Blog

Endüstriyel Kontrol Sistemlerinde EKS Siber Güvenlik Testleri

Bu yazımızda Endüstriyel Kontrol Sistemleri (Industrial Control Systems) alt yapılarında sızma testleri, güvenlik testleri yaklaşımları neler olmalıdır bunlardan bahsedeceğim.

Siber Güvenlik Nedir?

Genel Kapsam

Endüstriyel Kontrol Sistemleri ülkemizde son birkaç yıldır Amerika ve Avrupa’da ICS/EKS sistemlerine yönelik çıkan yönergeler neticesinde güvenlik konusu ciddi bir önem kazanmıştır. Bu kapsamda ülkemizde de EPDK kapsamında bir kapsam yayınlanmış ve bu kapsamda aşağıdaki adımlarda testlerin gerçekleştirilmesi istenmiştir:

a) EKS ağının ve mimari yapının incelenmesi analizi,
b) EKS yapılarında görevli personele yönelik sosyal mühendislik testleri,
c) EKS ağında zafiyet tarama analizi,
ç) EKS ağında zararlı yazılım analizi,
d) EKS kablosuz ağ ve bileşenleri testleri,
e) EKS ağında sömürü testleri

İlgili kapsamda maddeleri biraz detaylandıralım..

a) EKS AĞININ VE MİMARİ YAPININ İNCELENMESİ ANALİZİ

Bu kapsamda bizden istenilen ve kapsamda yer alan maddeler gereği yapılması gerekenler,
*Varsa topolojilerin incelenmesi , topoloji yok ise OT ve IT mühendis veya sorumluları ile görüşülerek ve saha gezilerek topolojinin çıkartılması, çizilmesi ve bunların teyit edilmesi,
*Ortamdaki yetkili hesapların kontrolü, parola politikaları,
*Sistemlerin konfigürasyon kontrolü,
*Ağ yapısında varlıkların konumlandırılmasının kontrolü,
*İnternete erişebilen veya internetten erişilebilen varlıkların kontrolü ve ilgili varlıkların varsa güvenlik duvarı üzerinde kurallarının kontrolü,
vb. diğer hususları kapsamaktadır.
Kısaca bu maddelerde varlıkların yapısal, fiziksel ve hiyerarşik olarak prosedürel, dokümantasyonel ve işleyişte kontrolleri gerçekleştirilmektedir.
Burada dikkat edilmesi gereken en önemli husus ise PERA(Purdue Enterprise Reference Architecture) dediğimiz yapıya uygun olarak ağın yapısının yapılıp yapılmadığı, switch üzerinde segmentasyonların düzgün uygulandığı, firewall üzerinde yetkilendirmelerin düzgün yapıldığının kontrolüdür. Bilinmesi gereken prensibine göre kontrollerin yapılıp geri kalan hiçbir duruma müsaade edilmediğinden emin olunmasıdır.

PERA(Purdue Enterprise Reference Architecture) Nedir?

EKS/ICS sistemlerinde seviyelerin yapılması ve güvenli bir mimari oluşturulması için bize bir standart sunmaktadır. Aşağıda görülen resimlerdeki gibi sistemlerin hiyerarşik, fiziksel ve segmentasyonel yapısını bizlere anlatmaktadır.

Yukarıdaki resimde görüldüğü üzere seviyeler arası geçişlerin nasıl olması gerektiği belirtilmiştir. Resimde belirtilen terimleri kısaca açıklayacak olursak;


PLC: (Programlanabilir Mantıksal Denetleyici), fabrikalardaki üretim bölümlerinde veya makinelerin kontrolü gibi işlemlerin denetiminde kullanılan otomasyon cihazıdır.

RTU: (Remote Terminal Unit) Uzak uç birimlerinin temel kullanım amacı, birden fazla haberleşme protokolü ile sahada bulunan cihazlarla  haberleşip üst sistemde bulunan SCADA sistemine veya kontroller donanımna, sahadan topladığı dijital, analog vb. bilgilerin bir haberleşme protokolü ile aktarılmasını sağlanmaktadır. RTU birden fazla üst sisteme topladığı verileri farklı haberleşme protokolü ile aktarabilme imkanı sağlamaktadır.


HMI: (Human Machine Interface) kullanıcının, makine ve üretim tesisleri ile iletişim kurmasına olanak sağlayan bir aygıt ya da yazılımdır. 

SCADA: (Supervisory Control And Data Acquisition) kelimelerinin ilk harfleri ile oluşturulan SCADA; “Merkezi Denetleme Kontrol ve Veri Toplama” sistemi olarak adlandırılmaktadır. SCADA sistemleri geniş alana yayılmış tesislerin tek bir merkezden bilgisayar, cep telefonu veya tablet gibi cihazlarla izlenebildiği bir sistemdir ve temel olarak bir yazılımdır.


HISTORIAN: SCADA sistemlerinde bileşenler arası verilerin üretimde veya yapılan fonksiyonda verileri depolamak için kullanılan veri tabanı türüdür.

DCS: (Distributed Control System) EKS’lerin “Dağıtık Kontrol Sistemi” ifadesidir. Burda merkezi bir historian bulunmayabilir. Her bir DCS tüm sistemleri kontrol edebilir. Dağıtık kontrol sistemlerinin başlıca avantajı tesisin bir kısımda meydana gelen hatadan bağımsız olarak diğer kısımların çalışmaya devam etmesidir.

PERA yapısı kısaca her bir seviye bir altındakine erişebileceği sistemin kurulması amacını gütmektedir. Her seviye için bulunacak cihazları da yukarıdaki mimari resimde belirtilmektedir. Buna göre örnek verecek olursa L3 ve L1 ağ adreslerinin farklı olması ve L3-L2 ye inmeden L2 üzerinden L1 e geçmeden direk olarak L3-L1 geçişini yapmamalıdır. Her bir seviyeye bir firewall konacak şekilde ya da tüm seviyelerin vlanlarının firewall üzerinden sonlandırılacak yetkilendirme ile geçişleri yapılmalıdır.

Bir başka dikkat edilmesi gereken husus ise İş Sürekliliği ve konfigürasyon denetimidir. İş sürekliliği ve işleyişin akmaması için var olan prosedürlerinin öğrenilip işletildiğinden emin olunması gerekmektedir.
Konfigürasyon kontrolü için ise, Firewall, IPS, NAC vb. ağ güvenlik cihazlarında yapılandırmaların düzgün yapıldığından ve bilinmesi gereken prensibine göre yetkilendirmelerin yapıldığından emin olunmalıdır.

B) EKS YAPILARINDA GÖREVLİ PERSONELE YÖNELİK SOSYAL MÜHENDİSLİK TESTLERİ

Bu test kapsamında OT ağında yer alan personellere yönelik sosyal mühendislik testleri yapılması istenmektedir. Burada;

  • Fiziki Sosyal Mühendislik Testleri:
    Girişte fiziki güvenliğin size karşı olan tavırları, fiziki olarak güvenliği atlatmaya ya da bilgi toplamaya yönelik çalışmalar yapılması, telefon ile arayıp bilgi almaya çalışma, çöplerin ve masaların kontrol edilmesi gibi konulara dikkat edilmelidir. Ayrıca video gözetim odalarının varlığı, server odaları veya özel odalara girişlerde veya herhangi bir alana girişte kartlı geçiş vb. sistemlerin olup olmadığı ve aktif çalışırlığı kontrol edilmelidir.
  • Mail Üzerinden Sosyal Mühendislik Testleri:
    Bunu yaparken kurumla anlaşmalı ya da anlaşmasız olarak, kurum ile koordineli gidilmesi daha doğru gelmektedir, OT çalışanlarının özellikle üretimde yer alan personellerin varsa mail adresi alınıp olta.la gibi phishing simulasyon ürünleri üzerinden otomatik olarak oltalama saldırıları gerçekleştirilebilir.

C) EKS AĞINDA ZAFİYET TARAMA ANALİZİ

Zafiyet analizi EKS alt yapılarında en çok dikkat edilmesi gereken husustur. Canlı olarak sistemlerde tarama yapılması önerilmemektedir. Bunun nedeni ise sistemler düşük bant genişliklerinde çalıştığından ağ üzerinde oluşturulacak yoğun trafikler sistemde yavaşlıklara hatta kopmalara sebebiyet verebilmektedir.
Aktif Tarama:

  • Duruş yapılabilen EKS’lerde duruş esnasında,
  • Parçalı duruş yapılabilen EKS’lerde sadece duruş yapılan EKS’ler üzerinde,
  • Duruş yapılamayan EKS’lerde, talebin düşük olduğu dönemlerde EKS’leri en az etkileyecek şekilde,
  • Yukarıdaki seçeneklerin dışında, kuruluşun testin neden olabileceği riskleri kabul edeceği şekilde yapılabilmektedir.

Herhangi bir ücretli veya açık kaynak araçla zafiyet taraması yapılabilir ancak DOS etkisi yaratmadığından emin olunmalıdır. Kurumlarında bu teste müsaade ederken herhangi bir sorun olması durumunda normal duruma dönmek için bir yolu olmalıdır.

Zafiyet taraması yaparken host keşfi blok verilerek yapılmamalıdır. OT sorumluları ile görüşülerek ilgili tüm PLC, SCADA bileşenlerinin IP adresi öğrenilerek araca teker teker girilerek buna göre port taraması yapılmalıdır. Ayrıca burada zafiyet tarama araçlarında zafiyet analizi safhasında sistemlerden bağımsız hiçbir plugin veya özellik açılmamalıdır.

Ç) EKS AĞINDA ZARARLI YAZILIM ANALİZİ

Burada yapılan asıl işlem OT ağı içerisinde SCADA sistemleri ve bileşenlerinin içerisinde var ise zararlı yazılımların trafiklerinin tespit edilmesidir. Burada genellikle uyguladığımız yöntem ise, Switchler üzerinde belirli saatlerde mirror alınarak kaydedilir ve snort, suricata, nozomi gibi ücretli veya açık kaynak araçlar üzerinde trafiklerin zararlı yazılım analizleri yapılır. Eğer bir zararlı yazılım trafiği tespit edilir ise ilgili sistemin demo ortamı kuruluş tarafından sağlanarak tamamen izole bir alanda sistemdeki yazılımın analizi yapılmalıdır.

D) EKS KABLOSUZ AĞ VE BİLEŞENLERİ TESTLERİ

Kablosuz sistemlere yönelik genel test başlıkları aşağıdaki gibidir. Hepsi ayrı uzmanlık gerektiren alanlar olduğundan onları farklı bir makalemizde paylaşacağız.

  • 802.11x Testleri
    Canlı ortamda bu testleri yaptırırken var olan sistemlerinizde iletişim kopması olacağından lütfen duruş esnasında testleri gerçekleştiriniz.
  • 802.15.1 ve 802.15.4 Testleri
    Aynı şekilde gene üretimde kullanılan protokoller olduğundan lütfen duruş zamanında testleri gerçekleştiriniz.
  • APN Testleri
    APN ağının sadece size özel olduğundan ve ağ da başka cihazların olmadığından testi yapan kişinin emin olması gerekmektedir.
  • RF İletişimin Güvenlik Testleri
    Aktif çalışan sistemlerde kesinti yapacağından dikkat edilmesi gerekmektedir.

E) EKS AĞINDA SÖMÜRÜ TESTLERİ

Bilenen uygulamalar ve gömülü sistemler üzerinde testler gerçekleştirilmelidir. Burada dikkat edilmesi gereken en büyük husus ise sömürü testlerininde TEST ORTAMI üzerinde yapılmasıdır. Canlı ortamda duruşta dahi olsa exploit vs. denendikten sonra sistem dosyalarında değişiklik yapacağından, ortam tekrar ayağa kaldırılmaya çalıştığında aktif olmayacaktır. Kurumların bu testleri yaptırırken duruşta dahi olsa yedekten dönemeyeceği sistemleri için özellikle HMI, SCADA SERVER, PLC gibi üretimi doğrudan etkileyen sistemlerde testleri kontrollü yaptırmaları önem arz etmektedir.

Buraya kadar tebliğden, olması gerekenlerden ve dikkat edilmesi gereken hususlardan bahsettik, gelelim bu testleri kimler yapabilir?

EPDK’nın bunun için şartlar aşağıdaki gibidir,
Testi yapacak firmanın TSE Sızma Testi Laboratuvarı ünvanına sahip olması gerekmektedir. Bu listeye linkten ulaşabilirsiniz. TS NO kısmına 13638 yazarak sorgulayabilirsiniz.
a) EKS mimarisi, çalışma prensipleri ve iletişim protokolleri ile ilgili üretici veya üreticilerin yetkilendirdiği firmalardan eğitim almış olmak (eğitim içeriği ve katılım belgesi ibraz edilmelidir),
b) Ağ güvenliği konusunda uluslararası kabul görmüş kuruluşlardan alınmış en az bir sertifikaya (Comptia Security+, GSEC, CCNA Security, CND, SSCP) sahip olmak,
c) CEH, OSCP, TSE Ağ ve Sistem Altyapısı Sızma Testi Uzmanı (en az Sertifikalı Sızma Testi Uzmanı seviyesinde olmalı), GPEN’den en az ikisine sahip olmak,
ç) GICSP sertifikasına sahip olmak.
“EKS Ağının ve Mimari Yapısının İncelenmesi” analizini yapacak kişilerde yukarıda belirtilen (c) ve (ç) bentlerindeki yetkinlikler aranmaz.

İlgili sertifikalar bir süre önce firmalar tarafından istenmiştir. EPDK ya tebliğ yapmayan ve tüm sertifikaları karşılamayanların testi yapmasına dair herhangi bir yaptırım bulunmamakla beraber EPDK önümüzdeki dönemlerde gerekli yaptırımları bildirecektir.

EKS testi yaptıracak firmalar tavsiyem şudur:
Sızma testlerinden farklı olarak lütfen CV, Eğitim ve Sertifika konularını özellikle isteyiniz. Sorun olması durumunda üzülmenizi istemeyiz.

Kadir YAPAR

GICSP, OSCP, CEH, TSE, Cyber Security Professional

İlgili Makaleler

6 Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu