EKS/ICS/SCADA Sızma (Penetrasyon) Testi

ICS üzerinde yapılan testlerde bir saldırganın sistemin bozulmasına veya sistem denetimini ele geçirmesine sebep olabilecek zafiyetleri belirlenir.

EKS/ICS/SCADA Varlıklarına Yönelik Sızma Testi Metadolojisi

Endüstriyel Kontrol Sistemleri (ICS'ler) birbirine bağlı olmayan ve güvenlik önlemleri konusunda çok az şey barındıran bağımsız (Stand-alone) sistemler olarak inşa edilmiştir. İnternet ve internetin olduğu her yerde bulunan internet protokol ağları birçok ICS'in tasarımı değiştirmiş ve ICS'i kurumsal ağın korunan bir uzantısı haline getirmiştir. Bu durum hassas ICS'lere kötü niyetli kişiler tarafından internetten erişilebileceği anlamına gelir.

ICS üzerinde yapılan siber güvenlik değerlendirmesi bir saldırganın sistemin bozulmasına veya sistem denetimini ele geçirmesine sebep olabilecek zafiyetleri belirlemesine yardımcı olur.

Bir ICS siber güvenlik değerlendirmesi ile standart bir kurumsal ortamda gerçekleştirilecek testler arasındaki önemli farklılıklar yüzünden birçok husus dikkate alınmalıdır. Örneğin standart IT sistemlerinde kullanılan çeşitli araçlar ICS’te ciddi tehlikelere(servisin çökmesi veya yanıt veremez hale gelmesi) sebep olabilir. Scanner’lar gibi güvenlik araçları networkte çalıştırıldığında ICS’lerin arızalanmasına veya tamamen durmasına sebep olabilir. Bu sebepler kurumsal yetkililer ve danışmanlar bir üretim sisteminde test gerçekleştirmenin potansiyel etkilerini göz önünde bulundurarak mümkün olduğunca bir yedek veya aktif olmayan ICS üzerinde güvenlik denetimleri gerçekleştirilmelidir. ICS’ler için çeşitli alternatif güvenlik açığı test yöntemlerinin avantaj ve dezavantajları da göz önüne alındığından, testler ICS özelliklerine ve kurumun ihtiyaçlarına göre uyarlanabilir.

Bu doküman, kurumların Endüstriyel Kontrol Sistemleri , Supervisory Control and Data Acquisition (SCADA), Distributed Control (DCS) ve/veya process control (PCS) sistemlerinin güvenlik denetimlerinde gerçekleşecek testler ve süreç hakkında bilgi vermek için hazırlanmıştır.

Kullanılan araç ve yöntemlerde benzerlikler mevcut olmasına rağmen, bir ICS siber güvenlik değerlendirmesi IT penetrasyon testinden önemli derecede farklıdır. Bu farklılıkların bazıları, testlerin amaçları, odağı ve etkisi ile ilgilidir.

Penetrasyon testi ICS sistemleri için önemli risk oluşturabilir. En azından ağ taraması ve güvenlik açığı taraması nedeniyle ağların yanıt sürelerini yavaşlatabilir. Penetrasyon etkinlikleri, ICS bileşenlerini çalışmaz hale getirir, sistem verilerini değiştirir veya fiziksel sistemi manipüle ederek ekonomik ya da fiziksel hasara neden olabilir. Bu risk, deneyimli sızma testi uzmanı ve kuruma özgü belirlenen metadolojik yaklaşımla asgari düzeye indirilebilirse de, asla tamamen ortadan kaldırılamaz.

IT ve OT Sistemlerde güvenlik öncelikleri aşağıdaki gibidir.

Standart bir sızma testi; kurumsal/IT ortamına ve internet üzerinden yetkili olmayan sıradan bir kullanıcı profilindeki saldırganın erişebileceği dışa açık uygulamalardaki zafiyetlere odaklanır. İnternet üzerinden kurumlara yapılan sızma testleri ICS sızma testinin nadiren bir parçasıdır. ICS/OT sistemler mümkün oldukça IT ve internet ortamından izole bir şekilde konumlandırılmaktadır. ICS’lerde kullanılan protokoller genel IT protokollerinden farklıdır. ICS’lerdeki ürünleri satan firmalar işlemler arası iletişim için tescilli protokoller kullanmaktadır. Ancak ICS için kullanılan bazı protokoller TCP protokolü üzerine inşa edildiğinden bazı durumlarda TCP portlarınında erişime açık olduğu bilinmektedir. Bu protokoller ICS’lerin IT istemlerinden ve internet ortamından izole olduğu varsayılarak güvenlik ön plana alınmayarak geliştirilmiştir. Protokollerin ICS özelinde kullanıldığı üreticileri tarafından düşünülmesi, saldırganın bunlardan yararlanamayacağına inanmalarına neden olmaktadır. Endüstriyel Kontrol Sistemlerindeki saha aygıtlarında iletişim çoğunlukla Dağıtılmış Ağ Protokolü (Distributed Network Protocol 3.0-dnp3) 3.0 ve Modbus gibi endüstri standardı protokolleri kullanmaktadır.

Bu protokoller başlangıçta seri bağlantılarla çalıştırılmak üzere geliştirildi. Ancak LAN / WAN iletişimlerinin kolaylığı ve verimliliği için TCP / IP'nin üzerine yerleştirildi. Bu tescilli ve endüstriyel protokollerin çoğunda herhangi bir kimlik doğrulama veya bütünlük denetimi imkânı yoktur ve bazı endüstri protokolleri internette serbestçe bulunan bilgilerle birlikte yayınlanır. ICS’ler artık kurumsal/IT dünyasından ayrı tutulmadığından, bu güvensiz protokoller sistemleri bir siber saldırıya karşı risk altında bırakmaktadır. ICS ortamlarının doğasında bulunan bu güvensizlik nedeniyle, ICS’ler üzerinde gerçekleştirilen güvenlik testleri ICS’lerde barındırılan tüm ürünler ve çerçeve (ICS networkünün içinde ve dışındaki tüm iletişim yolları) güvenliğine odaklanmaktadır. Güvenlik denetiminde networkün mimari yapısı, firewalların kullanımı ve DMZ’leri içeren geniş bir çerçevede değerlendirilir. IT ve ICS networkü doğrudan iletişim kurmamalı, ICS networküne giren ve çıkan tüm kurumsal iletişimler, fonksiyonel bir DMZ veya alternatif bir mimari aracılığıyla yönlendirilmelidir. ICS LAN’da yalnızca ICS iletişimi vardır; bu ağda İnternet ve e-posta erişimi olmamalıdır. Sızma testlerinde network, sunucular, uygulamalar, IT veya DMZ networkünden güvenilir ICS networküne yetkisiz erişime sebep olabilecek zafiyetlerin tespiti gerçekleştirilir.

OT Sistemlerde Yaygın Kullanılan Sistemler, Cihazlar ve Bileşenler

OT sistemlerde iletişim IT sistemlerinden farklı olarak cihaz bazında özelleşmiş protokoller üzerinden gerçekleşmektedir. Yaygın olarak kullanılan sistemler, cihazlar ve bileşenler aşağıda detaylandırılmıştır.

SCADA (Supervisory Control and Data Acquisition)

SCADA sistemleri, merkezi veri ediniminin kontrol kadar önemli olduğu dağıtık varlıkları kontrol etmek için kullanılır. Bu sistemler, su dağıtım ve atık su toplama sistemleri, petrol ve doğal gaz boru hatları, elektrik dağıtım sistemleri, demiryolu ve diğer toplu taşıma sistemleri gibi birçok dağıtım sistemlerinde kullanılmaktadır.

SCADA sistemleri, veri aktarım sistemlerini HMI yazılımı ile entegre ederek çok sayıda işlem girdisi ve çıkışı için merkezi bir izleme ve kontrol sistemi sunmaktadır. Aşağıdaki resimde örnek bir scada ağı bulunmaktadır.

SCADA sistemleri saha bilgilerini toplamak, merkezi bir bilgisayar tesisine aktarmak ve bilgiyi operatöre grafiksel veya metinsel olarak göstermek için tasarlanmıştır, böylece operatörün tüm sistemi merkezi bir konumdan gerçek zamanlı olarak izlemesi veya kontrol etmesi sağlanır.

Tipik donanım, bir kontrol merkezine, iletişim ekipmanına yerleştirilmiş bir kontrol sunucusunu içerir (örn. (telsiz, telefon hattı, kablo veya uydu) ve monitörleri denetleyen Uzak Terminal Birimleri (RTU'lar) ve/veya PLC'lerden oluşan bir veya daha fazla coğrafi olarak dağıtılmış saha alanı. İletişim donanımı, kontrol sunucusu ile RTU'lar veya PLC'ler arasında bilgi ve veri aktarımını sağlar.

Yazılım, sisteme neyin ne zaman izleneceğini, hangi parametre aralıklarının kabul edilebilir olduğunu ve parametrelerin kabul edilebilir değerler dışında değişmesi durumunda hangi cevabın başlatılacağını bildirecek şekilde programlanmıştır. Bir koruyucu röle gibi bir Akıllı Elektronik Cihaz (IED), doğrudan kontrol sunucusuyla haberleşebilir veya yerel bir RTU, verileri toplamak ve kontrol sunucusuna iletmek için IED'leri sorgulayabilir. IED'ler ekipmanı ve sensörleri kontrol etmek ve izlemek için doğrudan bir arayüz sağlar. IED'ler doğrudan kontrol sunucusu tarafından kontrol edilebilir ve çoğu durumda IED'nin kontrol merkezinden doğrudan talimat olmadan hareket etmesini sağlayan yerel programlamaya sahiptir. SCADA sistemleri genellikle, sisteme önemli ölçüde fazlalık sağlayan hataya dayanıklı sistemler olarak tasarlanmıştır.

DCS ( Distributed Control Systems)

DCS, petrol rafinerileri, su ve atıksu arıtma, elektrik üretim tesisleri, kimyasal üretim tesisleri, otomotiv üretimi ve ilaç işleme tesisleri gibi sektörlerin aynı coğrafi konumdaki üretim sistemlerini kontrol etmek için kullanılır.

Bu sistemler genellikle proses kontrolü veya ayrık parça kontrol sistemleridir. DCS, yerelleştirilmiş bir sürecin ayrıntılarını kontrol etmekle sorumlu çoklu, entegre alt sistemleri denetleyen denetim düzeyini içeren bir kontrol mimarisi olarak entegre edilmiştir. Aşağıdaki ekran görüntüsünde bir DCS’in implementasyon örneği bulunmaktadır.

Bir DCS, üretim sürecinin tamamını gerçekleştirmenin genel görevlerini paylaşan bir grup yerel kontrol cihazına aracılık etmek için, merkezi bir denetleyici kontrol döngüsünü kullanır.

Ürün ve proses kontrolü genellikle, geri besleme veya ileri besleme kontrol döngülerinin dağıtılmasıyla sağlanır. Bu sayede, anahtar ürün ve/veya işlem koşulları, istenen bir ayar noktası etrafında otomatik olarak muhafaza edilir. İstenen ürün ve/veya proses toleransını belirli bir ayar noktası etrafında gerçekleştirmek için, sahada belirli işlem kontrolörleri veya daha yetenekli PLC'ler kullanılır. Üretim sistemini modüler hale getirerek, bir DCS tek bir arızanın genel sistem üzerindeki etkisini azaltır.

PLC (Programmable Logic Controller)

PLC'ler, SCADA ve DCS sistemlerinde, genel bir hiyerarşik sistemin kontrol bileşenleri olarak, yukarıdaki bölümlerde açıklandığı gibi geri besleme kontrolü yoluyla süreçlerin yerel yönetimini sağlamak için kullanılır. Aşağıdaki ekran görüntüsünde PLC cihazının örnek bir implementasyonu yer almaktadır.

SCADA sistemleri durumunda, RTU'ların aynı işlevselliğini sağlayabilirler. DCS'de kullanıldığında, PLC'ler bir denetleyici kontrol şemasında yerel kontrolörler olarak uygulanır. SCADA ve DCS'de PLC kullanımına ek olarak PLC'ler, aynı zamanda daha küçük kontrol sistemi konfigürasyonlarında birincil kontrol birimi olarak da uygulanmaktadır. PLC'ler, I/O kontrolü, mantık, zamanlama, sayım, iletişim, aritmetik ve veri işleme gibi belirli işlevleri uygulamak amacıyla talimatları depolamak için kullanıcı tarafından programlanabilir belleğe sahiptir.

HMI (The Human-Machine Interface)

İnsan Makine Arayüzü veya HMI, ICS için “görünüm”dür. HMI'lar, bir sürücü kabininin dış tarafındaki küçük bir panel kadar basit olabilir. Çoğu zaman HMI'lar, genel süreci grafik olarak tasvir eden ve operatörlerin, belirli bir bileşenin komutlarını girerek işlemdeki bireysel noktaları kontrol etmesine izin veren bir klavye veya dokunmaya duyarlı monitörler kullanır. Aşağıdaki şekilde, birçok kimya fabrikasında, petrol ve gaz rafinerilerinde yaygın bir işlem olan damıtma kolonu için ortak bir grafik temsilini göstermektedir.

HMI normalde bir işlem için tüm otomatik kontrol noktalarının grafiksel bir betimlemesidir. Bir sürecin ardından gitmek için kolay bir yol arayan saldırganlar, önce HMI'nın ekranını ele geçirmek için buraya odaklanacaklardır.

Diğer Kontrol Sistemleri Türleri

ICS haricindeki diğer kontrol sistemleri benzer özellikleri paylaşmaktadır. Örneğin, birçok bina, ulaşım, sağlık, güvenlik ve lojistik sistemi farklı protokoller, portlar ve hizmetler kullanıyor olsa da ICS'den farklı modlarda yapılandırılmakta ve çalışmaktadırlar.

Bu sistemlerin bazı örnekleri şunlardır:

  • Kontrol Sistemleri Türleri
  • Gelişmiş Ölçüm Altyapısı
  • Bina Otomasyon Sistemleri
  • Bina Yönetim Kontrol Sistemleri
  • Kapalı Devre Televizyon (CCTV)
  • Gözetim sistemleri
  • CO2 İzleme
  • Dijital Tabela Sistemleri
  • Dijital Video Yönetim Sistemleri
  • Elektronik Güvenlik Sistemleri
  • Acil Durum Yönetim Sistemleri
  • Enerji Yönetim Sistemleri
  • Dış Aydınlatma Kontrol Sistemleri
  • Yangın Alarm Sistemleri
  • Yangın Sprinkler Sistemleri
  • İç Aydınlatma Kontrol Sistemleri
  • Saldırı Tespit Sistemleri
  • Fiziksel erişim
  • Kontrol sistemleri
  • Kamu Güvenliği / Kara Telsizleri
  • Yenilenebilir Enerji Jeotermal Sistemleri
  • Yenilenebilir Enerji Foto Voltaik Sistemleri
  • Gölge Kontrol Sistemleri
  • Duman ve Arındırma Sistemleri
  • Dikey Taşıma Sistemi (Asansörler ve Yürüyen Merdivenler)
  • Laboratuvar Enstrüman Kontrol Sistemleri
  • Laboratuvar Bilgi Yönetim Sistemleri (LIMS)

Test Sürecine Genel Bakış

Bu bölümde gerçekleştirilen güvenlik test sürecine genel bir bakış açısı sunulmaktadır ve Privia Security Bilişim ve Danışmanlık Hizmletleri Ltd. Şti. tarafından Endüstriyel Kontrol Sistemleri (ICS) üzerinden gerçekleştirilen güvenlik denetimlerinde izlenen metodolojiye yer verilmiştir.

  1. Planlama
  2. Bilgi toplama
  3. Zafiyet analizi
  4. Sızma
  5. Raporlama

Kapsamın Belirlenmesi ve Planlama

Gerçekleştirilen başlangıç toplantısında temel ICS sunucuları ve her birinin network diyagramındaki rol ve sorumlulukları belirlenir. Kurumun ve test kapsamına giren sistemlerin yöneticilerinin test süresinde sistemde değişiklik yapmamaları beklenmektedir. Test düresinde kurum tarafından yetkili kişilerin ve danışman personelin belirlenerek test süreci planlanır.

Sızma Testinin Gerçekleştirilmesi

CS'in bir siber güvenlik değerlendirmesi IT alanında yaygın olan anlamda bir sızma testi değildir. Bir sızma testi, saldırganların internetten başlayarak bir organizasyon içinde çalıştıkları kara kutu (black box) testini ima eder. IT sızma testi, bir saldırganın sisteme ne kadar giriş yapabileceğini belirler. Öte yandan Endüstriyel Kontrol Sistemleri üzerinde gerçekleştirilen bir siber güvenlik değerlendirmesi yapılırken Endüstriyel Kontrol Sistemini oluşturan donanım ve yazılımların güvenlik açıklıklarının olup olmadığını ve var olan korumaların (network mimarisi, işlevsel DMZ’ler, sensörler) erişim kısıtının olup olmadığı test edilir. Siber güvenlik değerlendirmesi esnasında tespit edilen acil seviyedeki zafiyetler kuruma zaman kaybetmeden bildirilir.

  • Uzak Terminal Ünitesinden (Remote Terminal Unit-RTU) izin verilen iletişimler temel alınarak Ön Uç İşlemcinin (Front End Processor-FEP) kontrol edilip edilemeyeceğinin test edilmesi.
  • FEP’e ICS networkünde saldırının gerçekleştirilmesi
  • Uygulama sunucunun test edilmesi( örn: HMI)
  • Gerçek zamanlı veritabanı sunucusunun test edilmesi

Endüstiriyel Konrol Sistemindeki başlıca bileşenlerin yanı sıra diğer kategortlerde teste dahil edilmelidir. Bu kategorilerden biri ağ geçişidir. ICS genellikle saldırılardan birkaç katmanlı network savunması arkasında korunur. Geçişin test edilmesinin amacı, hedef güvenlik bölgesindeki bir sunucunun daha düşük güvenlik bölgesindeki bir network ortamından erişilip erişilmeyeceğinin denetlenmesidir.

Saldırı vektörleri:

  • Kurumsal LAN’dan bir DMZ sunucusuna erişim
  • Kurumsal LAN’dan bir ICS sunucusuna erişim
  • Bir DMZ sunucusundan bir ICS sunucusuna erişim
  • ICCP (Inter-Control Centre Communications Protocol- ICCP) sunucusundan başka bir DMz sunucusuna erişim
  • Pasif Bilgi Toplama: EKS/SCADA sistemlerinde gerçekleştirilen sızma testlerinin ilk aşamasında mevcut endüstriyel kontrol sistemi altyapısı pasif ağ dinleme cihazları yardımıyla ağ trafiğinin bir kopyası alınarak analiz edilir ve bu altyapıda bulunan bileşenler, kullanılan protokoller ve iletişim haritası çıkartılır. Elde edilen bu bilgiler önceki adımda elde edilen kurum envanter bilgileri ile karşılaştırılır ve endüstriyel kontrol sistemi üzerinde kurum veya şirketin bilgisi dışında herhangi bir bileşenin yer alıp almadığı, yer alan bileşenlerin dizayn edilen halleri ile çalışıp çalışmadığı tespit edilir.
  • Aktif Bilgi Toplama: EKS/SCADA sızma testlerinin bu aşamasında kapsam dahilinde yer alan bileşenlerin tespiti için aktif ağ haritalama yöntemi kullanılır. Bu yöntem ile kapsam dahilindeki bileşenlerin canlı olup olmadıkları, canlı olan sistemlerin üzerinde hangi servislerin çalıştığı, hangi portlar üzerinden bu servislerin hizmet verdiği, servislerin versiyon bilgileri gibi bilgiler elde edilir. Bu bilgiler testlerin bir sonraki aşamasında kullanılmak üzere raporlanır.
  • Zafiyet Analizi: EKS/SCADA sistemlerinde gerçekleştirilen testlerin bir sonraki aşamasında kapsam dahilinde yer alan endüstriyel kontrol sistemi bileşenleri üzerinde aktif olarak zafiyet analizi gerçekleştirilir. Gerçekleştirilen zafiyet analizinde ilgili EKS bileşenlerinin IT dünyasından aldığı zafiyetler ile OT bileşenleri üzerinde şimdiye kadar tespit edilmiş zafiyetler test edilir. Tespit edilen zafiyetler ilgili EKS bileşeni özelinde detaylı şekilde raporlanır.
  • Penetrasyon Testi: EKS/SCADA sistemlerinde gerçekleştirilen sızma testlerinin son aşamasında bu sistemlere özel penetrasyon testleri gerçekleştirilir. Bir önceki aşamada üzerinde zafiyet tespit edilen bileşenlerin bu zafiyetleri exploit edilerek ele geçirilmeye, üzerinde yetkisiz komut çalıştırmaya, yetkisiz şekilde kontrol elemanlarına müdahale edilmeye çalışılır. Sonuçlarının EKS/SCADA sistemlerinde kesintilere veya ciddi zararlara yola açabilecek testlerin bu aşaması kurum veya şirketle yapılan anlaşma kapsamında özel izinle gerçekleştirilir. Yazılı izin alınmadığı sürece testlerin bu aşaması gerçekleştirilmez.

Gerçekleştirilecek Güvenlik Testleri

  • Privia tarafından sunulan EKS/SCADA Sistemleri İçin Siber Güvenlik Analizi ve Sızma Testi çalışmasın kapsamında öncelikli olarak mevcut EKS/SCADA sistemlerinin güvenlik durum tespitleri yapılıp, ardından iyileştirme için gerekli çözüm önerileri sunulur.
  • Yapılacak testlerde aşağıdaki başlıklarda çalışmalar yapılır;
    • Segmentasyon Analizi
    • Görünürlük Analizi
    • Kimlik Doğrulama Altyapısı Analizi
    • Yama Analizi
    • Uzaktan Erişim Analizi
    • Anti-Malware Analizi
    • Siber Olay İzleme ve Müdahale Analizi

Segmentasyon Analizi

Gerçekleştirilecek analiz çalışmasının bu bölümünde Privia sızma testi ekibi ile Kurum OT ve IT uzmanları hem saha incelemesinde bulunarak hem de mevcut ağ topolojisi üzerinden hem pasif hem de aktif analizler gerçekleştirip, OT ağının segmentasyon detaylarını çıkartacak ve bu bağlamda olası risklerin neler olabileceği raporlanacaktır.

Görünürlük ve Saldırı Tespit/Önleme Yeteneği Analizi

Gerçekleştirilecek analiz çalışmasının bu bölümünde Privia sızma testi ekibi ile Kurum OT ve IT uzmanları hem saha incelemesinde bulunarak hem de mevcut ağ topolojisi üzerinden hem pasif hem de aktif analizler gerçekleştirip, OT ağının segmentasyon detaylarını çıkartacak ve bu bağlamda olası risklerin neler olabileceği raporlanacaktır.

Görünürlük ve Saldırı Tespit/Önleme Yeteneği Analizi

Analizin bu aşamasında Privia sızma testi ekibiyle Kurum OT ve IT uzmanları hem saha incelemesinde bulunarak hem de mevcut ağ topolojisi üzerinden, hem pasif hem de aktif analizler gerçekleştirip, OT ağının görünürlülük seviyesini ve olası bir siber saldırının tespitini sağlayacak teknolojilerin EKS/SCADA ağı içinde yer alıp almadığının analizini gerçekleştirirler. Elde edilen bulgular raporun ilgili başlığı altında detaylı şekilde yer alır.

Kimlik Doğrulama Altyapısı Analizi

EKS/SCADA sistemlerinde kullanılan mevcut kimlik doğrulama yöntemlerinin neler olduğu, IT ve OT ağları arasında bir güven ilişkisinin olup olmadığı, yetkili hesapların nasıl yönetildiği gibi analizler gerçekleştirilir. Elde edilen bulgular raporun ilgili başlığı altında detaylı şekilde yer alır.

Yama Analizi

EKS/SCADA bileşenleri için kurum/şirket bünyesinde bir envanterin tutulup tutulmadığı, bu bileşenlerdeki firmware, işletim sistemi ve uygulamaların güncelleme ve yama yönetiminin nasıl gerçekleştirildiği analiz edilerek raporlanır.

Uzaktan Erişim

EKS/SCADA sistemlerine ne şekilde ve kimler tarafından uzaktan erişim gerçekleştirildiği tespit edilir ve güvenli uzaktan erişim yöntemlerin kullanılıp kullanılmadığı analiz edilir. Elde edilen bulgular raporun ilgili başlığı altında detaylı şekilde raporlanır.

Anti-Malware Analizi

EKS/SCADA sistemlerinde herhangi bir anti-malware çözümünün kullanılıp kullanılmadığı, kullanılıyor ise hangi şekilde tanımların gerçekleştirildiğinin tespitine yönelik analizler yapılır. Elde edilen bulgular raporun ilgili başlığı altında detaylı şekilde raporlanır.

Siber Olay İzleme ve Müdahale Analizi

EKS/SCADA sistemlerinden herhangi bir log kaydının merkezi bir log kayıt sistemine kaydedilip kaydedilmediği, bu alt yapılara yapılacak olası bir siber saldırıda devreye alınacak siber olay müdahale planının var olup olmadığı ve varsa işletilip işletilmediği analiz edilerek sonuçları raporlanır.

OT Varlıklarına Yönelik Sızma Testi Kontrol Listesi

OT ortamındaki tüm olası zafiyetleri tespit etmek için kararlaştırılan sistem ve bileşenler üzerinde sızma testi gerçekleştirilir. Test edilen kontroller aşağıdaki gibidir.

  • Saldırganların LAN’a erişmesine neden olabilecek zafiyetleri belirlemek için, network yapısının veri bağlantısı (data link layer) katmanındaki saldırılara karşı dayanıklılığının ölçülmesi.
  • Network trafiği izlenip analiz edilerek saldırganların hassas verilere erişip erişemeyeceğinin tespit edilmesi.
  • Hedef LAN segmentinde mevcut olan tüm cihaz, işletim sistemi ve uygulamaların tanımlanması.
  • Zafiyet barındıran network servislerinin tespit edilmesi.
  • Gizli bilgilerin depolandığı, zayıf korumaya sahip sunucular, yetersiz veya eksik yapılandırılan güvenlik duvarı koruması gibi zayıf erişim kontrollerinin keşfi.
  • Network altyapısının güvenlik seviyelerinin analizi.
  • Tespit edilen en kritik zafiyetler başta olmak üzere, bu zafiyetleri istismar edecek bir saldırganın test segmentinin dışında networke dahil olarak SCADA ve denetleyiciler gibi kritik ICS bileşenlerine erişip erişemeyeceğinin kontrolünün sağlanması.
  • Network mimarisinin analiz edilerek özel ağ segmentasyonunun kontrol edilemesi. (Denetleyiciler, kontrolörler, sunucular ve iş istasyonları arasındaki ayırım)
  • Güncellemelerin uygulanma prosedürlerinin analiz edilmesi.
  • Antivirüs korumasının etkinliğinin değerlendirilmesi.
  • Sahte veya 3. Parti yazılım kullanımının analiz edilmesi.
  • Güvenlik seviyelerinin değerlendirilmesi de dahil olmak üzere iş istasyonu hesaplarının ve yönetici haklarının belirlenmesi.
  • Güvenlik duvarı kurallarının analiz edilmesi.
  • Parola politikalarının gözden geçirilmesi.
  • Otomatik iş bloke sisteminin test edilemesi. (Operasyonel iş istasyonları hariç)
  • PLC, switch ve routerların kullanılabilir yönetim arayüzlerinin analiz edilmesi.
  • Mühendislik iş istasyonlarının ve sunucuların yerleşiminin kontrol edilmesi.
  • Operatör istasyonundaki, sunuculardaki ve mühendislik istasyonlarındaki iletişim portlarının güvenliğinin kontrol edilmesi.
  • Operatör istasyonlarındaki Windows shell’e erişimin doğrulanması.
  • Network (switch, router, firewall) denetleyiciler ve kritik sunucular için yedeklemelerin kontrol edilmesi.
  • Kontrol bölümlerinde bildirilmemiş protokollerin kullanımının kontrol edilmesi.
  • Kabinet ve telekomünikasyon cihazlarının test edilmesi.
  • Kablosuz ağ ve uzaktan erişim yöntemleriyle ICS’e erişimin olup olmadığının doğrulanması.
  • Harici sistemler ile ICS etkileşiminin test edilmesi.
  • Tüm ICS bileşenleri için internet bağlantısının kontrol edilmesi.
  • Yalnızca endüstriyel sınıf ekipmanların kullanıldığına yönelik kontrollerin gerçekleştirilmesi

Detaylı bilgi için lütfen formu doldurun!

Profesyonellerimiz taleplerinize özel çözümler sunarak Privia Security uzmanlık alanları hakkında size ve şirketinize yardımcı olabilirler.