Amerika’da en büyük elektrik şirketi fuarı ve konferansı DistribuTECH düzenleniyor. Konferansın bölümlerinden birinin bir kısmı “ Sistemi Koruma “ dır. Son zamanlardaki yüksek profilli hack saldırıları (Sony, Target) ile birlikte bu fuardaki konunun önemi tüm sektörlerdeki üst yönetimin dikkatini çekti, buna bir şey daha eklenebilir- trafo istasyonlarınızdaki siber savunmaların durumuna bakmanın yada gözden geçirmenin zamanıdır.
Elektrik şebekesi gibi kritik altyapıların gelişmiş siber saldırılar için artan bir hedef olması şaşırtıcı değildir. Ancak size haber olabilecek şey, trafo şebekelerinde kullanılan eski cihazlar ve protokellerin özellikle hem kasıtlı hem de yanlışlıkla yapılan siber olaylara karşı savunmasız olduğudur.
Peki trafo istasyonlarını korumak için yapılması gereken doğru yaklaşım nedir? Bu derinliğine savunmanın en iyi uygulması ile başlar.
Derinliğine Koruma–Çoklu Koruma Katmanları
Eğer Kuzey Amerika’da bir mühendisseniz , Amerika , Kanada ve Meksika’nın bir bölümünde güç sistemlerinin işletimi için standartları belirleyen NERCi ( Kuzey Amerika Elektrik Güvenlirliği Birliği ). Bu asgari güvenlik gereksinimlerine uyumluluğu gerektiren NERC CIP ( Kritik Altyapı Koruması için var olan CIP ) denilen standarttır.
NE yazık ki , NERC CIP özünde tüm kritik varlıkları monolitik bir sınırın arkasına saklamaya dayanan elektrik güvenlik perimetresi (ESP) felsefesine sahiptir. Örneğin, tek bir güvenlik duvarı kiritik varılıkları tüm yetkisiz erişimlerden koruyacağını umarak tüm kritik kontrol varlıkları ile iş ağı arasında bir sınır üzerine kurulmuş olabilir.
Sanayi deneyimi monolitik tasarımların karmaşık bir sistemde tek hata noktası ortaya koyduğunu gösterdi. Bazı sistemler girişin tek noktasında olduğu kadar basittir. Örneğin; Bu Amerika Milli Güvenlik Departmanında bulundu:
“Hiçbir zaman işletim ağında bulunmadığımız özel sektörde yüzlerce güvenlik açığı değerledirmesinde , SCADA sistemi yada enerji yönetim sistemi kurumsal ağdan ayrılmıştı. Ortalamada , bu ağlar arasında 11 direk bağlantı gördük. Bazı aşırı durumlarda , 250’ye kadar bağlantı tanımladık. … .”
Murphy Kuralı sayesinde, nihayet tüm tek nokta çözümleri ya bypass edilir yada sistemi saldırıya açık bırakan bazı arıza çeşitleri deneyimlenir.
Daha gerçekçi bir strateji kontrol ağı vasıtası ile dağıtılan çoklu savunma katmanlarını olan derinliğine savunmaya dayalıdır.
Derinliğine savunma iş ve kontrol ağları arasında ESP güvenlik duvarını korur, fakat eğer ana güvenlik duvarı bypass edilirse trafo istasyonlarını koruyan kontrol sisteminin içine güvenlik çözümlerini ekler. Çözümler gerek saldırıya gerekse insan hatasına karşı belirgin bir koruma önlemi oluşturmak için genellikle diğerleri ile örtüşen bir teknoloji ile parallel çalışır. Kullanılan teknolojiler kritik varlıklar ve süreçler için risk değerlendirmesi yapmaya dayalı olmalıdır. Ayrıca, koruma teknolojisi ve başka ürünleri içeren çok katmanlı koruma modeli geliştirildi. Diğer ürünler fiziksel güvenlik, politikalar, prosedürler ve daha fazlası gibi şeyleri içerir.
Derinliğine savunma stratejisini kullanarak korunan bir ağ problemin basladığı bölgeye etkiyi sınırlayarak trafik fırtınası ( cihaz arızaları nedeniyle) veya bir USB tabanlı virus gibi tehditlere karşılık verir. Güvenlik duvarlarından gelen alarm mesajları bölgenin yerini , hatta problemin kaynağını da belirler. Güvenlik Duvarları Korumasını Trafo Perimetresine Aktarma
Trafo için güvenlik perimetresi oluşturmak için, güvenlik kontrol noktası trafoya gelen ve trafodan giden trafiği sınırlamak ve izlemek için kurulmuş olmasına ihtiyaç duyar. Genellikle, bu özel bir güvenlik duvarı olacak , fakat bazı durumlarda bir yönlendirici veya terminal sunucusu kullanılabilir. Bunların RADIUS ve TACACS+ gibi güvenlik protokollerini kullanan IT sistemlerininde trafiği ve arayüzü büyük miktarda filtreleyebilmesi gerekir. Bu cihazın saldırı göstergesi için hem sertleştirilmiş hem de izlenen güvenlik olması kritiktir. Bir trafo için ağ güvenlik teknolojileri uygulamak için iki temel seçenek vardır:
- Tariği kontrol eden ve izleyen endüstriyel güvenlik duvarı ; Önceden tanımlanmış güvenlik politikasını geçen trafiği karşılaştırma ve politikanın gereksinimlerini karşılamayan mesajları çıkarma . Güvenlik duvarları hem ESP sınırında hem de iç bölgeler arasında kurulabilir.
- VPNler (Sanal Özel Ağlar ) verinin “ özel” iletimini sağlamak için belirli protokoller veya methodlar kullanan daha genel bir ağ üzerinde tabakalara ayrılmış ağlardır. VPN oturumları onları tüm pratik amaçlar için “ görünmez” yapan şifreli bir formatta ulaştırma şebekesine tünel açar.
Temel Süreçleri Korumak için Şeffaf Güvenlik Duvarları
Tofino Xenon gibi şeffaf güvenlik duvarları endüstriyel kullanım için özel nitelikli güvenlik cihazlarıdır. İlk bakışta , ağda geleneksel Ethernet switch gibi görünürler fakat gerçekte network mesajlarını detaylı şekilde denetlerler.
“Şeffaflık” özelliği istasyon cihazlarının yeniden ele alınmasına gerek duyulmadan mevcut sistemde bırakılmalarına olanak verir. Bu organizasyonların çalışmayı durdurmadan yaşam ortamlarındaki güvenlik bölgelerini güçlendirebilmesi anlamına gelir. Onlar ayrıca tek alt ağ içindeki güvenlik kontrollerinin kurulumuna da olanak sağlarlar.
“Güvenlik duvarı” özelliği tüm ağ protokollerinin detaylı “durum bilgisi” denetimini sağlar, böylelikle uygunsuz trafik engellenebilir. Örneğin; derin paket inceleme kuralları uygunsuz komutların IEDler veya denetleyicilere gönderilmesini engellemek için ayarlanabilirken oran limitleri “ trafik fırtınası”ndan korunmak için ayarlanabilir.
Belden nasıl yardım edebilir
Avrupa ve dünyanın diğer yerlerinde , Belden Yetkinlik Merkezi bizim ağ tasarım mühendislerimizin sizin teknik ekibiniz ile birlikte Derinliğine savunma Siber güvenlik uygulaması için en uygun maliyetli çözümleri tasarlamak amacıyla bizim ağ tasarım mühendislerimizin sizin teknik ekibiniz ile birlikte çalıştığı bir tesistir. ( Satış temsilcisine ulaşmak için bu web sayfasındaki iletişim linkinden ulaşabilirsiniz.) Trafo haberleşmesi için Belden’in tam portföyünün tanıtımı için, aşağıdaki videoyu izleyebilirsiniz.
0 Comments