Kullanılacak siber savunma yaklaşımlarının türleri doğrudan siber saldırı türlerine bağlı olarak değişmektedir. Geleneksel olarak, bu yaklaşımlar proaktif savunma ve pasif savunma olarak iki kategoriye ayrılır. Proaktif savunma, gerçek bir saldırı daha ortaya çıkmadan önce uygulanır ve sistemin tehlikeye girme olasılığını en aza indirmeyi amaçlar. Pasif savunma ise tehdit geliştirme aşamasında saldırılara direnmek ve sistem hatası riskini azaltmak için gerçekleştirilen savunma yöntemidir. Bugünkü yazımda sizlerle güncel proaktif ve pasif savunma örneklerini paylaşacağım.
Proaktif savunma, siber saldırıların başarı olasılığını azaltan çeşitli teknolojileri ve faaliyetlerin bütününü kapsamaktadır. Yaygın proaktif savunma için veri iletimlerinin şifrelenmesi, antivirüs/kötü amaçlı tespit yazılımları, güvenlik açıklarını tarayan yazılımları ve sızma testi araçlarını sayabiliriz. Bunların dışında, yaygın olarak kullanılan proaktif savunma teknolojileri aşağıda belirttiğim şekilde sınıflandırabiliriz:
- Ağ Ayrıştırması (Segmentation): Ağ trafiğini kontrol eden cihaz veya sistemlere güvenlik duvarı (Firewall) denilmektedir. Güvenlik duvarları yetkisiz iletişimleri engelleyebilir, güvenli kimlik doğrulamasını sağlayabilir ve ağ trafiğini, bilgi akışını kaydedebilir.
- Arındırılmış bölgeler (DMZs), bağlı bulundukları güvenlik cihazları için bir aracı gibi hareket eden fiziksel ve mantıksal alt ağlardır, bu sayede daha büyük ve güvenilmeyen bir ağdaki siber tehditlerden maruz kalmaktan kaçındığımız güvenli bölgelerdir.
- Sanal Yerel Ağ Bağlantısı (VLAN), fiziksel ağları, diğer Sanal Yerel Ağ Bağlantılarından (VLAN) gelen trafiği izole eden tek bir yayın alanından oluşan daha küçük mantıksal ağlara bölünmesidir.
- Diyotlar veya tek yönlü veri iletimini sağlayan ağ cihazları, verilerin yalnızca bir yönde ilerlemesine izin veren ağ cihazlardır.
- HMI ve Sunucu Güvenliği: Güvenlik açığı değerlendirme ve sızma testi araçları, herhangi bir donanım ve yazılım hatasını tespit etmek için bir dizi yaklaşım ve hedef sisteme nüfuz etmek için açık bir kapı bularak bu tür güvenlik açıklarından yararlanılmasının yol açabileceği tehditlerin şiddetini ve etki düzeylerini değerlendirmesini sağlamaktadır. Virüsten koruma ve kötü amaçlı programlardan koruma yazılımları, bilgisayar sistemlerini virüslerden veya diğer kötü amaçlı yazılım türlerinden korumayı sağlamaktadır. Sanal makineler (VM’ler), ağ uygulamalarını izole etmek ve donanım kaynaklarını izole uygulamalar arasında paylaşmasını sağlamaktadır. Saldırganlar için belirsizliği, görünür karmaşıklığı arttırmak ve saldırıların maliyetlerini arttırmak için birden fazla sistem boyutunda değişimi kontrol ederek, bir aldatma ağı oluşturmak için VM’leri sunucularda yüklenebilir bir çekirdek olarak kullanılabilmektedir.
- Erişim Kontrolü: VPN sayesinde ağlar üzerinden veri aktarımı için şifreli bir kanal oluşturulabilir. Değişken Şifreleme (Floating Password), önceden belirlenmiş bir algoritma kullanarak parola üreten bir mekanizma sayesinde erişim kontrolü güvenli hale getirilebilir. Kimlik doğrulama ve yetkilendirme, Endüstriyel Kontrol Sistemleri ortamındaki operatörlerin sistemlere erişmek için çok düzeyli kimlik doğrulaması kullanmaları sağlamaktadır. Fiziksel anahtarlar, çeşitli parola katmanlarına ve güvenlik sorularına ek olarak bu kimlik doğrulaması için de kullanılmaktadır.
- Uygulama Beyaz Listeleri (AWL): Uygulama beyaz listesi, yalnızca önceden onaylanmış programların çalışmasına izin vererek Endüstriyel Kontrol Sistemlerinin siber güvenliğini artırır. Uygulama Kara listelerinin aksine (antivirüs yaklaşımı), beyaz liste esas olarak statik ve standart kurulumlu operasyonel teknoloji ortamları için ideal olan daha proaktif siber güvenlik önlemidir.
- Sistem ve Ağ Sıkılaştırmaları: Sistemlerin sıkılaştırılması, teknoloji uygulamaları, sistemleri, altyapısı, ürün yazılımı ve diğer alanlardaki güvenlik açığını azaltmak için bir dizi araç, teknik ve en iyi uygulamalardan oluşmaktadır. Sistem sıkılaştırmasının amacı, potansiyel saldırı vektörlerini ortadan kaldırarak ve sistemin saldırı yüzeyini daraltarak güvenlik riskini azaltmaktır. Gereksiz programları, işlevleri, uygulamaları, kullanılmayan bağlantı noktalarını, aşırı yetkili izinleri ve erişimi vb. kaldırarak saldırganların ve kötü amaçlı yazılımların OT ekosisteminize zarar verme olasılığını en aza indirmektir.
Pasif savunmalar temel olarak bağlantı için çeşitli yedek yollar sağlayan yapısal savunma tipidir. Pasif savunma içerisinde Güvenlik Kayıtlarını İzleme Sistemi, Saldırı Tespit Sistemleri (IDS), Saldırı Önleme Sistemleri (IPS) ve Güvenlik Bilgisi ve Olay Yönetimi (SIEM) sistemleri gibi teknolojileri sayabiliriz.