IACS /OT ( EKS ve IoT Kritik Altyapılarda IT/OT Segmentasyonu ve Proaktif Siber Güvenlik Yol Haritası

WIN EURASIA SUNUM

IACS /OT ( EKS ve IoT Kritik Altyapılarda IT/OT Segmentasyonu ve Proaktif Siber Güvenlik Yol Haritası


Eray Atlas -OTD Bilişim / CTO


OTD Bilişim 2011 senesinde kurulmuş bir bilişim firması. Network ve güvenlik konusunu bu tip hizmetler sunarak  endüstriyel kritik alt yapılarda network güvenliği konusunu işleyen, hem mühendislik hizmetleri sunan hem de bu ürünlerin pazarlamasını yapan bir yetkili distribütör olarak bugüne kadar işletmemiz faaliyetlerini devam ettirmektedir.

Ana konumuz endüstriyel kontrol sistemleri olarak tarif ettiğimiz EKS sistemlerindeki ve IOT’lerle zenginleştirilen bu kritik altyapılardaki siber güvenlik konusunu. Şöyle bir etrafımıza baktığımızda aslında kritik altyapılarda kullanılan birçok üretim yapan firmaların fuarda stantlarını geziyorsunuz ve hepsi sonuçta çok değeli işler yapıyorlar. Birçoğu bizim iş ortağım Hepsiyle beraber güzel projeler yaparken fuarda siber güvenlik konusunu işleyen aslında tek firma gibi duruyoruz ve bu bizim için de oldukça keyif verici. Çünkü siber güvenlik konusu çok nitelikli bir konu ve biz endüstriyel kritik altyapılarda bu siber güvenlik konusunu işlerken de bu beraber çalıştığımız iş ortaklarıyla güzel iş birlikleri yapıyoruz ve bu senenin de asıl konusu aslında 5G.

Endüstriyel tesislerde sahadan veri toplamak ve hızlı bir şekilde veri aktarımı için aslında oldukça hızlanmış bir teknoloji olarak bizim için de çok gelişmiş bir teknoloji. Ancak şöyle bir konuyla başlayacağım ben konuya. Daha önceden Endüstri 3.0 olarak tarif ettiğimiz bu konsept de tamamen hedefimiz IT siber güvenliğiydi. Otomasyon tamamen kapalı sistemler üzerine kurulmuş bir network olarak çok da içinde güvenlik algısı olmayan bir konuyken, Endüstri 4.0 ile beraber bir dönüşüm süreci başladı.


Biz bu dönüşüm süreci içerisinde işin siber güvenlik konusunu işlerken otomasyon networkleriyle sonuçta kritik altyapılar anlamında üretim yaptığımız tesisler olduğu için de buralarda siber güvenlik önemli olmaya başladı. Sizin üretim yaptığınız bu tesislerin siber güvenliğini mutlaka proaktif bir şekilde ölçmeniz gerekiyor ve bunu yaparken de aslında otomatikman IT’ye gelen saldırılar otomasyona doğru gelmeye ve inmeye başladı. Bu şu anlama geliyor, size doğru yapılan saldırı yüzeyi genişlemiş oldu. Şimdi siz bunu 5G ile daha hızlandırdığınızda aslında daha yoğun ve şiddetli ataklarla karşılaşabilirsiniz.

İlginizi çekebilir : 5G Teknologisi Nedir ?

Bir teknolojiyi kullanırken de onun güvenliğini de mutlaka beraberinde düşünerek ortamınızı sıkılaştırmanız gerekiyor. İşte biz tam da bu konuyu işleyen bir firma olarak endüstriyel kontrol sistemlerinin çalıştığı bütün sektörlerde aslında biz bu hizmeti sunabiliyoruz. Hem Türkiye hem de global olarak yetkili bir distribütör olarak birçok farklı sektörlere dokunabiliyoruz. Bunların içerisinde baktığımız zaman üretim tesisleri olarak sınıflandırdığınız işte aklınıza gelebilecek otomotiv sektörü bu anlamda kâğıt sektörü, cam sanayi, ambalaj sanayi gibi birçok üretim yapan tesisler gibi enerji sektöründe de oldukça çok derinlemesine siber güvenlik hizmetleri sunabiliyoruz.

Enerji sektörü bizim çok önemli. Çünkü oralar çok kritik altyapılar olarak tarif ediliyor ve buralarda aynı zamanda biz çok çeşitli farklı enerji sektörlerine dokunabiliyoruz. Mesela bunların içerisinde nükleer santraller var. Biz mesela bugün sabahleyin bir nükleer santralle ilgili bir toplantıya katıldık ve oradaki siber güvenlik konusunu işledik ve onlarla bu konudaki deneyimlerimizi paylaştık. Bu şekilde enerji sektörüne dokunurken aynı zamanda BMS dediğimiz akıllı bina yönetim sistemleri otomasyonu da önümüze geliyor. Burada baktığınız zaman bir otel işletmesinin, akıllı bir binanın içerideki bir havalimanı işletmesinin ya da büyük bir veri merkezinin içerisinde çok değişik endüstriyel aslında bizim hayatımızı etkileyebilecek iklimlendirme sistemleri, CCTV sistemleri gibi çok değişik otomasyon ilgilendiren konular var. Ve buradaki sistemlerin de sonuçta bir güvenlik ihtiyacı var ve biz bu güvenlik algısını yaparken de bir yol haritası belirliyoruz. Öncelikle görünürlük diyoruz. Çünkü görünürlük çok önemli. Görmediğinizi güvence altına alamazsınız. Görünürlük teknolojisini sunarken de biz GARLAND teknolojinin TAP çözümlerini kullanıyoruz. Bunlar tamamen pasif monitoring yapan ve pasif aynalama teknolojisiyle kritik altyapının içerisindeki önemli trafikleri alarak sizin aidiyet sistemleriniz doğru trafiği taşıyan bir siber istihbarat teknolojisi. Öncelikle otomasyon networklerini biz gölge network olarak tarif ederken çok az bir dokümantasyon var elimizde.

ilginizi Çekebilir : Kritik Endüstriyel Altyapılarda Siber Güvenlik İstihbaratı

Ne kadar az dokümantasyon varsa sizde o kadar az bir görünürlük içerisinde yani bir netlik olmadan işin güvenlik kısmına başlayamıyorsunuz. O yüzden işin öncelikle biz güvenlik kısmını yapmadan önce görünürlük teknolojisini kullanmamız gerekiyor. Yani sahanın en ince noktasına kadar trafik paternlerinizi görmemiz lazım. Sahadaki birçok hareketlerinizi anlamamız lazım. Kim kimle haberleşiyor? Nasıl bir derinlik var? Ne gibi otomasyon protokolleri çalışıyor? Hangi cihazlarla kimler o cihazlara erişiyor gibi oradaki sizin olağan trafiğinizi öncelikle ortaya çıkartmak lazım.

 

Bunu yaptıktan sonra biz oradaki varlık keşfini tamamladıktan sonra sizin içerideki trafik paternlerinizi tamamlamış oluyoruz ve sizin olağan çalışma  koşullarınızı anladıktan sonra da içeri giren tüm trafikler bizim için şüpheli aktivite olarak sınıflandırılıyor. Ve biz bu şüpheli aktifleri artık size bir gelişmiş Bir yapay zekâyla desteklenmiş SCADAfence siber güvenlik platformu üzerinden de sizleri bu konuda bilgilendirerek oradaki aslında siber güvenliğinizi görünür hale getiriyoruz. Çünkü içeride bir aktivite, şüpheli hareket varsa onu sınıflandırmak çok önemli. İşletmenin yumuşak karnı olarak tarif ettiğimiz bu network, otomasyon networkü maalesef elimizdeki IT'deki yeteneklerimizi direkt otomasyona taşıyabildiğimiz bir yetenek değil.

IT’cilerin en büyük sıkıntısı otomasyon tarafındaki bu protokolleri ve oradaki davranış biçimlerini yıllarca dokunmadıkları için bilmiyorlar. Otomasyoncular da üretim odaklı insanlar oldukları için işin güvenlik tarafını biraz geriden takip ettikleri için, biz aslında iki ekibi bir araya getiren bir platformuz. Siber güvenlik platformunda sonuçta hem IT’cilerin hem de otomasyoncuların birlikte takip ettiği bir platform olarak düşünün ve biz bir yazılım olarak sizin otomasyonunuzun içerisinde çalışıyoruz. Otomasyonunuzdaki hiçbir sisteme dokunmadan hiçbir sahaya ajan kurmadan tamamen pasif monitörik yöntemleriyle oradaki tüm trafik paternlerinizin bir kopyası bize gelmek kaydıyla aslında sizin siber güvenlik görünürlüğünüzü çok ciddi seviyede yükselterek içerideki bir kamera gibi düşünün bizi. Tesisin nasıl her yerine fiziksel kamera koyarak içerideki hırsızlık ya da bir iş kazasına sebebiyet verecek olayları incelediğiniz gibi otomasyon networkünü de bu şekilde izlemeniz gereken bir dönemdeyiz.

Çünkü beşinci nesil bir atak dönemindeyiz ve çok ciddi ataklarla veyahut da eski tip ataklarla otomasyonunuza gelebiliyorlar. Şimdi otomasyona geldikten sonra aslında büyük sorun başlıyor. Çünkü çeşitli yöntemlerle otomasyona girebilirler. İşte bu bir çalışanın yanlışlıkla bilgisayarından bulaşan bir virüsle başlayabilir. Veyahut da yukarıdan açtığınız yanlış bir port yüzünden içeri doğru sızma girişimi olabilir. Veyahut da daha sofistike bir yöntemle sizin otomasyon geldikten sonra içeride hiçbir savunma yok. Çünkü işletmelerin kullandığı bu yazılımların, bu makinaların üzerinde bugünkü güvenlik ataklarına karşı bir savunma geliştirilerek düşünülmemiş bu yazılımlar. O sebeple biz aslında onların çalışma koşullarının yanında güvenlik algısını yükselterek bir görünürlük sağlıyoruz ve bu görünürlük sayesinde de siz içeride bir şüpheli aktivite varsa bizim sayemizde bir kamera gibi bu olaydan çok önce içeride atak haline dönüşmeden, içeride etkili bir saldırı olmadan haberdar oluyorsunuz.  

Bize mesela bu şekilde çok fazla firma geliyor. Bir siber saldırıya uğramış oluyor ve bizimle bu konuyu istişare ediyorlar, yardım bekliyorlar. Ancak atak tipleri mesela bir fidye atak olabiliyor. Bir fidye atakla karşılaştığınız zaman tesisinizin tamamını ele geçirmiş olabiliyorlar. Böylece siz elinizdeki bütün argümanları kullansanız da o fidye atağı belki de ödemek zorunda kalıyorsunuz. Ancak biz bunu tavsiye etmiyoruz. Ancak böyle durumlarla karşılaşmanızı da istemediğimiz için proaktif bir yaklaşım sergilemeniz lazım.

İlginizi çekebilir : Endüstriyel Tesislere Yönelik Fidye Atak Saldırıları Nasıl Önlenir?

İşte bu proaktif yaklaşım sonuçta bir yol haritası olarak önümüze geliyor. Biz bu yol haritasını anlatırken de birazcık aslında planlı programlı gitmeyi öneriyoruz. Bazı işletmeler bu konuda mesela çok hızlı hareket edebiliyor. Yatırımlarını hızlı yapıyorlar. Bazıları ise yavaş hareket edebiliyor. Biz biraz daha böyle planlı gitmeyi önerdiğimiz için bizim öncelikle şuradan başlamamız gerekiyor. Öncelikle göreceksiniz. Neyimiz var? Ne gibi assetlerimiz var? Ne gibi cihazlarımız var? Bunlar nasıl haberleşiyor? Benim olağan çalışma koşullarım nedir? Ve bu altyapının bir topolojisini çizmek gerekiyor sistematik olarak.

Biz bunu çizdikten sonra artık içerideki tüm davranış biçimlerini öğrendikten sonra da bunu bir aidiyet sistemiyle yani SCADAfence olarak tarif ettiğimiz bizim global distribütörlüğünü yaptığımız bu siber güvenlik platformuyla aslında sizin içerideki tüm trafiklerinizi net bir şekilde 7/24 izleyerek, bir kamera gibi kim kime ne gibi grafikle bağlanmış, şüpheli mi değil mi, bunların çok ciddi istihbaratını sağlıyoruz.

Siz böylece içeride size bir PLC'nize doğru ya da oradaki bir RQ’nuza doğru ya da şebekenizde dolaşan tüm hareketleri görmüş oluyorsunuz ve içeriden bu gördüğünüz bilgiler sayesinde çok ciddi bir istihbarat sağlıyorsunuz.

Bu da önemli bir aslında pasif bir savunma yöntemidir. Çünkü ben içerideki atağın vektörünü,  kimden geldiğini, nereye doğru gittiğini, nerelerin etkilendiğini söylediğim zaman siz o benden aldığınız bilgilerle hızlı bir şekilde sahada bu istihbarat bilgilerini alarak hızlı bir şekilde sahada savunmaya geçiyorsunuz. Çünkü görmediğiniz bir atakla mücadele edene kadar bir süre geçer. O süre içerisinde de siz belki o atağın ne olduğunu öğrenemeyeceksiniz. uzunca bir süre sürecek. Ama bu da sonra sizin bütün tesisinizi etkileyecek.

O yüzden proaktivite burada çok kritik ve biz burada SCADAfence ile bu işi yaptıktan sonra da akabinde bir tatbikat yapmayı öneriyoruz.  Yani 5. nesil siber atak döneminde yaşıyoruz. Çok gelişmiş ataklarla karşılaşıyoruz. Şimdi içeri bir sistem kurduk ve sistem bunu monitör ediyor, izliyor. Üzerindeki yapay zekâ sayesinde bu istihbaratı çok anlamlı hale getiriyor ve çok az pospozitifle geçerli veriler veriyor size. Ancak bu yetmiyor. Hem işletme sahipleri hem de bizler içerideki bu olaylarla karşılaşıldığı zaman ne yapacağımızı da size göstermek istiyoruz. Yani tam anlamıyla bir tatbikat ortamı kurmak lazım. Ama endüstriyel ortamlarda bunu yapmak kolay değil.

Bunu müşteriden bekleyemiyorsunuz da. Biz de burada SafeBreach adını verdiğimiz bir BAS platformuyla sizin ortamınızdaki hem IT ortamınızdaki hem de OT ortamınızdaki bilinen 24 binden fazla atak vektörünü OT ’ye doğru özel atakları simule ederek aslında tatbikat yaparak sizin bu atakla daha önceden karşılaşmanızı ve bu atakla karşılaştığınızda ne yapacağınızı deneyimlemenizi sağlıyoruz.

ilginiz Çekebilir :  SafeBreach hakkında ( video) 

Böylece bu ataklar size geldiğinde siz aslında bir adım önde olacaksınız. Ve dünyanın her yerindeki bu atakların size gelebileceğini de düşünerek ne kadar proaktif yaklaşırsanız böyle bir böyle bir platform sayesinde her şeyinizi daha bilinçli bir şekilde ve daha tatbikatlarını yaparak kendinizi sıkılaştıracaksınız. Şimdi işin bu terminolojisini geçtikten sonra genelde şunu görüyoruz.

Firmalar IT konseptiyle bakıyor OT ‘ye. Hani hep IT yaklaşımlarını deneyimliyoruz onlardan. Onları dinledikçe ama şartnamelerde IT güvenlik çözümlerini OT’nin içerisine doğru koymaya çalışıyorlar ama bu bence doğru bir yaklaşım değil. Çünkü IT cihazlarının otomasyon yetenekleri yok.

Oradaki protokolleri tanımıyorlar. Oradaki trafik paternlerini anlayamıyorlar. O yüzden bir çevirmene ihtiyaç var. Yani IT dilini OT diline, OT dilini IT diline çeviren bir platform ihtiyacı var. İşte biz o platform olarak SCADAfence ile bunu sağlıyoruz ve böylece sizin IT'de kullandığınız güçlü kaslarınızı otomasyona yaklaştırıyoruz.

Mesela sizin bir IT SOC hizmetiniz vardır. Bir SOC merkezinden destek alıyorsunuzdur. Veyahut da bir SM çözümünüz vardır. Veyahut da bir LAB çözümünüz vardır. Bunları otomasyona yaklaştırmak istediğinizde bu dilden anlayan bir yazılım ihtiyacı doğuyor ve biz şunu savunuyoruz. Otomasyon güvenliği için SCADA protokollerini anlayan bir yazılıma ihtiyaç var. Biz de tam anlamıyla bu işi yapan bir işletmeyiz ve bu sayede sizin otomasyon networkünüzü bir IT güvenlikçinin anlayabileceği seviyeye getirerek onların da güçlü kaslarını burada otomasyonda kullanmalarını sağlıyoruz.

Genelde firmalarda IT ekipleri ve OT ekiplerinden oluşan bir ekip bu işi organize ediyor. Biz de bu ekiplerle çok sık görüşerek bu konularda aslında bu platformları önererek bir yol haritası veriyoruz. Bunu yaparken tabii ki tesis keşifleri yapmak lazım. Tesisi mutlaka görmek lazım. Bir tesisin büyüklüğü ne kadardır? Farklı oluşumlar içerisinde oradaki tüm yapıyı görmemiz gerekiyor. Akabinde tesisin altyapı mimarisini belki değiştirmek gerekebiliyor. Bunun için önerilerde bulunuyoruz.

Veya bizden şunu isteyebiliyorlar. Sadece bir resmimizi çekin. Durumunuzu bir değerlendirin şeklinde enerji firmalarından bu tarz talepler de geliyor. Biz bunların hepsini yapabilen bir firmayken aslında elimizin altında da böyle güvenlik cihazının olması gerekiyor. Bunları kullanmadan bizim de sonuçta hani bu yeteneklerimizi sahaya yansıtma şansımız var ama çok uzun sürüyor. Bu da hani proje maliyetlerini yükselttiği için böyle yazılımlarla aslında işi hızlandırıyorsunuz.

 Şimdi biz tamamen şunu öneriyoruz işletmelere. Evet,  IT ve OT arasında bir segmentasyon yapılmalı. Sonuçta IT ve OT Endüstri 4.0’da katmanlı bir şekilde dışarı açıyorsunuz. Çünkü bu sistemler dışarı kapalıyken artık Endüstri 4.0’la beraber IoT’lerle zenginleştirdiğiniz bu ortamları hem iş amaçlı hem dışarıdan bakım amaçlı özel sebeplerden dolayı sahadan veri toplamak amaçlı sahanın en uç noktasına kadar gitme ihtiyacı doğuyor. Ve ne oluyor? Networkünüzü modernize ediyorsunuz. Bu modernizasyonları yaparken bir takım yollar açıyorsunuz. Ancak sizin açtığınız bu yollardan kötü niyetli insanlar da sizin networkünüze geldiği zaman burası sizin yumuşak karnınız.

Hiçbir savunma olmadığı için içeride bu atak çok hızlı yayılıyor ve siz tamamen reaktif duruma düşüyorsunuz. İşte biz buralarda bu network modernizasyonunu yaparken şu algıyı kırmaya çalışıyoruz. Yani biz sadece IT ile OT arasında bir firewall konulduğunda şimdi üretim tesislerinin, endüstriyel sistemlerin güvenliğini tam anlamıyla sağladığınızı düşünmemenizi istiyoruz. Çünkü bu networkler yatay network dediğimiz otomasyon ve içeride çok derinlemesine büyük networkler.

Tamamen bir firewall ile L üç katmanında siz bu güvenliği evet sağlamalısınız. Bu önemli bir adım. Ancak şöyle bir sorunla karşılaşıyoruz. Herkes IT disiplinlerini tarif edebiliyor ama otomasyonda nasıl bir trafik olduğunu sorduğumuz zaman o firewall kuralları nasıl yazacaksınız dediğimiz zaman hep bir soru işareti. Çünkü kimse bu networkü tam tarifleyemiyor.

Yıllarca çalışmış insanlar bile oradaki yatay network grafiklerini yani doğu batı trafiklerini tarif etmekte zorlanıyorlar. Çünkü görülmemiş bir network, daha önce hiç ihtiyaç duyulmamış bir operasyonun içerisine giriyorsunuz. O yüzden önce keşif görmek çok kıymetli. İşte biz IT ve OT segmentasyonlarını yaparken işletmelere önce şunu söylüyoruz. Önce SCADAfence ile ve sahadan GARLAND’ın TAP çözümleriyle biz bu trafikleri SCADAfence’e götürerek oradaki tüm trafik paternlerinizi çıkartıyoruz. Kim kime dokunmuş? Hangi servisler çalışıyor? Hangi üretim bandına hangi cihazlar bağlanıyor? İşletmede çalışan mühendisler hangi yetkilerle, hangi cihazlara erişmesi lazım gibi sizin çalışma koşullarınızı sisteme girdikten sonra ve öğrettikten sonra bunun dışındaki her trafik bizim için şüpheli olurken biz bunları size söylüyoruz. Yani şunu yapıyoruz, öğrendikçe çünkü sürekli çalıştığımız için sürekli bir kamera gibi kaydettiğimiz için içeride gördüğümüz her trafik paterninizi sizin orada kullandığınız firewall cihazlarınıza doğru yönlendirebiliyoruz. Böylece siz disiplinlerinizi yazarken bizden referans alıyorsunuz.

Biz oradaki tüm ağ networkünüzün şemasını çiziyoruz ve birebir ilişkilerini çıkartıyoruz ki bu çok kıymetli bir şey. Kimin kime hangi protokole dokunduğunu söyleyebiliyoruz. Mesela şöyle bir örnek vereyim. Siz IT'de makinanıza mutlaka evden bağlanıyorsunuzdur.

İşte bilindik 2FA yöntemleriyle belki VPN yaparak ya da TeamViewer gibi programları kullanarak direkt makinenize gelip bir işlem yapıyorsunuzdur. Ancak o işlemi yaparken siz makinenizde mesela bir dosyayı sildiniz ya da içindeki bir dosyayı editlediniz ya da bir veriyi başka yere gönderdiniz. Bu kayıtları firewall tutamaz. Gösteremezsiniz bunu firewall ile. Sadece o bağlantıyı gösterir. İçine bakamazsınız. Ancak bizim yaptığımız teknolojide ise biz derinlemesine paket analizi yaptığımız için dışarıdan sizin otomasyon networkünüze bir Motpas trafiği geldi ya da oradaki HMI’ınıza doğru bir trafik oluştuğu zaman bir SDD protokolü üzerinden, biz o protokolün içerisindeki otomasyon session’larını tek tek kaydedebiliyoruz. Böyle bir yeteneğimiz var. Bu da bizi öne çıkartıyor.

Biz oradaki her session’ı kim ne yaptı, hangi otomasyon komutunu, hangi RİT komutunu, hangi right komutunu yaptığı veyahut da yetkisiz bir erişim mi yaptı? Bunları sentezleyerek sizin önünüze getirdiğiniz zaman siz yetkisiz komutları tespit ederek, aslında çok hızlı bir şekilde sahada o PRC'nize doğru yetkisiz bağlantıları hemen firewallunuzdan kesebiliyorsunuz.

Biz sizi sürekli bu anlamda hızlı bir şekilde bilgilendirdiğimiz için aslında siz bir pasif savunma sayesinde olayla çok hızlı mücadele etme yeteneğine sahip oluyorsunuz. Bu yüzden SCADAfence gibi bir IDS çözümü otomasyon networklerinde artık çok önemli olmaya başladı. Hani her sektörün aslında ihtiyaç duyduğu bir yazılım. Çünkü IDS sistemlerinin temelinde detection vardır. Yani tespit mekanizması. Hani bir şeyi kesemezsiniz otomasyonda. Kesmenize kimse izin vermez. Ancak onu tespit edip yakalayıp bunu alarmla, akıllı bir şekilde işletmenin önüne koyduğunuz zaman atak içeride olgunlaşmadan olayları gerçek zamanlı görerek daha proaktif çözümler üretebilirsiniz.


Böyle bir süreç içerisinde işletmeler, Endüstri 4.0’ın en başında o projeyle beraber bu siber güvenlik platformlarını kullandıkları zaman çok mutlak görünürlük elde ediyorlar. Biz de bu görünürlük sayesinde de onlara çok ciddi destek sağlayabiliyoruz. Çünkü biz de böyle bir yazılıma ihtiyaç duyuyoruz. Bu da oldukça önemli. Bizim buradaki bir artımız da şu. Üzerimizde yapay zekâyla güçlendirilmiş Machine Learning teknolojisi var. Yani buradaki gördüğünüz fuardaki birçok üreticinin IOT cihazları, endüstriyel network cihazlarının, otomasyon cihazlarının hepsini tanıyabiliyoruz. Hepsiyle ilgili arka tarafta çok gelişmiş bir anlaşmalarımız var ve onların sonuçta çalıştırdığı bu sistemlerin de firewalllarının bazı güvenlik açıkları var. Bunları da biz sizinle paylaşarak size aynı zamanda hem tesisinize dışarıdan gelecek olan risklerle hem de üretimde kullandığınız üreticilerin yazılımlarının güvenliğinde eş zamanlı bizden öğrenerek,  iki taraflı kontrol ederek işletmenizin bu anlamda sağlamlığını, güvenlik sağlamlığını da ölçmüş oluyorsunuz. Bize de bu anlamda burada bulunan birçok üretici de gelerek kendi PLC sistemlerinde, kendi otomasyon yazılımlarında SCADAfence yazılımını birlikte çalıştırmayı öneriyorlar. Biz buna çok açığız ve onlarla güzel projeler yapıyoruz. Bu anlamda da hani oldukça başarılıyız ve globalde de ses getiren bir üreticiyiz ve bize bu anlamda bir ödül vermişlerdi geçen sene. 2021 senesinin en iyi SCADA güvenlik çözümü seçilmiştik.  Bu sene de geçen hafta bu ödülü tekrar ettik. Bu anlamda global anlamda böyle bir ödül almakta oldukça önemli bir başarı ve altı kıtada çok ciddi anlamda bu hizmeti sunuyoruz. Biz de global distribütör olarak dünyanın birçok yerinde değişik projelere dokunabiliyoruz.

Çok farklı fabrika ortamları, aynı anda hem üretim yaparken hem de bu işin farklı işlerini yapan işletmeler bize gelerek böyle bir projeyi merkezden nasıl yöneteceklerine kadar birçok konuda birlikte çalışabiliyoruz. Otomasyon firmaları geliyor. Çeşitli sektörlerin otomasyonunu yapan, enerji otomasyonu yapan, çimento otomasyonu yapan, proses otomasyonu yapan birçok işletme bize gelerek otomasyon firmaları böyle bir iş ortaklığı öneriyorlar.

Bunları hep açık bir şekilde onlarla beraber ihalelerine giriyoruz ve şartnamelerindeki siber güvenlik konularını irdeliyoruz. Bu sayede onlara da yardımcı olarak hem üretim ortamlarını kurarken hem de siber güvenlik tarafını yükseltmelerini sağlayarak işletmenin bu alanda güvenliğini sağlamaya çalışıyoruz. Şimdi bu üçlü az önce bahsettiğim GARLAND, SCADAfence ve SafeBreach üçlüsünü sıralı bir şekilde koyduktan sonra biz aslında periyodik olarak tesislerdeki bu süreçleri devam ettirebiliyoruz. Yani bizim iş ortaklarımız var. Yarın da bununla ilgili bir panelimiz olacak. O iş ortaklarımızla beraber bu müşterilerimize düzenli giderek oradaki günlük ya da haftalık ya da aylık raporları inceleyerek bir siber istihbarat analizi yaparak yaşadıkları bir konu varsa, bir olay olmuşsa onu incelemelerini sağlıyoruz. O forensic analizi dediğimiz kriminal analizleri yaparak bu atak nasıl girmiş,  içeride nasıl bir etkisi olmuş,  geriye dönük bu atağı inceleyerek atağın ayak izlerini takip ederek bu atağın bir daha olmaması için nasıl önlemler alması gerektiğini de destekleyerek onları bilinçlendiriyoruz. Bu da önemli bir konu.


Çünkü biz sürekli bir kamera gibi kaydettiğimiz için hani atak sonuçta gerçekleşse bile mutlaka onun bir ayak izleri vardır. Biz o ayak izlerini sakladığımız için oradan yola çıkarak bu atağın nasıl gerçekleştiğini tespit edebiliyoruz.

Bu da önemli bir istihbarat sağladığı için de bir daha bu atakla karşılaşmamaları anlamında da önemli bir çözüm sunmuş oluyoruz. Baktığınız zaman örnek vaka çalışmaları içerisinde Türkiye'de biz Vestel'i yaptık. Vestel bu anlamda bizim çok önemli bir referansımız. Üç mega fabrikasında şu an yaklaşık on sekiz bin otomasyon IT’sini izlediğimizi düşünürseniz, sürekli 7/24 çalışan bu işletmenin içerisindeki her olayı sentezliyoruz.

Her olay bizim için bir istihbarat olarak önümüze geliyor ve bir ataksa bu hemen hızlı bir şekilde proaktif yaklaşımlarla bu atak büyümeden bunu durdurmak çok önemli. Bunun yanında geçtiğimiz senelerde tamamladığımız Coşkun Öz holdingdeki önemli bir dijitalleşme projesinde hem danışmanlık verdik hem de akabinde oradaki otomotiv sektörünün içerisindeki farklı lokasyonlardaki, farklı ülkelerindeki fabrikalarının dijitalleşme projesini tamamladık.

Otomotiv sektöründe de otomasyon çok geniş ve tamamen az insanla çok iş yaptığınız bir ortam. Buralarda kesinlikle böyle proaktif bir çözüme ihtiyaç duyuluyor ve olaylar büyümeden bunu yakalamak çok kıymetli. Çünkü milyon dolarlık zararlar verebiliyor bu ataklar. Yani karşımızdaki insanları bizim kadar yetenekli ve gelişmiş olduğunu düşünmenizi söylemek istiyorum. Çünkü sizi hedef alıyorlarsa bize bir fidye atak yapmak istiyorsa kesinlikle bunu bir günlük, iki günlük bir atak olarak düşünmeyin. Sizi aylarca izliyorlar. Aylarca sizi sentezliyorlar ve ne zaman etkili bir saldırı yapacaklarına karar verdiklerinde aslında iş işten geçmiş oluyor. Çünkü siz reaktif bir şekilde ya bir sabotaja uğruyorsunuz ya bir proses buldurmayla karşılaşıyorsunuz ya da ciddi bir veri hırsızlığıyla karşılaşıyorsunuz. İşte biz bu Mitre atak dediğimiz on bir adımlık atak vektörlerini adımlarını size göstererek içeride bir atak varsa da atağın hangi aşamaya geldiğini görmenizi sağlıyoruz. Böylece siz ne kadar önden o atakla mücadele etmeye başlarsanız o atak içeride o kadar az etki yaratacaktır.

ilginizi çekebilir : Hassasiyet & Sadakat ile Yiyecek & İçecek Sektörlerinin Güvenliğini Sağlama

Evet, bir etkisi olacaktır mutlaka ama etki büyümeden durdurmak da bence şu dönemde önemli bir savunma mekanizması. Yarın da bunu bizzat tatbik etmiş değerli katılımcılarla bir panel düzenleyeceğiz. Onların ağzından da eminim ki benzer cümleler duyacaksınız. Çünkü herkes üretimine çok önem veriyor. Üretiminin bir dakika kesilmemesi için çok ciddi yatırımlar yapıyor, çok önemli modernizasyon girişimleri var. Sürekli bir hareket halinde hatlarını modernize ediyorlar.

Sürekli yeni yatırımlar yaparken siber güvenlik algısı da yükselmeye başladı. Çünkü bu ataklar artık sizi, otomasyonunuzu hedef alıyor. Çünkü burada ciddi bir üretim olduğunu düşünerek para olduğunu düşünüyorlar ve burayı hedefliyorlar. Çünkü burası savunmasız bir yer. Yani şöyle düşünün. Sizin makinenizde çok gelişmiş anti virüs yazılımı varken, çok gelişmiş güvenlik çözümleri çalışıyorken otomasyondaki sistemlerin üzerinde hiçbir şey yok.

Yani buraya bir şekilde ulaşırsa içeride çok etkili olacağını bildiği için buraya çok ciddi mesai harcıyorlar ve aslında sizi hedef bir müşteri olarak görüp size hedef saldırı yapıyorlar ve sizi ele geçirdikleri zaman da maalesef hani talep ettikleri paralar çok ciddi seviyelerde oluyor. O sebeple biz proaktiviteyi öneriyoruz. Mutlaka bir adım önde olun.O atakları daha önceden sentezleyebilecek bu tarz çözümleri işletmenize koyun ki böyle bir olayla karşılaştığınız zaman hem hızlı bir şekilde mücadele edebiliyor olun hem de bu atağı daha önceden yaşamış tatbikatını yapmış olarak ekiplerinizin de böyle bir disipline geçerek bu atakla nasıl mücadele edeceğini de önden bilinçli bir şekilde yapmalarını sağlamış oluyorsunuz.

Biz bu konsepti işlerken de IT-OT segmentasyon tarafında kullandığınız firewallları da bünyemizde entegre edebiliyoruz. Onları da disipline etmenize yardımcı oluyoruz ve kurallarınızı yazarken daha gerçekçi kurallar yazıyorsunuz. Yani daha geniş kurallar yazmak bir firewall disiplini için iyi bir şey değildir. Daha kısıtlayıcı, daha gerçekçi sos ve destination bazında hangi iletişimi açacaksanız, sadece onlara izin vermeniz yeterli olması gerekirken bilmediğimiz, görmediğiniz bir otomasyon networküne doğru erişimlerini açarken geniş kurallar yazmayı tavsiye etmiyoruz. O zaten hala sizi güvensiz kılıyor. İşte firewall entegrasyonunu yaparken de aslında öncesinde sizin bir referansa ihtiyacınız var. SCADAfence çözümü de bu anlamda ciddi bir referans sağlıyor ve görmediklerinizi görmenizi sağlayarak size aslında çok ciddi bir hız katıyor. Siz işletmenizi kademeli bir şekilde zamanla seviye sistemleri bazında seviye üç, seviye iki, seviye bir ve seviye sıfır dediğimiz en aşağı katmanlara kadar inerek net bir görünürlük elde ediyorsunuz.

Biz mesela Vestel'de ya da Coşkun Öz'de bir anda bütün projeyi her katmana uygulamadık. Kademeli bir şekilde yaptık bunu. Seviye üçten başladık. Sonra seviye ikiye indik. Seviye üçle seviye ikiyi belli bir süre izledik. Oradaki tüm trafik paternlerini gördükten sonra ve artık içimize sindikten sonra seviye bire doğru iniyorsunuz. Şimdi seviye bir daha da karmaşık. Yani daha çok endüstriyel cihazın, daha çok IoT'nin haberleştiği PRS'lerin daha yoğun olduğu bir networkü siz dışarıdan bir gözle uzman gözüyle yönetemezsiniz.

Mutlaka burada bir akıllı bir çözüm ihtiyacı doğuyor ve biz de bu akıllı çözüm sayesinde SCADAfence ve GARLAND’ın TAP çözümlerini kullanarak aslında bir siber istihbarat sağlıyoruz. Yani otomasyonunuzda gerçekten bir görünürlük elde etmek istiyorsanız bu tarz çözümleri kullanmanız ve bu altyapılarınızı modernize ederken de bu planlamayı da dâhil etmenizi öneriyorum. Akabinde de iş sisteminizi kurduktan sonra da mutlaka tatbikat yapmalısınız. Yani otomasyonumuz kapalı deyip izole deyip düşünmeyin. Düşünmediklerinizden sizi yakalayarak ele geçiriyorlar.

O yüzden mutlaka bu tarz BAS platformlarını, ortamlarınızda simülasyon anlamında yılda bir kez penetrasyon olarak da kastetmiyorum. Sürekli izlemeniz ve tatbikat yapmanız lazım. Çünkü bu ataklar sürekli kendini geliştiriyor. Siz bugün bir atak rektörünü belki yakaladınız ama onun türevini bilmiyorsunuz. O türevi sizi gelip bulduğu zaman tamamen ilk defa karşılaştığınız bir atak yöntemi olacağı için de maalesef reaktif duruma düşeceksiniz. O yüzden bu işi bir platform içerisinde siber saldırı anlamında simülasyonunu yapan SafeBreach platformu üzerinden otomasyonunuza atak simülasyonları yapmanız çok kıymetli. Ben bu anlamda bu üçlüyü bir yol haritası olarak önünüze koymanızı ve bu üçlüyü takip etmenizi öneriyorum.

Çünkü biz bunu çok uzun zamandır işletmelerde kullanıyoruz ve çok ciddi başarı elde ettik. Güvenlik algısı oldukça yükseldiği firmalarda ve onlar da yarın burada gelip başarı hikâyelerinden bahsediyor olacak ve 5G ile de sonuçta bu saldırı yüzeyi hızlandığı için daha az bir Latency çok hızlı veri aktarımı olduğunu düşünürseniz, çok büyük bir Big Data oluşacak. Şimdi bu Big Data içerisinde de güvenlik mutlaka önemli hale geliyor ve sizin bu güvenlik tarafını mutlaka irdelemeniz lazım. Çünkü karşınızdaki insanlar da çok sofistike insanlar. Onlar da kendilerini geliştiriyorlar.

Yani biz ne kadar kendimizi geliştirsek de onlar da kendilerini geliştiriyorlar ve değişik ataklarla işletmemize saldırıyorlar. Ben ocak ayından beri bizzat yedi sekiz tane endüstriyel tesisin siber saldırılarıyla bizzat ilgilendim. Bizi atak anında arayanlar oldu. Atak olgunlaşmış ve fidye atak talep ettiklerinde de bizi aradılar. Biz tabii ki onlara da yardımcı oluyoruz ama garanti veremiyoruz. Çünkü fidye ataklar çok gelişmiş olabiliyor. Her fidye atağı mutlaka Reverse Engineering yapabileceğimizin bir garantisi yok ama yapmak anlamında da bir takım kendimizce yöntemlerimiz var ama başarılı olabildiğimiz oluyor, olamadığımız oluyor.

Sonuçta bu süre zarfında maalesef ki üretimler duruyor. İşte biz bunu istemiyoruz. O yüzden yatırımlarınızı önceden bu konuda planlamalısınız ve işletmenizde siber güvenlik konusunu mutlaka dikkatli bir şekilde irdelemeniz lazım. İşletmenizi zenginleştiriyorsunuz. Çok farklı IoT cihazlarını, yazılımları aslında TCP IP dediğimiz network temelleriyle buluşturarak aslında bizim IT'de yaptığımız yöntemlerin artık otomasyonda yapmaya başlıyorsunuz ki bu IT atakları zaten biliniyordu. IT'den doğru ataklar, yanan hareketlerle otomasyona inebiliyor. Mesela bir faks serverınız bir ne bileyim e-mail serverınız gibi içeride IT'de kullandığınız bir cihazın yazılım güvenlik açığından bile otomasyonunuza gelebiliyorlar.

Yani bu kadar yöntem içerisinden hangi birini kontrol edebileceğinizi düşünerek aslında bunları sistematik bir şekilde ben izlemenizi öneriyorum. Bu da sizi proaktif anlamda çok güçlü kılacaktır diyerek sunumu tamamlıyorum.