Saldırgan yeteneklerini ve saldırı modellerini anlamlandırmak savunma stratejisinin oluşturulması ve kullanılacak savunma teknolojilerinin belirlenmesi için önemli bir adımdır. Tehdit ve zafiyetlerin belirlenmesi, önceliklendirilmesi ve yönetilmesi savunma direncimizi daha da güçlendirecektir. Tespit edilen sorunlarla mevcut teknoloji ve çözümlerle uğraşmak yerine ilgili problemlere uygun tekniklerin bulunması daha iyi bir yöntem olarak tercih edilmektedir. Bütün bunları yaparken sistemlerimizi de teknoloji çöplüğüne dönüştürmemeye de dikkat etmeliyiz. Güvenli PLC kodlama endüstriyel siber savunma stratejisinin önemli bir kilometre taşıdır. Bu bağlamda oluşturulacak PLC yazılımında aynı anda gelmesi mümkün olamayacak giriş/çıkış sinyalleri, fiziksel olarak mümkün olmayan giriş/çıkış durumları ve çıkış sinyallerinin fiziksel bir zarar oluşturacağı durumlar için alarmlar tanımlanmalıdır.
Eşleştirilmiş giriş veya çıkışlar fiziksel olarak aynı anda gerçekleşmeyecek sinyallerdir. Start/Stop, Forward/Reverse ve Open/Close gibi sinyaller eşleştirilmiş sinyaller olarak tanımlanabilir. Bir PLC yazılımı oluşturulmadan önce genellikle sahadan alınacak sinyaller belirlenir. Bu sinyal listelerinin oluşturulması sırasında eşleştirilmiş sinyallerin sıralı adreslerinin olmamasına, start-stop veya open-close gibi tanımlanacak sinyallerin tek bir çıkışa tanımlanmak yerine ayrı çıkışlar olarak yapılandırılmasına dikkat edilmelidir. Bir saldırgan için iki farklı çıkışın aynı anda ayarlanması durumu daha karmaşık olacaktır. Ayrıca iki farklı çıkışın aynı anda ayarlanması durumu ile hızlı bir şekilde start/stop vermek çok karmaşık olacaktır. Start/Stop sinyalleri arasında hızlı geçişi önlemek için durdurma verildikten sonra tekrar başlatma için bir timer eklenmesi de bir seçenek olarak değerlendirilmelidir. Hızla değişen çıkış sinyallerinin sebep olduğu fiziksel hasarın kanıtlanması için Aurora generatör testi Idaho ulusal laboratuvarında gerçekleştirilmiştir. Art arda verilen open/close sinyallerinin dizel jenaratör üzerindeki etkisi ilgili link üzerinden izlenebilir.
Eşleştirilmiş giriş sinyallerinin aynı anda gelmesi operasyonel bir hata, programlama hatası veya kötü niyetli bir durum oluştuğuna dair bir uyarıdır. Ayrıca bu sinyallerin aynı anda gelmesi arızalı veya yanlış kablolanmış bir sensörü ya da sıkışmış mekanik bir switch gibi sorunların olduğunu gösterebilir. Hızlı start ve stop yanlışlıkla verilebilir, yanlışlıkla oluşacak hasarları da önler.
Endüstriyel siber güvenlik dünyasında STUXNET saldırısı dönüm noktası olarak görülmektedir. Ancak bir diğer dönüm noktasıda Ukrayna elektrik şebekesi trafo merkezlerine yapılan ve bu konuda bilinen ilk saldırı olan INDUSTROYER saldırısıdır. Bu zararlı yazılım birçok teknik kullanarak binlerce insanın elektriksiz kalmasına sebep olmuştur. Kullandığı tekniklerden biri de giriş ve çıkış değerlerini art arda değiştirmeye çalışmasıdır. Bunun için bu zararlı yazılım kendi IEC104 modülünde "range", "shift" ve "sequence" olmak üzere üç farklı mod kullanmaktadır. Range modunda zararlı yazılım IEC104 adresleri (IOA) içerisinde "single command" tipinde olanları belirlemekte ve sonsuz bir döngü içerisinde belirlenen bu sinyallerin durumları değiştirmek için yürütme paketleri göndermektedir.
Eşleştirilmiş sinyallerin aynı anda geleceği durumlar için alarm oluşturmak yaşanacak güvenlik veya arıza sonuçlarının değerlendirilmesi için güçlü göstergeler olacaktır. Sonuç olarak; fiziksel dünyaya çok fazla etkisi olan sistemlerin devreye alınmasında kodlama alışkanlıklarının kodlama yapılırken siber güvenlik bakış açısının kazanılması bir zorunluluk haline gelmiştir.
Comentarios