OTD Blog | Nisan 2022

"Kritik Altyapı ve İşletmeler İçin Siber Güvenlik Platformu, SCADA Güvenliği"

Türkiye Distribütörlüğünü OTD Bilişim'in yaptığı ve sektöre kazandırdığı OT & IoT Siber Güvenlik Çözümü SCADAfence hakkında bilinmesi gerekenleri mercek altına aldık.

Endüstri 4.0 dijital dönüşüm sürecinde otomasyon networklerinde (bizim anlayacağımız dilde endüstriyel kontrol sistemi olarak geçiyor) bu networklerdeki zorluklardan bu networkleri modernize ederken karşılaştığımız olaylardan ve akabinde otomasyon networkündeki riskleri ve bu risklerle nasıl mücadele ettiğimizi de SCADAfence siber güvenlik platformu üzerinden ele alacağız.

Endüstriyel kontrol sistemleri endüstri 4.0 ile beraber modernize olmaya başladı, bu modernize olma sürecinde ilk adım network modernizasyonu, çünkü yıllarca kapalı kalmış daha çok sektörden duyduğumuz bir terim, "biz tamamen kapalıyız ve izoleyiz" terimleriyle çok karşılaşıyoruz, bu tabu yıkılmaya başladı. Çünkü dijitalleşme sürecinde artık networkünüzü hem BT alt yapınıza doğru hem de internete doğru akıllı fabrika olma isteği sebebiyle dışarı açma ihtiyacı doğuyor. IT ve OT yakınsaması çok ciddi anlamda önümüze gelmeye başladı, bu da birtakım zorluklar doğuruyor bu konuları daha detaylı incelememiz gerekiyor. Eskiden birbirine hiç dokunmayan IT ve OT varken şu an otomasyon networkü IT’ye bağımlı hale gelmeye başlıyor. Bu anlamda ERP sistemlerimizi otomasyondaki sahanın her noktasından veri toplamaya odaklıyorsunuz ve üretim kalitenizi arttırmak bakım periyotlarınızı daha hızlı bir şekilde ölçmek üreticilerin elindeki cep telefonlarından sahanın her noktasındaki verileri anlık görmesi gibi hedeflerin içerisine yöneliyoruz.

Tabi ki bunu yapacağız ancak bunu yaparken de işin Siber Güvenlik boyutunu birlikte ele almamız gerekiyor.

Bu sistemler yıllarca dışarı kapalı kaldığı için ve Türkiye genelindeki gördüğümüz tabloya bakacak olursak, fabrikalarda ve tesislerde kullanılan endüstriyel yazılımların eski olması,  gelişmiş ataklara karşı herhangi bir savunma mekanizmaların olmayışı, bu networklerin işletmenin yumuşak karnı olması sebebiyle Otomasyon networklerinizi dijitalleştirirken eğer sadece network yollarını açarsanız ve siber güvenlik tarafını önemsemezseniz,  hiç düşünmediğiniz bir anda çok basit ataklarla bile bu otomasyon networklerinizi bir siber saldırı ile çok ciddi etkisiz hale getirebiliyorlar.O sebeple IT - OT yakınsaması sürecinde, gerek segmentasyon yaparken, gerekse network modernizasyonu yaparken Siber güvenlik mutlaka birinci sırada yer alması gerekiyor ve projenin en başından sonuna kadar güvenlik farkındalığı yüksek bir şekilde bu projeyi yapmanızı öneriyoruz.

ilginizi çekebilir : Siber Güvenlik Çözümleri

Güvenlik kısmına geçmeden önce biraz daha temele inelim. Güvenlik konusunu öne çıkaran nelerdir ?

Otomasyon networkünüzdeki sistemlerinizin eski olduğundan bahsettik windows XP, windows 7’nin güvenlik açıklarını hepimiz biliyoruz. Siz bu sistemleri yıllardır kullanıyorsunuz ama daha önce hiç birinden dışarıya doğru veri akışı ihtiyacı doğmamıştı, sizden bu anlamda oradaki mühendislik makinelerinizden veya oradaki HMI PLC sistemlerinizden dışarı doğru bir trafik talebi gelmemişti veya pandemi koşullarında hepimiz bunu yaşadık. Uzaktan bağlanma ihtiyacı doğdu, bu sistemlere doğru erişimimiz hiç yokken belki de kontrolsüz bir şekilde işlerimizi yapabilmek için bu erişimleri açmak zorunda kaldık. İş amaçlı dijitalleşirken bu networklere doğru erişim açtığımız zaman eğer güvenlik tarafını önemsemediğimiz koşullarda maalesef çok basit ataklar otomasyon networkünüze bulaşarak etkili bir saldırı haline dönüşebilir. Bunun için çok gelişmiş saldırı yapmaya da gerek yok çünkü baktığımızda beşinci nesil siber atak dönemindeyiz ancak otomasyon networkümüzdeki cihazlar çok eski.

Kullandığımız yazılımlar ve işletim sistemlerinin çok ciddi güvenlik açıkları var, hepimiz biliyoruz.

Bu sebeple çok basit bir ihlal veya ihmal ile bir yol bularak içeri girildiği zaman maalesef ki bu sistemleri ele geçirmek çok kolaylaşıyor. İşin kötü tarafı da bu networkler yatay network olarak tanımlanıyor. Fabrika otomasyon networkleri daha çok yatayda büyüyen level 2 trafiğin ağırlıklı olduğu ortamlar olduğu için en büyük sorun “Görünürlük YOK”.

OT Networkleri İşletmenin Yumuşak Karnı.

Yani otomasyon networkünüzdeki bir noktaya bir şüpheli aktivite bulaşırsa içerde çok hızlı yayılma söz konusu çünkü bunu durdurabilecek içerde bir savunmanız yok, o yüzden biz işletmenin yumuşak karnı olarak tarif ediyoruz OT networklerini. Seviye sistemleri bazında her seviyede giderek dijitalleşen bir ortamda seviye 0, seviye 1, seviye 2 ve seviye 3 sistemleri giderek profil baz mod Profibus, ModBus, Profinet’e doğru çıkmaya başladıkça aslında siz networkü TCP/IP’e çeviriyorsunuz ve TCP/IP’le beraber hayatınız kolaylaşırken davetsiz misafirlere yol açmış oluyorsunuz. O sebeple ön tarafta ne kadar güçlü olursanız olun otomasyon networkünüzü mutlaka izlemeniz lazım çünkü fiziksel koşullar mesela bir çalışanınızın bilgisayarındaki ufak bir problem bir virüs belki de makinasında kullandığı antivirüs güncel değildi ve bir virüs kaptı getirip bunu otomasyona taktığı zaman o virüs bulaşırsa şayet siz burada ne kadar büyük çaba gösterirseniz gösterin elinizde bir antivirüs yazılımı bulunmadığı için maalesef çok büyük çaba sarfedersiniz ve içerideki yayılım hızı çok hızlı olur.

OTD Bilişim olarak biz bunu pandemiye benzetiyoruz. 2 yıl önce kimsenin aşısı olmadığı için herkes kendini korumak amaçlı kendini izole ediyordu ve ne zaman aşılandık eski yaşam biçimimize dönmeye başladık. Ancak otomasyon networkleri hala üzerlerinde antivirüs çözümü bile olmayan bir tesisten bahsediyoruz ki beşinci nesil atak döneminde artık birinci nesil bu tarz sorunlar BT,de bizim için çok basit de olsa, BT’de kullandığınız kendi bilgisayarlarınızda en gelişmiş güvenlik sistemlerini kullansanız da, otomasyonda bunları kullanamıyorsunuz. Bu riskleri biliyorduk ama dışarı kapalı olduğumuz için bu riskleri görmezden geliyorduk. Ancak dijitalleşme sürecinde bu networklere doğru erişimler açıldıkça yolları açmaya başladıkça maalesef sadece IT ile OT arasına sadece segmentasyon firewall’ları koymak işletmenizi güvenlik altına almış olduğunuzu göstermiyor.

Evet önemli bir adım segmentasyon mutlaka yapılmalı bunu öneriyoruz ancak asıl otomasyon güvenliği tesis içindeki iç networkte dolaşıyor çünkü sizin tesisiniz yatayda ne kadar büyükse orada büyük hareket var.Otomasyon networkünüzün içerisindeki PLC’ler, HMI’lar, RTU’lar, oradaki workstation makinaları, mühendislik makinaları, çalışanlar ve BT’den birçok sistem hem içeri hem dışarı doğru hareket halinde. Yatay network anlamında çok ciddi bir hareket var siz eğer bu networklerinizi tanımaz, görmezseniz riskinizi ölçemezsiniz.

Böyle bir networkün otomasyon güvenliği ve çok önemli.

Biz endüstriyel kontrol sistemleri ( EKS ) otomasyon networklerinde daha doğrusu kritik altyapılarda daha çok şu sorunlarla karşılaşıyoruz “Otomasyon networkunü nasıl modernize edeceğiz?” Daha önce hiç bir dokümantasyonun olmayışı tamamen gölge network olarak anlatılan bu networklerle ilgili müşteriler bize dokümantasyon veremiyor. Ortamındaki alt yapının bir şemasını paylaşamıyor. Çok eski fabrikalarsa içerde ne gibi envanterin olduğunu bilmiyorlar, bildikleri mutlaka var ama net değil bu sebepten dolayı işi keşifle başlatıyoruz. Tesis keşifleri yapıyoruz. Tesislere gidiyoruz. Müşterimizin altyapısını, tesisini gezerek öncelikle fiziki analizler yapıyoruz. Topladığımız verilerle tesis otomasyon alt yapısını  anlamaya çalışıyoruz. Akabinde müşterinin ortamına koyduğumuz siber güvenlik istihbaratı toplamak adına çeşitli güvenlik çözümü içerisinde GARLAND TAP Çözümleri ve SCADAfence platformunu koyarak oradaki envanteri ortaya çıkararak ne gibi PLC sistemleri var, hangi üreticinin hangi endüstriyel cihazları içeride koşuyorsa bunları görerek başlıyoruz. Bunları gördükten sonra fikir yürütmek daha gerçekçi çünkü göremediğini güvence altına alamazsın mantığıyla yola çıkarsak görünürlük burada çok önemli. Tabi ki oradaki tesisin alt yapısı da çok önemli. Oradaki tesisler belki ring topolojilerden oluşan birbirine hiç dokunmayan hücresel yapılar veya star topoloji şeklinde bir yapıyla karşılaşabiliyoruz. Tesiste kullanılan switchler çok eski yönetilemeyen olabiliyor, fiber altyapı eski olabiliyor. Maalesef ki o switch’in fonksiyonları istediğimiz kriterde işlem yapmamıza izin vermiyorsa müşterimiz dijitalleşmek istiyorsa buradaki networkünü modernize etmesi gerekiyor. Bu yüzden de switch alt yapısını yenilemesi gerekiyor ancak sıradan bir switch değişikliğine gidemezsiniz çünkü oradaki PLC sistemlerinin oradaki otomasyon networkünün işleyişi de bu switchlerin yeteneklerine bağlı, sıradan bir switch’le gelişmiş akıllı bir switch yer değiştiği zaman PLC’lerin çoğu zaman çalışmadığını göreceksiniz. Bu sorunun aslında oraya koyduğunuz o switch’in içerisindeki bir fonksiyon sebebiyle engellenmesi olarak tarif ediyoruz. O yüzden endüstriyel switch’leri kullanmak burada önemli daha başarı elde ettiriyor. Akabinde her şeyi tabi switch’le çözemiyorsunuz, switch’le giremediğiniz noktalar da var, bu noktada GARLAND TAP Çözümleriyle bu işlemleri çözerek seviye sistemlerinden tüm verileri toplayarak SCADAfence platformuna getirerek aslında burada IDS çözümüyle siber istihbarat analizi yapıyoruz. Bu anlamda prensip şu, kör nokta bırakmadan endüstriyel tesis içerisinde tüm noktadaki trafikleri SCADAfence’e getirerek oradaki paketlerin gerçek zamanlı analizini yaparak oradaki ortamı öğrenerek gerçek zamanlı çok detaylı istihbarat elde ederek tüm trafik paternlerinizi görmenizi sağlıyoruz . Bunu yaparken içerdeki base line’ınızı çıkarıyoruz riskli aktivitelerinizi alarm olarak önünüze getiriyoruz, üzerinde gelişmiş bir yapay zeka sistemi sayesinde bu alarm mekanizması otomatikman tetikleniyor, üzerindeki hızlı öğrenme sayesinde çok hızlı otomasyon networkünüzü çizerek gerçekçi verilerle önünüze koyuyor. Bu sayede SCADAfence’in size sağlamış olduğu yetenekler sayesinde networkünüzü çok hızlı keşfediyorsunuz ve görüyorsunuz ki ortamınızda IP çakışmaları var ve bunları çözmek için gidip de endüstriyel sistemlerdeki IP’leri değiştirmek çok zor bir iş, o zaman biz bunları tespit ederek bu sayede oralarda 1:1 natlama yapan switchleri tercih ediyoruz. Bu nat yetenekleri olan swicth’lerle bu işi çözerek de SCADAfence özelinde çakışma olan olmayan tüm cihazları keşfetmiş oluyoruz. SCADAfence sayesinde görünürlük elde etmiş oluyoruz ve SCADAfence gelen verileri anlık işleyerek tüm otomasyon networkü hakkında olan biten hakkında trafik paternlerini TCP & UDP ve endüstriyel protokol bazında gösteriyoruz.  hemen hemen bütün global üreticilerle arka taraftaki anlaşmalarımız sayesinde cihaz tanıma kabiliyetimizin oldukça yüksek olduğunu söyleyebiliriz.

Tanıyamadığımız bir cihaz çıkabilir. Bunu yurt dışı ekipleri hızlı bir şekilde inceleyerek tanınabilir hale getirdikten sonra bütün envanterinizi görerek risklerinizi paylaşıyoruz.

Aslında bizi EKS / OT risk değerlendirme çözümü olarak da kullanabilirsiniz. Ancak biz bunu çok tercih etmiyoruz ama ihtiyacınız buysa anlık bizi kullanabilirsiniz. Ancak sürekli izlemek çok kritik, çünkü kritik alt yapılar olarak geçiyorsunuz.

Kritik alt yapılardaki sistemleri bir kamera gibi 7/24 izlemek lazım. Riskin ne zaman içeri gireceğini bilemeyiz. İçeri giren riskleri de görmemiz lazım ki bu ataklar içeri girer girmez saldırmıyor, içerdeki network’te çok yavaş hareketleri oradaki tesisleri aynı bizim yaptığımız gibi keşfediyorlar ve belirli bir noktaya geldikten sonra saldırıyorlar ve bizim yakın zamanda bu şekilde önümüze gelmiş siber saldırıya uğramış tesislerde edindiğimiz tecrübelerde şu var : Hiç düşünmediğiniz noktalardan içeri giriyorlar. Örneğin Windows exchange’in güvenlik açığından,  faks makinasının güvenlik açığından veya bir çalışanın makinası üzerinden otomasyonla hiç alakası olmayan bir noktadan IT yollarını kullanarak otomasyona gelerek otomasyona çok etkili saldırı haline dönüşebiliyorlar. Bunlar fidye saldırıları olabiliyor, sabotaj niteliğinde veya siber terörizm anlamında ülkeyi etkileyecek kritik alt yapılara doğru saldırılar olabiliyor veya sizin üretim tesisinizdeki önemli bir prosesi durdurmaya yönelik saldırılarla karşılaşabiliyoruz. O sebeple anlık gerçek zamanlı tespitlerle bu durumlar eyleme dönüşmeden önce SCADAfence sayesinde biz sizi proaktif olarak besliyoruz. Böylece siz proaktivitenizi çok yüksek tutarak buradaki olan biten olayları şüpheli aktiviteleri anlık görerek riskinizi görmeye başlıyorsunuz.

Bize hep şu soru geliyor: “Siz bir şeyi kesiyor musunuz, siz bulduğunuz riskleri durdurabiliyor musunuz?”

Gerçekçi olmak gerekirse, kritik alt yapılarda buna kimse izin vermez! Vermiyorlar da zaten. Bizim de böyle bir yetimiz yok. Olmaması da gerekir.

Çünkü siz neyi kesip kesmeyeceğine kendiniz karar verirseniz, şimdi otomasyondaki protokoller, otomasyondaki davranış biçimleri, bizim IT’den alıştığımız A’dan B’ye trafikler gibi çok detaylı şekillenmiyor kafamızda, birbiriyle ilişkili çok değişik zincirler var ve bu zinciri siz uçtan uca bilmiyorsanız oradaki bir trafiği şüpheli sanarak keserseniz üretim kaybına sebep olursunuz.

Bu yüzden biz şunu öneriyoruz : Biz öyle bir siber istihbarat sağlıyoruz ki siz otomasyon networkünüze bir atak içeri girip hareket etmeye başladığı an itibariyle size bu atağın tipini nerden geldiğini içerde nereye bulaştığında ne gibi hareket kabiliyetleri olduğunu söylediğimizde gelişmiş bir siber istihbarat sayesinde neyle karşı karşıya olduğunuzu net olarak görerek hızlı bir savunma gerçekleştiriyorsunuz.

Belki pasif bir savunma yapıyoruz ama elimizdeki done’ler sayesinde siz, size saldırı yapan kişilerin hangi IP’den geldiğini, içeride nereleri etkilediğini görebiliyorsunuz bu da çok önemli bir yetenek. Bu sayede siz de atağın içerde olgunlaşmasını engelleyerek aslında tüm atağın fabrikayı etkilemesinin önüne geçiyorsunuz. Biz bu sayede birçok işletme de ataklar içerde olgunlaşmadan durdurmaya başardık, bazen firmalar atak yedikten sonra bizi çağırıyorlar, kriminal analiz yapabilme yeteneğimizi biz olayın en başındayken izlemeye başlarsak bir kamera gibi, çok güçlü etkiler ve raporlar sunabiliyoruz. O yüzden SCADAfence bu konuda en iyi siber güvenlik platformu seçilmiş bir üretici ve globalde 6 kıtada çok ciddi dağıtımları olan her sektöre dokunan bir siber güvenlik platformu olarak karşımıza çıkıyor.Biz de OTD Bilişim Türkiye yetkili distribütörü olarak, Orta Doğu ve Orta Asya’da bu ürünü pazarlıyoruz. SCADAfence konusunda sorularınız olursa ve çözümü dinlemek isterseniz web sayfamiz üzerinden bize her zaman ulaşabilirsiniz.