Sıfır güven ilkelerinin operasyonel teknoloji (OT) ortamlarında nasıl uygulanacağını ayrıntılı olarak açıklayan yeni bir ortak kılavuz, ABD devlet kurumları tarafından yayımlandı ve güvenlik ve çalışma süresi gereksinimlerini karşılarken kritik altyapı sistemlerini güvence altına almaya yönelik pratik adımların ana hatlarını çizdi.
Sıfır Güven İlkelerini Operasyonel Teknolojiye Uyarlamak adlı yayın, federal ortakların yanı sıra ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) liderliğindeki çok kurumlu bir çalışma grubu tarafından geliştirildi.
Güvenlik uygulayıcıları ve OT operatörleri için tasarlanan belge, sürekli çalışmaya ve fiziksel güvenliğe öncelik veren ortamlara sıfır güven mimarilerinin getirilmesinin karmaşıklıklarını ele alıyor.
Sistem Güvenliği
Eski sistemler, sınırlı görünürlük ve katı kullanılabilirlik gereklilikleri nedeniyle geleneksel BT merkezli yaklaşımların OT'ye doğrudan uygulanamayacağını vurguluyor.
Nasıl Önlem Alınmalı?
BT OT Yakınsama Risklerinin Ele Alınması
Endüstriyel sistemler giderek daha fazla bağlantılı hale geldikçe saldırı yüzeyi genişleyerek tehdit aktörleri için yeni yollar açıldı. Raporda, rakiplerin BT'den OT ağlarına geçmek için zayıf segmentasyondan, güvenliği ihlal edilmiş kimlik bilgilerinden ve tedarik zincirindeki güvenlik açıklarından yararlandıkları belirtiliyor.
Diğerlerinin yanı sıra CrashOverride ve BlackEnergy gibi kötü amaçlı yazılım aileleri, fiziksel süreçleri bozma yeteneğini gösterirken, arazide yaşama (LOTL) teknikleri saldırganların normal operasyonlara karışmasına olanak tanır.
Detaylar ve Etkileri
Bu gelişmeler çevreye dayalı savunmaları yetersiz hale getirerek, uzlaşmayı varsayan ve erişimi sürekli olarak doğrulayan sıfır güven modellerine doğru bir yönelime yol açtı.
OT siber güvenlik riskleri hakkında daha fazlasını okuyun: BT ve OT Eşit Değildir. BT Başarısız Olabilir. Fazla mesainiz Yapılamaz
Uzmanların Görüşleri
Kılavuz, OT'deki siber olayların hizmet kesintisi, ekipman hasarı ve güvenlik tehlikeleri dahil olmak üzere gerçek dünyada sonuçlara yol açabileceğini vurguluyor. Sonuç olarak, risk değerlendirmeleri savunmalara öncelik verirken hem dijital hem de fiziksel etkileri dikkate almalıdır.
Gelecekte Ne Bekleniyor?
OT'de Sıfır Güven İçin Temel İlkeler
Ajanslar tek bir çözüm önermek yerine operasyonel ortamlara göre uyarlanmış katmanlı bir yaklaşımın ana hatlarını çiziyor. Temel öneriler şunları içerir:
Pasif izlemeyi kullanarak kapsamlı varlık envanterleri oluşturun
Teknik Analiz
Yanal hareketi sınırlamak için ağ bölümlendirmesini ve mikro bölümlendirmeyi zorunlu kılın
Eski sistemlere uyarlanmış kimlik ve erişim kontrollerini uygulayın
Atlama ana bilgisayarları ve çok faktörlü kimlik doğrulama (MFA) aracılığıyla güvenli uzaktan erişim
Sonuç ve Değerlendirme
Tedarik zinciri risk yönetimini satın alma kararlarına entegre edin
Belge aynı zamanda koruma ile operasyonel sürekliliği dengelemek için BT, OT ve güvenlik ekipleri arasındaki işbirliğinin önemini de vurguluyor.
Güvenliği Operasyonel Kısıtlamalarla Dengelemek
Önemli Gelişmeler
OT'ye sıfır güven uygulamak, sınırlı yama pencereleri, minimum günlük kaydı kapasitesi ve uzun ekipman yaşam döngüleri gibi zorlukları beraberinde getirir.
Kılavuz, modern güvenlik özelliklerinin kullanılamadığı durumlarda gelişmiş izleme ve sıkı erişim politikaları da dahil olmak üzere telafi edici kontroller önermektedir.
Olay müdahale planlaması ve kurtarma süreçleri de stratejinin merkezinde yer alır. Kuruluşlara, saldırılar sırasında kesintiyi en aza indirmek için siber müdahaleyi mevcut güvenlik prosedürleri ve iş sürekliliği planlarıyla uyumlu hale getirmeleri tavsiye ediliyor.
Ajanslar, OT'de sıfır güvenin benimsenmesinin riski tamamen ortadan kaldırmakla ilgili olmadığı, bilgiye dayalı, bağlama duyarlı kararlarla dayanıklılığı artırmakla ilgili olduğu sonucuna varıyor.