Makale

Dijital trafo merkezlerini korumak için pratik bir çerçeve

Dijital trafo merkezlerinin karşılaştığı benzersiz siber güvenlik zorluklarını ve şebeke operatörlerinin güvenlik duruşlarını güçlendirmeleri için mühendislere her zamankinden daha fazla kontrol, daha fazla içgörü ve daha güçlü savunma sınırları sağlayan pratik bir çerçeveyi keşfedin.

Dijital trafo merkezleri hakkında daha fazla bilgi edinin

ICS Ölüm Zincirini Kırmak

Dijital trafo merkezleri, elektrik enerjisi sistemlerinin devam eden dijital dönüşümünde önemli bir bileşendir. Bu modernizasyon benzeri görülmemiş verimlilik ve görünürlük iyileştirmeleri sağlarken, aynı zamanda potansiyel siber güvenlik sorunlarına da kapı açıyor. Dijital trafo merkezlerinde operasyonel teknoloji (OT) ve bilgi teknolojisinin (BT) yakınsaması, saldırganların yaygın elektrik kesintileri, ekipman hasarı ve kamu güvenliğine yönelik tehditler sunmaları için fırsatlar yaratıyor. Bu makalede, dijital trafo merkezlerinin karşı karşıya olduğu siber güvenlik zorluklarını inceliyoruz ve şebeke operatörlerinin güvenlik duruşlarını güçlendirmeleri için pratik bir çerçeve sağlıyoruz..

2015 Ukrayna Elektrik Şebeke Saldırısı - Bir Uyandırma Çağrısı

Aralık 2015'te yaklaşık 225.000 Ukrayna vatandaşı, dijital trafo merkezi güvenliğinde bir dönüm noktası oluşturan bir elektrik kesintisi yaşadı. BlackEnergy kötü amaçlı yazılımını kullanan Sandworm tehdit grubuna atfedilen saldırı, elektrik enerjisi altyapısına karşı kamuya açık olarak kabul edilen ilk başarılı saldırı oldu ve bu da müşteriler için güç kaybına neden oldu.

Saldırganlar, aylarca süren keşif ve kimlik avı kampanyaları aracılığıyla ağ sızmasının ardından kasıtlı, iyi planlanmış, çok aşamalı bir siber saldırı operasyonu gerçekleştirdiler ve programın kurumsal BT ağlarına erişim kazandılar. Oradan saldırganlar, güç servisini kesmek ve kurtarma çabalarını engellemek için meşru uzaktan erişim araçları ve kötü amaçlı yazılım kombinasyonunu kullanarak trafo merkezi OT ağlarına döndü.

Bu olay, dijital trafo merkezi operatörleri için birkaç kritik güvenlik endişesini ortaya çıkardı: BT ve OT ortamları arasında yetersiz ağ segmentasyonu, OT ağlarının yetersiz izlenmesi, uzaktan erişim için çok faktörlü kimlik doğrulama eksikliği ve trafo merkezi operasyonlarına ilişkin sınırlı görünürlük.

Bu zorlukları nasıl çözeceğimizi keşfedelim ve dijital trafo merkezlerini güçlü bir siber güvenlik temeline oturtalım.

c9535eff-9a54-464e-9c05-0960d993ad1b | Cybersecurity Visual 2022 1:1

Sorunu Çerçevelemek: Saldırgan Gibi Düşünmek

Dijital trafo merkezlerinin nasıl korunacağını en iyi anlamak için, Endüstriyel Kontrol Sistemi Ölüm Zincirini kullanarak saldırganın bakış açısını ele alalım. Bu öldürme zinciri, saldırgan eylemlerini zincirin sonunda amaçlanan etkiyi sağlamak için birbirini oluşturan bir dizi operasyon halinde düzenler (Ukrayna örneğimizde elektrik gücü kaybı). Amacımız için, Hazırlık, İzinsiz Giriş, OT'ye Döndürme, OT Yürütme ve Saldırı gibi adımları özetleyen öldürme zincirinin yoğunlaştırılmış bir versiyonunu kullanacağız.

Hazırlık

Saldırganlar hedefleri hakkında istihbarat toplayarak başlar. Yardımcı programlar için bu, trafo merkezi konumlarını tanımlamayı, SCADA mimarisini anlamayı, satıcı ekipmanlarını araştırmayı ve ağ altyapısını haritalamayı içerebilir. 2015 Ukrayna saldırganları hedeflerini incelemek için aylar harcadı. Benzer şekilde, 2021 Colonial Pipeline saldırısı, savunmasız VPN kimlik bilgilerini belirleyen keşiflerle başladı.

Savunma Kontrolleri: Kamu hizmetleri, trafo merkezi konfigürasyonları ve kontrol sistemleri hakkında halka açık bilgileri sınırlayarak dijital ayak izlerini en aza indirmelidir. Çalışan güvenliği farkındalığı eğitimi, sosyal medya veya profesyonel ağlarda operasyonel ayrıntıların aşırı paylaşılmasının yanı sıra hassas verilerin uygun şekilde ele alınmasının risklerini vurgulamalıdır.

İzinsiz giriş

Saldırganlar hedef ortama giriş yapar. Yaygın giriş yöntemleri arasında spear-phishing e-postaları, güvenliği ihlal edilmiş yazılım güncellemeleri, virüslü USB sürücüler veya internete bakan sistemlerin kullanımı yer alır. Ukrayna saldırganları, BlackEnergy kötü amaçlı yazılımının yüklenmesine ve takip eylemleri için gerekli dayanak noktasına izin veren kötü amaçlı Microsoft Office ekleriyle spear-phishing kullandılar.

Savunma Kontrolleri: Gelişmiş tehdit koruması ve sanal alan özelliklerine sahip sağlam e-posta güvenliği çözümleri, kurumsal iş istasyonları için antivirüs/EDR çözümleri, ağ izinsiz giriş algılama sistemleri ve güvenlik operasyon merkezleri (kurum içi veya yönetilen hizmetler sunumu) dahil olmak üzere kurumsal BT siber güvenliği için en iyi uygulamaları izleyin. OT ekiplerinin kurumsal BT siber güvenlik stratejisiyle uyumlu olduğundan ve güncel olduğundan emin olun.

Pivot'den OT'e

Kurumsal BT ağlarına erişim kazanan saldırganlar, erişimlerini dijital trafo merkezlerinde bulunanlar gibi OT ağlarına genişletmeye çalışıyorlar. Bu genellikle güvenli olmayan uzaktan erişim çözümlerinin kullanılması, güvenliği ihlal edilmiş BT sistemlerinden geçerli kullanıcı kimlik bilgilerinin çalınması veya telefonlar ve dizüstü bilgisayarlar gibi virüslü geçici cihazların kullanılması yoluyla yapılır. Stuxnet saldırısında virüslü USB sürücülerin kullanımı, hava boşluklu ağların bile nasıl tehlikeye atılabileceğinin bir örneğidir. Ukrayna saldırısında saldırganlar, VPN bağlantıları aracılığıyla OT ağlarına erişmek için BT sistemlerinden çalınan kimlik bilgilerini kullandılar.

Savunma Kontrolleri: Çıkarılabilir medya ve harici cihazlar için katı politikalar oluşturun. Tüm yazılım ve ürün yazılımının güncel varlık envanterini koruyun ve dijital olarak imzalanmış güvenlik yamalarıyla varlıkları güncel tutun (işlemlerin izin verdiği ölçüde). Ağ erişim kontrolü (NAC) çözümleri yetkisiz cihazların trafo merkezi ağlarına bağlanmasını önleyebilirken, BT ve OT ağları ile trafo merkezi bölgeleri arasındaki ağ yanal hareketi bozar. OT protokollerini anlayan ve anormal iletişimleri tanımlayabilen endüstriyel izinsiz giriş algılama sistemlerini (IDS) devreye alın. Çok faktörlü kimlik doğrulamayı kullanarak uzaktan erişimi güvence altına alın ve 3. taraf uzaktan erişimin (genellikle satıcı bakımı için) benzer şekilde güvence altına alınmasını sağlayın. Rol tabanlı erişim denetimini ideal olarak uygulayarak tüm IED'lerde, rölelerde ve ağ aygıtlarında varsayılan kimlik bilgilerini ortadan kaldırın. Son olarak, OT ağlarının düzenli güvenlik açığı değerlendirmeleri, saldırganlardan önce zayıflıkları belirlemeye yardımcı olur.

OT Saldırısını Yürüt

Son aşama, saldırganların veri hırsızlığı, sistem manipülasyonu veya yıkıcı eylemler gibi hedeflerine ulaşmasını içerir. Ukrayna'da bu, elektrik kesintileri oluşturmak için kesicilerin (trafo merkezi HMI'ları aracılığıyla) açılması anlamına geliyordu. Ukrayna saldırganları, çağrı merkezlerine hizmet reddi saldırıları yürütürken saha cihazlarına iletişimi kesmek için kötü amaçlı yazılım yüklemelerini kullandı, bu da kurtarma çabalarının gecikmesine ve yanıt alamayan müşterilerin hayal kırıklığına uğradı.

Savunma Kontrolleri: Kontrol sistemlerinden bağımsız çalışan güvenlik cihazlı sistemleri (SIS) devreye alın. Yapılandırmaların çevrimdışı yedeklerini koruyun ve geri yükleme prosedürlerini doğrulayın. Siber güvenlik kontrolleri başarısız olduğunda bile hızlı yanıt sağlamak için OT ortamlarına özgü düzenli masa üstü egzersizleri ve olay müdahale tatbikatları yapın.

Hepsini Bir Araya Getirmek - Eyleme Geçilebilir Bir Çerçeve

Dijital trafo merkezlerini savunurken güvenlik kontrollerini uygulamak mücadelenin sadece yarısıdır ve elektrik şirketleri de kontrolleri yerleşik düzenleyici ve endüstri çerçeveleriyle uyumlu hale getirmeli ve savunma önlemlerini hem NERC CIP gerekliliklerine hem de NIST Siber Güvenlik Çerçevesine (CSF) göre eşleştirmelidir.

NERC CIP Hizalama

North American Electric Reliability Corporation'ın Kritik Altyapı Koruma (CIP) standartları, toplu güç sistemi siber güvenliği için zorunlu gereksinimleri sağlar. Dijital trafo merkezleriyle ilgili temel standartlar şunları içerir:

CIP-004 (Personel ve Eğitim)Siber güvenliğin en kritik unsuruna odaklanır: insanlar. İşe alma, eğitim ve işe alınma/offboarding için gereksinimleri belirler.

CIP-005 (Elektronik Güvenlik Perimetreleri): İzinsiz girişlere karşı savunma ve OT'ye dönme konusunda tartışılan ağ segmentasyonu ve erişim kontrol önlemlerini ele alır.

CIP-007 (Sistem Güvenliği Yönetimi): Siber güvenliğin günlük “engelleme ve mücadele” konusunu kapsar: yama yönetimi, kötü amaçlı yazılım önleme, güvenlik olayları izleme ve hesap yönetimi. Bu, erken algılama için gerekli olan uç nokta koruması, günlük kaydı ve güvenlik açığı yönetimi uygulamalarını içerir.

CIP-008 (Olay Müdahale Planlaması): Kuruluşların saldırılara yanıt verme yeteneklerini geliştirmelerini, sürdürmelerini ve uygulamalarını sağlar.

CIP-009 (Kurtarma Planlaması): Bir saldırıdan sonra “normale” dönmeye odaklanır. Yedekleme prosedürlerinin dağıtılmasını ve doğrulanmasını ve geri yüklemenin hız ve doğruluk açısından periyodik olarak test edilmesini sağlar.

CIP-010 (Yapılandırma Değişikliği Yönetimi): Varlıklar için temel yapılandırmaları tanımlar ve operasyonel bütünlük için yama testini dahil etmek üzere bu temel çizgiler için yapılandırılmış bir değişiklik yönetimi süreci oluşturur. Ayrıca periyodik güvenlik açığı değerlendirmeleri için gereksinimleri içerir.

CIP-015 (Dahili Ağ Güvenliği İzleme): 2025 yazında onaylanan ve Ekim 2028'den itibaren yürürlüğe giren en yeni CIP standardı. CIP-015 tamamen “telde” neler olduğunu bilmekle ilgilidir: OT ağlarını izlemek, herhangi bir anormal aktiviteyi tespit etmek ve bilinçli yanıt kararları vermek.

NIST CSF Entegrasyonu

NIST Siber Güvenlik Çerçevesi, kapsamlı bir siber güvenlik stratejisini temsil eden altı temel işlev etrafında düzenlenmiş esnek, riske dayalı bir yaklaşım sağlar:

Yönetin: Kuruluşun siber güvenlik risk yönetimi stratejisini, beklentilerini ve politikalarını oluşturun ve izleyin.

Tanımlamak: Sistemler, varlıklar, veriler ve insanlar arasında siber güvenlik riski konusunda ortak bir anlayış oluşturun. Mevcut güvenlik durumu ve ilgili riskler hakkında görünürlük elde edin.

Koruyun: Daha önce tartışılan teknik kontrolleri uygulayın: ağ segmentasyonu, erişim denetimleri, uç nokta koruması vb. Bir saldırganın ağda yer kazanmak için kullanabileceği genel saldırı yüzeyini azaltmayı hedefleyin.

Algılama: Kötü amaçlı siber güvenlik olaylarının meydana geldiğini zamanında doğru bir şekilde tanımlamak için yetenekleri devreye alın. Görünürlüğe bağlam eklemek için çok çeşitli varlıklardan toplanan verileri kullanın.

Yanıt: Bir siber saldırı tespit edildikten sonra, saldırganların ilerlemesini engellemek, etkiyi azaltmak ve nihayetinde saldırganları ağdan çıkarmak için harekete geçin.

Kurtarma: Bir tehdidi etkisiz hale getirdikten sonra, olay nedeniyle bozulmuş tüm yetenekleri veya hizmetleri geri yükleyin. Gelecekteki güvenlik stratejisini bilgilendirmek için öğrenilen derslerden yararlanın.

NERC CIP, NIST CSF ve Savunma Kontrollerini Birleştirme

NERC CIP Gereksinimi	NIST CSF Fonksiyonu (ler)	Savunma Kontrol Örnekleri
CİP-004	Yönetin, Tanımlayın	Çalışan güvenliği bilinci
CİP-005	Tanımlayın, Koruyun	Güvenlik duvarları, DMZ'ler, güvenli uzaktan erişim
CİP-007	Koru, Algılama, Yanıt Verme, Kurtar	Yama, günlüğe kaydetme, sistem sertleştirme
CİP-008	Yanıtla	Olay müdahale alıştırmaları
CİP-009	Kurtarmak	Çevrimdışı yedeklemeler, test kurtarma prosedürleri
CİP-010	Yönetin, Tanımlayın, Koruyun	Değişim yönetimi, güvenlik açığı değerlendirmeleri
CİP-015	Algılama, Yanıt Verme	OT ağ ID'leri, ağ günlüğü

Sonuç

2015 Ukrayna saldırısı, dijital trafo merkezlerinin siber güvenlik açıklarının doğrudan fiziksel sonuçlara dönüşebileceği kritik hedefleri temsil ettiğini gösterdi. Ancak, saldırganın öldürme zincirini anlayarak ve katmanlı savunma yardımcı programları uygulayarak risk profillerini önemli ölçüde azaltabilir. Hem BT hem de OT ekiplerinin katılımı ve stratejinin düşünceli bir şekilde uygulanmasıyla, dijital trafo merkezleri son derece güçlü bir güvenlik temeline yerleştirilebilir ve saldırganların bundan sonra deneyecekleri her şeye hazırlıklı olabilir.

Bu makale ilk olarak şu tarihte yayınlandı: Kuzey Amerika Temiz Enerji.