Akıllı Endüstrilerin Yeni Nesil Siber Güvenliği -SCADAguardian-

Endüstriyel Kontrol Sistemlerine(EKS) yönelik siber saldırılar geleneksel siber saldırılardan farklı olarak IP’den farklı protokoller izler ve bilindik siber güvenlik çözümlerini etkisiz kılar. Çevrimiçi olan EKS sayısı arttıkça, siber güvenlik tehditlerine karşı savunma giderek zorlaşır hatta savunma yapılamayacak hale gelir. Yapısı gereği bu saldırıları tespit etmek, tekrar tasarlamak ve önlemek zor olduğundan bu probleme çözüm olarak Nozomi Networks devreye girmektedir.

Nozomi Networks’ün son teknoloji ürünü SCADAguardian, gerçek zamanlı ve otomatik olarak müşterilerinin endüstriyel ağı içindeki varlıklarını ve birbirleriyle olan bağlantılarını, topolojisi ile birlikte keşfedip benzersiz bir operasyonel görünürlük sağlar. Üstün öğrenme kapasitesi ile endüstriyel ağ içerisindeki proses ve güvenlik profillerini çıkarıp, sürekli olarak operasyonu ve varlıkları takip eder, bu da hızlı bir şekilde siber saldırıları ve kritik proses anomalilerini fark etme olanağı sağlamakla birlikte yüksek maliyetlere mal olabilecek gereksiz yere yapılan bakımları önler. 

SCADAguardian EKS ağınıza ile 4 temel noktada fayda sağlar;

1. Siber Güvenlik ve Operasyonel Faydalar

Bir anomali ve ihlali saptamak için yapılan yatırımlar, hem siber güvenlik hem de operasyonel faydalar ile birlikte otomasyon sistemlerini daha güvenilir hale getirir.

İki örnek ile SCADAguardian’ın nasıl kısa sürede fayda sağladığını kısaca görebiliriz:

İlk olarak, kötü niyetli bir bakım çalışanının, dizüstü bilgisayar ile bir trafo şebekesine bağlı olduğunu ve işlem ağına hedeflenmiş kötü amaçlı bir yazılım eklediğini düşünelim. Davetsiz misafir, Layer 2’de GOOSE paketlerini zararlı olacak şekilde yayar. Alıcı taraf yanlışlıkla güvenilir veya güvenli bir varlık tarafından gönderilen geçerli (doğru) paketleri aldığına inanır.

Bu senaryoda;

  • Dizüstü bilgisayarın ağa bağlantısı SCADAguardian tarafından gerçek zamanlı olarak tespit edilir.
  • GOOSE paket enjeksiyonu, uç noktaların durum analiziyle tanımlanır.
  • Yüksek seviyeli bir olay uyarısı, uygun operatörlere ve Security Operations Center (SOC – Güvenlik Operasyon Merkezi) personeline derhal gönderilir.
  • Personel, SCADAguardian‘dan elde edilen ağ diyagramları, varlık envanterleri ve işlem bilgilerini kullanarak olaya müdahale planını yürütür.
  • Olay sonrası, SCADAguardian EKS olay tekrarı ve arşivleme  (“Time Machine”) özelliğiyle analizleri hızlandırır.

İkinci olarak, operasyonel fayda için, bir trafo merkezi RTU ve bir kontrol merkezi SCADA arasındaki etkileşimlerde düzensizlikler olduğunu hayal edelim. SCADA ile mevcut denetim-sorun giderme araçları kurulum için zahmetlidir ve genellikle yapılandırılmamıştır. İzleme günlükleri gibi önemli bilgiler mevcut olmayabilir. Loglar (günlükler) mevcut olsa bile ürünler arasında farklılık gösterebilir, analiz ve yorum yapmakta zorlanılabilir.

Bu senaryoda SCADAguardian, IEC 60870-5-104 haberleşmelerinin hem ağ bağlantılarını, hem de işlem durumunu dikkate alan çok boyutlu bir yaklaşım kullanarak değerlendirir. Zaman ve değer ekseninde sinyalleşmenin geçmişini makine öğrenmesi ve yapay zeka teknikleri kullanarak kontrol eder, ve anlık olarak oluşabilecek sinyal dalgalanmalarını tespit ederek sorunun kaynağını bulur.

Arızalı ekipmanın bildirimi, operasyonel sürekliliğe katkıda bulunur ve daha az maliyetli, önleyici bakım için izin verir. İleriye dönük olarak bir organizasyon, olağanüstü maliyetli ya da uzun süreli bakımları önlemek ve tüm RTU’ları iyi çalışır durumda tutmak için SCADAguardian‘ın izleme panosundaki tanılama sorgusu kullanabilir.

2. Kontrol Sisteminin Çalışmasına Müdahale Etmez

Siber Güvenlik araçları IT dünyasında uzun süredir kullanılmaktadır, ancak bu tür araçlar endüstriyel kontrol ağlarının yüksek kullanılabilirlik gereksinimleri için uygun değildir. Bu IT araçları, genellikle ağ iletişimini bozabilecek ve düzgün işlem operasyonlarını tehdit edebilecek, üretim ve hatta güvenlik riskini artırabilecek tarama süreçlerini içerir. Bazı IT güvenlik çözümleri, operasyon veya güncellemeler(upgrade) esnasında kesinti gerektirip, operasyonel riski artırabilir.

SCADAguardian, endüstriyel sistemler için hiçbir risk taşımayan tamamen pasif bir çözümdür. Çeşitli donanım tabanlarına sahip olup , sanal cihaz modelleri de mevcuttur, ağ cihazlarına SPAN veya mirror portlar aracılığıyla bağlanır. Hiçbir ağ kesintisi veya bozulma olmadan müdahaleci olmayan bir şekilde yüklenir.

 

3. Minimum Yanlış Doğrulama ile İlişkisel Uyarılar Sağlar

Anomali ve ihlal algılama araçları, yanlış doğrulamalar üretebilir ve çok fazla uyarıyla insanların kafasını karıştırabilir. Çok fazla bilgi sağlanırsa, operatörlerin uygun zamanında verimli değerlendirme yapabilmeleri olası değildir.

SCADAguardian, bu kaygıları fiziksel sürecin doğru bir şekilde gösterilmesini sağlayarak ,tüm ağ cihazları, süreç değişkenlerini ve fazlar arasındaki korelasyon aşamalarını tanımlayarak giderir. Fiziksel sürecin bu içsel temsili temel olarak alındıktan sonra, ürün, sürecin her aşamasında, her bir aygıtın beklenen davranışının çok ayrıntılı profillerini oluşturur. Bu tür özel profillerde, yanlış uyarıların sayısı ve yapılan saptamaların yanlış olma olasılığı çok düşüktür. Önceden var olan anomaliler birleştirilebilir veya temizlenebilir ve bu yapıldığında hatalı algılama daha da azalır.

SCADAguardian‘ın önemli bir yeteneği de, uyarıları analiz etmesi ve bunları bağlam-farkındalık olaylarına dönüştürmesidir. Olaylar aynı zamanda düzenlenebilir bir gösterge panelinde gösterilebilir ve organizasyondaki önemli roller için yapılandırılabilir.

4. Siber Güvenlik Çözümleriyle Entegrasyon

Siber Güvenlik çözümleri, bir kuruluşun güvenlik altyapısıyla entegre olmazlarsa etkili olamazlar. Nozomi Networks’ün ürünleri, SIEM’ler, kullanıcı kimlik doğrulama dizinleri ve aktif güvenlik sistemleri gibi diğer teknolojilerle entegre olan EKS müdahale algılama ve pasif OT izlemesi sağlama için tasarlanmıştır. Örneğin, SCADAguardian hem Fortinet’in hem de Check Point’in kullanıcı tanımlı politikalarının ayrıntılı ve etkin bir şekilde uygulanabilmesi için güvenlik paketleriyle bütünleşir.

Daha fazlası için bizimle iletişime geçin. (mail link)

Leave a Reply

Your email address will not be published. Required fields are marked *