Bu yazımda, Endüstriyel sistemlerin penetrasyon testleri aşamasında da kullanabileceğiniz Endüstriyel kontrol sistemlerinde kendi bakış açımla olması gereken risk değerlendirme süreci adımlarını detayları ile birlikte sizlerle paylaşmaya çalışacağım. Araştırmaya başladığımda farklı bir çok risk değerlendirme süreçlerinin ve modellerinin olduğunu gözlemledim. Bu modellerin ortak olduğu noktalarda var fakat belirli aşamalardan sonra modeller farklılaşıyor. Bu yazımda önerdiğim risk methodolojisi herhangi bir standard modeli işaret etmemektedir, mevcut modelleri inceleyerek ve analiz ederek Endüstriyel kontrol sistemleri risk değerlendirme aşamalarında olması gereken adımları basitleştirdim ve tüm adımları içine alacak şekilde yeni bir çerçeve çizmeye çalıştım.

1. Basamak (Varlıkların Tanımlanması ve Sınıflandırılması)
Eski bir atasözü derki “Bilmediğiniz şeyleri koruyamazsınız”, Neyi koruduğunuzu bilmiyorsanız işiniz gerçekten zordur. Bu nedenle, ilk görevimiz bu basamakta değerlendirilecek sistemleri ve etrafındaki tüm fiziksel/mantıksal varlıkları tanımlamak olacaktır. Özetle, hangi varlıklara sahip olduğumuzu tanımlamamız gerekiyor ve bunların sınıflandırmasını yapmamız gerekiyor. Bu basamaktaki adımlarımızı inceleyelim;

1. Adım (İş ve Operasyon Hedeflerimizin Tanımlanması)

İş ve operasyon hedeflerini tanımlamak ve anlamak, bir riskin potansiyel olarak bir işletmeye olan etkilerini ve sonuçlarını anlamak için çok önemli bir adımdır. Bu nedenle, bu adım kendi risk ölçümlerinizi geliştirmek ve tanımladığınız riskleri puanlamak için bir temel niteliğindedir. Bu adımı daha iyi anlamak için sorulacak sorulara örnek verirsek:
– Bu iş nasıl bize gelir sağlar ve gelir sağlamak için hangi sistemler çok önemlidir ?
– Endüstriyel kontrol sistemlerini kullanarak şirketimiz ne üretiyor ?
– Kontrol sistemleri hangi iş süreçlerinde kullanıyor ve/veya iş süreçlerinde neleri otomatikleştiriyor ? Bunu desteklemek için süreç/otomasyon ortamında hangi sistemler kullanılıyor ? vb.
Bu ve benzeri soruları sorarak, hangi sistemlerin hedeflerine ulaşmada kritik olduğunu ve hangi sistemlerin ana sisteme yardımcı bir işlev sağlayabileceğini anlamaya başlarsınız. Daha sonra, bu sistemlerde bir sorun olduğunda veya çalışması durduğunda oluşabilecek bazı olası sonuçları görmeye başlarsınız. Hedeflerin belirlenmesi, işin yöneticileri, varlıkların sahipleri, fabrika müdürleri, mühendisler ve diğer paydaşlarla birlikte ortak bir görüşme sürecinde yapılmalıdır. Hedefler, onları destekleyen sistemlerle ve bu sistemlerde kaynaklanan potansiyel sorunların yol açağı sonuçlarla birlikte açık bir şekilde tanımlanmalıdır. Sonuçlar, üretim kaybı, gelir kaybı (para cezaları, yasal ücretler ve halkla ilişkiler de dahil) ve insan sağlığına ve güvenliğine etkisi bakımından incelenmelidir. Bazı sektörler için çevresel etki de düşünülebilir.

2. Adım (Sistemlerin Tanımlanması ve Sınıflandırılması)

İş ve operasyon hedeflerini tanımlamak için bir önceki adımın üzerine inşa edilen bu adım, öncelikle bu hedefleri karşılamak için gereken her sistemi tanımlamakta ve sınıflandırmakta, daha sonra bu sistemlerle ilişkilendirilebilecek potansiyel olayları ve sonuçları tanımlamaktadır. Bu adımda, sonuçların sistem hedeflerine göre sınıflandırılması ve önceliklendirilmesi amacıyla ortaya çıkan sonuçları iş hedefleriyle ilişkilendirirsiniz. (Başka bir deyişle, varlığın hasarlı, devre dışı kalması ya da kötüye kullanılması durumunda etkisi ne olur ?) Bu adım çok önemlidir çünkü; öncelikle en kritik riskleri ele alarak, kısıtlı siber güvenlik bütçemizi bu riskleri bertaraf etmeye odaklamak zorundayız.
Sistem tanımlanması ve sınıflandırması, geleneksel işletme bilgi teknolojileri risk değerlendirmesinde genellikle bir odak değildir, ancak özellikle risk azaltma stratejileri oluşturulurken ve risk senaryoları oluşturulurken Endüstriyel Kontrol Sistemleri risk değerlendirmesinde özellikle önemlidir. Geleneksel bir bilgi teknolojileri ortamında, bu adım genellikle bir sunucu veya iş istasyonu gibi bir “bilgisayar sistemini” tanımlamak için kullanılır. Fakat Endüstriyel Kontrol sistemlerinde, bu sistemler, Sağlık, Güvenlik ve Çevre (HSE) yönetim sistemi, Güvenlik Enstrümantasyon Sistemi (SIS), Denetleyici Kontrol ve Veri Toplama (SCADA) sistemi, vb. ortak bir amaç için birlikte çalışan bir grup ekipmanı, cihazı ve bilgisayarları ifade eder. Her sistem, genel Endüstriyel Kontrol sistemleri ortamında çok özel bir işleve sahiptir ve bu nedenle, potansiyel tehdit olayları ve sonuçları açısından risk senaryolarında sistem kritikliğinin belirlenmesinde özellikle önemlidir. Bu sistemleri doğru bir şekilde tanımlamak ve parçalara ayırmak için, bu sistemleri derinden anlamanız gerekir. Domain uzmanlığı ve saha tecrübesi gerektirdiği için Endüstriyel Kontrol Sistemleri uzmanı bir mühendis veya konunun uzmanı ile bu adımı gerçekleştirmeli ve değerlendirmelisiniz.

3. Adım (Varlıkların Tanımlanması)

Tüm varlıkları (donanım varlıkları ve yazılım gibi mantıksal varlıklar) mümkün olduğunca iyi tanımlamak kesinlikle çok önemlidir. Birçok kuruluş, özellikle büyük olanlar, doğru varlık stoklarına sahip değildir. Değerlendirmenin başlangıcında sizinle paylaşılan varlık listeleri sadece bir başlangıç noktası olarak düşünülmeli ve doğruluk için her zaman bu listeler doğrulanmalıdır. Envanter satın alma kayıtları, mevcut listeler, veri tabanları, varlık yönetim araçları,  güncel ve doğru ağ topolojisi şemaları, fiziksel olarak sistemlerin gezilerek (çok büyük ortamlarda bu mümkün olmayabilir) ve varlık keşif araçlarının kullanımı ile bu listeler doğrulanabilir ve gerekli bilgiler toplanabilir. Doğru ve güncel bir envanter oluşturmak, endüstriyel kontrol sistemlerinde genellikle bir zorluk alanı olmaya devam etmektedir. Bu adım risk değerlendirme süreci için gerekli bilgileri sağlamanın yanı sıra, listelerinizde bulunmayan ve güncel olmayan varlıklarınızın tanımlanmasında eksiklerinizi kapatmaya yardımcı olabilir.

4. Adım (Ağ Topolojisinin ve Veri Akışlarının İncelenmesi)

Ağ topolojisi şemaları sadece doğru bir şekilde varlıkların belirlenmesi için değil, aynı zamanda saldırı vektörlerinin tanımlanmasına katkıda bulunan iletişim yollarını ve veri akışını tanımlamak için de önemlidir. Bununla birlikte, veri akışı analizi, mevcut sorunları, riskleri ve kötü amaçlı yazılımların sisteme bulaşmalarını tanımlamaya da yardımcı olur. Doğru ve güncel ağ mimarisi şemaları mevcut değilse (çoğu zaman bu durumla karşılaşılır), bu adımda bu şemalar güncelenmeli ve yeniden oluşturulmalıdır. Daha önce de belirttiğim gibi, ağ topolojisi şemalarını güncel ve doğru envanter listeleriyle kontrol edilerek ve doğrulamak gerekir.
Ağ topolojisi şemaları sadece doğru bir şekilde varlıkların belirlenmesi için değil, aynı zamanda saldırı vektörlerinin tanımlanmasına katkıda bulunan iletişim yollarını ve veri akışını tanımlamak için de önemlidir. Veri akışı analizi, mevcut sorunları, riskleri ve kötü amaçlı yazılım bulaşmalarını tanımlamaya da yardımcı olabilir.
Ağ mimarisi şeması sürecini otomatikleştirmeye yardımcı olabilecek çeşitli araçlar mevcuttur, ancak bu işlemi endüstriyel kontrol sistemi ortamları için otomatikleştirmek için birkaç dezavantajı vardır. İlk dezavantajı, ağ keşfi için kullanılan geleneksel yöntemler genellikle değerlendirilmekte olan ağa sokulacak aktif ağ trafiğini etkilemektedir. İkincisi, bu araçların çoğu uzun süreli kullanım için tasarlanmıştır. Bu nedenle, kurulum ve yapılandırma süreci uzun ve karmaşık olabilir. Araç zaten yapılandırılmamışsa veya uzun vadede kullanmayı planlamıyorsanız, muhtemelen, endüstriyel kontrol sistemleri ağının risk değerlendirmesinin bu adımı için kullanacağı zaman, çaba ve potansiyel etkiyi dikkate almak gerekir. Bu ticari uygulamaların çoğu, değişken derecelere kadar ağ diyagramları oluşturmanıza yardımcı olan özellikleri içerir.

5. Adım (Risk Önizlemesinin Yapılması)

Her bir varlık, hatta sistem hakkında tam bir risk değerlendirmesi yapmak bazen gereksiz vakit kayıplarına neden olabilir. Sadece ön elemeden geçmiş bir alt kümenin değerlendirilmesi tüm proje boyunca zaman ve maliyet tasarrufu sağlar. Risk ön izlemesi, bunu başarmaya yardımcı olur. Her sistem veya varlık önceliklendirilmekte ve daha önce tesis edilmiş olan “sistem kritikliği” derecesine göre değerlendirilmektedir. Bu derece yüksek, orta veya düşük niteliksel bir derecelendirmedir. Düşük riskli varlıklar, tam risk değerlendirmesinden önce tamamen ertelenebilir veya ortadan kaldırılabilirken, orta ve yüksek oranlı varlıklar değerlendirme sürecine alınmalıdır. Bu adımdaki örnekleri ve şablonları, NIST SP 800-53’te ve FIPS 199 dokümanlarında bulabilirsiniz. Ayrıca ABD İç Güvenlik Bakanlığı (https://cset.inl.gov/SitePages/Home.aspx) tarafından geliştirilen Siber Güvenlik Değerlendirme Aracı (CSET) bu süreci basitleştirmeye ve otomatikleştirmeye yardımcı olur.

2. Basamak (Güvenlik Açıklarının Tanımlanması ve Tehdit Modellemesi
Endüstriyel Kontrol Sistemleri risk değerlendirme sürecinin bu basamağında, bunları kullanabilecek güvenlik açıklarını ve potansiyel tehdit kaynaklarını tanımlamanız ve tehdit kaynağının bunu kullanabileceği olası saldırı ve kötüye kullanma yöntemlerini tanımlamanız gerekir. Bu korelasyon süreci, tehdit modellemesi sırasında da gerçekleştirilir ve en nihayetinde uygulanabilir risk senaryosusuna dönüşür.

6. Adım (Güvenlik Politikalarının Değerlendirilmesi)

Çoğu kurum ve kuruluşun bir dereceye kadar siber güvenlik politikası vardır. Bu politika, güvenlik duruşlarının temelidir. Çoğu durumda, yerel politika ortak siber güvenlik standartlarına dayanmaktadır. Bu nedenle, kuruluşun bu standartlardan hangisine uyulması gerektiğini çok iyi anlamak gerekir. Ayrıca, bu politikalarda mevcut olan boşluklar için de geçerlidir; politikanın temel aldığı standartlara uymama veya kurumun kendi politikasına uymaması nedeniyle kurum içi uyumsuzluk olup olmadığına bakmak gerekir. Güvenlik politikaları ve prosedürleri gözden geçirilmeli ve doğrulanmalıdır. Güvenlik politikaları yoksa, bunlar oluşturulmalıdır. NIST SP 800-82’de iyi bir temel güvenlik politikası ve prosedürlerini detaylı olarak bulabilirsiniz.

7. Adım (Kontrol Analizleri, Standartların Denetimi, GAP Analizi)

Bu adım, endüstri standartlarına ve gereksinimlerine göre belirlendiği için, risk değerlendirmesinin temelini oluştururken, güvenlik denetimlerinin iyileştirmesinin yanı sıra değerlendirme için hangi noktalara odaklanılması gerektiği konusunda rehberlik sağlar. Bu standartlar ve gereksinimler genellikle risk değerlendirmesinin izleyeceği ilk çerçeve ve kontrol listesi olarak kullanılır ve bulguları izlemek, sonuçları hesaplamak ve raporlama sürecini otomatikleştirmek için kullanılabilecek birkaç çerçeve aracı vardır.
Endüstriyel kontrol sistemleri için en yaygın kullanılan risk değerlendirme araçlarından biri, DHS Endüstriyel Kontrol Sistemi Siber Acil Durum Müdahale Ekibi (ICS-CERT) tarafından oluşturulan CSET’dir. CSET, güvenlik denetimlerini ve uygulamalarını, herhangi bir veya birden çok endüstri tarafından tanınan standartta belirtilen gereksinimlerle karşılaştırarak değerlendirmek için tutarlı, adım adım bir süreç sağlar. Sorulara cevap verildikten sonra, CSET, seçilen standartları temel alarak, değerlendirilen sistemin güvenliğini iyileştirmeye yardımcı olmak için önceliklendirilmiş eyleme dönüştürülebilir öneriler içeren bir rapor üretir.

 

8. Adım (Siber Güvenlik Açığı Değerlendirmesi – CVA)

Bir önceki adımda, insanların, süreçlerin ve güvenlik kontrollerinin varlığını (veya eksikliğini) değerlendirmek için tipik olarak bir dizi tanımlanmış gereksinimi kullandığı durumlarda, bu adım, gerçek sistem yanlış yapılandırmaları ve uygulama açıkları gibi teknik güvenlik açıklarını keşfetmeyi amaçlamaktadır. Birçok kurumun, genellikle sızma testi ve savunmasızlık değerlendirmesi terimlerini birbiriyle karıştırarak, kapsamdaki bir yanlış anlaşılma nedeniyle güvenlik açığı tanımlama sürecinde boşlukları bıraktığı yer burasıdır. Bu adım genellikle yalnızca bilinen, yayınlanmış güvenlik açıklarını giderir. Ancak bazı müşteriler, açıklanmayan “sıfırıncı gün” güvenlik açıklarını araştırmak isteyebilirler. Bilinen güvenlik açıklarını keşfetmek ve yönetmek risk riskine maruz kalmanın önemli bir bölümünü azaltsa da, sıfırıncı gün güvenlik açıklarının araştırılması son derece maliyetlidir. Bu tür güvenlik açıkları daha gelişmiş kötü amaçlı yazılım ve bilgisayar korsanları tarafından kullanılır ve genellikle bu açıklardan yararlanan istismarlar için hiçbir yama, IDS imzası veya virüsten koruma imzası bulunmaz.
Sıfırcı gün güvenlik açıkları keşif yöntemleri (örneğin, statik tersine mühendislik, hata ayıklama, fuzzing, kod gözden geçirme vb.), Siber güvenlik uzmanlarının gerçekte sahip oldukları nispeten küçük bir yüzdesinin sahip olduğu çok daha özel bir beceri gerektiren bir iştir. Tüm penetrasyon test cihazları, yazılımları bile sıfırıncı gün savunmasızlık keşfi için gerekli olan becerilere sahip değildir.

9. Adım (Tehdit Değerlendirmesi, Tehdit Kaynakları ve Aktörlerinin Belirlenmesi)

Bir tehdit kaynağı tam bir tehdit olayı için gerekli olan unsurlardan biridir. Bu adım, potansiyel tehdit kaynaklarını, amaçları, araçları ve yetenekleri ile birlikte tanımlamak ve incelemek içindir. Sizi hedefleyebilecek tehdit kaynakları türleri genellikle maruz kalma düzeyleriyle doğru orantılıdır. Olası tehditlerin değerlendirilmesi, tehdit kaynaklarının ve aktörlerin belirlenmesi çalışmaları bu adımda gerçekleştirilmesi gerekmektedir.

10. Adım (Saldırı Vektörlerinin Değerlendirilmesi)

Hackerların ilk işi sisteminizdeki erişilebilir herhangi bir varlık üzerinde giriş noktaları (yani saldırı vektörleri veya tehdit vektörleri) arayacaklardır. Bu nedenle, tüm saldırı yüzeyleri ve iletişim yolları detaylıca belirlenmelidir. Saldırı yüzeyi, bir bilgisayar korsanı tarafından elde edilebilecek, kullanılabilecek veya saldırıya uğrayabilecek şekilde maruz kalabilecek herhangi bir varlık veya bilgidir. Bunlar, bir saldırgana yardımcı olmak için kullanılabilecek İnternet’e bağlı sistemler, ürünler veya hatta hassas bilgiler olabilir. İnternete bağlı sistemler ve ürünler büyük saldırı yüzeyleri olarak kabul edilirken, yalıtılmış bilgisayarlar (izole edilmiş) küçük saldırı yüzeyleridir.
Tehdit vektörleri, varlıkların veri veya iletişimi aldığı yöntemler olarak düşünülebilir. Tehdit vektörleri ayrıca iletişim yollarını içerir ve genellikle risk değerlendirmelerinin göz ardı edilen kritik noktadır. Örneğin, internete bağlı bir işletme varlığı bir Endüstriyel Kontrol sistemi varlığına kıyasla düşük bir kritiklik derecesine sahip olsa da, Endüstriyel Kontrol sistemi ağındaki daha kritik bir varlığın iletişim yolu olabilir. Bu nedenle, bir korsan, daha kritik sistemlere erişmek için en zayıf sistemleri kullanarak diğer kritik sistemlere erişmenin bir yolu olarak kullanabilir. Risk değerlendirme sürecinin ağ mimarisi gözden geçirme adımı sırasında toplanan bilgilerin çoğu, bu adımın yanı sıra, güvenlik açığı tanımlama adımı sırasında tanımlanan tüm açıklar ve açık bağlantı noktalarına da katkıda bulunacaktır.

11. Adım (Saldırı Ağacı ve Risk Senaryolarının Oluşturulması)

Saldırı öznitelikleri, riski bir saldırıyla ilişkilendirmeye yardımcı olur. Bir Saldırı Ağacı, gerekli olan özel bilgi veya ekipmanları, bir adımı tamamlamak için gereken süreyi ve saldırganın varsaydığı fiziksel ve yasal riskleri içerebilir. Saldırı Ağacı’ndaki değerler de operasyonel veya geliştirme harcamaları olabilir. Bir Saldırı Ağacı tasarım ve gereksinim kararlarını destekler. Potansiyel tehdit olaylarını saldırı ağacı yöntemiyle haritalandırdığımıza göre, kötüye kullanım vakaları ve sonuçları ekleyerek daha eksiksiz risk senaryoları oluşturmaya başlamak için bunları kullanabiliriz.

12. Adım (Bulguların ve Senaryoların Doğrulanması)

Bu noktaya kadar, risk değerlendirme ve tehdit modelleme sürecimiz, güvenlik açıklarımızın nerede olduğu, kimin bize saldırmak isteyebileceği ve nasıl yapabilecekleri hakkında bilgi sağladık. Daha sonra buna göre risk senaryoları oluşturduk. Şimdi bu risk senaryolarını değerlendirip doğrulayacağız. Bu aşamada sızma testi yapmak, bir açıklığı kullanarak ne kadar kolay içeriye girileceğine ve bir saldırının gerçekte ne kadar olası olabileceğine dair daha net bir anlayış ve beklenti sunar. Sızma testi; kaliteli bir ekip ve iyi organize edilmiş, düzgün bir şekilde yürütülen bir süreçle amacına ulaşır. Sızma testi aşağıdaki nedenlerden dolayı yapılmalıdır:

  • Bir güvenlik açığı değerlendirmesinde daha önce bulunan güvenlik açığı bulgularını doğrulamak için (güvenlik açığı tarama araçları bazen birçok yanlış pozitif sonuç verir)
  • Güvenlik denetimlerinin başarısının (veya duruma göre başarısızlığının) doğrulanması
  • Bir genel risk değerlendirme süreci bir parçası olarak, bir güvenlik açığının geçerli olup olmadığı, kullanılıp kullanılamayacağı ve hangi zorluk derecesiyle ilgili “olasılık” (olasılık) verilerinin sağlanması
3. Basamak (Risk Hesaplamaları ve Yönetimi)
Risk senaryoları oluşturulduktan sonra, her birine sayısal bir puan veya puan verilir. Bu puanlar, senaryonun meydana gelme olasılığını belirlemeye yardımcı olur. Kullandığımız yöntem, risk senaryolarını puanlama ya da derecelendirme için tek yöntem olmamasına rağmen, hedef kritikliği ve saldırı olasılığını ve etkisini dikkate aldığından hedefimize ulaşır. İş hedeflerinize ve varolan güvenlik mimarisine önceliklerinizi tanımladığınız sürece ve tutarlı olduğunuz sürece, öncelikleriyle büyük olasılıkla iyi durumdasınız.

13. Adım (Risklerin Hesaplanması)

Risk senaryolarınız oluşturulduktan ve puanlandıktan sonra, ek bir finansal analiz yapmanız gerekir. Bu niceliksel analiz, her bir risk senaryosuna atanması gereken önceliklendirmeye yeni bir bakış açısı sağlar. Hangi azaltma seçeneklerinin düşük maliyetli olduğunu ve azaltma maliyetine dayanarak hangi riskleri “kabul etmek” isteyebileceğinizi belirlemenize yardımcı olacaktır. Riski hesaplamak için iki temel etki derecesi türü vardır:
Nitel Hesaplama

  • Yüksek, orta ve düşük değerler kullanarak riskler önceliklendirilir.
  • Derhal iyileştirilmesi gereken alanları tanımlar.
  • Genellikle değişim istekleri gibi potansiyel riskleri hızlı bir şekilde değerlendirmek için kullanılır.
  • Belli ölçülebilir büyüklük ölçümleri sağlamaz.
  • Fayda-maliyet analizi için önerilmez.

Nicel Hesaplama

  • Fayda-maliyet analizi için iyidir.
  • Büyüklük ölçümü sağlar.
  • Sonuçların, eşlik eden niteliksel analiz ile yorumlanması gerekebilir.

14. Adım (Önceliklendirme ve Risklerin Azaltılması)

Hiçbir organizasyonun sınırsız kaynağı yoktur, bu yüzden savunma ve maliyet açısından en etkili ve verimli olmak için savunma önlemlerine öncelik verilmelidir. Riskleri azaltma stratejisi esasen bir kuruluşun risklerle nasıl başa çıkacağına dair planıdır. Çoğu kuruluş, güvenlik kontrolleri yaparken risk azaltma çalışmaları sırasında bütçeleri ve kaynakları hızlı bir şekilde tüketmektedir. Risk senaryoları uygun bir risk değerlendirme süreci ile birleştirildiğinde, bu senaryoları doğrulamak için uygun risk senaryoları ve sızma testi oluştururken, verimli ve düşük maliyetli hedefe yönelik risk azaltma stratejileri oluşturabilirsiniz.

15. Adım (Azaltılan Risklerin Doğrulaması)

Önceden tanımladığınız ve gerçekleştirdiğiniz riskleri gözden geçirirken, önceki risk değerlendirmelerinizin riskinizin olasılığını ve etkisini temel alarak doğrulamamız gerekmektedir. Riskinizdeki değişiklikler, olasılığında ya da etkisinde hatta her ikisinde de değişikliklere neden olabilir. Bu nedenle, riskin önceliğini buna göre ayarlamak önemlidir.

Önerilen Endüstriyel Kontrol Sistemleri Risk Değerlendirme Modeli

15 adımda sizlerle detaylarını paylaştığım risk modelini aşağıda paylaştığım diyagramla özetleyerek bugünkü yazımı burada noktalıyorum.