Bilgisayar korsanları bal kovanlarına karşı

BT alanındaki suçlar büyük bir artış gösteriyor. Önceleri sadece bireysel internet kullanıcılarıyla sınırlı olan bu suçlar, artık endüstri ve şirketler için de ciddi bir tehdit haline geldi ve siber saldırılarla endüstriyel casuslukların neden olduğu hasarlar daha şimdiden yılda milyar dolarlar mertebesine ulaştı. Çok sayıda sanayi şirketi bugünlerde dijital teknolojilerin yaygınlaşması ve değer zincirinin tamamındaki makinelerle kurulumların her geçen gün birbirlerine daha fazla bağlanmasıyla ekstradan ciddi risklerin ortaya çıkmasından endişeleniyor. Oysa bu şirketlerin kendi üretimlerini daha hızlı ve daha esnek hale getirebilmeleri ve etkin maliyetlerle çalışabilmeleri için büyük ölçüde içine kapalı tesislerini açık üretim sistemlerine dönüştürmeleri gerekiyor. Bu durum ise Dr. Rolf Reinema’nın çoktan cevabını bulduğu bir ikilem yaratıyor: “Şayet endüstri kapsamlı ve tutarlı bir güvenlik kavramı kullanırsa, o zaman bu riskler yönetilebilir hale gelir.” Siemens Kurumsal Teknolojiler’deki (CT) BT Güvenlik Teknolojileri Bölümü’nden sorumlu olan Reinema aslında Siemens’in kendi şirketleri için kapsamlı güvenlik çözümleri geliştirmeye odaklanmış bir BT uzmanları grubunu yönetiyor. Zafiyetlere karşı sistematik çözümler BT güvenlik uzmanı Klaus Lukas, “Eskiden fabrikaları çelik kapılar ve alarm sistemleri korurdu. Günümüzde ise endüstride güvenlikten sorumlu olanların bir numaralı önceliği bilgisayar korsanlarından çok daha hızlı olmak ve güvenlik açıklarını kendi kendilerine keşfetmek” diyor. Lukas’ın yönettiği Teknoloji Bölümü’nün bir parçası olan ProductCert ekibi Siemens ürünlerinin şirket içinden ve dışından rapor edilen savunmasızlıklarına karşı çözümler geliştiriyor. Lukas, “Bizim iş birimlerimizin hızla dijitalleşmesi yüzünden bu gibi tehditlere büyük bir hızla cevap verebilmemiz gerekiyor” diyor. Sonuçta onun ekibi zayıf noktaların bulunması ve onların anında etkisiz hale getirilmesi için çözümler geliştiriyor ve müşterilerini de bu konuda derhal bilgilendiriyor. Bu ekip aynı zamanda bir güvenlik uzmanları ağıyla da sürekli olarak dirsek teması halinde. Lukas, “Bu sadece karşılıklı bir güven tabanı yaratmak için değil, aynı zamanda bizim kendi bilgi dağarcığımızın kapsamını genişletmek için de zaruri” diyor. İşte bu yüzden ekibin üyeleri bu alanda diğer insanlarla iletişim halinde olmak için devamlı olarak önemli konferanslara ve BT etkinliklerine katılıyor. Örnekleri arasında ise araştırmacıların en son bulgularının sunumlarını yaptıkları Blackhat USA ve Def Con sayılabilir. Anormallikler için verileri taramak Bir diğer BT güvenlik bileşeni de siber saldırıları neredeyse anı anına tanımlayabilen bir gözlem sistemi. Dr. Heiko Patzlaff, “Genellikle saldırılar yeterince hızlı algılanamıyor. Kötü amaçlı bir yazılım bir sisteme sızdıktan sonra içerideki verileri incelemek ve içlerinden önemli olanları çalmak ya da onları başka yerlere yönlendirmek gibi hedeflerini başarmak için hiç acele etmez” diyor. İşte bu gözlem sistemi, bu gibi sorunlara çare bulmak için geliştirilmiş. “Biz burada veri akışlarını anormallikler için tarayan algoritmalar geliştiriyoruz” diye ekliyor. Örneğin gündüz veya gecenin alışılmadık zamanlarında büyük miktarlarda veri hareketleri bir saldırı işareti olabilir. Aynısı hiçbir mantıklı nedeni yokken belirli komutların ardı ardına defalarca çalıştırılması için de geçerlidir. Veya sadece gündüzleri çalışan bir elemanın gecenin bir yarısında aniden sisteme giriş yapması da bir siber saldırı işareti olabilir. Patzlaff, “Her BT sisteminin kendine has tipik davranış rutinleri ve örüntüleri olduğundan bu ipucu arayışlarının da bunlara uyarlanması gerekir” diyor. Eğer bu gözlem sistemi herhangi bir anormallik tespit ederse, otomatikman uygun bir güvenlik merkezini bilgilendiriyor. “Orada BT güvenlik uzmanları zorlanan gediği analiz ediyor ve derhal karşı önlemler alıyorlar” diyor. Geleceğe yönelik tahminler bu zorluğun ileride ne kadar yaygınlaşabileceğini gösteriyor. Sadece yüzlerce veya binlerce değil, milyarlarca makine, sistem, sensör ve tek tek ürünlerin önünde sonunda birbirleriyle iletişim kurduğu ve hepsi birden “Endüstri 4.0” olarak bilinen siber-fiziksel teknolojiler giderek daha yaygın hale geliyor. Saldırı örüntülerini zaman içinde tanımak Bir başka önemli BT güvenlik bileşeni de üretim tesisleri veya enerji santralleri gibi faaliyet ortamlarını saldırıları algılamak için sürekli gözlemleme yeteneği. Dr. Martin Otto yönetimindeki CERT Araştırma Grubu, şu aralar güvenlik uzmanlarının bu gibi saldırıları erkenden algılayabilmelerini ve karşı önlemler alabilmelerini sağlayacak yeni çözümler geliştirmekle meşgul. Örneğin CERT her gün yeni saldırı örüntülerini araştırıyor. Bu grup onların analizini yapıyor ve bir saldırı riskini büyük ölçüde azaltacak etkili karşı önlemler ve algılama yöntemleri geliştirmek için diğer bölümlerle birlikte çalışıyor. Otto, “Bu gibi siber tehdit istihbarat araçlarımız sayesinde mevcut tehdidin durumunu anlayabiliyor ve hem kendi sistemlerimizi hem de müşterilerimizi çok daha odaklı bir şekilde koruyabiliyoruz” diyor. CERT’teki ve ProductCERT’teki uzmanlar yeni saldırı örüntülerini kendi kendilerine tanımlayabilen ve algılama yöntemleri üretebilen yeni teknolojiler de geliştiriyor. Buna ek olarak araştırmacılar aynı zamanda faaliyet halindeki ağları bu gibi saldırılara bağışıklık kazandırmak ve olası arızaları engellemek üzerinde de çalışıyor.

Makineler için kimlik kontrolü Bu yüzden bu alanda özel güvenlik çözümlerine gerek duyuluyor. Örneğin bir çözüm de makinelerin birbirileriyle veri alışverişinde bulunmadan veya veri tabanlarına bilgi aktarmadan önce kendilerini “tanıtması” olabilir. Hendrik Brockhaus, “Bu sayede BT altyapıları saldırılara karşı çok daha dayanıklı olur” diyor. Brockhaus’un Siemens Güvenlik Teknolojileri Bölümü’ndeki ekibi şu sıralar makinelere yönelik bu türden bir kimlik kontrolü sisteminin Siemens Mobilite Bölümü’nün içine yerleştirilmiş bir pilot sistemde nasıl birlikte çalışabileceğinin demosunu yapıyor. Brockhaus, dünyada ilk defa olmak üzere endüstriyel kurulumlara kamu-kilit altyapısını (PKI) uyguluyor ve makineler, sensörler veya diğer bileşenlerin kimliklerini doğrulamak için dijital sertifikalar kullanıyor. Örneğin bu pilot sistem kapsamında eğer bir komuta sistemi bir saha cihazının kumanda birimine bir anahtarlama komutu gönderirse hem komuta sistemi hem de kumanda birimi PKI sertifikasına dayanarak karşı tarafın gerçekten iddia ettiği makine olduğunu ve işin içinde herhangi bir bilgisayar korsanlığı girişiminin olmadığını teyit ediyor. Bu PKI sertifikaları, oldukça yüksek güvenlik standartlarıyla çalışan ve dolayısıyla PKI sertifikalarına güven duyulmasını sağlayan bir “Tröst Merkezi” tarafından veriliyor. Araştırmanın hizmetindeki hacker’lar BT Güvenlik Teknolojileri Bölümü’ndeki bir diğer ekip ise siber saldırılara karşı savunmayla ilgileniyor. Reinema, “Bizim için çalışan hacker’lar kasıtlı olarak saldırılara karşı standart yazılımlarımız içinde savunmasız alanlar arıyor. Reinema’nın bölümü bilgisayar korsanlarının kullandığı yöntemleri anlamak için “bal kovanları ” denilen yapılar hazırlıyor. Bunlar aslında bilgisayar korsanlarının bulmaları için özel olarak hazırlanmış savunmasız alanlar. Elbette ki bu yapılar gerçek BT sisteminin içine yerleştirilmiyor. Bu yapıların görevi bir yazılım parçasını, bir ağı veya bir sunucuyu taklit ederek bilgisayar korsanının gerçekten bir sisteme saldırdığını sanmasını sağlamak. Reinema, “Biz bilgisayar korsanlarının yöntemlerini bu şekilde dikkatle analiz ederek çözümlerimizin siber saldırılara karşı daha iyi savunma yapmaları için kendi tehdit istihbaratımızı ve becerilerimizi geliştiriyoruz” diyor. Aynı zamanda, BT altyapısı ve Siemens ürünlerine ek olarak Reinema’nın BT güvenlik uzmanları bu bölümün kendi çözümlerini de büyük bir titizlikle inceliyor. Zaten ancak bu şekilde BT güvenlik uzmanlarının diktikleri duvarların yeterince yüksek olup olmadıkları ve güvenlik kontrol noktalarının yeterince dikkatli davranıp davranmadıkları anlaşılabilir.