Söz konusu sistemlerin zarar gördüğü ve çalışamaz hale geldiği senaryolarda, büyük boyutlu maddi ve manevi zararların ortaya çıkması mümkündür. Kirazlı İletişim, siber güvenlik alanındaki tecrübesinden yola çıkarak EKS/SCADA sistemlerinin güvenliğini sağlamak üzere kapsamlı hizmetler sunmaktadır. Bu sistemler üzerinde yapılacak güvenlik analizlerinin çok yönlü ve titiz bir çalışmayı gerektirdiğini göz önünde bulunduran tecrübeli ekibimiz, aşağıdaki başlıklar altında hizmetler sunmaktadır.
GÜVENLİK TESTLERİ
Saldırgan bakış açısıyla en az bilgi ile altyapı üzerindeki bileşenlerin güvenlik testine tabi tutulmasıdır. Bu testler EKS/SCADA ağları ile ilişkili tüm olası sızma noktalarının denetlenmesini kapsar. Ek olarak EKS/SCADA bileşenleri sızma testine tabi tutulur.
KONFİGÜRASYON DENETİMLERİ
Altyapı bünyesinde EKS/SCADA altyapılarının güvenliği ve sürekliliğini ilgilendiren bileşenlerin sistem yöneticisi gözüyle denetime tabi tutulmasıdır.
EPDK ENDÜSTRİYEL KONTROL SİSTEMLERİ (EKS) BİLİŞİM GÜVENLİĞİ YÖNETMELİĞİ UYUMLULUK HİZMETLERİ
SÜREÇ DENETİMLERİ
İşletim süreçlerin güvenlik bakış açısıyla denetlenmesidir. Bu denetim kapsamında, değişiklik yönetimi, kayıt/log yönetimi, kapasite yönetimi, fiziksel güvenlik, insan kaynakları güvenliği gibi temel süreçler NIST SP800-82, ISO 27019, ISO 27001 gibi genel kabul görmüş standartlara göre denetlenir.
FİZİKSEL DENETİMLER
Altyapı bünyesinde kritik işlevlere hizmet eden kontrol odaları, veri merkezleri ve işletmenin genel güvenlik durumu en iyi uygulama örneklerine göre denetlenir.
Enerji ve doğalgaz altyapıları, su şebekeleri, sağlık sistemleri, raylı ulaşım altyapıları, hava ulaşım kontrol sistemleri, savunma sanayi altyapıları, nükleer tesisler ve üretim tesisleri gibi kritik altyapıların hepsinde kullanılmakta ve “güvenlik” kavramı bu sistemlerin tasarım ve işletiminde göz önünde bulundurulması gereken önemli bir kavram olarak karşımıza çıkmaktadır. Söz konusu sistemlerin zarar gördüğü ve çalışamaz hale geldiği senaryolarda, büyük boyutlu maddi ve manevi zararların ortaya çıkması mümkündür.
01. PASİF BİLGİ TOPLAMA
EKS/SCADA sistemlerinde gerçekleştirilen sızma testlerinin ilk aşamasında mevcut endüstriyel kontrol sistemi altyapısı pasif ağ dinleme cihazları yardımıyla ağ trafiğinin bir kopyası alınarak analiz edilir ve bu altyapıda bulunan bileşenler, kullanılan protokoller ve iletişim haritası çıkartılır. Elde edilen bu bilgiler önceki adımda elde edilen kurum envanter bilgileri ile karşılaştırılır ve endüstriyel kontrol sistemi üzerinde kurum veya şirketin bilgisi dışında herhangi bir bileşenin yer alıp almadığı, yer alan bileşenlerin dizayn edilen halleri ile çalışıp çalışmadığı tespit edilir.
02. AKTİF BİLGİ TOPLAMA
EKS/SCADA sızma testlerinin bu aşamasında kapsam dahilinde yer alan bileşenlerin tespiti için aktif ağ haritalama yöntemi kullanılır. Bu yöntem ile kapsam dahilindeki bileşenlerin canlı olup olmadıkları, canlı olan sistemlerin üzerinde hangi servislerin çalıştığı, hangi portlar üzerinden bu servislerin hizmet verdiği, servislerin versiyon bilgileri gibi bilgiler elde edilir. Bu bilgiler testlerin bir sonraki aşamasında kullanılmak üzere raporlanır.
03. ZAFİYET ANALİZİ
EKS/SCADA sistemlerinde gerçekleştirilen testlerin bir sonraki aşamasında kapsam dahilinde yer alan endüstriyel kontrol sistemi bileşenleri üzerinde aktif olarak zafiyet analizi gerçekleştirilir. Gerçekleştirilen zafiyet analizinde ilgili EKS bileşenlerinin IT dünyasından aldığı zafiyetler ile OT bileşenleri üzerinde şimdiye kadar tespit edilmiş zafiyetler test edilir. Tespit edilen zafiyetler ilgili EKS bileşeni özelinde detaylı şekilde raporlanır.
04. PENETRASYON TESTİ
EKS/SCADA sistemlerinde gerçekleştirilen sızma testlerinin son aşamasında bu sistemlere özel penetrasyon testleri gerçekleştirilir. Bir önceki aşamada üzerinde zafiyet tespit edilen bileşenlerin bu zafiyetleri exploit edilerek ele geçirilmeye, üzerinde yetkisiz komut çalıştırmaya, yetkisiz şekilde kontrol elemanlarına müdahale edilmeye çalışılır. Sonuçlarının EKS/SCADA sistemlerinde kesintilere veya ciddi zararlara yola açabilecek testlerin bu aşaması kurum veya şirketle yapılan anlaşma kapsamında özel izinle gerçekleştirilir.