OT için Sıfır Güven Nedir?
OT (operasyonel teknoloji) için Sıfır Güven, endüstriyel ağlarda zımni güveni ortadan kaldıran bir güvenlik mimarisidir; bu mimari, herhangi bir operasyonel sisteme veya fiziksel sürece erişim izni verilmeden önce her kullanıcı, cihaz ve veri aktarımının kimlik, bağlam ve risk temelinde sürekli olarak doğrulanmasını gerektirir. BT’den farklı olarak, OT Sıfır Güven, modern güvenlik aracı programlarını çalıştıramayan eski ekipmanların yanı sıra kesintisiz operasyonları ve güvenlik sistemlerini aksatmadan çalışmalıdır.
Beş ABD devlet kurumu: CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), Savunma Bakanlığı, Enerji Bakanlığı, FBI ve Dışişleri Bakanlığı, endüstriyel siber güvenlik konusunda bugüne kadarki en yetkili bildiriyi yayınladı: Operasyonel Teknolojiye Sıfır Güven İlkelerinin Uyarlanması. Mesaj son derece net. Sıfır Güven artık sadece BT ortamlarına özgü bir çerçeve değil. Artık enerji şebekelerinden su arıtma tesislerine ve devlet kurumlarına kadar OT sistemleri kullanan her kuruluş için beklenen güvenlik yaklaşımıdır.
Eğer bu yazıyı okuyan bir OT güvenlik lideriyseniz, asıl soru Zero Trust'ın doğru yön olup olmadığı değildir. Asıl mesele, devletin zorunlu kıldığı uyumluluk ve denetim gereklilikleri ile, on yıllardır kullanılan ekipmanlara sahip, kadro sıkıntısı çeken bir tesis ve bu konuda ne yaptığınızı soran yönetim kurulu arasındaki uçurumu nasıl kapatacağınızla ilgilidir. Bu yazı şu sorulara yanıt veriyor: CISA kılavuzunun her bir temel unsurda tam olarak neyi gerektirdiği ve OPSWAT platformunun bu unsurların her birine nasıl karşılık geldiği.
Kılavuzda, her OT Sıfır Güven programının ele alması gereken üç temel unsur belirtilmektedir: kapsamlı varlık görünürlüğü, sağlam IAM (kimlik ve erişim yönetimi) ve proaktif tedarik zinciri risk yönetimi. Ayrıca, aciliyet yaratan saldırganlar da belirtilmektedir — CISA’nın, kalıcılık sağlamak ve etkinleştirilmeyi beklemek üzere OT ağlarının içine önceden yerleştiğini gözlemlediği Volt Typhoon gibi devlet destekli gruplar.
OT'de Sıfır Güven Yaklaşımı Neden BT'den Temelden Farklıdır?
OT ve IT arasında Sıfır Güven yaklaşımı açısından ne gibi farklar vardır?
BT alanında Sıfır Güven, yazılımlar aracılığıyla uygulanır — kimlik sağlayıcılar, uç nokta aracıları ve saatler içinde güncellenebilen erişim politikaları. OT ortamları, doğrudan BT yaklaşımlarını uygulanamaz kılan kısıtlamalar altında çalışır: modern kimlik doğrulama aracılarını çalıştıramayan 20 yıllık ömrü olan eski PLC'ler (Programlanabilir Mantık Denetleyicileri), bir keşif paketinin planlanmamış bir kapatmaya neden olabileceği katı çalışma süresi gereksinimleri ve BT'nin sahip olmadığı siber güvenlik ile fiziksel güvenlik arasındaki doğrudan bağlantı.
CISA kılavuzu bu kısıtlamalar konusunda açık sözlüdür. Eskiyen endüstriyel altyapıda Sıfır Güven modelini uygulamaya koymak yıllar sürer ve önemli miktarda yatırım gerektirir. Bu zorluk gerçektir.
Kılavuzun açıkça ortaya koyduğu nokta, tehdit ortamının bu planların olgunlaşmasını beklemediğidir. OT sistemleri, BT ağlarıyla giderek daha fazla birbirine bağlanıp uzaktan izlenir hale geldikçe, geleneksel “hava boşluğu” varsayımı artık geçerliliğini yitirmektedir. Saldırganlar buna çoktan uyum sağlamıştır. Kuruluşların bugün uyguladığı önlemler — kademeli olanlar bile — uzun vadeli dönüşüm süreci devam ederken saldırı yüzeyinin ne kadarının açıkta kalacağını belirlemektedir. Asıl soru, bu sürece başlanıp başlanmayacağı değil; nereden başlanacağıdır.
CISA'nın kılavuzu, OT alanında Sıfır Güven yaklaşımı için üç öncelik belirlemektedir: kapsamlı varlık görünürlüğü, sağlam kimlik ve erişim yönetimi ile proaktif tedarik zinciri risk yönetimi. Kılavuzda ayrıca, bu kontrollerin ortadan kaldırmayı amaçladığı güvenlik açıklarından halihazırda yararlanmakta olan belirli tehdit aktörleri — Volt Typhoon ve devlet destekli gruplar — de özellikle belirtilmektedir.
OPSWAT platformu tam da bu amaçla geliştirilmiştir. Tek bir cihaza dokunmadan pasif OT varlık tespiti. Uzaktan saldırıların büyük bir kısmını fiziksel olarak imkansız kılan Hardware izolasyon. Her dosya aktarım noktasında (ağ, USB, veri aktarımı) uygulanan Deep CDR™ Teknolojisi. Herhangi bir bağlantının kontrol sistemine ulaşmasından önce oturum düzeyinde kimlik ve erişim denetimi.
1. Sütun — Varlık Görünürlüğü: Göremediğiniz Şeyi Koruyamazsınız
OT güvenliğinde varlık görünürlüğü ne anlama gelir?
OT ortamlarında varlık görünürlüğü, hassas kontrol sistemlerini bozabilecek trafik oluşturmayan pasif izleme yöntemleri kullanılarak, endüstriyel ağdaki her cihazın (eski nesil PLC'ler, RTU'lar (Uzaktan Terminal Üniteleri) ve HMI'lar (İnsan-Makine Arayüzleri) dahil) yanı sıra donanım yazılımı sürümleri ve protokollerinin de yer aldığı eksiksiz ve sürekli güncellenen bir envanterin tutulması anlamına gelir.
Çoğu OT güvenlik programının en büyük ve henüz giderilmemiş eksikliği işte bu noktada yatmaktadır; bunun nedenleri ise organizasyonel değil, mimari niteliktedir. Industrial , BT ortamlarından temelde farklı bir cihaz yapısı etrafında kurulmuştur. Tipik bir OT ağı, PLC'ler, RTU'lar, DCS denetleyicileri, sensörler, röleler, HMI'lar, mühendislik iş istasyonları ve giderek artan bir IIoT cihaz katmanını içerir; bunların her biri, tasarlandığı protokolde iletişim kurar: Modbus, EtherNet/IP, DNP3, PROFINET, OPC-UA ve düzinelerce özel varyant. Standart BT keşif araçları bu protokolleri çözümleyemez. Modbus işlev kodunun anlamını anlamaz, DNP3 veri nesnesini yorumlayamaz ve EtherNet/IP örtük mesaj alışverişinde normal ve anormal davranışları ayırt edecek bir modele sahip değildir. Bu araçlar OT cihazlarıyla karşılaştıklarında, ya eksik veriler döndürürler ya da alıcı cihazın işleyemediği beklenmedik trafik oluştururlar.
Bu ikinci sonuç varsayımsal değildir. OT ortamlarında yapılan aktif taramalar, üretim tesislerinde plan dışı süreç kesintilerine ve cihazların kilitlenmesine neden olmuştur. Bu nedenle CISA kılavuzu, OT varlıklarının tespitinde uygun yöntem olarak pasif izlemeyi önermektedir ve bu öneri, kesintisiz çalışma süresi gerekliliklerinin katı olduğu ortamlarda tartışmaya açık değildir. Ağ TAP'leri veya SPAN bağlantı noktaları aracılığıyla uygulanan pasif toplama, hassas kontrol sistemlerini bozabilecek sorgular eklemeden trafiği dinler. İzlenen ağdaki tek bir cihaza bile dokunmadan, neyin iletişim kurduğunu, nasıl iletişim kurduğunu ve normal durumun neye benzediğini gözlemler.
Bu yaklaşımın çözmesi gereken kapsama sorunu, OT iletişim modellerinin doğası nedeniyle daha da karmaşık hale gelmektedir. Birçok cihaz yalnızca belirli operasyonel olaylar sırasında iletişim kurar: Bir PLC yalnızca üretim döngüsü sırasında veri iletebilir, bir röle yalnızca arıza durumunda durum bilgisi verebilir, bir saha sensörü ise uzun sessiz aralıklarla ayrılmış aralıklı yoğun veri trafiği gösterebilir. Operasyonel modların tamamını dikkate almayan bir izleme penceresi, eksik bir envanter oluşturacaktır — ve bu envanterde eksik olan varlıklar, tam da korunamayan, bölümlere ayrılamayan veya izlenemeyen varlıklardır. SANS 2025 ICS/OT Siber Güvenlik Durumu verilerine göre, varlık görünürlüğü endüstriyel kuruluşlar için en önemli güvenlik yatırımı önceliği olmaya devam etmektedir, ancak her 8 kuruluştan 1'inden azı, ilk ağ erişiminden fiziksel süreçler üzerindeki potansiyel etkiye kadar ortamlarında tam görünürlük sağladığını bildirmektedir. Bu uçurum bir finansman sorunu değildir. Bu bir metodoloji sorunudur.
Volt Typhoon tam da bu açığı kullanıyor. Grubun belgelenmiş yaklaşımı, OT ortamlarında kalıcı erişim sağlamak için meşru protokoller, yetkili yollar ve standart yönetim araçlarını kullanarak normal ağ faaliyetlerinin arasına karışmayı içeriyor. Ağda neler olup bittiğine ve normal davranışların neye benzediğine dair tam bir görünürlük olmadan, bu teknikler fiilen fark edilemez hale geliyor.
OPSWAT OT güvenlik platformu MetaDefender Security™, pasif varlık keşfi ve derinlemesine OT protokol analizi ile bu sorunu çözmektedir. Platform, ağ trafiğini oluşturmak yerine onu dinleyerek, izlenen cihazlara dokunmadan eksiksiz bir varlık envanteri ve davranışsal referans noktası oluşturur; buna ek olarak, tek bir OT tabanlı arayüzde güvenlik açığı ve yama yönetimi ile uyumluluk raporlaması da sunar. Anormal oturumlar, beklenmedik cihaz iletişimleri ve yetkisiz protokol etkileşimleri, operasyonel bir etkiye dönüşmeden önce tespit edilebilir hale gelir.
2. Sütun — Kimlik ve Erişim: Meşru Erişim, Yeni Saldırı Vektörüdür
OT Zero Trust'ta kimlik ve erişim konusunda en büyük zorluklar nelerdir?
OT alanında IAM ile ilgili en büyük zorluk, saldırganların yazılım açıklarından ziyade giderek daha fazla meşru erişim yollarını — geçerli kimlik bilgileri, yetkili uzaktan oturumlar ve standart mühendislik araçları — kullanmasıdır. FBI ve CISA’nın yakın zamanda yayınladığı ortak bir uyarıda bahsedilen İran bağlantılı aktörler, standart endüstriyel iletişim bağlantı noktalarını kullanarak internete açık PLC’lere bağlanmış ve yetkili operatörlermiş gibi kontrol sistemleriyle etkileşime girmiştir.
OT ortamlarında en yaygın olarak kullanılan uzaktan erişim çözümü olan VPN, yapılandırma kaynaklı değil, yapısal bir risk türü yaratmaktadır. VPN’ler, Purdue Modeli’nin hiyerarşik izolasyonunu bozan doğrudan ağ düzeyinde bir bağlantı kurarak, üçüncü taraf tedarikçileri, ayrıntılı oturum kontrolü ve en az ayrıcalık ilkesini uygulayacak bir mekanizma bulunmayan kontrol ağı segmentlerine dahil etmektedir. Bu tünelin satıcı tarafında bulunan herhangi bir güvenliği ihlal edilmiş veya güvenli cihaz, üretim sistemlerine doğrudan bir ağ yolu elde eder. Yerel kimlik doğrulama özelliği olmayan eski OT uç noktaları için bu risk daha da artar. Bu cihazlar erişim olaylarını kaydedemez, oturum ilkelerini uygulayamaz ve yetkisiz bağlantıları sonlandıramaz. Mevcut olan herhangi bir uygulama, tamamen cihazın yukarısında yer almalıdır, aksi takdirde hiç yoktur. OPSWAT OT ağları için endüstriyel güvenlik duvarı olan MetaDefender Industrial , segmentasyon sorununu doğrudan ele alır; satıcı oturumu ağın içinde olsa bile bölge tabanlı segmentasyonu uygular ve yanal hareketi kontrol eder.
CISA kılavuzu, bu sorunun çözülmemesinin sonuçlarını somut bir şekilde ortaya koyuyor. Devlete bağlı tehdit aktörleri, yazılım açıklarını kullanarak değil, yetkili bir operatörün yapacağı gibi basitçe bağlanarak, standart endüstriyel iletişim bağlantı noktalarını kullanarak internete açık PLC’lere erişmiş ve bunları çalıştırmışlardır. Kimlik bilgileri doğru görünüyordu. Protokoller beklendiği gibiydi. Erişim katmanında oturumun meşruiyetini değerlendirecek hiçbir mekanizma bulunmadığı için, oturumla ilgili herhangi bir uyarı sinyali verilmedi.
MetaDefender OT Access , herhangi bir bağlantı bir OT varlığına ulaşmadan önce oturum düzeyinde Sıfır GüvenOT Access . İster şirket içi bir mühendis, ister planlanmış bir OEM bakım aralığı, ister ilk kez bağlanan bir üçüncü taraf yüklenici olsun, her uzaktan oturum ayrı ayrı kimlik doğrulamasından geçirilir, gerekli minimum erişim kapsamına sınırlandırılır, süre sınırlamasına tabi tutulur ve tam olarak günlüğe kaydedilir. Oturumlar kaydedilir, sürekli izlenir ve davranış beklenen parametrelerin dışına çıkarsa gerçek zamanlı olarak sonlandırılabilir. Belirli bir oturumun açıkça gerektirdiği dışında, kalıcı ağ erişimi, kalıcı tünel veya varlıklara giden yol yoktur. Modern kimlik doğrulamaya katılamayan eski cihazlar için ise MetaDefender OT Access , bağlantı yönetimi katmanında uygulamayıOT Access , böylece cihazın kendi yeteneklerinden bağımsız olarak kontrol sağlanır.
3. Sütun — Supply Chain Fiziksel Giriş: Her Dosya Aktarımı Bir Risk Olayıdır
Tedarik zinciri risk yönetimi, OT ortamları için ne anlama geliyor?
İşletim Sistemlerinde (OS), tedarik zinciri riski hem dijital hem de fiziksel aktarım olaylarını kapsar: ağlar üzerinden dağıtılan yazılım güncellemeleri, işyerine getirilen tedarikçi dizüstü bilgisayarları, USB yüklenen USB ve BT departmanından hava boşluklu kontrol ağlarına aktarılan mühendislik dosyaları. Bunların her biri, sistemlere kötü amaçlı içerik girmesine yol açabilecek potansiyel bir riski temsil eder; bu içerik, bir kez sisteme sızdığında fiziksel süreçleri doğrudan etkileyebilir.
Herhangi bir yazılım bileşeni OT sınırına ulaşmadan önce, bütünlüğü zaten teyit edilmiş olmalıdır. MetaDefender Software Chain™, aktarım zincirinin BT tarafında bu sorunu ele alır: tedarikçiler tarafından sağlanan mühendislik araçlarını, ürün yazılımı paketlerini ve endüstriyel yazılım güncellemelerini SBOM verileriyle karşılaştırarak doğrular, bileşenlerin aktarım sırasında tahrif edilmediğini teyit eder ve bilinmeyen bileşenleri aktarım izni verilmeden önce ortaya çıkarır. Bir dosya Kiosk noktasına veya MFT iş akışına ulaştığında, IT katmanındaki bütünlük kontrolünden çoktan geçmiştir. Dolayısıyla sınır kontrolleri, hiç alınmamış bir kararı telafi etmek yerine, zaten alınmış bir kararı pekiştirmektedir.
Bu, ağ tabanlı denetimlerin tam olarak ele alamadığı saldırı yüzeyidir — ancak bir tedarikçi sisteme girdiğinde ağ katmanındaki denetimler yine de kritik bir rol oynar. MetaDefender Industrial Firewall , her tedarikçi oturumunun gerçek endüstriyel protokol yükünü incelemek için hayatiFirewall . Üçüncü taraf bir bağlantı yetkilendirilmiş olsa bile, güvenlik duvarı komutların o oturum için beklenen işlev kodları ve değer aralıkları içinde kaldığını doğrular — böylece güvenliği ihlal edilmiş bir tedarikçi aracından veya tahrif edilmiş bir güncellemeden gelen kötü niyetli komutları gerçek zamanlı olarak engeller. Ayrıca, sıkı iletişim yolları uygular: bir tedarikçiye bağlı cihaz, yalnızca kapsamına dahil edilen belirli sistemlere erişebilir ve OT bölgeleri arasında yatay olarak hareket etmeden önce tedarik zincirindeki herhangi bir güvenliği ihlalini içerir. Ve tedarikçinin yamasının henüz gönderilmediği OT bileşenlerindeki bilinen CVE'ler için — ki OT'de bu genellikle aylar sürer — Industrial Firewall , ağ düzeyinde sanal yamalarFirewall ve cihaza dokunmadan istismarı engeller.
OPSWAT çıkarılabilir medya güvenlik çözümü olan MetaDefender , her türlü çıkarılabilir medyayı güvenli bölgeye girmeden önce durdurur ve inceler. Her dosya, 30'dan fazla kötü amaçlı yazılım önleme motoru Multiscanning Metascan™ Multiscanning ile taranır, yürütme öncesi sıfırıncı gün algılaması için Predictive Alin AI tarafından değerlendirilir ve dosyayı güvenli olduğu bilinen bir duruma yeniden yapılandıran Deep CDR™ Teknolojisi ile işlenir. Böylece, teknisyenlerin işlerini yapmak için ihtiyaç duydukları meşru içerik korunurken, gömülü tehditler ortadan kaldırılır. OPSWAT çıkarılabilir medya tarama uygulama çözümü olan MetaDefender Media Firewall, bu uygulamayı uç nokta düzeyinde USB genişletir. Tesisin neresinde olursa olsun, yalnızca MetaDefender Kiosk tarafından önceden taranmış ve onaylanmış çıkarılabilir medyanın korumalı bir iş istasyonunaKiosk donanım tabanlı bir doğrulama uygular. OPSWAT gelişmiş uç nokta koruma çözümü olan MetaDefender , çıkarılabilir medya cihazlarındaki dosyaların önce MetaDefender Kiosk tarafından taranıp işlenip işlenmediğini doğrulamak için kritik uç noktalara dağıtılır. Bu, yalnızca doğrulanmış dosyaların uç nokta tarafından açılabilmesini, kopyalanabilmesini veya erişilebilmesini sağlar ve yetkisiz veya taranmamış dosyaların kritik ortamlara ulaşmasını engeller.
Ağ bölgeleri arasında gerçekleşen aktarımlar için — örneğin BT’den OT’ye veya bulut bağlantılı sistemlerden izole kontrol ortamlarına — OPSWAT veri diyot çözümü olan MetaDefender Diode™, donanım tarafından zorunlu kılınan tek yönlü veri akışı sağlar. Bu, izleme ve raporlama amacıyla OT ağından BT sistemlerine, analiz platformlarına veya bulut altyapısına akan tarihsel veriler, sensör telemetrisi ve proses verileri gibi operasyonel verileri kapsar. Hiçbir gelen komut, bağlantı isteği, yazılım güncellemesi veya yük, sınırı ters yönde geçemez. Güvenlik garantisi, doğru yapılandırmaya, düzenli olarak yamalanmış yazılıma veya erişim kimlik bilgilerinin bütünlüğüne bağlı değildir, çünkü bu yazılım katmanı faktörlerinin hiçbiri donanım kısıtlamasını geçersiz kılacak bir yola sahip değildir. Yükseltilemeyen, uç nokta ajanlarını çalıştıramayan ve güvenlik kaynaklı kesintileri tolere edemeyen eski kontrol sistemlerini işleten kuruluşlar için, bu mimari, CISA kılavuzu ve daha geniş endüstriyel güvenlik topluluğunun uygun teknik çözüm olarak üzerinde uzlaştığı mimaridir.
MetaDefender File Transfer™ (MFT), operasyonel dosyaları bölgeler arasında tam denetim, denetim günlüğü ve iş akışı kontrolü ile aktarmak zorunda olan kuruluşların yapılandırılmış aktarım gereksinimlerini karşılar. Her aktarım işleminde içerik doğrulamasını zorunlu kılarak, dosya aktarım yolunun kendisinin izlenmeyen bir giriş noktası haline gelmemesini sağlar.
Her sınır, politika ile korunamaz. Bazıları fiziksel önlemler gerektirir. Etki Alanları Arası Çözümler (CDS), OT ve IT ağları arasında donanım düzeyinde sınırlar oluşturur; bu sınırlarda, yazılımın yanlış yapılandırılması, çalınan kimlik bilgileri veya sıfırıncı gün saldırıları gibi durumlar, dışarıdan gelen bir erişim yolu açamaz. MetaDefender Optical Diode MetaDefender Security Gateway™, her ikisi de Common Criteria EAL4+ sertifikalıdır ve [NERC CIP, IEC 62443, NRC 5.71, NIST 800-82 ve ISO 27001](opswat) ile uyumluluğu destekler — enerji, nükleer, kimya ve savunma alanlarındaki kritik altyapıyı yöneten tüm çerçeveler.
OPSWAT CISA Sıfır Güven OT Çerçevesi ile OPSWAT
CISA kılavuzu, NIST CSF (Siber Güvenlik Çerçevesi) 2.0 işlevleriyle (Yönetme, Tanımlama, Koruma, Algılama, Müdahale, Kurtarma) uyumludur. Aşağıdaki tabloda, her bir gereklilik ilgili OPSWAT ile eşleştirilmiştir:
CISA ZT OT Gerekliliği | OPSWAT | NIST CSF 2.0 İşlevi |
Pasif OT varlık envanteri | MetaDefender OT Security | Belirlemek |
OT davranışsal temel değer belirleme ve anomali tespiti | MetaDefender OT Security | Algıla |
IT/OT sınırı izleme | MetaDefender OT Security | Algıla |
HMI / mühendislik iş istasyonunda Endpoint | MetaDefender Endpoint | Algıla |
LOTL tekniği tespiti | MetaDefender Endpoint MetaDefender OT Security | Algıla |
OT ağ bölgesi segmentasyonu | MetaDefender Industrial Firewall | Koruyun |
Ayrıntılı protokol denetimlerine dayalı mikro segmentasyon | MetaDefender Industrial Firewall | Koruyun |
Yama uygulanmamış eski sistemler için sanal yama | MetaDefender Industrial Firewall | Koruyun |
Olayın kontrol altına alınması sırasında yumuşak segmentasyon | MetaDefender Industrial Firewall | Yanıtla |
Hardware tek yönlü veri akışı | MetaDefender Optical Diode | Koruyun |
Secure erişim — Çok faktörlü kimlik doğrulama (MFA), JIT, en az ayrıcalık ilkesi | MetaDefender OT Access | Koruyun |
Ayrıcalıklı Erişim Yönetimi (PAM) | MetaDefender OT Access | Koruyun |
Üçüncü taraf / tedarikçi erişim kontrolü | MetaDefender OT Access | Yönetmek |
Kapsama sırasında mantıksal erişim kısıtlaması | MetaDefender OT Access MetaDefender Industrial Firewall | Yanıtla |
Çıkarılabilir veri taşıyıcılarının incelenmesi ve temizlenmesi | MetaDefender Kiosk | Koruyun |
Geçici siber varlık koruması | MetaDefender Drive | Koruyun |
Uç noktada USB denetimi | MetaDefender Media Firewall MetaDefender Endpoint | Koruyun |
Satıcı oturumları için Industrial komut doğrulaması | MetaDefender Industrial Firewall | Koruyun |
Sistemde yanal hareket kısıtlaması | MetaDefender Industrial Firewall | Koruyun |
OT'de Sıfır Güven, satın alabileceğiniz bir ürün değildir. CISA kılavuzu bu konuda nettir: araçlar ve teknolojiler gereklidir, ancak tek başlarına yeterli değildir. Kuruluşların ihtiyacı olan şey, kullanılabilirlik, güvenlik ve uyumluluğun tartışmaya açık olmadığı ortamlar için oluşturulmuş bir platformdur. OPSWAT MetaDefender™ Platformu, ilk erişimin başladığı gelen kutusundan kritik sistemlere yönelik komutların son bulduğu donanımla uygulanan sınıra kadar, CISA'nın tüm kapsamı boyunca bu mimariyi sunar.
Yukarıdaki tabloda da görüldüğü gibi, OPSWAT tek bir platformda NIST CSF 2.0’ın altı işlevinin tamamında CISA ile uyumlu her kontrol kategorisini OPSWAT — bu kapsam, OT alanında faaliyet gösteren hiçbir özel tedarikçinin ulaşamadığı bir düzeydedir. OT ortamınızın CISA Sıfır Güven çerçevesine göre ne durumda olduğunu değerlendirmeye hazır mısınız?
Sıkça Sorulan Sorular
CISA Sıfır Güven OT Kılavuzu nedir?
CISA tarafından Savunma Bakanlığı, Enerji Bakanlığı, Dışişleri Bakanlığı ve FBI ile birlikte Nisan 2026'da yayınlanan "Sıfır Güven İlkelerinin Operasyonel Teknolojiye Uyarlanması" kılavuzu, Sıfır Güven güvenlik mimarisinin endüstriyel ve OT ortamlarına uygulanması için bir çerçeve sunmaktadır. Kılavuz, varlık görünürlüğü, kimlik ve erişim yönetimi ile tedarik zinciri risk yönetimi olmak üzere üç temel unsuru belirlemekte ve NIST CSF 2.0 çerçevesiyle uyumlu bir yapı sergilemektedir.
Zero Trust, yama uygulanamayan eski OT sistemleri için de geçerli midir?
Evet — ve CISA kılavuzu bu sorunu özellikle ele almaktadır. Modern kimlik doğrulama veya uç nokta ajanlarını destekleyemeyen eski sistemler için telafi edici denetimler geçerlidir: cihaza müdahale etmeyen pasif izleme, donanımla uygulanan ağ izolasyonu ve yazılım güvenliğinin ulaşamadığı noktalarda kötü amaçlı yazılım girişini önleyen sıkı fiziksel ortam denetimleri.
E-posta güvenliği, OT Zero Trust ile nasıl bir ilişki içindedir?
E-posta, kimlik bilgilerinin çalınması ve nihayetinde OT ortamlarına ulaşan ilk erişim için başlıca araçtır. Uzaktan erişim ve VPN sistemlerini besleyen kimlik katmanını ele almayan bir OT Sıfır Güven mimarisinde temel bir eksiklik söz konusudur. Kimlik bilgilerinin kimlik avı yoluyla ele geçirilmesini önlemek, OT Sıfır Güven zincirindeki ilk uygulama noktasıdır.
Hangi düzenlemeler OT için Sıfır Güven denetimlerini zorunlu kılıyor?
CISA kılavuzu, NIST CSF 2.0 ile uyumludur ve NIST SP 800-82 Rev. 3’e atıfta bulunur. Belirli OT kontrollerini zorunlu kılan veya şiddetle tavsiye eden ilgili çerçeveler arasında NERC CIP (enerji sektörü), NRC RG 5.71 (nükleer), IEC 62443 (endüstriyel kontrol sistemleri) ve NIS2 (AB çapında) yer almaktadır. Bu çerçevelerin birçoğu, yüksek güvenlikli bölgeler için donanımla uygulanan tek yönlü ağ geçitlerine özel olarak atıfta bulunmaktadır.
Bir kuruluş, Sıfır Güven OT uygulamasını nereden başlatmalıdır?
CISA, varlık görünürlüğüyle başlanmasını önermektedir — envanterini çıkarmadığınız varlıklara erişim politikaları uygulayamaz veya Sıfır Güven ilkelerini uygulayamazsınız. Operasyonları kesintiye uğratmadan bir referans noktası oluşturan pasif OT ağ izleme, en düşük riskli ilk adımdır ve diğer tüm kontrol önlemlerinin dayandığı temeldir.
Volt Typhoon nedir ve OT güvenliği açısından neden önemlidir?
Volt Typhoon, CISA’nın ABD’nin kritik altyapı OT ağları içinde önceden konumlandığını tespit ettiği, Çin Halk Cumhuriyeti devlet destekli bir tehdit grubudur. Grup, kalıcı erişimi sürdürmek için yazılım açıklarından ziyade meşru kimlik bilgileri, yetkili erişim yolları ve standart yönetim araçlarını kullanmaktadır. Grubun belgelenmiş yöntemleri, CISA'nın Zero Trust OT kılavuzunun varlık görünürlüğünü, davranışsal temel belirlemeyi ve oturum düzeyinde erişim uygulamasını vurgulamasının temel nedenidir: geleneksel çevre ve imza tabanlı kontroller, meşru operatör davranışından ayırt edilemeyen faaliyetleri tespit edemez.
Veri diyotu ile tek yönlü güvenlik ağ geçidi arasındaki fark nedir?
Her ikisi de ağ bölgeleri arasında donanım düzeyinde tek yönlü veri akışını sağlar. Veri diyotu, fiziksel olarak yalnızca tek yönlü iletimi mümkün kılan temel optik donanım bileşenidir. Tek yönlü güvenlik ağ geçidi ise veri diyotu etrafında oluşturulmuş eksiksiz bir sistemdir; bu sistem, protokol çevirisi, uygulama katmanı çoğaltma ve yönetim yazılımı özelliklerini de içerir. Böylece operasyonel veriler (tarihsel veriler, sensör telemetrisi), gelen veri yolunu açığa çıkarmadan OT’den IT’ye güvenli bir şekilde aktarılabilir. OPSWAT MetaDefender Optical Diode MetaDefender Unidirectional Security Gateway , her ikisi de Common Criteria EAL4+Unidirectional Security Gateway .
Zero Trust OT uygulamasının tamamlanması ne kadar sürer?
CISA kılavuzunda, eskiyen endüstriyel altyapılarda Zero Trust uygulamasının hayata geçirilmesinin yıllar süren bir süreç olduğu ve önemli miktarda yatırım gerektirdiği açıkça belirtilmektedir. Kılavuzda, harekete geçmek için tam bir dönüşümün gerçekleşmesini beklememek tavsiye edilmektedir; en yüksek riskli giriş noktalarında (uzaktan erişim, çıkarılabilir ortamlar, BT/OT sınırındaki dosya aktarımları) kademeli olarak uygulanan kontroller, aylar içinde saldırı yüzeyini önemli ölçüde azaltırken, daha uzun vadeli mimari çalışmalar da paralel olarak devam eder.
