Operasyonel teknoloji (OT) güvenliği, siber güvenlik dünyasının en karmaşık ve kritik alanlarından biridir. runZero Güvenlik Araştırmaları Başkan Yardımcısı olarak, OT sistemlerindeki güvenlik açıklarını keşfetme, belgeleme ve ifşa etme süreçlerinin BT dünyasından ne kadar farklı olduğunu gözlemliyorum. OT'deki her şey adeta bir zaman kapsülü gibidir; modern BT araçlarıyla bir OT cihazına yaklaştığınızda, kendinizi 1999 yılında hack yapıyormuş gibi hissedersiniz. Bunun nedeni, OT sistemlerinin çoğunun parola sorma veya kullanıcı girdilerini doğrulama gibi temel güvenlik önlemlerinden yoksun olmasıdır. Yerel ağın güvenilir olduğu varsayımıyla tasarlanan bu sistemler, genellikle sınırlı donanım kaynaklarına sahip derlenmiş nesneler olarak çalışır ve ASLR, DEP gibi modern savunma mekanizmalarına yer bırakmaz. Bu da OT'yi, hem yeni başlayanlar hem de deneyimli güvenlik araştırmacıları için nostaljik bir uygulama alanı haline getirir.
OT'deki en büyük tehditlerden biri, BT dünyasında genellikle göz ardı edilen hizmet reddi (DoS) saldırılarıdır. BT'de bir DoS saldırısı geçici bir rahatsızlık yaratırken, OT'de tek bir paketle pahalı bir ekipmanı kalıcı olarak devre dışı bırakmak mümkündür. Sürekli bir çöp trafiği akışı, cihazın OT işlevini durdurmasına neden olabilir veya güvenlik kontrol tetikleme dizisi ile fail-safe durumu yaratılabilir. Sonuç her zaman aynıdır: Aktüatörler durur, robotlar donar ve tüm OT kurulumunun amacı kesintiye uğrar. BT'de yedek bant genişliği ve CPU ile sorun çözülebilirken, OT'de kimsenin yedek bir fabrikası yoktur. Bu nedenle DoS, OT operatörleri için insan hayatını tehdit eden bir felaket anlamına gelir.
Peki, OT ekipmanında yeni bir güvenlik açığı keşfettiğinizde ne yapmalısınız? BT'de standart prosedür, yazılım üreticisine haber vermek, CVE almak ve genellikle bir yama veya geçici çözüm bulmaktır. OT'de ise durum çok daha karmaşıktır. Teorik bir saldırının sonuçlarını anlatırken 'bir topluluğu zehirlemek' veya 'hastanelerin elektriğini kesmek' gibi ifadeler kullanmak sıradan hale gelir. Güvenlik açığının varlığını tartışmak bile medya ve hükümetlerin paniğe kapılmasına yol açabilir. Tam bir proof-of-concept kod yayınlamak ise başlı başına bir risk. Ayrıca, OT cihazlarının çoğu fiziksel olarak yamalanması zor veya imkansız konumlardadır; bir petrol sahasında yüzlerce kilometre uzakta olabilir veya planlanmamış güncellemelere sıkı düzenlemeler getirilmiş olabilir. Bazen tek çözüm, maliyetli bir 'forklift güncellemesi' yapmak ve yeni donanımın eski kontrol düzlemiyle uyumlu olup olmadığını bilmemektir. En iyi yapılacak şey, savunmasız cihazları ağın izole bir köşesine yerleştirmek ve bu ağa erişimi sıkı bir şekilde kontrol etmektir.
Sonuç ve Değerlendirme
OT savunmasının büyük kısmı ağ segmentasyonuna dayanır, ancak bu tek başına yeterli değildir. IT/OT yakınsaması, OT'yi giderek BT'nin sorunu haline getiriyor. Bu güvenlik açıklarını sonsuza kadar gizli tutamayız. Peki, yeni bir OT 0-day keşfettiğinizde ne yapmalısınız? Oturup beklemek bir seçenek değil; yapay zeka çağında, kolayca bulduğunuz bir açık, başkası için kritik altyapıya yönelik bir silaha dönüşebilir. Önerim, CISA'ya veya ilgili CERT/CC'ye rapor vermenizdir. Büyük OT satıcıları artık bu raporları ciddiye alıyor ve koordineli ifşa süreçlerini yürütüyor.
Sonuç olarak, OT güvenliği, miras sistemlerin yarattığı eşsiz zorluklarla başa çıkmayı gerektiriyor. DoS saldırılarının yıkıcı etkileri, yamalama zorlukları ve IT/OT yakınsamasının getirdiği yeni tehditler, güvenlik araştırmacılarının ve operatörlerin iş birliği içinde çalışmasını zorunlu kılıyor. 'Görürsen söyle' anlayışı artık bir seçenek değil, bir gereklilik. OT güvenliğinde proaktif olmak, kritik altyapıyı korumanın anahtarıdır.
Kaynak: securityweek.com