ݺߣ

ݺߣShare a Scribd company logo
Güvenlik 4.0
Murat Lostar
1.
Devrim
•1784
2.
Devrim
• 1870
3.
Devrim
•1969
4.
Devrim
•2014
Dönüşüm
Fiziksel Sistemlerin
Sanallaşması
Sanal Yapıların
Fizikselleşmesi
Su ve Buhar
Enerjili
Mekanik Üretim
Elektrik, Montaj
Hattı, Seri
Üretim
Bilgisayar ve
Otomasyon
Siber-Fiziksel
Sistemler
Para (güç) neredeyse, suç orada!
Endüstri 4.0 / Güvenlik 4.0
Endüstri 4.0 / Güvenlik 4.0
Endüstri 4.0 / Güvenlik 4.0
Endüstri 4.0 / Güvenlik 4.0
Endüstri 4.0 / Güvenlik 4.0
MS17-010 Yaması: Şubat 2017
WannaCry Saldırısı: Mayıs 2017
Problemler nereden
kaynaklanıyor?
Doğrulanmamış Protokoller
• Varsayım: Veri güvenli kaynaktan
geliyor
• ICS (çoğu iletişim protokolü) kimlik
doğrulama zorunlu değil
Eski/Desteği Kesilmiş Donanım Kullanımı
• Yaş 20++ yıl
• Yeni ağ / güvenlik teknolojileri
içinde yok
• Güncelleme (yama) yok
Zayıf Kullanıcı Kimliği Doğrulama
Sistemleri
• Kontrol sistemleri sadece kullanıcı
adı/parola
• Parolalar açık (şifrelenmeden)
tutuluyor
• Parolalar sabit (hardcoded) -
Değiştirilemiyor
Zayıf Dosya Bütünlüğü Denetimleri
• Doğruluk kontrolü veya kodun
bütünlüğünü, kökenini doğrulama
kabiliyetindeki zayıflıklar
• Şifreleme doğrulamasının ISC
sistemlerdeki eksik olduğu
durumlar;
• Zayıf yazılım imzalama
• Zayıf yazılım bütünlüğü
kontrolleri
• Zayıf mantıksal kontrol
denetimleri
Zafiyetli İşletim Sistemleri
• Sistemlerin temelinde çalışan
işlletim sistemleri eski
• Windows 98, Windows 3.1,
vb
Kayıt Dışı 3. Parti Bileşenler
• Üçüncü taraf uygulama ve bileşenleri
• Özellikle izleme
• Dokümante edilmemiş bileşenler
• BT’nin haberi yok
• “Çalışıyorsa dokunma” yaklaşımı
Endüstri 4.0 Güvenliği için ”10 Madde”
» 10. Siber saldırı karşısında ne
yapacağız? (Incident Management)
» 9. Güvende miyiz? Zayıf noktaların
tespiti ve engelenmesi
» 8. İş ortaklarının, tedarikçilerin
güvenlik süreçlerine entegre edilmesi
» 7. En zayıf halkanın (Çalışan/İnsan)
eğitilmesi
» 6. Endüstri 4.0 risklerinin izlenmesi /
yönetilmesi
» 5.Güvenli bakım, onarım, destek
süreçleri/erişimi
» 4. Güvenlik 4.0 Bakış Açısı
» Gizlilik
» Bütünlük
» Kullanılabilirlik
» +Emniyet (Safety / İSG)
» 3. Güvenlik 4.0 Bakış Açısı
» Tehditleri dışarıda tutalım
» Saldırıyı erken tespit edip, zararı
küçültelim
» 2. Güvenlik 4.0 Bakış Açısı
» Çevrimdışı çalışalım
» Çevrim içi güvenliği sağlayalım
» 1. Security-by-design
http://guvenligunler.com
Sunum kopyasına bu
adresten (ݺߣShare)
ulaşabilirsiniz.

More Related Content

Endüstri 4.0 / Güvenlik 4.0

  • 2. 1. Devrim •1784 2. Devrim • 1870 3. Devrim •1969 4. Devrim •2014 Dönüşüm Fiziksel Sistemlerin Sanallaşması Sanal Yapıların Fizikselleşmesi Su ve Buhar Enerjili Mekanik Üretim Elektrik, Montaj Hattı, Seri Üretim Bilgisayar ve Otomasyon Siber-Fiziksel Sistemler
  • 9. MS17-010 Yaması: Şubat 2017 WannaCry Saldırısı: Mayıs 2017
  • 11. Doğrulanmamış Protokoller • Varsayım: Veri güvenli kaynaktan geliyor • ICS (çoğu iletişim protokolü) kimlik doğrulama zorunlu değil
  • 12. Eski/Desteği Kesilmiş Donanım Kullanımı • Yaş 20++ yıl • Yeni ağ / güvenlik teknolojileri içinde yok • Güncelleme (yama) yok
  • 13. Zayıf Kullanıcı Kimliği Doğrulama Sistemleri • Kontrol sistemleri sadece kullanıcı adı/parola • Parolalar açık (şifrelenmeden) tutuluyor • Parolalar sabit (hardcoded) - Değiştirilemiyor
  • 14. Zayıf Dosya Bütünlüğü Denetimleri • Doğruluk kontrolü veya kodun bütünlüğünü, kökenini doğrulama kabiliyetindeki zayıflıklar • Şifreleme doğrulamasının ISC sistemlerdeki eksik olduğu durumlar; • Zayıf yazılım imzalama • Zayıf yazılım bütünlüğü kontrolleri • Zayıf mantıksal kontrol denetimleri
  • 15. Zafiyetli İşletim Sistemleri • Sistemlerin temelinde çalışan işlletim sistemleri eski • Windows 98, Windows 3.1, vb
  • 16. Kayıt Dışı 3. Parti Bileşenler • Üçüncü taraf uygulama ve bileşenleri • Özellikle izleme • Dokümante edilmemiş bileşenler • BT’nin haberi yok • “Çalışıyorsa dokunma” yaklaşımı
  • 17. Endüstri 4.0 Güvenliği için ”10 Madde” » 10. Siber saldırı karşısında ne yapacağız? (Incident Management) » 9. Güvende miyiz? Zayıf noktaların tespiti ve engelenmesi » 8. İş ortaklarının, tedarikçilerin güvenlik süreçlerine entegre edilmesi » 7. En zayıf halkanın (Çalışan/İnsan) eğitilmesi » 6. Endüstri 4.0 risklerinin izlenmesi / yönetilmesi » 5.Güvenli bakım, onarım, destek süreçleri/erişimi » 4. Güvenlik 4.0 Bakış Açısı » Gizlilik » Bütünlük » Kullanılabilirlik » +Emniyet (Safety / İSG) » 3. Güvenlik 4.0 Bakış Açısı » Tehditleri dışarıda tutalım » Saldırıyı erken tespit edip, zararı küçültelim » 2. Güvenlik 4.0 Bakış Açısı » Çevrimdışı çalışalım » Çevrim içi güvenliği sağlayalım » 1. Security-by-design

Editor's Notes

  1. Altyazılar: 1. Devrim (Su ve Buhar Enerjili Mekanik Üretim) 2. Devrim (Elektrik, Montaj Hattı, Seri Üretim) 3. Devrim (Bilgisayar ve Otomasyon) 4. Devrim (Siber-Fiziksel Sistemler) Yılları belirtelim. ENDÜSTRİ 1.0 Su ve Buhar Enerjili Mekanik Üretim Tesisleri ENDÜSTRİ 2.0 İş Bölümüne Dayalı Elektrik Enerjili Kitlesel Üretim ENDÜSTRİ 3.0 İmalatın Otomasyonunu İleriye Taşımayı Başaran Elektronik ve Bilgi Teknolojileri ENDÜSTRİ 4.0 Siber Sistemlere Dayalı Üretim
  2. 2008 İRAN, Nükleer İran başkanı, Mahmud Ahmadinejad Natanz
  3. Stuxnet 2010
  4. Stuxnet 2010
  5. 23 Aralık 2015
  6. @Gizem: Bu fotoda (URL dahil) OYAK Renault yazılarının hepsini BLUR yapmamız, okunmayacak hale getirmemiz gerekiyor. Tşk.
  7. Çoğu ICS protokolü kimlik bilgisi olmadan çalışır. Sistem, verinin güvenli kaynaktan gelmesine dayanır. ICS protokolünün kimliği doğrulanmadığında ağdaki herhangi bir bilgisayar, işlemleri manipüle edebilir.
  8. ICS donanımları on yıllar boyunca kullanılabilir. PLC’ler, RTU’lar, VFD’ler, koruyucu röleler.. vb. Modern ağ teknolojilerinden yoksun eski donanımlar zafiyetler içerebilmektedir ve üreticisi tarafından desteği kesildiği için güncellenemediğinden zafiyetli olarak kalmaktadır.
  9. Kimlik doğrulama sistemleri yalnızca öngörülen kişilerin bilgisayar sistemlerine erişebilmesini sağlamak için kullanılır.
  10. Doğruluk kontrolü veya kodun bütünlüğünü, kökenini doğrulama kabiliyetindeki zayıflıklar Şifreleme doğrulamasının ISC sistemlerdeki eksik olduğu durumlar; Zayıf yazılım imzalama Zayıf yazılım bütünlüğü kontrolleri Zayıf mantıksal kontrol denetimleri
  11. Kullanılan işletim sistemlerindeki özellikle eski versiyon güncellemeleri almamış, zafiyetli Microsoft Windows işletim sistemleri ISC sistemlerinde güvenlik zafiyetlerine neden olmaktadır.
  12. ISC sistem yöneticileri genellikle üçüncü taraf uygulama ve bileşenleri nadiren belgelemekte ve izlemektedirler. 3. parti bileşenlerin kullanımdan haberi dahil olmayan sistem yöneticileri olduğu gözlemlenmektedir. Takibi yapılamayan bu bileşenler zafiyetli olsa bile haberi olmadığından zafiyetli olarak sistemde hizmet vermeye devam etmektedirler.
  13. Security-by-design: Doğru bileşen, doğru sistem, doğru süreç (SECOPS)