Etkili siber güvenlik bir takım sporudur

0
307 views
Rockwell Automation on Aug. 16, 2017 in Cleveland, OH.

Rockwell Automation’dan Kamil Karmali, “IEC 62443 ve diğer standartlar kritik öneme sahip çünkü operasyonel teknolojiler seviyesinde siber güvenliğin yönetimini şekillendirmeye yardımcı oluyorlar” ifadeleriyle tutarlı siber güvenlik uygulamaları oluşturmak konusunda sektör standartlarının önemine dikkat çekti.

Siber güvenlik, birçok engel ve sorumlulukla dolu bitmeyen bir yolculuk olduğu için bu yolculuk süresince partnerlerinizden yardım almak her zaman daha iyi olacaktır.

Rockwell Automation Güvenlik ve Emniyet Program Müdürü Steven Ludwig, konuya ilişkin şunları söylüyor: “Bir ürün satın alıp siber güvenlik işini tamamlamanız mümkün değil. Etkili bir siber güvenlik kurmak ve muhafaza etmek inanılmaz bir iş birliği gerektiren bir iş. Biz, müşterilerimiz ve Cisco, Panuit, Stratus ve diğer partnerlerimiz arasında sürekli bir iş birliğinden bahsediyorum. Tüm bu oyuncular fiziksel güvenlikten ağ, bilişim uygulamaları ve aygıtların güvenliğine tüm düzeylerde derinlemesine savunmaya birlikte odaklanıyor.”

Ludwig ve bazı çalışma arkadaşları Şikago’da gerçekleşen Automation Fair 2019’da Rockwell Automation’ın Entegre Mimari standında bazı önemli siber güvenlik girişimleri ve çözümlerini uygulamalı şekilde sergiledi. İş birliğinin, kullanıcıların fiziksel ve ağ güvenliği katmanında politikalar ve prosedürler üretmelerine, buna ek olarak siber güvenlik konusundaki farkındalıklarının artmasına yardımcı olduğu belirtildi. Öte yandan yeni çıkan CIP Security standardı, FactoryTalk View Security yazılımı ve ThinManager görselleştirme platformunun birlikte kullanımı da sergilendi.

Gösterimde korunmayan bir EtherNET/IP protokol bağlantısının motorun yönünü değiştirmek amacıyla yetkisiz bir yazılım tarafından nasıl kötüye kullanılabildiğini göstermek için ise ControlLogix kontrolör ve Stratix 5700 ağ sviçi kullanıldı. Fakat EtherNet/IP, CIP Security  ve ulaşım katmanı güvenliği (TLS) kullanan bir link yazılımdan etkilenmedi.

Rockwell Automation Kontrol ve Görselleştirme Siber Güvenlik Portföy Müdürü Roger Hill, “Yüzey saldırısı koruması genel anlamda anlaşılandan çok daha önemli bir konu. Fakat ThinManager bu unsurların birçoğu arasında kullanılabiliyor, güvenlik görevlerini yerine getiriyor ve yüzey saldırılarını azaltıyor” diye konuştu.

Üç faz güvenlik stratejisi, risk temelli bir yaklaşım

Rockwell Automation’ın siber güvenlik çözüm ve hizmetlerini koordine edip kullanırken yararlandığı hizmet stratejisi NIST, siber güvenlik çerçevesinde “öncesi”, “süresince” ve “sonrası” metodolojilerini kullanmaktır. Müşteriler ve çözüm ortakları, siber riskleri saldırı sürecinde azaltabilmek için iş birliği yapmaya devam edilir:

·      “Öncesi” metodolojisinde bir müşterinin kurulum gerçekleştirdiği lokasyondaki varlık envanteri (Donanım, yazılım ve network) belirlenerek siber güvenliğin mevcut durumuna odaklanılır. Operasyonel uzmanlığı sayesinde Rockwell Automation, müşterilerin en önemli gelişim alanlarını belirlemesi ve buna ilişkin bir risk yönetim stratejisi geliştirmesi için kırılganlıkları bulduğu risk değerlendirmeleri yapar. Ağları segmentlere ayırmak, fizikselden sanala geçmek ve patch/yama yönetimi gibi korumaların uygulanmaya başlaması amaçlanır.

·      “Süresince” metodolojisi gerçek zamanlı tehdit tespitlerine ve daha önce risk temelli siber güvenlik stratejisi kapsamında tespit edilen unsurlara odaklanır. Bunlar arasında Rockwell Automation’ın kullanabildiği, konfigüre edip gerçek zamanlı 7/24 izleyebildiği sürekli izleme, anomali tespiti ve diğer önlemler bulunmaktadır.

·      “Sonrası” metodolojisi olay müdahale planlaması ve yıkım onarımını kapsayarak her bir müşterinin ihtiyacı doğrultusunda yeniden değerlendirmede bulunur. Amaç, arızanın etkisini müşteri için en aza indirmek ve normal operasyonlara dönüşü hızlandırmaktır.

Bu üç faz çerçevenin yönetimi için Rockwell Automation, danışmanlık temelli hizmetlerin yanı sıra yeni OT Managed Services platformunu da sunuyor. Platform alan uzmanlığı, teknoloji, uzaktan bağlanabilirlik ve izleme gibi en önemli destek unsurlarını bir araya getiriyor. Dahası Claroty’nin tehdit tespit yazılımı ile birlikte sunduğu tehdit tespit hizmeti, sürekli risk tespiti ve küresel ölçeklendirebilme olanağı da sağlıyor.

Standartlar konusunda destek

Risk temelli siber güvenlik uygulamasının yanı sıra Ludwig, Rockwell Automation’ın siber güvenlik adımlarını ISA/IEC 62443 siber güvenlik standartlarına entegre ederek uyumunun sağlanması için çabaladığını belirtti. “Siber güvenlik standartları önemli çünkü geliştirici ve kullanıcıların güvenliği en baştan düşünülmüş sistemler inşa etmesine yardımcı olur” diye konuşan Ludwig, sözlerine şöyle devam etti: “Bunun yanı sıra Rockwell Automation ISA Küresel Siber Güvenlik Birliği’nin kurucu üyesidir. Yani standart temelli siber güvenliğe kendini adamış bir şirketiz. Geçtiğimiz yıl süresince IEC 62443-4-1 sertifikası aldık, L8 ControlLogix prosesörümüz ise yeni IEC 62448-4-2 sertifikalı.”

“Rockwell Automation’ın  Allen-Bradley ControlLogix 5580 kontrolörünün TÜV Rheinland tarafından dünyanın ilk IEC 62443-4-2 siber güvenlik standardı sertifikalı programlanabilir kontrolörü unvanını aldığını daha önce duyurmuştuk şeklinde konuşan Roger Hill, konuya ilişkin sözlerini şöyle sürdürdü: “NIST siber güvenlik çerçevesi, neye ihtiyaç olduğunu belirlemesi gereken CEO’lar ve şirket düzeyinde diğer yöneticiler için daha iyi, fakat IEC 62443 kullanıcıların pratik koruma sağlayacak standartlara uyumlu adımlar atmasına yardımcı olacak kapsamlı bir dizi standart. Bu standartlar müşterilere siber güvenliklerini ölçebilecekleri ürünlerimizi güvenli bir şekilde geliştirdiğimiz konusunda güvence vermemizi sağlıyor”.

Rockwell Automation Küresel Hizmetler Portföyü Ekibi, Müşteri Destek & Bakım Ticari Birim Lideri Kamil Karmali, “IEC 62443 ve NIST standartları kritik öneme sahip çünkü operasyonel teknolojiler seviyesinde siber güvenliğin yönetimini şekillendirmeye yardımcı oluyorlar” diye konuştu ve şöyle devam etti: “Standartlar, politikalar ve prosedürler, yöneticiler ve müşteriler için organizasyonel davranış ve uygulamalarını daha iyi bir risk değerlendirmesine doğru kaydırabilme bilinci için önemlidir. Üretimde siber güvenliği sağlayabilecek tek bir çözümün olmadığını anlamak da önemlidir. Müşterinin genel risk toleransını ve finansal sermaye kullanımlarını temel alan çok adımlı pragmatik bir yaklaşım sergilemek gerekir. Teknoloji, insan ve süreçlerin standartlarla birlikte hızlı bir şekilde kırılganlıkları ve riskleri değerlendirdiği, tespit ettiği, çözümlerin uygulandığı ve ölçeklendirildiği, uzaktan yönetim hizmetleriyle iş gücü açığı sorununun çözüldüğü bir yaklaşımdır bu”.