12. Eski/Desteği Kesilmiş Donanım Kullanımı
• Yaş 20++ yıl
• Yeni ağ / güvenlik teknolojileri
içinde yok
• Güncelleme (yama) yok
13. Zayıf Kullanıcı Kimliği Doğrulama
Sistemleri
• Kontrol sistemleri sadece kullanıcı
adı/parola
• Parolalar açık (şifrelenmeden)
tutuluyor
• Parolalar sabit (hardcoded) -
Değiştirilemiyor
14. Zayıf Dosya Bütünlüğü Denetimleri
• Doğruluk kontrolü veya kodun
bütünlüğünü, kökenini doğrulama
kabiliyetindeki zayıflıklar
• Şifreleme doğrulamasının ISC
sistemlerdeki eksik olduğu
durumlar;
• Zayıf yazılım imzalama
• Zayıf yazılım bütünlüğü
kontrolleri
• Zayıf mantıksal kontrol
denetimleri
16. Kayıt Dışı 3. Parti Bileşenler
• Üçüncü taraf uygulama ve bileşenleri
• Özellikle izleme
• Dokümante edilmemiş bileşenler
• BT’nin haberi yok
• “Çalışıyorsa dokunma” yaklaşımı
17. Endüstri 4.0 Güvenliği için ”10 Madde”
» 10. Siber saldırı karşısında ne
yapacağız? (Incident Management)
» 9. Güvende miyiz? Zayıf noktaların
tespiti ve engelenmesi
» 8. İş ortaklarının, tedarikçilerin
güvenlik süreçlerine entegre edilmesi
» 7. En zayıf halkanın (Çalışan/İnsan)
eğitilmesi
» 6. Endüstri 4.0 risklerinin izlenmesi /
yönetilmesi
» 5.Güvenli bakım, onarım, destek
süreçleri/erişimi
» 4. Güvenlik 4.0 Bakış Açısı
» Gizlilik
» Bütünlük
» Kullanılabilirlik
» +Emniyet (Safety / İSG)
» 3. Güvenlik 4.0 Bakış Açısı
» Tehditleri dışarıda tutalım
» Saldırıyı erken tespit edip, zararı
küçültelim
» 2. Güvenlik 4.0 Bakış Açısı
» Çevrimdışı çalışalım
» Çevrim içi güvenliği sağlayalım
» 1. Security-by-design
Altyazılar:
1. Devrim (Su ve Buhar Enerjili Mekanik Üretim)
2. Devrim (Elektrik, Montaj Hattı, Seri Üretim)
3. Devrim (Bilgisayar ve Otomasyon)
4. Devrim (Siber-Fiziksel Sistemler)
Yılları belirtelim.
ENDÜSTRİ 1.0
Su ve Buhar Enerjili Mekanik Üretim Tesisleri
ENDÜSTRİ 2.0
İş Bölümüne Dayalı Elektrik Enerjili Kitlesel Üretim
ENDÜSTRİ 3.0
İmalatın Otomasyonunu İleriye Taşımayı Başaran Elektronik ve Bilgi Teknolojileri
ENDÜSTRİ 4.0
Siber Sistemlere Dayalı Üretim
2008 İRAN, Nükleer
İran başkanı, Mahmud Ahmadinejad
Natanz
Stuxnet 2010
Stuxnet 2010
23 Aralık 2015
@Gizem: Bu fotoda (URL dahil) OYAK Renault yazılarının hepsini BLUR yapmamız, okunmayacak hale getirmemiz gerekiyor. Tşk.
Çoğu ICS protokolü kimlik bilgisi olmadan çalışır. Sistem, verinin güvenli kaynaktan gelmesine dayanır.
ICS protokolünün kimliği doğrulanmadığında ağdaki herhangi bir bilgisayar, işlemleri manipüle edebilir.
ICS donanımları on yıllar boyunca kullanılabilir. PLC’ler, RTU’lar, VFD’ler, koruyucu röleler.. vb.
Modern ağ teknolojilerinden yoksun eski donanımlar zafiyetler içerebilmektedir ve üreticisi tarafından desteği kesildiği için güncellenemediğinden zafiyetli olarak kalmaktadır.
Kimlik doğrulama sistemleri yalnızca öngörülen kişilerin bilgisayar sistemlerine erişebilmesini sağlamak için kullanılır.
Doğruluk kontrolü veya kodun bütünlüğünü, kökenini doğrulama kabiliyetindeki zayıflıklar
Şifreleme doğrulamasının ISC sistemlerdeki eksik olduğu durumlar;
Zayıf yazılım imzalama
Zayıf yazılım bütünlüğü kontrolleri
Zayıf mantıksal kontrol denetimleri
Kullanılan işletim sistemlerindeki özellikle eski versiyon güncellemeleri almamış, zafiyetli Microsoft Windows işletim sistemleri ISC sistemlerinde güvenlik zafiyetlerine neden olmaktadır.
ISC sistem yöneticileri genellikle üçüncü taraf uygulama ve bileşenleri nadiren belgelemekte ve izlemektedirler.
3. parti bileşenlerin kullanımdan haberi dahil olmayan sistem yöneticileri olduğu gözlemlenmektedir.
Takibi yapılamayan bu bileşenler zafiyetli olsa bile haberi olmadığından zafiyetli olarak sistemde hizmet vermeye devam etmektedirler.
Security-by-design: Doğru bileşen, doğru sistem, doğru süreç (SECOPS)