
Gelecekteki Fırsatlar
Müşterimiz, güvenli segmentasyonun, sağlam bir derinlemesine savunma stratejisini hayata geçirmenin yalnızca ilk adımı olduğunu anlamaktadır.
Yine de bu önemli bir adımdır; zira gelecekteki büyümeye yönelik hazırlıklar, kuruluşun süreçlerini güvenli bir ortamda sürdürmesini sağlar.
Müşteri artık aşağıdakileri yaparak siber güvenlik stratejisine yeni katmanlar ekleyebilir:
- Rafineri ve boru hattı vulnerability detection varlık görünürlüğü ve vulnerability detection OT Security MetaDefender Industrial Firewall MetaDefender OT Security entegrasyonu.
- MetaDefender OT Access yararlanarak OT ortamlarına güvenli uzaktan erişimOT Access .
- İçeriden gelen ve tedarik zinciri risklerini azaltmak amacıyla açık deniz platformları ve rafineri tesisleri genelinde katmanlı bir savunma stratejisi oluşturmak.
Kuruluşunuz ağını geniş ölçekte modernize etmeyi ve korumayı hedefliyorsa, MetaDefender Industrial Firewall , sorunları daha hızlı gidermenize ve operasyonlarınızı iyileştirmenize yardımcıFirewall .
OPSWAT sistemlerinizi nasıl koruyabileceğini öğrenmek için bizimle iletişime geçin.
