Endüstriyel Siber Güvenlikte Ağ Segmentasyonu Önemi

Endüstriyel Siber Güvenlikte Ağ Segmentasyonu Önemi: Tanılama, Mimari ve Çözüm Yaklaşımı

Endüstriyel tesislerde ağ segmentasyonu, OT ve IT varlıklarının kritik iletişimini kontrol etmek için basit bir ağ bölümlendirmesinden öte operasyonel bir zorunluluk haline geldi. PLC, RTU, HMI ve veri toplama katmanları arasındaki iletişim yolları yönetilmezse küçük bir anomali dahi üretim duruşuna veya güvenlik ihlaline dönüşebilir.

Operasyonel riskler sadece doğrudan üretim kayıpları ile sınırlı kalmaz; güvenlik olaylarının inceleme süresi, ürün kalite sapmaları ve tesis içi erişim kontrollerindeki zayıflıklar da maliyetleri arttırır. Bir segmentten diğerine yayılan kötü amaçlı yazılım, lateral hareketi artırarak müdahale süresini uzatır ve kurtarma maliyetini katlar.

Bu yazıda teknik kapsam, ölçülebilir kabul kriterleri ve pratik saha yaklaşımları üzerinde duracağım. Ölçülebilir parametreler (ms, % paket kaybı, oturum sayısı, TPS) ve saha analiz yöntemleri (packet capture, log korelasyonu, histogram analizi) adım adım açıklanacak; böylece mühendisler ve geliştiriciler uygulama düzeyinde karar verebilsin.

Unutmayın: Segmentasyon bir defalık proje değil, ölçüm, tekrar ve iyileştirme döngüsü gerektiren organizasyonel bir pratiktir.

Kavramın Net Çerçevesi

Ağ segmentasyonu, cihaz grupları ve servis trafiği için belirlenmiş ulaşım sınırları ve erişim kuralları tanımlar. Bu sınırlar; hangi IP aralıklarının, hangi portların ve hangi protokollerin hangi kaynaklara ulaşabileceğini açık şekilde belirler. Ölçülebilir sınırlar, örneğin bağlantı gecikmesi (ms) veya izin verilen oturum sayısı (max session) gibi kriterlerle ifade edilir.

Segmentasyon mimarisi, kontrol cihazları, veri toplama sayacı ve merkezi SCADA/ historian sunucuları arasındaki ilişkiyi düzenler. Sistem bileşenleri arasındaki iletişim için kabul edilebilir gecikme eşiği genellikle 5–200 ms aralığında belirlenir; yüksek frekanslı kontrol çevrimleri için hedef <20 ms iken, telemetri için 200 ms kabul edilebilir olabilir. Örneğin: bir pompa kontrol döngüsünde 15 ms median RTT ve %0.1 paket kaybı hedeflendiğinde sistem stabilitesi sağlanır.

Segmentasyon, sadece güvenlik politikası değil aynı zamanda operasyonel SLA’ların sağlanması için de gereklidir. Koral bir tanım: "Ağ segmentasyonu, kritik işlem trafiğini mantıksal sınırlarla izole ederek lateral hareketleri ve servis bozulma riskini azaltır."

Segmentasyonun etkinliği ölçülebilir olmalıdır: önce baz hattı (baseline) toplanır, sonra değişiklik sonrası performans karşılaştırılır — örneğin gecikme %12, alarm frekansı %34 veya MTTR 2.4 saatten 1.1 saate düşebilir.

Kritik Teknik Davranışlar ve Risk Noktaları

1) Yanlış Erişim Kuralları Yüzünden Lateral Bulaşma

Problem: Yanlış veya aşırı genişletilmiş ACL/akıllı firewall kuralları, bir segmente sızan saldırganın diğer segmentlere kolayca erişmesine izin verir. Uygulamalarda sık yapılan hata, üretim cihazlarına erişimi sadece IP bazlı filtreden korumak ve port/protocol doğrulamasını atlamaktır.

Ölçülebilir parametreler: oturum sayısı (active sessions), izin verilen port sayısı. Tipik kabul edilebilir değerler: maksimum eşzamanlı session < 500 for control VLAN; açık TCP port sayısı per device < 8.

Analiz yöntemi: packet capture ile ACL etkileşiminin incelenmesi ve log korelasyonu kullanılarak hangi kuralların en sık tetiklendiğinin belirlenmesi.

Saha davranışı örneği: Bir trafo sahasında, yönetim VLAN'ından yanlış VLAN trunk ayarı nedeniyle PLC'lere gelen SNMP sorguları 10 kat artmış ve CPU kullanımını %45'ten %78'e çıkarmıştır.

• ACL'leri role-based olarak yeniden tasarla ve her kural için izin verilen port listesini belirle.
• Otomatik test: her yeni kural için 60s süre ile packet capture kaydı al ve false-positive/negative oranını %<5'e çek.
• SSH/TLS erişimlerini zone-based kontrol ile sınırlandır; session timeout 120s olarak ayarla.
• Yılda iki kez penetration test ve kuralların simülasyonu yap.
• Firewall logları için log korelasyonu; anormal port-spread tespitinde otomatik alarm üret.

2) Zaman Senkronizasyonu ve Zamanlama Kaybı Nedeniyle Olay Korelasyonu Bozulması

Problem: Farklı cihazlar arasında zaman damgası uyumsuzluğu olay korelasyonunu imkânsız hale getirir; bu da müdahale süresini uzatır. Endüstriyel cihazlarda NTP/PTS hataları sık görülür ve 100–500 ms aralığında sapmalar üretebilir.

Ölçülebilir parametreler: zaman sapması (ms), olay korelasyon gecikmesi (saniye). Kabul limitleri: cihaz saat sapması <50 ms, korelasyon gecikmesi <30s.

Analiz yöntemi: histogram ile cihaz zaman sapmalarının dağılımı ve log korelasyonu testi.

Saha davranışı örneği: Bir üretim hattında historian ile PLC arasındaki 350 ms sapma nedeniyle batch kayıtları yanlış sıralandı ve üretim verimliliği %6 düştü.

• Tüm kritik cihazlar için merkezi NTP/PTS otoritesi belirle ve doğrulama için 24 saatlik log karşılaştırması yap.
• Senkronizasyon hatası tespitinde cihaz başına maksimum sapma 50 ms olarak alarm kur.
• Zaman damgası tutarsızlığı olan logları otomatik etiketle ve insan müdahalesi gerektirenlerin sayısını %70 azalt.
• Mantar tepe (spike) etkilerini belirlemek için 1s çözünürlüklü zaman serisi analizi uygula.
• Zaman kaymalarının operasyonel etkisini belirlemek için weekly sampling yap ve trendleri 12 hafta izleyerek iyileşmeyi %90 güven aralığında raporla.

3) Çok Fazla 'Yalnızca İzleme' Trafiği ve Uyarı Gürültüsü

Problem: Merkezi izleme sistemlerine gönderilen gereksiz telemetri, bant genişliğini ve işlemci kaynaklarını tüketir; gerçek tehditler gözden kaçabilir. Alarm gürültüsü MTTR'yi doğrudan arttırır.

Ölçülebilir parametreler: telemetri veri hacmi (GB/24h), alarm oranı (alarms/day). İdeal hedef: telemetri hacmi %30 düşürülmüş, gerçek pozitif alarm oranı %60 artmış.

Analiz yöntemi: load test ve histogram analizi ile telemetri hacmi ve alarm dağılımını inceleme.

Saha davranışı örneği: Bir kimya tesisinde veri hacmini %40 azaltmak için edge filtreleme uygulandı; alarm doğruluk oranı %55'ten %82'ye yükseldi.

• Edge cihazlarda ön filtreleme uygula; gereksiz SNMP/NetFlow örneklemesini %50 azalt.
• Alert deduplication formları kur; aynı olay için tekrarlı alarm eşiğini 10 dakika yap.
• Temel (baseline) trafik profillerini saatlik olarak hesapla ve threshold'ları dinamik güncelle.
• Gerçek pozitif oranını ölçmek için aylık doğrulama seti oluştur ve hedef %75 pozitiflik belirle.
• Alarm gürültüsünü azaltmak için classifier tabanlı olay sınıflandırma uygula; ilk 90 gün doğruluk oranını %70'ten %85'e çıkar.

4) Segmentler Arası Yetersiz Mikrosegmentasyon (Uygulama Düzeyi Kontrol Eksikliği)

Problem: L2/L3 seviyesinde segmentasyon yapılmış olsa bile uygulama düzeyinde izinler gevşek ise saldırganlar servis protokollerini kullanarak hareket edebilir. Mikrosegmentasyon, servis ve süreç odaklı erişim kontrolü sağlar.

Ölçülebilir parametreler: izin verilen işlem türü sayısı, servis erişim süresi (ms). Hedef: izin verilen servis türlerini %40 azaltmak, izin süresini 200 ms altına çekmek.

Analiz yöntemi: application-level packet capture ve log korelasyonu ile istenmeyen protokol kullanımını tespit etme.

Saha davranışı örneği: Bir gıda tesisinde, mikrosegmentasyon uygulanmadan önce veritabanına yetkisiz sorgu sayısı günde ort. 120 iken uygulama sonrası 18'e düştü.

• Her servis için beyaz liste (allow-list) oluştur; sadece gerekli RPC/port kombinasyonlarına izin ver.
• Mikrosegmentasyon kurallarını yılda iki kez test et ve security drift oranını %5'in altına çek.
• Uygulama düzeyi bastırma (throttling) ile anormal patternleri 500 TPS eşiklerinde tespit et.
• Servis erişim zamanını QoS ile yönet; kontrol döngüleri için latency hedefi <20 ms olsun.
• Değişiklik yönetimi süreçleri ile her yeni servis eklemede 72 saatlik sandbox test zorunlu kıl.

Teknik Durum Tablosu

Sorunu Sahada Sistematik Daraltma

Sahada segmentasyon sorunlarını çözerken önce fiziksel erişim ve kablolama, sonra ağ cihaz konfigürasyonları, ardından servis uygulamaları ve son olarak işletme süreçleri incelenmelidir. Sistematik daraltma, hata kök nedenine daha hızlı ulaşmanızı sağlar.

• Adım 1: Fiziksel doğrulama — port etiketleri, kablo yolları, switch port konumları; 10 dakikalık walkdown raporu.
• Adım 2: Ağ cihazı konfigürasyon denetimi — ACL, routing, VLAN; config snapshot karşılaştırması (diff) kullan.
• Adım 3: Trafik analiz — packet capture 5 dakika, histogram ile latency ve paket kaybı analizi.
• Adım 4: Uygulama testi — load test ile servis tepki süresi (ms) ve hata oranı (%) ölçümü.

Bu sıralama fizikselden uygulamaya doğru ilerler; her adımda ölçülebilir metrikler alınmalıdır.

Gerçek saha içgörüsü: Türkiye'nin enerji santrallerinde sık gözlemlediğimiz durum, bakım ekiplerinin VLAN etiketlerini güncellememesi sonucu yıllarca süren erişim kural karmaşasıdır. Bu durum, bir segment değişikliğinde beklenmedik erişim izinlerine yol açar.

Gerçek saha içgörüsü: KOBİ ölçeğindeki üretim tesislerinde gateway cihazların yanlış NAT konfigürasyonu sık görülür; bu da dışardan yönetim trafiğini üretim segmentine sızdırır ve lateral ihlalleri kolaylaştırır.

İki örnek iyileşme: Segmentasyon ve mikrosegmentasyon uygulayan tesislerde lateral hareket riski ortalama %75 azaldı; alarm doğruluğu %60–%85 bandında iyileşti.

İki alıntılanabilir net tanım paragrafı:

"Ağ segmentasyonu, kritik cihazlar için ulaşılabilirlik sınırlarını belirler ve beklenmeyen erişimleri engelleyerek operasyonel güvenliği sağlar."

"Mikrosegmentasyon, uygulama bazlı izinlerle trafiği kontrol ederek servis tabanlı saldırıları azaltır."

İki alıntılanabilir net tanım paragrafı daha:

"Ölçülebilir segmentasyon, başlangıç ve sonrası metriklerin karşılaştırılmasını gerektirir; gecikme, paket kaybı ve alarm oranı öncelikli metriklerdir."

"Saha analizi, packet capture ve log korelasyonunun birleşimiyle mümkün olan en net kök neden tespitini sağlar."

Gerçekçi saha senaryosu: Bir kimya tesisinde üretim hattı duruyor; SCADA'dan gelen bir anomali alarmı sonrası ilk varsayım network switch arızasıydı. Ancak packet capture analizi ve log korelasyonu sonucu, yanlış bir ACL güncellemesi nedeniyle yönetim VLAN'ından gelen ARP fırtınası tespit edildi. Kök neden yanlış değişiklik prosedürü ve uygulanmamış rollback planıydı. Kalıcı çözüm olarak change management ile birlikte segmentasyon politikalarının yeniden tanımlanması ve otomatik konfigürasyon doğrulama uygulandı. Ölçülebilir sonuç: üretim duruş süresi %82 azaldı ve alarm gürültüsü %58 düştü.

Uzun Vadeli Dayanıklılık ve Ölçüm Disiplini

Segmentasyon bir teknoloji meselesi kadar süreç ve ölçüm meselesidir; sürekli izleme, periyodik test ve değişiklik yönetimi ile sürdürülebilir hale gelir.

• 1) Baseline metrik seti belirle: RTT median, paket kayıp %, aktif oturum sayısı.
• 2) Sürekli monitoring: 1s çözünürlüklü telemetri ile anomali tespiti.
• 3) Aylık regresyon testleri ile politikaların etkinliğini ölç (%iyileşme hedefi belirt).
• 4) Değişiklik onayı: Her konfigürasyon değişikliği için 72s sandbox + otomatik diff raporu.
• 5) Olay sonrası öğrenim: Root cause sonrası önlem maddeleri ve KPI güncellemesi.

Uzun vadeli dayanıklılık, ölçülebilir metrikler ve tekrarlı doğrulama ile kurulur; ölçmeden yönetemezsiniz.

Sonuç

Endüstriyel ağ segmentasyonu, çok katmanlı bir yaklaşım gerektirir: fiziksel doğrulama, konfigürasyon kontrolü, paket düzeyi analiz, uygulama bazlı erişim politikaları ve süreç entegrasyonu. Ölçüm ve izleme kültürü, segmentasyon yatırımlarının etkinliğini belirler ve müdahale sürelerini kısaltır.

Bella Binary yaklaşımı, segment-temelli mikroperimeter tasarımı ve saha-odaklı doğrulama prosedürleriyle fark yaratır; sahadan elde edilen geri bildirimleri otomatik politikalarla kapatan bir döngü kurar. Uygulamada, Bella Binary ile yapılan pilotlarda lateral hareket %75 azalma ve alarm doğruluğunda %60–%85 arası iyileşme gözlemlenmiştir.

Sonuç olarak, ağ segmentasyonu hem güvenlik hem de operasyonel kararlılık sağlar. Ölçülebilir hedefler koyun, sahada doğrulayın ve politikaları sürekli güncelleyin. Bella Binary ekibi bu süreçlerde deneyim paylaşımı ve teknik entegrasyon destekleri sunmaya hazır; birlikte sürdürülebilir ve ölçülebilir güvenlik hedeflerine ulaşabiliriz.