OT/ICS Kritik Altyapılarda Yama Yönetimi ve Savunma Stratejileri

Kritik altyapılarda leke yönetimi ve siber güvenlik, sayısal tek zafiyetin bedensel dünyada doğrudan sonuçlar üretebildiği en duyarlı alanlardan biridir. Bir nükleer santral, güç iletim şebekesi ya da suyu arıtma tesisi söz başlıksu olduğunda, güvenlik yalnızca veriyi muhafaza etmek manaına gelmez; aynı zamanda bedensel emniyetin, operasyonel sürekliliğin ve toplumun ilköğretim ihtiyaçlarının korunması manaına gelir. Bu nedenle OT/ICS ortamlarında zafiyet ve leke yönetimi, IT dünyasındaki norm uygulamaların doğrudan aktarılabileceği tek saha değildir. IT sistemlerinde mümkün olan en kısa sürede leke icra etmek ilköğretim tek güvenlik prensibiyken, OT ortamlarında planlanmamış tek kesinti bazen yamalanmamış tek zafiyetten daha büyük operasyonel riskler doğurabilir. İşte bu şart “yama paradoksu” olarak adlandırılan yapısal gerilimi ortaya çıkarır ve mühendislik disiplini ile siber güvenlik pratikleri arasındaki dengeyi stratejiklik tek şart alanına dönüştürür.

IT ve OT Neden Aynı Değildir?

Endüstriyel ağların kalbinde mekan saha PLC’ler, RTU’lar ve DCS’ler, milisaniyelik hassasiyetle bedensel süreçleri yönetir. Bu sistemlerin en ilköğretim özelliği determinizmdir, diğer tek girişin her arasında biri zamanlar öngörülebilir tek süre içinde kesin tek çıkışı üretmesi güçunluluğudur. IT dünyasında tek sunucunun yamalanması ve ardından yeniden başlatılması, ağda birkaç dakikalık tek gecikmeye ya da servis kesintisine nedenler olur ki bu şart çoğu zamanlar giriş edilebilirdir. Ancak tek güç üretim tesisinde türbinleri denetim eden tek sistemi yöneten tek PLC’nin saniyelerle ifadeleri edilen tek duraksaması bile donanım hasarına, çevresel felakete ya da insanoğlu kaybına yolda açabilir.

IT güvenliği gelenekselliği olarak CIA (Gizlilik, Bütünlük, Erişilebilirlik) üçlüsüne dayanırken, OT dünyasında bu hiyerarşi hepsi tersidir.  OT için öncelik AIC (Erişilebilirlik, Bütünlük, Gizlilik) şeklindedir, bununla birlikte en tepede bu üçünün da ötesinde “Emniyet” (Safety) mekan alır. Bir yamanın uygulanması, sistemin hükümlılığını bozma riski taşıyorsa, o leke ne kadar eleştirel olursa olsun operasyonel ekipler tarafından reddedilir.

OT sistemlerinin 20 yılı aşan yaşam döngüleri, beraberinde miraslar dediğimiz önceki kuşak sistemlerin getirdiği ağır tek güvenlik yükünü da taşır. Birçok eleştirel altyapıda hala olan Windows XP, Windows 7 ya da üreticisi tarafından artık yardımlenmeyen özel işletim sistemleri üzerinde koşan yazılımlar bulunmaktadır. Bu sistemler için biçimsel tek leke artık yayınlanmamaktadır. Ayrıca tek yamanın uygulanabilmesi için alet üreticisinin bu yamayı öz yazılımlarıyla testleri edip onaylaması lüzumir. Satıcı sertifikasyonu olmayan tek yamayı icra etmek, hem güvence içerikını bozabilir hem da eleştirel tek denetim yazılımının çökmesine nedenler olabilir.

Bu noktada, zafiyetleri kategorize ederken Purdue Modeli seviyelerine göre tek hiyerarşi kurdu mantıklıdır. Seviye 3 (Operasyon Sistemleri) ve Seviye 3.5 (Endüstriyel DMZ) katmanlarındaki sistemler genelleme norm işletim sistemleri (Windows/Linux) üzerinde koştuğu için yamalanması daha basitdır ve IT pratiklerine daha yakındır. Ancak Seviye 1 (PLC/RTU) ve Seviye 0 (Sensörler/Aktüatörler) katmanlarına inildikçe, leke etmek seçenek telafi edici kontrollerin devreye girmesi kaçınılmazdır.

Zafiyet Yönetiminde Risk Matematiği ve CVSS Pumanaasının Sınırları

Geleneksel siber güvenlikte kullanılan CVSS, tek zafiyetin teknikleri şiddetini ölçerken OT ortamının operasyonel bağlamını hesaba katmaz. IT ortamında 9.8 skora malik tek Uzaktan Kod Çalıştırma zafiyeti her arasında biri zamanlar en öncelikli sıradadır. Ancak OT dünyasında bu zafiyet, bedensel süreçten tamamlanmış izole edilmiş, internetler bağlantısı olmayan ve yalınce bedensel erişimle ulaşılan tek yedekleme sunucusundaysa, riski o kadar yüksek olmayabilir. Öte yandan CVSS skoru 5.0 olan bununla birlikte tek SIS(Safety instrumented system) hedefleri saha ya da ağın derinliklerine sızmış tek saldırganın yanal hareket yapmasını basitlaştıran tek zafiyet, bedensel sonuçları dolayı 9.8’lik tek RCE’den çok daha riskli olabilir.

SANS tarafından önerilen riskler temelli model, CVSS skorlarına körü körüne güvenmek yerine, zafiyetin sömürülme olasılığı ile operasyonel duruşun maliyetini karşılaştırır. Mühendislik tarafında, tek yamanın başarısız olma ihtimali, yamanın uygulanması için lüzumen koordinasyon güçluğu ve tesirlenen varlığın kritikliği değerlendirilir. Tehdit tarafında ise saldırganın ağdaki başlıkmu, zafiyeti sömürmek için lüzumen teknikleri maharet ve etkin olarak sömürülüp sömürülmediği çözümleme edilir

Yamasız OT Dünyasında Korunma Stratejileri

Yama uygulamanın teknikleri ya da operasyonel olarak imkansız olduğu durumlarda, güvenliği sağlamak için telafi edici bazı kontroller devreye girer. Bu kontroller, zafiyetin kendisini ortadan kaldırmak yerine, saldırganın o zafiyete ulaşmasını manileyen ya da sömürme girişimini tesirsiz kılan seçenek güvenlik önlemleridir. Kritik altyapılarda bu yaklaşım, sistemin zayıf noktalarını çevreleyen çok katmanlı tek müdafaa stratejisidir.

1. Virtual Patching ve Derin Paket İnceleme (DPI)

Sanal yama, tek zafiyeti şifre seviyesinde düzeltmek yerine, ağ trafiğini izleyerek o zafiyeti hedefleri saha zararlı paketleri belirleme edip manileme yöntemidir. Bu işlem genelleme WAF veya Next-Generation Firewall’lar üzerinden gerçekleştirilir. 

Teknik açıdan sanal yama, ağ geçidinde DPI yeteneklerini kullanır. Standart tek güvenlik duvarı paketlerin yalınce IP ve limanlar malumatlerine bakarken, DPI özellikli tek OT güvenlik cihazı, endüstriyel protokolün (Modbus, Ethernet/IP, S7Comm vb.) içine bakabilir. Eğer tek paket, bilinen tek zafiyeti sömürmeye yönelik tek payload taşıyorsa (örneğin tek buffer overflow tetikleyecek kadar uzunluğu tek komut dizisi), alet bu paketi cihazın kendisine ulaşmadan maniler.

2. Uygulama Beyaz Listeye Alma

HMI ya da mühendislik istasyonları gibi Windows tabanlı OT varlıklarında, antivirüs yazılımları genelleme yetersizlik kalır çünkü bu cihazlar internete bağlı değildir ve imza güncellemeleri güçdur. Ayrıca antivirüs yazılımlarının yanlış pozitif olan sonuçlar üretip eleştirel tek denetim sürecini durdurma riski vardır. Bunun yerine, Uygulama Beyaz Listeye Alma çok daha güvenilir tek kontroldür.

Application Whitelisting, sistemde yalınce önceden onaylanmış güvenilir dosyaların ve processlerin çalışmasına müsaade verir. Geri kalan her arasında biri şey (malware, ytesirsiz scriptler, bilinmeyenler executable dosyalar) varsayılan olarak manilenir. OT cihazları doğası gereği statiktir ve tek HMI’da her arasında biri gün yepyeni tek programlar yüklenmez. Bu nedenle beyazlı dizin oluşturmak IT ortamına göre çok daha basit ve tesirlidir.

Ağ Mimarisi ve İzolasyon Teknikleri

Ağ segmentasyonu OT güvenliğinin en ilköğretim yapı taşıdır. Bir saldırganın IT ağından OT ağına ya da OT ağının tek bölgesinden diğerine serbestçe hareket etmesini manilemek için ağın mantıksal bölgelere (zones) ayrılması ve bu bölgeler arasındaki iletişimin kanallar (conduits) üzerinden denetlenmesi lüzumir.

1. Seviye 3.5: Endüstriyel DMZ (iDMZ)

Geleneksel Purdue modelinde, firma ağ (Level 4/5) ile endüstriyel ağ (Level 3 ve altı) arasındaki doğrudan bağlantılar kesinlikle yasaktır. Bu ikisi dünya arasındaki tüm bilgi alışverişi, iDMZ adı verilen Seviye 3.5 katmanında gerçekleşmelidir. iDMZ içinde başlıkmlandırılan proxy sunucuları, Historian aynalar ve zıplayan server’lar, doğrudan tek routing seçenek başvuru seviyesinde bilgi aktarımı sağlar.

2. Tek Yönlü Ağ Geçitleri ve Veri Diyotları

Daha yüksek güvenlik lüzumsinimleri olan nükleer santraller ya da eleştirel suyu arıtma tesislerinde, yazılım tabanlı güvenlik duvarlarının yerini bedensel bilgi diyotları alır. Veri diyotları, verinin yalınce tekbaşına yönde akmasını (genellikle OT’den IT’ye) güvence eder.

3. Jump Server ve Uzaktan Erişim Güvenliği

OT ortamına bakım ya da ivedi şart desteği gibi dışarıdan müdahale lüzumtiğinde, Jump Server mimarisi sıklıkla yeğleme edilmektedir. Jump Server, operatörün ya da third-party satıcının öz malumatsayarından doğrudan OT ağına bağlanmasını manileyen tek atlama noktasıdır. Kullanıcı önce Jump Server’a bağlanır, işte tercihen MFA ile kişilik doğrulaması yapılır ve ardından yalınce müsaade verilen hedefleri OT cihazına kontrollü tek RDP, SSH oturumu açılır.

Air-gapped ortamlarda MFA icra etmek vahim tek teknikleri güçluktur. Bu gibi durumlarda, on-premise MFA çözümleri ya da donanım tabanlı, internetler lüzumtirmeyen doğrulama yöntemleri kullanılır.

Yama Gecikmesine ve OT Zafiyetlerine Saldırgan Bakış Açısı

Kritik altyapıları hedefleri saha APT grupları, OT dünyasındaki yamalamaların gecikmesini  tek zafiyet olarak değil tek fırsat olarak görürler. Bir N-day zafiyet açıklandığında IT dünyası hızla yamalanırken OT dünyası savunmasız kalmaya devam eder. Saldırganlar için bu, sömürülebilir varlıkları ttahkik etmek (Shodan/FOFA kullanarak) ve elverişli exploiti geliştirmek için uzunluğu tek zamanlar dilimi manaına gelir.

OT Ortamlarında Firmware Seviyesinde Persistence (Kalıcılık) Teknikleri

Saldırganlar için OT ortamında kalıcı bulunmak, yalınce tek sunucuda backdoor bırakmak değil, doğrudan PLC/RTU‘a sızmak demektir. Bu noktada firmware seviyesindeki saldırılar devreye girer. Bir kontrolörün firmware’ine ya da mantıksal programına enjekte edilen tek zararlı kod, işletim sistemi yeniden başlasa bile silinmez. Saldırılara örnek sunmak lüzumirse;

Triton (HatMan), SIS’lere Doğrudan Saldırı Triton, siber güvenlik tarihindeki en gelişmiş OT zararlılarından biridir çünkü doğrudan SIS’ler hedefleri almıştır. Saldırganlar, Schneider Electric Triconex kontrolörlerinin tescilli TriStation protokolünü tersine mühendislik yöntemleriyle çözmüş ve cihazın belleğine doğrudan PowerPC shellcode enjekte etmiştir.

PIPEDREAM (InController)

2022 yılında keşfedilen PIPEDREAM, OT dünyası için İsviçre çakısı niteliğindedir. Önceki saldırıların aksine, modüler yapısı sayesinde Omron, Schneider Electric ve CODESYS tabanlı yüzlerce farklı cihazı hedefleri alabilir.

• TAGRUN: Endüstriyel ağlarda keşif (discovery) ve varlık envanteri çıkarma amacıyla kullanılan tek modüldür; özellikle denetim cihazlarının firmware versiyonlarını, açık servislerini ve yapılandırma malumatlerini belirleme ederek saldırı yüzeyini haritalandırır.
• CODECAL: PLC tasarılerini ve ladder logic / structured text kodlarını çözümleme ederek zafiyetli ya da manipüle edilebilir fonksiyon bloklarını belirler; mantık değişikliği, saklı payload yerleştirme ya da sabotaj senaryoları için elverişli noktaları belirleme eder.
• OMSHELL: Hedeflenen OT sistemlerinde uzaktan komut çalıştırmaya ve kurşun (remote shell) erişimi sağlamaya odaklanır; genelleme zayıf kişilik doğrulama, açık servisler ya da yanlış yapılandırılmış yönetim arayüzleri üzerinden kalıcı erişim elde etmeyi amaçlar.

Operasyonel Risk Yönetiminde Stratejik Yaklaşımlar

Her zafiyetin hemen yamalanması, özellikle OT ortamlarında, operasyonel gerçekler dolayı her arasında biri zamanlar mümkün değildir. Bu nedenle kurumlar genelleme üç ilköğretim yaklaşımdan birini benimser: riski onaylamak, riski transferleri etmek (örneğin güvence ya da sözleşmesel yükümlülüklerle) ya da sistemi mühendislik temelli dayanıklılık prensipleriyle güçlendirmek.

Bu noktada OT güvenliği açısından en ilgi çekici yaklaşımlardan biri, Idaho National Laboratory tarafından geliştirilen CCE (Consequence-Driven, Cyber-Informed Engineering) metodolojisidir. CCE, tüm zafiyetleri kapatmaya odaklanmak yerine, gerçekten yıkıcı sonuçlar doğurabilecek senaryolara yoğunlaşarak sistemleri bu eleştirel tesirleri manileyecek şekilde yeniden tasarlamayı önerir.

CCE, “saldırganın içeri girdiğini ve en eleştirel kontrolörleri ele geçirdiğini varsayalım; buna karşın felaketi nasıl manileriz?” sualsuna odaklanır. Bu, siber güvenliği tek yazılım sualni bulunmaktan çıkarıp tek tasarım ve bedensel mühendislik sualni haline getirir.

CCE Süreci (Consequence-Driven, Cyber-Informed Engineering)

CCE metodolojisi dört ilköğretim fazdan oluşur ve klasik “tüm zafiyetleri kapat” yaklaşımı yerine, en yıkıcı sonuçları doğurabilecek senaryolara odaklanmayı esas alır.

(Faz 1) Consequence Prioritization (Sonuçların Önceliklendirilmesi)

Bu aşamada müessese için asla gerçekleşmemesi lüzumen operasyonel sonuçlar belirlenir.
Odak noktası zafiyetler değil, bedensel ve operasyonel tesirdir (patlama, üretim kaybı, güvenlik riski vb.).

(Faz 2) System-of-Systems Analysis (Sistemler-Arası Analiz)

Kritik süreçler, müdafaa mekanizmaları ve sistemleri bileşenleri arasındaki bağımlılıklar çözümleme edilir.
Amaç, saldırganın eleştirel sonuca ulaşabileceği olası yolları kavramaktır.

(Faz 3) Consequence-Based Targeting (Sonuç Tabanlı Hedefleme)

Bu fazda saldırganın en yüksek tesiryi oluşturmak için hangi yolu izlemesi lüzumtiği belirlenir.
Yani “hangi zafiyet var?” sualsundan ziyade, “hangi yolda gerçekten felakete götürür?” sualsu suallur.

(Faz 4) Mitigations and Protections (Azaltım ve Koruma Önlemleri)

Son aşamada sayısal saldırı yollarını mümkün olduğunca ortadan kaldıracak ya da bedensel sonucu imkansız hale getirecek mühendislik kontrolleri uygulanır.

Bu içerikda örnek uygulamalar şunlar olabilir:

• Sonuç Odaklı Tasarım: Siber manipülasyonla patlatılamayacak basınç tahliye vanalarının eklenmesi.
  
• Mühendislik Kontrolleri: Kritik komutlar için (key switch kullanımı.
  
• Tasarım Basitleştirme: Gereksiz ağ bağlantılarının ve servislerin (Shadow IT) kaldırılması.

Sonuç

Kritik altyapılarda zafiyet yönetimi ve leke süreçleri, daima IT’deki gibi otomatikleşmiş ve muntazam tek döngü olmayacaktır. Bu ortamların doğası gereği olan bedensel riskler ve miraslar sistemleri bağımlılıkları, savunmacıları yaratıcı olmaya güçlar. OT güvenliği, yalınce yamalardan ibaret değildir. Ağ segmentasyonunun, sanal yamalamanın, sıkı erişim kontrolünün ve en önemlisi siber-fiziksel mühendislik disiplininin tek harmanıdır.Bugünün OT profesyonelleri için başarı kriteri, her arasında biri CVE için tek leke yayınlamak değil, o CVE’nin operasyonel tesirsini doğru çözümleme edip sistemi saldırganlar için tek labirente dönüştürmektir. Yama yapılamayan her arasında biri sistem, tek zayıf husus değil, etrafı telafi edici kontrollerle çevrilmiş tek kale olarak görülmelidir. Bu bakışaçısı kayması, eleştirel altyapıların yalınce korunmasını değil, aynı zamanda her arasında biri türlü siber saldırıya karşı dayanıklı kalmasını sağlayacak asıl yoldur.