مقالات

10 روشی که دیده شدن دارایی پایه و اساس امنیت سایبری OT را ایجاد می‌کند

قابلیت نظارت بر روی دارایی‌ها، پایه و اساس اصلی طرح‌های کارآمد برای حفاظت از امنیت سایبری فناوری عملیاتی یا OT (به انگلیسی: Operational Technology) است. از طرفی سازمان‌های صنعتی نمی‌توانند ایمنی دارایی‌هایی را که چندان با آنها آشنا نیستند حفظ کنند. همه سازمان‌ها صرف‌نظر از نوع فعالیت‌شان باید قابلیت نظارت بر روی اطلاعات حساس و کنترل‌ آنها را داشته باشند. حملات سایبری علاوه بر ایمنی، ممکن است زمان فعالیت و حتی دسترس‌پذیری همه ابزارها از توربین‌ها گرفته تا کنترل‌کننده‌های دما و غیره را تحت تأثیر قرار دهند. شناسایی و ثبت کامل تجهیزات فناوری عملیاتی توسط سازمان‌ها و تشکیل پایه‌های لازم منجر به ساده‌سازی فرایندهای امنیت سایبری مثل تشخیص تهدید، واکنش به حادثه، مدیریت فعالانه دارایی‌ها برای شناسایی آسیب‌پذیری‌ها و نقاط ضعف و پیاده‌سازی طرح‌های امنیتی استراتژیک در محیط‌های فناوری عملیاتی خواهند شد.

مدیران اجرایی که فهرست دقیقی از موجودی‌های خود و طبقه‌بندی‌های موجود ندارند، در صورت مواجه با تهدیدات فناوری عملیاتی تأثیرگذار بر روی سیستم‌های مختلف، چگونه می‌توانند ارتباط این تهدیدات نوظهور با کسب‌وکار خودشان را تشخیص دهند؟ فقط با نظارت پیوسته بر روی تجهیزات فناوری عملیاتی، امکان شناسایی مسائل و مشکلات زیر وجود دارد:

  • کانال‌های ارتباطی که متصدیان از وجودشان اطلاعی ندارند؛
  • تهدیدات فعالی که به صورت مخفیانه در محیط عمل می‌کنند؛
  • پیکربندی‌های ناامن؛
  • آسیب‌پذیری‌های مخفی؛
  • تجهیزات مشکل‌آفرین و غیره.

در این مطلب از فراست دلایل و نحوه انجام این کار را مورد بررسی قرار می‌دهیم.

میزان بهم پیوستگی و اتصالات دنیای ما رو به افزایش است. بنابراین شرکت‌ها می‌توانند جهت شناسایی دارایی‌ها و داده‌های خودشان از افراد مرتبط درباره اطلاعات و دارایی‌هایی که در اختیار دارند پرس‌وجو کنند. البته سازمان‌ها معمولاً پاسخ‌های متفاوتی از بخش‌های آی‌تی، امنیت یا عملیات دریافت می‌نمایند. از این رو همه افراد سازمان تصویر واضحی از دارایی‌های شبکه ندارند و این موضوع یک زنگ خطر است.

حفاظت از امنیت سایبری فناوری عملیاتی

حذف خلأ دید

شرکت‌ها عموماً می‌دانند که باید فهرست دارایی‌های خودشان را ثبت کنند ولی اجرای یک روش کارآمد تأثیر زیادی بر روی بهره‌وری جمع‌آوری داده‌ها و رفع مشکلات امنیتی دارد. حجم داده‌های تولید شده معمولاً با سرعت زیادی افزایش می‌یابد. از این رو درک الزامات حیاتی و اهداف مطلوب سازمان در زمینه مدیریت ریسک یا کسب‌وکار تأثیر چشمگیری در پیشگیری از بروز مشکلات مخاطره‌آمیز دارد.

فناوری اطلاعات دارای سابقه و میراثی طولانی در زمینه مدیریت و ثبت فهرست دارایی‌ها بوده و ابزارها، فریم‌ورک‌ها و شیوه‌های ایجاد قابلیت دید بر روی این دارایی‌ها متناسب با کاربردهایشان تنظیم و بهینه‌سازی شده‌اند. با این وجود اگرچه ابزارها و فرایندهای بخش فناوری اطلاعات متناسب با چالش‌های موجود در محیط فناوری عملیاتی طراحی نشده‌اند ولی در هر صورت این چالش‌ها باید جهت حفاظت از دارایی‌های صنعتی مدیریت گردند. کارمندان اداری معمولاً تجربه ریبوت (Reboot) اجباری کامپیوترها برای نصب وصله‌های امنیتی را دارند اما در یک محیط صنعتی، راه‌اندازی مجدد یک ایستگاه کاری متصل به یک کوره ذوب یا همان ریبوت می‌تواند منجر به از کارافتادگی برنامه‌ریزی نشده در تجهیزات خنک‌کننده، تخلیه‌کننده و گرم‌کننده کوره در طی مدت زمانی طولانی شود.

بسیاری از تاکتیک‌ها و ابزارهایی که جهت نظارت بر روی دارایی‌های فناوری اطلاعات طراحی شده‌اند، معمولاً قابل تبدیل برای استفاده در محیط فناوری عملیاتی نیستند. برای مثال امکان استقرار یک کارگذار بر روی یک PLC وجود ندارد چون این تجهیزات معمولاً با سیستم‌عامل‌ها یا میان‌افزارهایی کار می‌کنند که سازگاری چندانی با کارگذارها ندارند. یک مدیر فناوری اطلاعات که با استفاده از ابزار NMAP، اسکن شبکه را در یک محیط صنعتی اجرا می‌کند، ممکن است ناخواسته باعث غیرفعال‌سازی دستگاه‌های حساس مثل کنترل‌گرهای دستگاه شود. در نتیجه در چنین شرایطی امکان بروز اختلال در خط تولید یا توقف آن وجود دارد. در محیط‌های فناوری اطلاعات سنتی، استفاده از ابزارهای اسکن فعال برای شناسایی و نظارت بر روی دارایی‌ها یک امر کاملاً عادی است. در هر صورت اجرای تکنیک‌های غیرفعال که ایمنی بیشتری ایجاد می‌کنند ترجیح داده می‌شوند. سازمان‌ها باید برای تحقق نظارت مناسب بر روی دارایی‌های محیط فناوری عملیاتی، یک رویکرد متفاوت و مناسب با این محیط بکار بگیرند.

دارایی‌های محیط فناوری عملیاتی

یکی از راهنماهای توصیه شده به مالکان دارایی‌های فناوری عملیاتی، استفاده از فریم‌ورک مدیریت مجموعه برای واکنش به حادثه و عملیات امنیتی ICS است. این منبع شامل یک مرجع کامل است که طی سال‌ها تجربه شکل گرفته و با واقعیت‌های منحصربفرد محیط فناوری عملیاتی سازگاری دارد. در ادامه ابتدا دلایل نیاز به نظارت و سپس اصول و پایه‌های فریم‌ورک مدیریت مجموعه و نحوه دستیابی به نظارت بر روی دارایی‌ها را مورد بررسی قرار می‌دهیم.

براساس نظرسنجی که در سال 2019 توسط مؤسسه SANS صورت گرفته، فقط حدود 10 درصد از سازمان‌ها فهرست کامل دارایی‌های تحت پوشش مرکز عملیات امنیتی را در اختیار دارند.

همچنین با توجه به مطالعه امنیت سایبری ICS شرکت Dragos که در سال 2020 میلادی انجام شده، در حدود 90 درصد از تعاملات این شرکت با سایر شرکت‌ها برای ارایه خدمات حرفه‌ای، مشخص شده که سازمان‌ها دید نسبتاً محدودی بر روی محیط فناوری عملیاتی خودشان دارند یا اینکه دارای هیچ‌گونه قدرتی برای نظارت و کنترلی بر روی دارایی‌های خود نیستند.

وجود فهرست دارایی‌های مهم برای انجام یک عملیات نقش مهمی در مدیریت ریسک امنیت سایبری دارد. ثبت اطلاعات حساس مثل نسخه نرم‌افزار، موقعیت فیزیکی، مالک دستگاه و الویت آن به انجام سایر فعالیت‌ها و عملیات ضروری جهت مدیریت امنیت سایبری کمک می‌کند.

 

راهکارهای نظارت بر روی دارایی‌ها

  1- مشخص نمودن وضعیت عادی

آشنایی با وضعیت واقعی محیط و اینکه چه دارایی‌هایی در کدام قسمت از شبکه قرار دارند و دارای چه عملکردی هستند، منجر به ایجاد یک خط مبنا و الگو از شرایط عادی می‌شود. برای مثال شما انتظار ندارید که یک سرور مدیریت وصله‌های امنیتی ناگهان شروع به ارسال موقعیت مکانی به یک منبع خاص در اینترنت کند. با پیاده‌سازی چنین الگویی می‌توانید نحوه اجرای فرایندها و جریانات کاری را در محیط عملیاتی مشخص نمایید. همچنین این منبع زمینه لازم و اطلاعات شفاف‌ برای تسریع فعالیت‌های امنیتی مختلف مثل تشخیص تهدید، نظارت، مدیریت تغییر و واکنش به حادثه را فراهم می‌کند.

برقراری این خط مبنا فقط با هدف پیگیری حلقه تشخیص ناهنجاری انجام نمی‌شود. وابستگی صرف به تشخیص ناهنجاری می‌تواند باعث بروز مشکلات مختلف و خستگی از هشدارهای متعدد شود چون ناهنجاری همواره معادل با تهدید نیست. البته شناسایی وضعیت عادی و تشخیص هر گونه تخدی از این خط مبنا می‌تواند داده‌ها و تاریخچه‌های مفیدی در اختیار تحلیلگران امنیت قرار دهد. کارشناسان امنیتی نیز می‌توانند از چنین اطلاعاتی در بررسی‌ها و همچنین جهت انجام اقدامات لازم استفاده کنند.

متصدیان سیستم‌ها به ابزارهایی جهت ارتقای بهره‌وری، تشخیص راحت خط مبنا و شناسایی سریع هرگونه انحراف از این خط مبنا نیاز دارند. این تشخیص‌ها معمولاً در اثر هشدارها یا اعلان‌ها صورت می‌گیرند. البته می‌توانند قالب‌ها و نمودارهای گرافیکی هم داشته باشند. رنگ‌های مختلف در این نمودارها نشان‌دهنده وضعیت سلامت عملیاتی هستند. برای مثال در هنگام شروع شیفت، بکارگیری داشبوردی ساده که PLCهای مشکل‌دار را به رنگ قرمز و موارد پایدار و معمولی را به رنگ سبز نمایش می‌دهد، منجر به تمرکز بهتر بر روی حوزه‌هایی می‌شود که نیازمند هستند. حرکت پرشتابی که به سمت انجام کارهای عملیاتی به صورت دیجیتالیزه و به هم متصل‌تر وجود دارد باعث افزایش نیاز به وجود نماهایی متمرکز در سطح محیط‌های OT شده است.

مشخص نمودن وضعیت عادی

  2- اعتبارسنجی دارایی‌ها

سازمان‌ها با قابلیت نظارت کامل بر روی دارایی‌های بخش OT و کنترل آنها، مثل رابط‌های انسان ماشین، ابزارهای ثبت تاریخچه و کنترل‌گرها، می‌توانند با واقعیت موجود در تشکیلات‌شان آشنا شوند. وجود یک منبع کامل متشکل از فهرست دارایی‌ها به ایجاد دید واضح کمک می‌کند. در اختیار داشتن چنین دیدی جهت تشخیص پیکربندی‌های نادرست، آسیب‌پذیری‌ها و سایر نقاط ضعف در کل محیط کنترل صنعتی ضروری است.

در صورت انجام و اجرای صحیح فرایند ایجاد نظارت، باید علاوه بر وجود دارایی‌های مختلف، نسخه، وضعیت میان‌افزار و وضعیت پیکربندی آنها نیز مشخص شود. آگاهی نسبت به اینکه کنترل‌گری با نسخه آسیب‌پذیر یک میان‌افزار کار می‌کند و اینکه آیا فروشنده آن، به‌روزرسانی خاصی برای دستگاه منتشر نموده یا خیر بسیار مهم است.

مالکان دارایی‌ها معمولاً منابع ارزشمند زیادی را صرف بررسی و شناسایی دستی دستگاه‌های متصل به شبکه از جمله سوئیچ‌های شبکه، ایستگاه‌های کاری یا حتی کنترل‌گرهای پردازش می‌کنند. این روش کارایی چندانی نداشته و احتمال بروز خطاهای چشمگیری را هم دارد. جمع‌آوری و به‌روزرسانی خودکار این اطلاعات، وجود یک فهرست دارایی منسجم در سطح کل تشکیلات با قابلیت مقیاس‌پذیری را تضمین می‌کند. همچنین این اطلاعات دنیایی از امکانات مختلف را برای اعتبارسنجی وضعیت دارایی‌ها به ویژه در صورت عدم دسترسی به تیم‌های عملیات در اثر اشتغال فراوان فراهم می‌کنند. برای مثال ممکن است تیم‌های امنیتی در حال بهبود و ارتقای زیرساخت یا رفع مشکلات و حوادث امنیتی ناگهانی و برنامه‌ریزی‌نشده باشند.

  1. تشخیص و مصورسازی روابط بین دارایی‌ها و مسیرهای ارتباطی

امکان قابلیت نظارت بر روی دارایی‌ها علاوه بر فراهم نمودن اطلاعاتی درباره آنها، داده‌های ارزشمندی را نیز درباره روابط و مسیرهای ارتباطی که در بین‌شان وجود دارند فراهم می‌کند. سازمان‌ها با استفاده از قابلیت نظارت کامل می‌توانند بر روی کانال‌های ارتباطی مدیریت شخص ثالث و OEM نظارت داشته باشند. آنها همچنین اطمینان می‌یابند که این شرکت‌ها به موارد ذکر شده در قرارداد پایبند بوده و مخاطرات غیرضروری برای اکوسیستم ICS ایجاد نمی‌کنند. چنین قابلیت دید و نظارتی شامل نظارت بر روی مسیرهای ارتباطی است که نباید پیامی را به سایر سیستم‌ها ارسال کنند و باید عملیات مشخص را در بازه زمانی تأیید شده انجام دهند. در صورت ارسال فرمان‌های ناگهانی یک ایستگاه کاری به یک کنترل‌گر در منطقه 2  در حالی که این ایستگاه کاری فقط باید با دستگاه‌های منطقه 1 صحبت کند، نیاز به تحقیق و بررسی بیشتر وجود دارد.

ترسیم نقشه دارایی‌ها به نمایش نقاط عطف و تعداد گام‌های بین دارایی‌ها کمک می‌کند. به این ترتیب یک تصویر کلی از وضعیت بخش‌بندی شبکه در اختیار متصدیان و تحلیلگران امنیت قرار می‌دهد تا نقاط مشکل‌آفرین را شناسایی نموده و نحوه حرکت یک مهاجم در شبکه را ارزیابی کنند. این اطلاعات به اعتبارسنجی قوانین فایروال هم کمک می‌نمایند. اگر یک پیمانکار یک مودم سلولی غیرمجاز را برای پشتیبانی از راه دور نصب کرده، باید از این مسئله آگاه باشید. ممکن است این مودم مسیری به یک ایستگاه کاری مهندسی برقرار نموده و مهاجمان با استفاده از آن به یک کنترل‌گر دامنه دسترسی یابند.

این نمایش منطقی علاوه بر ایجاد قابلیت نظارت بر روی فعالیت‌های شبکه، پیکربندی‌های اشتباه و خلأهای موجود در معماری را مشخص می‌کند. مالکان دارایی‌ها با شناسایی چنین خلاءهایی می‌توانند کنترل‌های دفاعی را به صورت پیشگیرانه پیاده‌سازی نمایند. باید با انجام اقدامات ساده مثل نظارت بر روی اکتیودایرکتوری یا ارتباطات راه دور و تقویت محیط یک معماری قابل دفاع ساخت، از اجرای حملات باج‌افزاری پیشگیری کنیم.

تشخیص و مصورسازی روابط بین دارایی‌ها و مسیرهای ارتباطی

  1. تشخیص تهدید

یک رویکرد تشخیص غیرفعال، لزوماً نیازمند نظارت کامل بر روی دارایی‌ها یا خط مبنای رفتار عادی جهت شناسایی تهدیدات فعال در بین دارایی‌ها نیست. همان‌گونه که پیش از این هم اشاره شده، ناهنجاری‌های موجود در وضعیت دارایی‌ها مثل آفلاین شدن یک ایستگاه کاری که عمداً و برای تعمیر غیرفعال شده، لزوماً دلالت بر وجود یک تهدید ندارد. با این وجود شناسایی حملات و مخاطرات امنیتی در دارایی‌هایی که تحت نظارت و کنترل‌مان قرار دارند کار چندان سختی نیست. برای مثال، فایل‌های .iso بزرگ که دارای تشابه نامی زیادی با یک به‌روزرسانی OEM هستند اما مقدار هش آنها با یک فایل مخرب شناخته شده تطبیق دارد، می‌توانند سرنخ‌هایی از وجود فعالیت‌های مخرب باشند.

داشتن قابلیت دید و وجود یک خط مبنا از رفتارها و فهرست دارایی‌ها، به ایجاد سرنخ‌های مهم و حیاتی جهت تسریع در شناسایی تهدیدات کمک می‌کنند. هر یک از این تغییرات می‌توانند به نوبه خود نتایج مثبت یا منفی را به همراه داشته باشند و هر گونه تخدی از خط مبنا لزوماً نشان‌دهنده شرایط پرمخاطره نیست. باز شدن یک پورت دسترسی از راه دور، در بازه زمانی از پیش مشخص شده جهت پشتیبانی از سیستم‌ها توسط فروشنده، لزوماً دلالت بر خطر ندارد اما در صورت امکان برقراری همین پورت با یک سیستم غیرمجاز، شرایط کاملاً متفاوت خواهد بود. اطلاعات محیطی در ترکیب با داده‌های مربوط به رفتار تهدیدات، زمینه لازم برای تشخیص تغییرات مربوط به تاکتیک‌ها، تکنیک‌ها و روش‌های مهاجمان یا TTP (به انگلیسی: tactics, techniques, and procedures) از تغییرات زیرساختی برنامه‌ریزی شده را فراهم می‌کند.

  • تشخیص و قابلیت دید؛ دو روی یک سکه

همه فروشندگان راهکارهایی جامع که منعکس‌کننده چنین نکته مهم و حیاتی باشند ارایه نمی‌دهند. یک قانون تشخیص تهدید که به دلیل وجود جریان ترافیک غرب – شرق فعال شده، زمینه و شرایط کاملاً متفاوتی با ترافیکی دارد که در بین یک HMI و یک سیستم امنیت ابزاری یا SIS (به انگلیسی: Safety Instrumented System) جریان دارد. قابلیت‌ نظارت و شناسایی دارایی‌ها یا حتی تشخیص تهدیدات امنیتی به تنهایی کافی نیست. برای ایجاد نظارت کامل بر روی تهدیدات، این دو قابلیت باید با یکدیگر همراه باشند.

تشخیص تهدید

  1. تشخیص دارایی‌های مشکل آفرین

متصدیان معمولاً با همه دارایی‌های متصل به فرایندهای اصلی آشنا هستند اما ممکن است نسبت به وجود دارایی‌های مخفی یا مشکل‌آفرینی که محیط را در معرض خطر قرار می‌دهند آگاه نباشند. این مسئله برای شرکت‌هایی که شعبه‌های راه دور یا تشکیلات بزرگ و پیچیده با سطوح امنیت فیزیکی مختلف دارند، مشکل‌آفرین است. این دارایی مخاطره‌آمیز می‌تواند لپ‌تاپ یا یک دستگاه قدیمی از رده خارج شده‌ای (مانند یک درایو ذخیره اطلاعات USB خارجی که برای پشتیبان‌گیری استفاده می‌شود) که توسط یک تکنسین برای عیب‌یابی و رفع مشکل به شبکه متصل مانده یا دستگاهی مثل دوربین نظارتی باشد که با نیات مخرب مستقر شده‌اند.

متصدیان سیستم‌ها معمولاً اطلاعی درباره وجود چنین تجهیزاتی ندارند. مهاجمان نیز همواره در حال تلاش برای نفوذ به دستگاه‌هایی (مثل ایستگاه‌های کاری مهندسی ثبت نشده) هستند که به صورت کامل توسط سازمان‌ها شناسایی نشده‌اند.

پیش از ابداع روش‌های خودکار تشخیص دارایی‌ها، روش سنتی برای شناسایی چنین دستگاه‌هایی، مستلزم اجرای یک فرایند بررسی دستی پرزحمت بود. حتی در صورت استفاده از اتوماسیون، بررسی تشکیلات به صورت حضوری و دستی همچنان نقش مهمی در حفاظت از امنیت دارد. البته منابع مورد نیاز برای انجام این کار زیاد است و سازمان‌ها معمولاً این عملیات را به صورت سالیانه، دو بار در سال یا هر سه ماه یک بار انجام می‌دهند. وجود یک روش خودکار جهت تشخیص دارایی‌های مشکل‌آفرین در فاصله بین انجام بررسی‌های دستی تأثیر چشمگیری بر ایمن‌سازی پیوسته محیط‌های OT دارد.

  1. واکنش به حادثه

قابلیت نظارت کامل و به‌روز نسبت به دارایی‌ها، نقش مهمی در کل چرخه واکنش به حادثه دارد. در صورتی که مسئولان واکنش به حادثه فهرست کامل و دقیقی از دارایی‌های موجود در اختیار داشته باشند، به راحتی و در اسرع وقت وجود تهدید و وقوع حادثه را تأیید می‌کنند. در هنگام انجام تحقیقات، قابلیت نظارت کافی بر روی دارایی‌ها تأثیر زیادی در تشخیص گستردگی حادثه و درک کامل سیستم‌های تحت تأثیر اقدامات مهاجمان دارد. آگاهی نسبت به اینکه یک HMI (رابط انسان ماشین) هک شده در کدام شعبه و محل قرار دارد، به کاهش هزینه‌ها و تسریع در فرایند جرم‌شناسی کمک می‌کند.

همچنین سازمان‌ها می‌توانند با استفاده از اطلاعاتی که توسط این قابلیت فراهم می‌شوند جهت طراحی و پیاده‌سازی برنامه‌های مقابله با حمله برنامه‌ریزی کنند. در آخرین مراحل واکنش به حادثه این قابلیت نیز به مسئولان اطمینان می‌دهد که تهدید مدنظر به صورت کامل ریشه‌کن شده است.

واکنش به حادثه

  1. مقابله با تهدیدات و آسیب‌پذیری‌های حیاتی جدید

آیا می‌توانید به سرعت به این پرسش مدیران اجرایی پاسخ دهید که زیرساخت سازمان شما تحت تأثیر آسیب‌پذیری جدیدی یا تاکتیک‌ها و روش‌های یک گروه جدید قرار دارد یا خیر؟ با استفاده از فهرستی در دسترس و قابل جستجو از دارایی‌های موجود می‌توانید تحقیقات لازم درباره ارتباط تهدیدات جدید با سازمان‌تان را در اسرع وقت انجام دهید.

همچنین با در اختیار داشتن این اطلاعات می‌توانید مشخص نمایید که تجهیزات نیازمند به نصب وصله‌های امنیتی در کدام بخش از سازمان هستند یا در صورت عدم امکان نصب وصله‌های امنیتی، کنترل‌های جبرانی لازم را برای آنها پیاده‌سازی کنید. به این ترتیب علاوه بر تسریع فرایند رسیدگی به ریسک‌های جدید بسیار حیاتی، فرایندهای روزمره مدیریت وصله‌های امنیتی و آسیب‌پذیری‌ها نیز به راحتی انجام می‌شوند. تیم‌های امنیتی در محیط‌های تولیدی باید اطلاعات کاملی از آسیب‌پذیری‌های قابل رفع با وصله‌های امنیتی داشته و برنامه‌ریزی دقیقی درباره رویدادهایی مثل خاموشی سیستم‌ها انجام دهند.

مدیریت آسیب‌پذیری بدون اتوماسیون، منجر به نابودی منابع می‌شود. تیم‌های امنیت سایبری بدون در اختیار داشتن یک دید متمرکز بر روی آسیب‌پذیری‌ها و وجود یک حلقه بسته مثل نصب وصله‌های امنیتی، تغییر پیکربندی و تغییر پورت/پروتکل مسیریابی برای مدیریت کنترل‌هایی که به آسیب‌پذیری‌ها رسیدگی می‌کند، با چالش زیادی مواجه خواهند شد.

  1. تکمیل مدیریت آسیب‌پذیری با تشخیص پیکربندی

تنظیم استانداردهای پیکربندی برای تجهیزات فناوری عملیاتی و پایبندی به این استانداردها کار چندان آسانی نیست. تغییر پیکربندی در یک شبکه صنعتی پویا امری رایج است و عملیات پیگیری و مدیریت لحظه‌ای این تغییرات بسیار سخت می‌باشد.

با امکان دید واضح بر روی دارایی‌ها، عملیات تشخیص تغییرات پیکربندی که منجر به تضعیف زیرساخت‌ها یا حتی نقض قوانین و استانداردها می‌شوند، راحتتر انجام می‌شود. این نظارت اطلاعات لازم را برای مدیریت تغییر و تکامل طرح مدیریت دارایی که نقش مهمی در حفظ امنیت و همچنین جامعیت عملیاتی دارد ایجاد می‌کند. غیرفعال شدن گزارش‌های دسترسی به یک سرور مخصوص مدیریت وصله‌های امنیتی توسط یک مهاجم می‌تواند جریمه‌های سنگینی برای شرکت‌ها به همراه داشته و حتی منجر به ایجاد اختلال در عملیات آنها گردد.

تکمیل مدیریت آسیب‌پذیری با تشخیص پیکربندی

  1. کمک به تولید گزارشات رعایت الزامات قانونی

داشتن دید کامل بر روی دارایی‌ها می‌تواند کمک قابل توجهی به کارمندان بخش امنیت سایبری در زمینه رعایت الزامات و استانداردهای قانونی کند. متصدیان این بخش معمولاً تحت فشار الزامات قانونی مثل NERC CIP و ISA 99/IEC-62443 قرار دارند تا به صورت منظم کنترل‌های دارایی و امنیتی را به بازرسان گزارش دهند. انجام چنین کاری در سازمان‌ها معمولاً مستلزم اجرای فرایندهای دستی سنگین بوده و حتی ممکن است در کارهای روزمره اختلال ایجاد ‌کند. تشخیص، تحلیل و نگاشت خودکار دارایی‌ها می‌تواند فرایند گزارش‌دهی قانونی را برای کل تیم راحت‌تر نموده و منابع را آزاد کند. اصلاحات امنیتی و عملیاتی نیز با استفاده از روش‌های معنادارتر و مفیدتری انجام می‌شوند.

مدیریت پیکربندی دارایی‌ها شامل تعیین خط مبنای پیکربندی برای دارایی‌های اطلاعاتی، دارایی‌های بخش IT و دارایی‌های OT و همچنین کسب اطمینان از پیکربندی این دارایی‌ها بر اساس خط مبنای تعریف شده است. این اطلاعات به کسب اطمینان از پیکربندی دستگاه‌های مشابه به صورت یکسان کمک می‌کنند اما در صورتی که بعضی از دارایی‌ها منحصربفرد بوده یا دارای پیکربندی‌های متفاوتی باشند، باید معیار پیکربندی در فرایند مدیریت پیکربندی برای دارایی مدنظر در محل استقرار آن مشخص شود و این اطمینان حاصل گردد که پیکربندی وسیله مورد نظر همچنان منطبق با خط مبنای مشخص شده خواهد بود.

  1. توجیه سرمایه‌گذاری‌های امنیتی

درک پیچیدگی مجموعه دارایی‌های بخش OT از جمله گام‌های ابتدایی لازم برای ارزیابی ریسک است. آگاهی نسبت به محل و شیوه نصب دارایی‌ها و محدوده کنترل‌های امنیتی مربوط به آنها جهت تشخیص خلأهای موجود در کنترل‌ها و فرایندها ضروری است. ممکن است عواقب و پیامدهای منفی به خطر افتادن یک دارایی مرتبط با عملیات صنعتی یا زیرساخت‌های حیاتی بسیار بیشتر از ایجاد مخاطره برای اکثر دستگاه‌های IT باشد.

با نظارت کامل بر روی دارایی‌ها، به راحتی می‌توانید کمبود کنترل‌های امنیتی را تشخیص داده و سرمایه‌گذاری و طرح‌های آینده را الویت‌بندی کنید. فهرست و نقشه دارایی‌ها یک منبع قابل دسترس و قابل به‌روزرسانی در اختیار تیم‌های امنیتی قرار می‌دهد. تیم‌های امنیتی با استفاده از این اطلاعات می‌توانند برای ترسیم و تغییر نقشه راه خودشان از آن استفاده کنند. این منبع همچنین می‌تواند شواهد لازم را برای توجیه هزینه‌ها یا تغییرات فرایندها فراهم نماید.

توجیه سرمایه‌گذاری‌های امنیتی

سایر مزایای عملیاتی

مزایای اطلاعاتی که در اثر قابلیت نظارت به دست می‌آیند بسیار فراتر از مواردی هستند که در این مقاله مورد بررسی قرار دادیم. کاهش زمان حل مشکلات، بهبود مراقبت‌های پیشگیرانه به دلیل در اختیار داشتن داده‌های بیشتر و اجرای کارآمد عملیات در حین خاموشی برنامه‌ریزی شده از جمله موارد مهمی هستند که نقش مهمی در سود و زیان شرکت‌ها دارند.

این اطلاعات همچنین برای حوزه‌هایی مثل مدیریت کارایی بسیار مفید می‌باشند. با افزایش قابلیت دید بر روی دارایی‌های بخش OT، تیم‌های عملیاتی به راحتی می‌توانند حوزه‌های مصرف بیش از حد شبکه را شناسایی نموده و مشکلات را پیش از ایجاد تأثیرات عملیاتی شناسایی کنند. تشخیص سوئیچی که در اثر بار سنگین، بعضی از بسته‌ها را نادیده گرفته و شناسایی وقفه‌های ایجاد شده در فرایند جمع‌آوری داده‌ها کار چندان آسانی نیست. تشکیلات آبی را در نظر بگیرید که به دلیل فعال نشدن اخطار مشکل در دریچه کنترل جریان، آب آلوده را وارد سیستم می‌کند. به طور مشابه، داشتن قابلیت دید به ساده‌سازی شناسایی تأثیر مشکلات دارایی‌ها بر روی فرایندهای عملیاتی مثل تشخیص اینکه آیا یک سیستم نظارت بر گاز آفلاین شده است یا سرورهای زمان شبکه کمک می‌کند.

منبع: infosecurity-magazine

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

یک × 1 =

دکمه بازگشت به بالا
سبد خرید
  • هیچ محصولی در سبدخرید نیست.
0