OT ve BT kritik alt yapılarda yeni nesil merkezi siber istihbarat toplama ve siber güvenlik analizi.

Sunumumuz iki bölümden oluşmakta, ilk bölümde Garland Teknoloji ve SCADAfence çözümünden kısaca bahsedeceğiz.

Garland Teknoloji BT ve OT kritik alt yapılarda görünürlük sağlayan ve kritik alt yapılardaki önemli noktaların trafiklerini toplamak ve görünürlük elde etmek için çalışan global bir üretici ve dünya genelinde 100’den fazla satış firmasıyla ve Türkiye'de biz OTD Bilişim olarak bu konuda yetkili distribütör olarak çalışmaktayız.

Garland Teknoloji aslında endüstriyel kontrol sistemleri gibi IT’deki kritik alt yapılardaki hassas trafikleri daha önce inemediğimiz göremediğimiz bu trafikleri yakalamak için analiz etmek için bir paket görünürlük teknolojisidir.

İlginiz çekebilir :

Garland tanıtım video : IACS / BT -OT Kritik Ortamlarda 360 ° Paket Görünürlüğü

Garland tanıtım video : BT & OT Kritik Altyapı Görünürlülük

Garland tanıtım video : Neden Garland

Tesislerdeki otomasyon trafiklerinizde çok ciddi trafik paternleri dolaşıyor. Yıllarca kapalı kalmış bu sistemleri izlemek çok önemli. Bu trafikleri açığa çıkarmak için ve endüstri 4-0 ile BT ile zenginleştirmiş olduğumuz bu alt yapıları görünür hale getirmek için bu tarafta bir çözüm ihtiyacı var. Network switchleri ile araya giremediğimiz izleyemediğimiz kritik ve hassas noktalarda TAP çözümleriyle basit bir aynalama teknolojisi kullanarak trafiği dışarı çıkartıyoruz. Buradan gelen trafik paternleri de daha yukarı seviyedeki network paket brokarlarımıza göndererek işletmenin kullanmış olduğun mevcut güvenlik cihazlarınıza ve monitoring cihazlarına siber istihbarat zenginliği sağlıyoruz. Aslında biz sahadan daha önce trafik paternlerini alamadığınız zorlandığınız yerlerde çok basit bir yöntemle hiçbir trafiği kesmeden ve oradaki iş akışını bozmadan çok derinlemesine paket analizi yapmanızı hızlandıran bir TAP çözüm üreticisiyiz.

Global üretici olarak 3000’den fazla globalde müşteriye bu çözümleri sunabiliyoruz. Bu anlamda bizim önemli özelliklerimizden bir tanesi de bu trafikleri monitör etmek için bir çaba içine girerken aslında güvenlik açığı da oluşturmamak gerekiyor.

Network'un içerisindeki switch’lerden birtakım trafikleri, örneğin span trafikleri dışarı almak gibi bir gaye içerisinde olduğunuz zaman, bu noktada çift yönlü trafik akışı olursa, bu tarz güvenlik cihazları ister istemez bir şekilde ele geçirilirse bu cihazlar üzerinden size ters yönlü bir trafik gelebilir. Biz de bunu dikkate alarak bu TAP çözümlerimizde data diyot mantığını geliştirerek aslında güvenli bir paket görünürlük hizmeti sağlıyoruz. Her çeşit hızda ve medyaya uygun hem private cloud tabanlı hem on-prem’deki trafik paternlerinizi görmek aynı zamanda otomasyon trafiklerinizdeki seviye 0 seviye 1 seviye 2 alt yapılarındaki kritik trafiklerinizi görmek açısından çeşitli TAP çözümlerimizin çeşitli portföyleri var. Virtual TAPlarımız var. Bu Virtual TAPlarla siz sanallaştırma platformlarınızdaki yatay networkü'lerinizi yakalayabiliyorsunuz. Ve hiçbir paketi kaybetmiyorsunuz %100 bir görünürlük sağlıyorsunuz. Çünkü göremediğinizi güvence altına alamazsınız mantığından yola çıkarak biz önce görünürlük diyoruz.

Görmeye başladıktan sonra bu trafikleri yukarıdaki IDS çözümlerinize farklı güvenlik çözümlerinize eş zamanlı göndererek istediğiniz trafik paternine göre o cihazları besleyebiliyorsunuz böylece siber istihbarat ağınızı zenginleştirmeye başlıyorsunuz. Görmeye başladıktan sonra aslında yeteneklerimiz daha da kullanışlı hale geliyor.

İlginizi çekebilir Makale : Colonial Pipeline Boru Hattı saldırısı

Bu anlamda sahadaki bu trafikleri topladıktan sonra bunların bir analizi gerekiyor. Biz de bu anlamda SCADAfence ile bu siber istihbarat analizini yapıyoruz.

SCADAfence siber güvenlik platformu olarak geçiyor. Hem otomasyon hem de BT alt yapılarındaki kritik trafiklerinizi SCADAfence platformunda gerçek zamanlı olarak izleyebiliyoruz ve gerçek zamanlı bir siber istihbarat elde ederek buradaki trafiklerinizi gerçek zamanlı detaylı bir şekilde inceleme şansınız oluyor. Öncelikle başlama noktamız otomasyon networkünüzün envanterinizi çıkartıyoruz. Envanterinizi çıkardıktan sonra risklerinizi göstermeye başlıyoruz. Bu riskler çok çeşitli olabiliyor. Anlık risklerinizi görme şansınız olduğu gibi sürekli izleme yaparak bu risklerinizi daha görünür hale getiriyorsunuz.

İlginizi çekebilir :

SCADAfence tanıtım video : Neden SCADAfence

SCADAfence tanıtım video : OT Güvenliği SCADA Protokollerini Anlamakla Başlar!

SCADAfence tanıtım video : SCADAfence; Hizmet Verilen Sektörler

Aslında biz nasıl fiziksel güvenlik önlemlerimizi almak için bir kamera koyarak 7/24 tesislerimizi izliyorsak, otomasyon networklerimizi'de ve BT'deki kritik altyapı trafiklerimizi de aslında; bir kamera gibi TAP çözümleriyle paketleri toplayarak yukarıdaki IDS sistemlerine bu paketleri aktararak 7/24 gerçek zamanlı izleme şansına sahip oluyoruz.

Biz bir şeyi kesmiyoruz, bir şeyi direk kesme yetimiz de yok. Çünkü bu tarz kritik ortamlarda siz bu proses zincirinin detayına inmeden oradaki trafik paternlerinin gerçek bir şüpheli aktivite olup olmadığını net olarak anlayamazsınız.

O sebeple Scadafence üzerindeki gelişmiş algoritmalar sayesinde gerçek zamanlı olarak bu trafiklerin değerlendirmesini yaparak riski skorluyoruz.

Siz bu elde ettiğiniz risk paternlerine göre karar veriyorsunuz ve ilgili güvenlik cihazlarınız ile bizi entegre ederek bu olayları kesmeye başlıyorsunuz.

İlginizi çekebilir :  Bina Yönetim Sistemlerine (BYS) Yönelik  Saldırılar

Bu anlamda hem SCADAfence hem de Garland Teknoloji’yi bütünleşmiş bir şekilde kullanmaya başladık. 2018’den beri oldukça güzel projelerle bu işi yapmaya başladık. İlk projemizi Vestel ile gerçekleştirdik. Vestel ile gerçekleştirdiğimiz bu projeden sonra da Coşkunöz Holding’de bu projemizi tamamladık ve Vedat bey bizimle bu projenin çıktılarını paylaşıyor olacak. Biraz pozisyonunuzdan ve şirketinizden kısaca bahseder misiniz? Coşkunöz Holding 70 yılın daha üzerinde bir süre önce Bursa’dan aslında yolculuğuna başlayan ve daha çok üretim sektörlerinde şirketleri olan şu anda 7 sektör 12 şirket ve 3000’e yakın çalışanla yolculuğuna devam eden bir şirket. Son 5 yıldır CITS ismiyle grubun teknoloji şirketi, bilişim teknoloji şirketinde görev yapıyorum.

Görevim, BT Altyapılarında Sistem ve Servis Yöneticiliği ve bunun yanında bir ar-ge merkezimiz var ar-ge merkezimizde özellikle endüstriyel kuruluşlara yönelik dijital dönüşüm çözümleri ve projeleri gerçekleştiriyoruz ve müşterilerimize sunuyoruz.

Bunlarla değer katmaya çalışıyoruz BT sektörüne ve kendi grubumuza.

Endüstri 4.0 dijitalleşme sürecinde BT VE OT kritik alt yapılarınızda ne gibi sorunlar ve riskler olduğunu düşünerek SCADAfence ve Garland Teknoloji’ye ulaştınız?

SCADAfence şirketinizde hangi sorunlarınıza odaklandı?

Garland şirketinizde hangi sorunlarınıza odaklandı?

Tabii BT yöneticisi olarak data center’larımızı, bulut ortamlarımızı kullanıcı lerimizi aslında uçtan uca bir şekilde yönetebiliyoruz, izleyebiliyoruz, planlıyoruz.

Her yıl siber güvenlik BT tarafında da her yıl daha da zorlaşıyor şüphesiz ama uçtan uca yönetebiliyoruz. Veya bir incident olduğunda da yedekleme çözümlerimiz var, iş güvenliği çözümlerimiz var redundancy var dolayısıyla bu bize bir öz güven sağlıyor Fakat OT tarafına baktığımızda tablo değişik ve çok daha ürkütücü Biz geçmişte bir strateji koymuştuk ve belirli bir yıla kadar işe yaradı. BT ve OT bir firewall ile ayır, çok katı kurallar koy ve de segmentasyon yap, OT Network'lerini segmente et, bu şekilde riskini düşür. Sonra ne oldu tabii entegrasyon ihtiyaçları arttı dışarıdan ben bu cihazlara erişeyim OT cihazlarına veya ERP ile artık entegre edelim orada yeni sensörler ilave edelim verileri toplayalım, bir big data alt yapımızı oluşturalım, değişik projelere girelim, üreticiler kendi ekipmanlarına bakım için bağlanabilsin gibi talepler bizim bu kuralları gevşetme zorunluluğu getirdi böyle olunca da risklerimiz arttı. Bazı BT’deki yönetici arkadaşlar şunu soruyor bize diyorlar ki biz OT Networkü'nde ekipmanları biz kurmadık, biz yönetmiyoruz ama buradan biz mi sorumluyuz. Ben de şunu söylüyorum bir siber olay - ihlal olduğunda kimi çağıracaklar başka biri var mı?  YOK.  Bu adaletsizlik olarak algılanabilir ama işin gerçeği bu maalesef. Dolayısıyla öncelikle OT tarafına bakış için bir strateji belirlemek buradaki rolleri sorumlulukları belirlemek evet burada farklı vendorler var. Mesela bizim networkü'müzde yüzlerce ağ cihazı var.  BT tarafında sadece 2 markayı görürsünüz ama OT tarafına geçtiğimizde bir endüstriyel switch olarak sadece 1 tesisimizde 810 değişik markanın varlığını tespit ettik.  Öncesinde bunun farkında değildik çünkü o envanter biz de yoktu. Yönetmeniz için önce izlemeniz lazım. Bunu sağlayamıyorduk ve bunun adımlarını nasıl atarız diye düşünürken üzerine de Coşkunöz Holding çok vizyoner bir şekilde kod 2025 adıyla dijital dönüşüm hareketi başlattı, tüm tesis ve şirketlerinde. Burada tabii değer yaratacak olan projeler üretim alanındaki projeler.Bu ne demek, daha fazla IoT cihaz, daha fazla entegrasyon, daha artan trafik. Eskiden trafiğin yoğunluğu düşüktü.

Sadece endüstriyel trafik, çok fazla efor harcamıyorken, şimdi korelasyon yaparak çok sayıda verinin aslında anlamlaştırılması için bir araya getirilmesi veri analitiği için elzem hale geldi, bunu nasıl yapacaksınız bazen bir video görüntüsü bile üretimde çok şey ifade ediyor bunları da online akıtabilmek, yeni bir alt yapıda da iyileşme gerektirdi dolayısıyla biz burada da yol aldık. İşin siber güvenliği tarafında SCADAfence ile yollarımız buluştu. SCADAfence özellikle OT networkümüzün keşfi konusunda önümüzü açtı sonra da Garland projeye dahil oldu.

İlginizi çekebilir: SCADA Güvenliği

Aslında Garland teknoloji şu şekilde devreye girdi diyebilir miyiz?

Seviye 3 ve seviye 2 deki TCP/IP haberleşmelerini switch üzerinden aldıktan sonra aslında daha da aşağıya inmek istediğinizde birtakım zorluklar başladı çünkü burası normal yönetebileceğiniz bir network değil. Çok farklı protokollerin çalıştığı bir ortam olduğu için Garland aslında burada isabetli bir tercih oldu.

Önceki yıllarda tabii bu endüstriyel protokoller bizim çok da yönetme anlamında insiyatifimiz dışında olan şeylerdi. İçeride bakımcı, otomasyoncu diye tabir ettiğimiz arkadaşlarımızın destek ihtiyaçlarını karşılıyorduk.

Artık burada siber tehditler var ve onlarla ilgili birtakım güvenlik açıkları var. Bunları keşfettikçe durum daha da vahim bir hale geliyor. Bu anlamda Garland TAP çözümleri sayesinde daha alt seviyelerdeki cihazları ve buradaki network topolojilerini görüyoruz , değişik protokoller görüyoruz bunların yatayda da izlenmesi için bize bir kapı açtı.

Level 2’deki network bu anlamda çok geniş ve fabrika otomasyon içerisinde trafiklerin hepsi firewall’a çıkmıyor buradaki trafik paternlerini yakalamak için bu çözümler hayatımızı kolaylaştırıyor.

Aynen bazen belli bir ekipman için USB ile getirilen bir dosya risk oluşturabiliyor. Biz bir tesiste fark ettik bakım için bir Gsm modem koymuş firma ve gitmiş kimsenin haberi de yok. Bu nedir diye sorguladığımızda “ Sizin için bir arka kapı olduğunu bir güvenlik riskinin olduğunun biz farkında değildik “ gibi cevaplar alabiliyoruz.

Bir diğer sıkıntı da tabii OT networkü'nde güncellemelerin yapılma şansı daha zor. Bazen bir işletim sistemini      yenileyelim dediğimizde birkaç bin dolarlık donanım yatırımının yanında on binlerce dolarlık yazılım gereksinimleri ve yenileme projelerine dönüşüyor. Bunlarla karşılaşıyorsunuz. Bazen mümkün olabiliyor bazen mümkün olamıyor, o zaman bu riskle nasıl yaşayacaksınız, gözlemleyerek izleyerek ve zamanında önlemlerinizi alarak ancak yaşayabilirsiniz.

Projeniz kaç tesisinizi kapsıyor? Bu anlamda ne gibi ön hazırlıklar yaptınız? Az önce bahsettiniz ama kısaca tekrar alalım ve son olarak da kaç yıldır SCADAfence ve Garland ile iş birliği içerisindesiniz kısaca değinir misiniz?

Projemizi biz 6 tesisimizde bunların dördü Bursa’da biri Eskişehir’de biri de Rusya'da eş zamanlı olarak neredeyse devreye aldık diyebilirim.

Aslında bir süreç gerektirdi, merkezi bir şekilde hepsini yönetebiliyoruz.  Tabii bu süreçlere baktığımızda, ilk günlerde ki kazanımımız hemen OT dünyasında ne var,  bu ekipmanların online envanterine sahip olduk.

Dikeydeki trafiği hemen izleyebilir hale geldik. Sonra Garland ürünlerini de konumlandırarak daha alt seviyelerde bu yatay izlenebilirliği de aşama aşama elde ettik.

Konuyu özetlemek gerekirse özetle şunu söyleyebilirmisiniz Vedat Bey ?

Coşkunöz Holding’in tesislerinde ilk başta görünmeyen noktaları kör noktaları daha belirgin hale getirerek gerçek zamanlı tespitler yaparak trafik paternlerinizi çok net bir şekilde görerek hem BT tarafında hem de OT tarafında bu ürünleri kullanarak aslında amacınıza ulaştınız vee günün sonunda merkezden bu lokasyonlarınızı bu siber istihbaratınızı hem topluyorsunuz hem de SCADAfence ile gerçek zamanlı izleme şansına sahip olarak pro aktifliğiniz çok ciddi yükseldi, diyebilir miyiz?

Kesinlikle aslında bu tarz bir ürüne sahip olmasaydık bizim bunu keşfetmemiz bile yıllar alabilirdi. Kaldı ki üzerindeki CVE kod açıklıkları göstermesi, her an online olarak bir OT envanterine sahip olmak veya Scadafence ürünün bir yapay zekâ algoritması,  aslında sizi belli bir süre izleyip üretimdeki normal bir operasyonun base line’ını çıkarıyor ve sonrasında da bir anormallik tespitinde hemen sizi haberdar ediyor. Bu çok önemli bir özellik bence çünkü OT tarafındaki vakalar çok daha can yakıcı olabilir.

Bir CNC tezgâhınızı düşünün milyonlarca euroluk bir yatırımdır, bir cihazın içerisindeki gömülü (embedded) yazılım kitlendiğinde, günlerce üretiminizi durdurabilir.

Hatta seri üretimdeyseniz biliyorsunuz biz otomotiv sektöründe iddialıyız anlaşmalarımız gereği bir hattı durdurmanın çok çok ağır müeyyideleri var, bununla karşılaşmamak için gerekli önlemleri almak zorundayız ama yedekli bir yapı olmadığı için OT network'lerinde, siber güvenlik çözümüne kuvvetli bir şekilde sahip olmamıza yardımcı oldu SCADAfence ve Garland.

Sunum Video