OT sektöründeki tehditler ve zaafiyetlerin tespiti noktasında en ideal çözüm ne olmalı?

edZconsult kurucusu Ediz Öztürk, Wise TV’ye verdiği röportajda, OT (Operational Technology) sistemlerinde Red Teaming uygulamalarının neden kritik olduğunu, bu testlerin nasıl yapıldığını ve hangi protokoller çerçevesinde ele alınması gerektiğini kapsamlı biçimde değerlendiriyor.

Üretim tesislerinde Red Teaming uygulamalarının yeterince yapılmadığını hepimiz çok iyi biliyoruz. Bunu bir defa kabul etmemiz gerekiyor çünkü Red Teaming dediğimiz sistemler veya çalışmalar belirli bir maliyetle oluşuyor. Bu maliyetin en büyüğü tabii ki insan maliyeti. Çünkü Red Teaming’in en önemli kaynağı insan. Bu anlamda özellikle OT’deki tehditleri ve buradaki çeşitli zafiyetleri hem tespit edebilecek hem de bu zafiyetlere bir çözüm üretebilecek kişilerin yıllarca OT sistemlerinde ve diğer sistemlerde tecrübeli olması gerekiyor. Bu tarz tecrübeli kişilerin de haliyle zamanları değerli ve bu yüzden Red Teaming çalışmaları, penetrasyon testleri veya buna benzer çeşitli saldırı simülasyon testleri kesinlikle çok daha maliyetli oluyor üretim tesisleri için. Üretim tesislerinde özellikle ekonomik konjonktürü düşündüğümüzde mutlaka bir parça ürünün maliyetinin belirli bir seviyede tutulması çok önemli oluyor. Öyle olduğu için de burada yapılabilecek olan ekstra maliyetlerden biraz imtina ediyorlar. Sözün özü, Red Teaming yeterince OT sistemlerinde yapılmıyor. Peki bunu neden yapmalıyız? Çünkü bir saldırı oluştuğunda o saldırıya müdahale edebiliyor olmayı bırakın, o saldırıyı tespit edebiliyor olmak bile izleme sistemlerinin doğru bir şekilde kurulmasından geçiyor. Doğru bir izleme sistemi kurulmadığında siz o saldırının olduğunu anlayamıyorsunuz. Biz endüstriyel tesisleri ya da genel olarak söyleyelim, şirketleri ikiye ayırırız: bir, hacklenen; iki, hacklendiğini bilmeyenler. Hacklenmeyen şirket ya da kurum ya da kişi yoktur. Bu anlamda baktığımızda da mutlaka bizim bundan haberdar oluyor olmamız lazım. O yüzden ilk koşul izleme sistemleri. İzlemenin sonraki sistemi ise siber olaylara müdahale. Özellikle bizim “incident response” dediğimiz olay ve tehditlere hızlı bir şekilde cevap verebilme kabiliyetini mutlaka şirketlerin kazanıyor olması lazım. Red Teaming faaliyetleri, penetrasyon testleri tabii ki şirketlere bunu da sağlıyor. Biz OT sistemlerinde yaptığımız çeşitli penetrasyon testlerini ya da saldırı sistemlerini ikiye ayırıyoruz, hatta üçe ayrılır diye söyleyebiliriz: bir tanesi Black Box (Kara Kutu) testler, diğeri White Box testler, bir tanesi de Grey Box testler. Genellikle Grey Box’ın tercih edildiğini görüyoruz endüstriyel sistemlerde. Çünkü Grey Box sistemlere baktığımızda daha çok ikisinin arası oluyor. Black Box’ta karşı taraftaki penetrasyon testini gerçekleştirecek olan profesyonele endüstriyel testle ilgili hiçbir bilgi verilmez. Haliyle böylece kendisinin bunu bulması ve bir şekilde keşfetmesi gerekiyor. Tabii keşfetme de zaman demek, zaman da para demek. Bu yüzden Black Box testleri çok fazla tercih etmiyorlar. Ancak Black Box testler, gerçek bir hackerı tamamen simüle eden testler olduğu için bizim en çok bunları kullanmanızı özellikle öneriyoruz. Tabii maliyeti biraz yüksek olduğu için bunu çok istemiyorlar. Peki White Box ne? White Box da bunun tam tersi, içeriden bir saldırı gelirse ne yapacağız? Sonuç itibariyle biliyorsunuz içeride de bizim çalışanlarımız var ve çalışanlarımızdan da intikam almak olabilir, başka bir şey olabilir, çeşitli rakiplerin bir teşviği olabilir. Bununla beraber içeriden gelecek saldırıları da bizim bir şekilde simüle etmemiz gerekiyor. Peki bu simülasyonu nasıl yapıyoruz? İşte White Box testlerle yapıyoruz. Burada da saldırgana, yani bizim profesyonelimize bir şekilde tüm bilgiyi veriyor olmanız lazım. Bu da yine tabii şirketin kendi iç güvenliğini tehdit edebilen bir durum. Bu yüzden ikisinin ortası dediğimiz Grey Box testler genellikle yapılıyor. Black Box’la başlanıyor, belirli bir süre veriliyor. O süre içerisinde keşfedilmeyen durumlar olursa tekrardan White Box’a geçip bu şekilde yapılıyor. Genelde Red Teaming testleri böyle yapılıyor. Peki bu doğru mu? Aslında yapılması gereken bir yaklaşım. Ancak bunun periyodik olarak yapılması lazım. Yani bugün yaptık, atıyorum 6 ay sonra bir daha bunun tekrarlanması, hatta belki bir sene sonra White Box’ın tekrarlanması gerekiyor. Çünkü gün içerisinde, zaman içerisinde çok farklı açıklar ortaya çıkıyor. Hele ki OT dünyasını düşünürsek, en son bir rakam vardı Gartner’da yanlış hatırlamıyorsam, 2024 içerisinde 35 milyardan fazla gömülü sistemin dünya üzerinde çalışabileceğini düşünüyoruz. Yani on milyarlarca sistemin birbiriyle konuştuğu bir yerden bahsediyoruz. Çok farklı protokoller var şu anda. Hepimizin aklına protokol deyince TCP geliyor ama tabii TCP değil. Dünya bunun dışında çok farklı protokollerimiz var. O yüzden her açıdan protokol bazlı, fiziksel bazlı, biraz önce bahsettik, çeşitli katmanlar da var biliyorsunuz, izolasyon yapılması gereken farklı penetrasyon testi tipleri de yine yapılması gerekiyor. Uzaktan kontrol sistemleri de son zamanlarda biliyorsunuz endüstriyel bulut servisleriyle beraber çalışıyor. Şimdi endüstriyel buluta tekrar bir daha bu işi entegre ettiğimizde ise olayın tamamen başka bir boyutu ortaya çıkıyor ki Red Teaming gerçekleştirilmesi hele ki bulut sistemlerde belki de bulut servis sağlayıcının iznine tabi olduğu için çok daha zorlaşıyor. İşte burada biraz daha hibrit bulut teknolojilerini kullanıp bütün bu yapıların hepsini bütüncül bir şekilde düşünmek gerekiyor. Bu da aslında governance (yönetişim), risk yönetimi ve compliance (uyum) dediğimiz GRC yapılarının da mutlaka oluşturulmasını gerektiriyor. Tabii ki farklı önlemler de mutlaka alınması gerekiyor. Bunun içerisinde güncellemeler var. Biz mesela endüstriyel sistemlerde Windows XP görüyoruz. Hala, yani üreticisi bile vazgeçmiş işletim sisteminden, herhangi bir şekilde bir güncelleme çıkmıyor ama üretim tesisi içerisinde hasbelkader bir yazılım yapılmış ve o yazılım hala çalışması gerektiği için o sistemi orada tutuyorlar. Evet, tutuluyor olabilir. Evet, buna benzer sistemler olabilir. Ama yine biraz önce konuştuğumuz izolasyon sistemleriyle bunların yine desteklenmesi lazım. İşte bunu bir bütüncül yaklaşım içerisinde düşünürsek, Red Teaming aslında bunun büyük bir parçası ve o büyük parçayı siz o resmin içerisinden aldığınızda maalesef o tablonun değeri de düşüyor.

Red Teaming Nedir ve Neden Önemlidir?

Red Teaming, bir kuruluşun güvenlik açıklarını tespit etmek ve bu açıkları kapatmak için yapılan simülasyon testleridir. Bu testler, kuruluşun siber güvenlik savunmalarını gerçek dünya saldırılarına karşı test eder. Red Teaming, özellikle üretim tesisleri gibi kritik altyapılarda büyük önem taşır. Ancak, bu tür testlerin maliyeti ve insan kaynağı gereksinimi nedeniyle yeterince uygulanmadığı görülmektedir. Bu makalede, Red Teaming’in neden önemli olduğunu ve nasıl daha etkili bir şekilde uygulanabileceğini inceleyeceğiz.

Red Teaming’in Temel Unsurları

Red Teaming, genellikle üç ana test türü üzerinden gerçekleştirilir: Black Box, White Box ve Grey Box testler. Black Box testlerde, test yapan ekibe hiçbir bilgi verilmez ve tamamen dışarıdan bir saldırgan gibi hareket etmeleri beklenir. White Box testlerde ise tüm sistem bilgileri sağlanır ve içeriden bir saldırı simüle edilir. Grey Box testler ise bu iki yaklaşımın bir kombinasyonudur ve genellikle en çok tercih edilen yöntemdir.

Üretim Tesislerinde Red Teaming Uygulamaları

Üretim tesislerinde Red Teaming uygulamaları, maliyet ve insan kaynağı gereksinimleri nedeniyle genellikle sınırlı kalmaktadır. Ancak, bu tür tesislerde güvenlik açıklarının tespit edilmesi ve kapatılması hayati önem taşır. Üretim süreçlerinin kesintiye uğraması, büyük mali kayıplara yol açabilir. Bu nedenle, Red Teaming uygulamalarının düzenli ve periyodik olarak yapılması gerekmektedir.

İzleme Sistemlerinin Rolü

Red Teaming testlerinin etkinliği, doğru izleme sistemlerinin kurulmasına bağlıdır. İzleme sistemleri, bir saldırının tespit edilmesini ve hızlı bir şekilde müdahale edilmesini sağlar. Bu sistemler olmadan, bir saldırının gerçekleştiği bile fark edilmeyebilir. Bu nedenle, izleme sistemlerinin kurulumu ve sürekli güncellenmesi büyük önem taşır.

GRC Yapılarının Önemi

Governance (yönetişim), Risk Yönetimi ve Compliance (uyum) yapıları, Red Teaming uygulamalarının etkinliğini artırır. Bu yapılar, kuruluşların güvenlik politikalarını belirler ve bu politikaların uygulanmasını sağlar. Ayrıca, risklerin değerlendirilmesi ve uyum süreçlerinin yönetilmesi için gerekli altyapıyı sunar.

Güncellemelerin Önemi

Güncellemeler, sistemlerin güvenliğini sağlamak için kritik öneme sahiptir. Özellikle eski işletim sistemleri ve yazılımlar, güncellemelerle desteklenmediğinde büyük güvenlik açıklarına yol açabilir. Bu nedenle, sistemlerin düzenli olarak güncellenmesi ve eski yazılımların mümkünse değiştirilmesi gerekmektedir.

Sonuç

Red Teaming, kuruluşların siber güvenlik savunmalarını test etmek ve geliştirmek için kritik bir araçtır. Üretim tesisleri gibi kritik altyapılarda bu tür testlerin düzenli olarak yapılması, olası saldırılara karşı hazırlıklı olunmasını sağlar. Ancak, bu testlerin etkinliği, doğru izleme sistemlerinin kurulmasına, GRC yapılarına ve düzenli güncellemelere bağlıdır. Bu unsurların bir araya gelmesiyle, kuruluşlar siber tehditlere karşı daha dirençli hale gelebilir.