Dijital güvenlik açısından İsviçre çakısı

Siemens, Siemens ürünlerinde dijital güvenlik açığı olup olmadığını kontrol edebilmek için bir platform geliştirdi. Adı: SiESTA (Siemens Genişletilebilir Güvenlik Test Cihazı)...

10 HAZİRAN, 20190
Paylaş Tweet Paylaş
Dijital güvenlik açısından İsviçre çakısı

Herhalde Siemens kadar günlük bazda tamamen farklı birçok cihaz ve yazılım uygulamasıyla haşır neşir olan başka bir şirket yoktur. Örneğin Siemens, sık kullanılan ürün bileşenleri için açık kaynaklı yazılımlarla sensörler ve robotlar için gerçek zamanlı işletim sistemleri kullanıyor; bulut tabanlı bir nesnelerin interneti (loT) işletim sistemi olan Mindsphere bağlamında IoT’de ve masaüstü bilgisayarlarda Windows kullanıyor. Dijital araçları bu kadar çok teknolojik sektörde kullanan başka bir firma yoktur. Bu sektörler arasında bina yönetimi, dijital fabrikalar, enerji santralleri, raylı sistemler ve türbinlerin üretimi sayılabilir. Tüm bunları bilgisayar korsanlarına karşı savunmak kolay bir iş değil. Dünya Ekonomik Forumu’nun 2018’de yaptığı bir araştırmaya göre, önde gelen sanayileşmiş ülkelerde görev yapmakta olan yöneticiler, siber saldırıları şirketleri için en büyük risk olarak görüyor. Bunun ışığında Siemens Ekim 2018’de, BT altyapısını, ürünlerini ve müşterilerini korumak için geniş bir görev yelpazesi içeren yeni bir siber güvenlik organizasyonu kurdu. 

Saldırılar gerçekleşmeden önce zayıf noktaları tespit etmek

Siemens’teki ProductCERT (Bilgisayar Acil Durum Müdahale Ekibi), bu organizasyonun önemli bir unsuru. Ekip, Siemens ürünlerindeki dijital güvenlik açıklarını erken bir aşamada tespit ediyor ve seri şekilde çözüm sunuyor. ProductCERT’in başkanı Klaus Lukas, “Herhangi bir yazılımda güvenlik açığı olabilir” diyor ve ekliyor: “Bu yüzden her zaman güvenlik açıklarını araştırıyoruz ve onları bulur bulmaz, çözüm sunabilmek ve müşterilerimizi bilgilendirmek için o üründen sorumlu olanlara destek veriyoruz. Doğru yapılırsa hem daha şeffaf bir ortam yaratılmış hem de insanların güveni sağlanmış oluyor. Yaptığımız çalışmaların, güvenliği sağlamanın yanı sıra en önemli sonuçlarından biri de budur.” Çok sayıda müşterisi ve ürünü olduğu göz önüne alındığında Siemens, güvenlik açıklarını saptama ve giderme hususunda nasıl bir katkı sağlayabilir? ProductCERT, piyasada bir eşi daha bulunmayan ve Siemens ürünlerinin bilinen ve bilinmeyen güvenlik açıklarına karşı güvenliğini test etmek için kullanılabilecek bir platform geliştirdi. Platforma “SiESTA” (Siemens Genişletilebilir Güvenlik Test Cihazı) adı verildi; bu, doğrudan bir cihaza veya sunucuya bağlanmayı sağlayan çeşitli bağlantıları olan çikolata kutusu büyüklüğünde bir metal kutu. SiESTA seçilen hedefler temelinde yapılandırıldıktan sonra otomatik bir test programı çeşitli güvenlik araçlarını çalıştırmaya başlıyor, işlem sırasında güvenlik uzmanının siesta yapmasında prensipte hiçbir sakınca bulunmuyor. 

Evrensel test aracı mı?

SiESTA, 2014 yılında ‘Heartbleed’ manşetlere çıktığında hizmete girdi. Heartbleed, makineler ve üretim tesisleri arasındaki iletişimi sağlamak için Siemens tarafından kullanılan OpenSSL açık kaynak kütüphanesindeki bir zayıflıktı. ProductCERT, bu güvenlik açığından hangi ürünlerin etkilendiğini bulmak için bir test programı geliştirdi ve bu program çeşitli Siemens geliştirme departmanlarına dağıtıldı. Sonuç olarak, etkilenen ürünler tespit edilebildi ve kısa süre içinde sorunu gidermeye yönelik önlemler alındı. Siemens ProductCERT ekibinden Tobias Limmer, “Bu olay, çok çeşitli Siemens ürünlerinde ve yazılım ortamlarında kullanılabilecek ve bu tür testleri hızlı ve kolay şekilde yürütebilecek kullanıcı dostu bir test cihazı geliştirme fikrinin önünü açtı” diyor. SiESTA, Siemens iş birimlerinin güvenlik departmanlarında 2016’dan beri kullanılıyor ve artık nihai müşterilere de bir hizmet olarak sunuluyor. SiESTA, gerektiğinde güncellenebilen ve geliştirilebilen, kullanımı kolay bir kullanıcı arayüzü altında birleştirilen çok sayıda yaygın güvenlik aracı içerir. SiESTA’nın kullandığı işletim sistemlerinden biri de Kali Linux. Kali Linux, güvenliğin test edilmesi için çeşitli araçlar barındırır, ancak SiESTA bazı yaygın ticari araçları da ayrıca destekler. Bu, Siemens test departmanlarının bir sisteme dışarıdan girmeye çalışırken siber saldırganın neyle karşılaşacağını görmesini sağlar. Bu tür araçlar, Heartbleed, Ghost, Wannacry, NotPetya ve benzeri daha birçok güvenlik açığının tespit edilebilmesini mümkün kılar. SiESTA ayrıca sıfırdan yeni güvenlik açıkları bulabilecek durumda; bunun için sistemlere hedefi belli, geçersiz girdiler gönderen ve test edilen cihazın reaksiyonunu teyit eden bulandırma testlerinden yararlanıyor. Bir ürünün yeni sürümleri, yüksek şebeke yükü altında düzgün çalışıp çalışmadıklarını teyit etmek için yük testleri kullanılarak da denetleniyor. Endüstriyel ağların güvenlik değerlendirmesi gibi diğer kullanım durumlarında, ağ taramaları hangi cihazların ve yazılım sürümlerinin mevcut olduğunu, güvenli bir şekilde yapılandırılıp yapılandırılmadıklarını ve bilinen güvenlik açıklarının olup olmadığını belirliyor. 

Bir bakışta görülen açıklar

SiESTA ayrıca, en son güvenlik güncellemesinin ürünlere yüklenip yüklenmediğini ve güçlendirmeye yönelik tüm önlemlerin alınıp alınmadığını da kontrol edebilir. Gerekirse endüstriyel ortamlar için özel olarak hazırlanmış hafif testler kullanır. Bu hizmet, birkaç yıl boyunca Siemens’te kullanılmış olup şimdi de müşterilere sunuluyor. Güvenlik uzmanlarına, kendi sistemlerinin siber saldırılara karşı hazırlıklı olduğuna ve uluslararası güvenlik standartlarına uygun olduğuna dair güvence sağlar. Son olarak SiESTA, yaygın olarak kullanılan güvenlik araçlarına ek olarak, Siemens ürünleri için özel olarak tasarlanmış test ortamları da sunuyor. Bu, çok da şaşırtıcı değil. Şirket içerisindeki ürün yöneticileri ve güvenlik ekipleri, genellikle kamuya mal olmadan önce güvenlik açıklarını tespit ediyor. Bu da ürün yöneticilerinin hızla bir yazılım yaması geliştirip onu test etmelerini sağlamakla kalmıyor, aynı zamanda söz konusu yamanın sorunu tam olarak çözdüğünden emin olmalarını da sağlıyor. Bu tür test ortamları, Siemens’in bir ürününün eski sürümlerinde görülen zayıflıkların hızla tespit edilip ortadan kaldırılmasını mümkün kılıyor. Güvenlik platformu, seçilen test programının kapsamına bağlı olarak birkaç dakika veya birkaç saat içinde, bir bakışta olası güvenlik açıklarını gösteren, trafik ışığı düzeniyle okunması kolay hale getirilmiş bir rapor sunuyor. Ayrıca, bu tür şebekelerin operatörleri için alınacak aksiyonları da öne çıkarıyor. Lukas, “SiESTA ile ürün test departmanlarına, temel güvenlik testlerini bilindik test süreçlerinin arasına dahil etmeleri için basit ama esnek bir yol sunuyoruz” diyor ve ekliyor: “Bunlar dijital güvenlik açısından, deyim yerindeyse, bir İsviçre çakısı niteliğindedir.”


İLGİNİZİ ÇEKEBİLİR

Yorum Yaz




Veri politikasındaki amaçlarla sınırlı ve mevzuata uygun şekilde çerez konumlandırmaktayız. Detaylar için veri politikamızı inceleyebilirsiniz.