IT ve OT’nin günümüzde kurum ağlarında bir araya getirilmesi genellikle dijital dönüşüm sürecinin önemli bir parçası olarak karşımıza çıkmaktadır. Uzaktan bakım, arızalara daha hızlı müdahale, daha hızlı üretim döngüleri, daha kısa tedarik zincirleri ve her şeyden önce prototip geliştirmeden son ürün üretimine kadar daha hızlı ilerleme avantajları sağladığı için IT ve OT kavramları artık günümüzde iç içe geçmiştir. 5G gibi haberleşme sistemlerinin yaygınlaşmasıyla endüstriyel nesnelerin interneti (IIoT), üretim süreçleri her zamankinden daha hızlı ve daha birbirine bağlı olacaktır.
IT ve OT teknolojisinin birbirine bağlanması, sayısız yararları olmak ile birlikte, özellikle siber güvenlik ve arıza güvenliği göz önüne alındığında bazı dezavantajlara da sahiptir. Kurumsal ve operasyonel ağlarda bağlı cihazların artmasıyla birlikte, ağlarımızda daha yüksek bir erişim noktası hacmi ve bu nedenle kötü aktörler için daha fazla potansiyel saldırı vektörleri ortaya çıkarmaktadır. OT ağlarındaki tehlikeleri tespit eden çok sayıda teknoloji bulunmaktadır, fakat bu teknolojilerin çoğu başarısızdır, çünkü kesintisiz çalışmayı sağlamak için OT mühendislerinin devam eden baskısına bugüne kadar ayak uyduramamaktadır.
En kötü senaryoda, sözde savunma stratejileri daha fazla risk oluşturabilir. Bu nedenle aklımıza gelen ilk soru şöyledir: Şirketler ağlarındaki güvenlik risklerini nasıl etkili bir şekilde tarayabilir ve bunu hangi teknolojiler ile sağlayabilirler ?
Bir ağın güvenlik bütünlüğüne yönelik tehlikeleri taramak için aklımıza gelen iki yöntem aktif ve pasif taramadır, Ancak ikisinin de birbirinden ayrıldığı önemli farklı noktalar bulunmaktadır. Bir siber saldırının kurbanı olunması veya ağınızı güvence altına alacak kadar hızlı bir tehdidi tanımlanması gibi arasındaki farklılıkları belirlemede önemli bir faktör olabilir.
Aktif ve Pasif tarama farklılıklarına geçmeden önce, kurumların neden OT ortamını ilk etapta taramaları gerektiğini anlamak önemlidir. Tam olarak bu ortamları hedefleyen yakın zamanda keşfedilen bir Truva atı olarak karşımıza çıkan EKANS zararlı fidye yazılımıdır. Petrol rafinerilerinden elektrik şebekelerine ve üretim tesislerine kadar endüstriyel sektörün tüm alanlarında kullanılan endüstriyel kontrol sistemlerine ait yazılım ve donanım için özel olarak tasarlanmıştır.
Diğer fidye taleplerine benzer şekilde, EKANS verileri şifreler ve serbest bırakılması için ödeme talep eden mağdurlara bir not bırakır, fakat EKANS bundan çok daha fazlasını yapabilmektedir: Kurbanların bilgisayarlarındaki 64 farklı yazılım sürecini sonlandırmak için tasarlanmıştır. Bu durum Endüstriyel kontrol sistem yazılımları içinde geçerlidir. Daha sonra bu kontrol sistemi programlarının etkileşime girdiği verileri şifreleyebilme özelliğine sahiptir.
Endüstriyel sabotaj için özel olarak tasarlanmış diğer kötü amaçlı yazılımlarla karşılaştırıldığında, bir petrol rafinerisindeki valfler ve sürücüler gibi kritik altyapıyı izlemek için kullanılan yazılımlara büyük bir darbe indirmeyi amaçlanarak tasarlanmıştır. Örneğin, uzaktan izleme artık mümkün değilse, bir arıza durumunda makineler kalıcı olarak hasar görebilir, bu da yalnızca yüksek maliyetlerle değil aynı zamanda çevresel ve insan sağlığını tehdit edecek tehlikelerle de sonuçlanabilir.
EKANS’tan birkaç yıl önce, endüstriyel kontrol sistemlerini hedefleyen Industroyer fidye yazılımı keşfedilmişti. Bu tehlikeleri hızlı bir şekilde mümkün olan en kısa sürede tespit etmek, tanımlamak ve karşı önlemleri uygulamak için OT ortamlarında hem pasif hem de aktif tarama yapmak çok önemli bir hale gelmiştir. Şimdi aktif ve pasif tarama arasındaki farklılıkları incelemeden önce aktif ve pasif taramanın ne olduğunu inceleyelim.
IT veya OT’deki ortamın aktif olarak taranması, siber güvenlik kapsamında alınabilecek olan en önemli önlemlerden bir tanesidir. Sistemlere genel bir bakış sağlamak ve devredeki sistemlerin sağlığını kontrol etmek özellikle önemlidir. Önemli bilgiler genellikle yalnızca aktif istekler aracılığıyla bulunabilir ve normal veri trafiğinde bulunamaz.
Aktif tarama, ağa test trafiği göndererek ve ayrı uç noktalarını sorgulayarak çalışmaktadır. Aktif izleme, makine adı, IP adresi, NetFlow veya Syslog verileri gibi temel profil bilgilerinin yanı sıra marka ve model, ürün yazılımı sürümleri, yüklü yazılım sürümleri ve işletim sistemi yamaları gibi daha ayrıntılı yapılandırma bilgilerinin toplanmasında çok etkili bir yöntemdir.
Paketleri doğrudan uç noktalara göndererek, etkin tarama veri toplama süreci hızlandırabilir. Ancak uyumsuz sorgular göndermek veya yüksek trafik yoğunluğuna sahip ağlarda normalde az yoğunlukta bulunan ağ trafiğini arttırmak uç noktaların hatalı çalışma riskini arttırmaktadır. Ayrıca, aktif tarama normalde ağı günde 24 saat izlemez, bu nedenle geçici olarak yapılandırılmış uç noktaları veya yalnızca dinleme modunda olan cihazları algılamayabilir.
Aktif taramanın dezavantajları OT ortamlarında daha çok karşımıza çıkmaktadır. Bu sistemler, özellikle kontrol yazılımı, trafik alışverişi esnasında görevlerini yerine getirmeye hazır değildir. Çünkü denetleyicilerin bu yoğun veri trafiği esnasında aşırı yüklenmesi ve artık gerçek görevlerinin ne olduğunu bilmemesi tehlikesi her zaman sahalarda karşımıza çıkmaktadır. OT sistemlerinin çoğu kritik sistemlerdir ve bu nedenle dış etkilere daha duyarlı bir şekilde tepki vermektedir. Bu nedenle pasif taramalar OT ortamlarında gerçekleştirilen ve genellikle tercih edilen tarama yöntemidir.
Pasif bir tarama, uç noktaları ve ağ trafiğini tanımlamak için sessizce ağ trafiğinin analiz edilmesidir. Ek ağ trafiği oluşturmaz ve doğrudan uç noktalarla etkileşime girerek kritik süreçleri bozma riski taşımamaktadır. Bununla birlikte, pasif izleme varlık verilerinin toplanması için daha fazla zaman gerektirebilir, çünkü her bir varlığa giden veya ondan gelen ağ trafiğinin tam bir profil oluşturmasını beklemesi ve ilişkilerini çıkarması gerekmektedir. Bazı durumlarda, ağın tüm bölümleri mevcut değildir, bu da tüm OT ortamında trafiği pasif olarak izleme yeteneğini sınırlayabilmektedir.
Bununla birlikte, zaman zaman aktif taramalarında kontrollü ve güvenli bir şekilde yapılmalıdır. Endüstriyel Kontrol Sistemlerin (EKS) arızalanmasından ve hatta fiziksel hasardan kaçınmak için belirli ön hazırlıklar yapılmalıdır. Bu tür taramalar, genellikle proses, makine ve üretim hatları dururken (Planlı/Plansız Shutdown) yapılır. Bunun nedeni, yalnızca sistemlerin gecikme süreleri olsa bile, başka sorunların olmayacağının da garantisi yoktur.
Yeni çıkan OT ortamlarını algılama ve izleme çözümleri, artık hem aktif hem de pasif tarama teknolojilerini birleştirdiğini gözlemliyoruz. Yeni Teknolojik Çözümler kesinti riskinin sıfıra indirilmesi sağlayacak şekilde yapılandırılıyor ve tasarlanıyor. Pasif taramanın Aktif taramaya göre daha düşük bant genişliği OT ağlarının aşırı yüklenmesini önlemek için eş zamanlı sorgu sayısını sınırlama yeteneğine sahip olmasıdır.
OT ortamlarındaki süreçlere genel bir bakış sağlamak ve EKANS veya Industroyer gibi tehditleri erken bir aşamada durdurmak için hem aktif hem de pasif taramanın birlikte kullanılması önemlidir. Bununla, hangisinin ne zaman kullanılacağı konusunda en bilinçli kararı vermek için farklı tarama türlerinin sonuçlarının farkında olmakta önemlidir. Bu nedenle aktif tarama, üretim kesintileri veya kesintileri önlemek için yalnızca geçici olarak veya özel durumlarda yapılmalıdır. Pasif tarama, daha düşük bir kesinti riski oluşturmasına rağmen aktif tarama ile aynı sonuçları bize sağlamaz. Bu nedenle kurumlar, her iki tarama özelliğini birleştiren IT’den farklı olarak OT ortamlarıyla yeterli deneyime sahip çözümlere ihtiyaç duymaktadırlar. Güvenlik açığı tarayıcıları ağ güvenliği görevlerini kolaylaştırabilirken, eğitimli konusunda uzman bir personelin yerini asla alamazlar. Tarayıcılar bazen güvenlik riskini göz ardı ettiği false negatifleri gösteren false pozitiflere döndürebilir. Kalifiye personelin hatalı sonuçlarını tespit etmek için tarayıcıların bildirdiği verileri dikkatlice kontrol etmesi gerekir. Bir tarayıcının tehdit değerlendirmesi yalnızca bilinen istismarlardan oluşan veritabanına dayanır ve bir tarayıcı, bir bilgisayar korsanının ağa saldırmak için kullanabileceği yeni yöntemleri kavrayamaz ve tahmin edemez.
