Operasyonel Teknolojilerin ( OT ) Güvenliği için Cisco Cyber Vision

Bölüm 1: Cisco Cyber Vision Nedir?

IT için sarf edilen güvenlik katmanları artık OT güvenliği içinde günümüzde olmazsa olmazlar arasına girmiştir. Özellikle son zamanlarda veri sızıntılarının birçoğu içeriye farklı yollarla sızılarak yapılmaktadır. Kuzey güney internet trafiğine konumlandırılan güvenlik ürünlerinin, bu tür sızmalarda yeterli olmadığı görülmektedir. Kuzey-Güney trafiğine ek olarak, Doğu-Batı yani yatay eksende de, rutin anomaly/açıklık taramaları yapılarak benzer veri sızıntılarının önüne geçilebilir.

OT ürünlerinin birçoğu intranet ( kapalı devre / internete kapalı ) sistemler üzerinde çalışıyor olsa da, birçok noktada farklı entegrasyonlarla beraber bilgi güvenliği açıklıkları da meydana gelebilmektedir. OT teknolojilerindeki en büyük sorunlardan bir tanesi de görünürlüktür. ( visibility ) Bunun sebeplerinden bir tanesi, yapılarda çok fazla cihaz bulunması ve sürekli olarak eklemeler yapılarak yapının sürekli kontrolsüz olarak büyütülüyor olmasıdır. Buna ek olarak, bu çapta büyük bir yapının da herhangi bir sorun olmadan müdahale edilememesi de eklenebilir. Hem üzerinde kritik servisler çalışıyor olması, hem de sorun durumunda çok ciddi maddi kayıplar yaşanabiliyor olması, gerekli olan iyileştirme ve/veya güvenlik eklemelerinin yapılması konusunda yönetimler tarafından engellemelere sebep olabilmektedir.

Benzer durumların yaşanmaması için Cisco OT ortamlarının görünürlüğünün arttırılmasını, mevcut tehditlerin ortaya çıkarılmasını ve mevcut envanterlerin oluşturulmasını sağlayan Cyber Vision ürünü ile bu tür problemlerin önüne geçmeyi hedeflemektedir.

Cyber Vision kurumunuza;

·         OT ortamları ( varlıklar ve süreçler ) için tam görünürlük sağlanması ( Full Visibility )

·         Dinamik olarak değişen envanterinizin ve networkünüzün gerçek zamanlı izlenebiliyor olması

( Dynamic Asset Management and Monitoring )

·         IT’de sağlanan bilgi güvenliğinin OT networkü için de sağlanması,

·         Kapsamlı tehdit istihbaratı ile kurumunuzun güvenliğini üst seviyeye çıkaracaktır.

Güvenlik Değerlendirmeleri ( Security Assessments )

OT altyapısının güvenliğini sağlamak, varlık envanterinin kesin bir görünüme sahip olmasıyla, iletişim modelleriyle ve doğru konumlandırılmış ağ haritaları ( network topolojileri ) ile başlamaktadır. Cyber Vision, otomatik olarak endüstriyel varlıklarınızın listesini ve ayrıntılı ağ haritalarını oluşturmaktadır.

Ağ Bölümleme ( Network Segmentation )

Endüstriyel güvenlik uygulamalarındaki pratikler ( best practices ) ağların uyumlu mimarilere taşınmasını önermektedir, olası bir saldırının tüm mimariye yayılmasını önlemek için ağ bölümleme ve bu bölümlenen ağlar arasında politikalar oluşturabilmesi bilgi güvenliği açıklıklarında kurumlara çok fazla fayda sağlamaktadır. İşte bu alanda Cisco Cyber Vision ürünü varlık grupları oluşturmak için Cisco ISE ( Identity Service Engine ) ile entegre olarak bölümleme politikalarını dinamik  ( dynamic network segmentation ) olarak uygulanmasını sağlamaktadır.

Standart IT siber güvenlik çözümleri ve metotları, OT siber güvenlik ihtiyaçlarını karşılamak için her zaman yeterli gelmeyebilmektedir, Cisco buradaki ihtiyaca cevaben, Cyber Vision ürününü OT teknolojilerinin güvenliği için hizmete sunmuştur.

Bölüm 2: Cyber Vision Kurulum

Cyber Vision Center yazılım indirmek için;

https://software.cisco.com/download/home/286325414/type

Sanal ortam için gerekli olan özellikler;

2 CPU, 6G RAM ve 50GB HDD ile sanal ortama Cyber Vision Center kurup test edebilirsiniz.

Kurulum adımları aşağıdaki gibidir;

·         Cyber Vision yazılımı Cisco’nun sitesinden indirilir.

·         İndirilen. ova dosyası sanal ortama yüklenir.

·         Yüklenen sanal makina açılarak sistem başlatılır.

·         Cyber Vision Center kurulumu başlatılması için “Start” tıklanır.

·         İlgili DHCP ayarlamaları yapılır.

·         Yapılandırma tamamlandıktan sonra Cyber Vision Center ara yüzüne gerekli bilgiler girilerek tamamlanır.

Cyber Vision Center ana ekranı oldukça sade tasarlanmıştır ve Dashboard ekranında kritik, yüksek, orta ve düşük olarak olay seviyeleri açıklamaları ile bulunmaktadır.

Cyber Vision’u 4 ana özellikte toplamak gerekirse, OT networkunuzden DPI teknolojisini kullanarak pasif sönsörler üzerinden anlamlı bilgileri toplayarak, envanterlerin tüm bilgilerini toplanması; bu envanterlerin kontrol altına alınması, herhangi olası bir açıklık /anomaly tespit edildiğinde alarm üretiyor olması ve son olarak  geçmişte yaşanan trafik hareketlerinin kayıtlarının incelenerek aksiyon alınması için karşılaştırmalı veriler sunması olarak özetleyebiliriz.

Cyber Vision Lisanslaması için 2 seçenek bulunmaktadır. Essential ve Advantage lisanları.  Bunun yanında 

Cisconun birçok güvenlik ürününde olduğu gibi 90 günlük essential veya advantage deneme lisansı bulunmaktadır.

Cyber Vision, 2 ana bileşenden oluşmaktadır, Cyber vision center ( Donanım ve Yazılım ) ve Sensörler. Cyber vision center sanal ortama kurulabilmektedir.

Cyber Vision Center ara yüzünden OT networkünüzdeki güvenlik aktivitelerini takip edebilirsiniz.

Network Explore özelliği ile TAG lenmiş veya TAG lenmemiş hangi cihaz kimlerle iletişimde olduğu haritası networkunuzun görünürlüğü arttıracaktır.

Networkunuzde ne tür açıklık olduğu ve skor bilgisi ile kapatılması gereken açıklıkların raporlarına kolay bir şekilde ulaşılabilmektedir.