قابلیت نظارت بر روی داراییها، پایه و اساس اصلی طرحهای کارآمد برای حفاظت از امنیت سایبری فناوری عملیاتی یا OT (به انگلیسی: Operational Technology) است. از طرفی سازمانهای صنعتی نمیتوانند ایمنی داراییهایی را که چندان با آنها آشنا نیستند حفظ کنند. همه سازمانها صرفنظر از نوع فعالیتشان باید قابلیت نظارت بر روی اطلاعات حساس و کنترل آنها را داشته باشند. حملات سایبری علاوه بر ایمنی، ممکن است زمان فعالیت و حتی دسترسپذیری همه ابزارها از توربینها گرفته تا کنترلکنندههای دما و غیره را تحت تأثیر قرار دهند. شناسایی و ثبت کامل تجهیزات فناوری عملیاتی توسط سازمانها و تشکیل پایههای لازم منجر به سادهسازی فرایندهای امنیت سایبری مثل تشخیص تهدید، واکنش به حادثه، مدیریت فعالانه داراییها برای شناسایی آسیبپذیریها و نقاط ضعف و پیادهسازی طرحهای امنیتی استراتژیک در محیطهای فناوری عملیاتی خواهند شد.
مدیران اجرایی که فهرست دقیقی از موجودیهای خود و طبقهبندیهای موجود ندارند، در صورت مواجه با تهدیدات فناوری عملیاتی تأثیرگذار بر روی سیستمهای مختلف، چگونه میتوانند ارتباط این تهدیدات نوظهور با کسبوکار خودشان را تشخیص دهند؟ فقط با نظارت پیوسته بر روی تجهیزات فناوری عملیاتی، امکان شناسایی مسائل و مشکلات زیر وجود دارد:
- کانالهای ارتباطی که متصدیان از وجودشان اطلاعی ندارند؛
- تهدیدات فعالی که به صورت مخفیانه در محیط عمل میکنند؛
- پیکربندیهای ناامن؛
- آسیبپذیریهای مخفی؛
- تجهیزات مشکلآفرین و غیره.
در این مطلب از فراست دلایل و نحوه انجام این کار را مورد بررسی قرار میدهیم.
میزان بهم پیوستگی و اتصالات دنیای ما رو به افزایش است. بنابراین شرکتها میتوانند جهت شناسایی داراییها و دادههای خودشان از افراد مرتبط درباره اطلاعات و داراییهایی که در اختیار دارند پرسوجو کنند. البته سازمانها معمولاً پاسخهای متفاوتی از بخشهای آیتی، امنیت یا عملیات دریافت مینمایند. از این رو همه افراد سازمان تصویر واضحی از داراییهای شبکه ندارند و این موضوع یک زنگ خطر است.
حذف خلأ دید
شرکتها عموماً میدانند که باید فهرست داراییهای خودشان را ثبت کنند ولی اجرای یک روش کارآمد تأثیر زیادی بر روی بهرهوری جمعآوری دادهها و رفع مشکلات امنیتی دارد. حجم دادههای تولید شده معمولاً با سرعت زیادی افزایش مییابد. از این رو درک الزامات حیاتی و اهداف مطلوب سازمان در زمینه مدیریت ریسک یا کسبوکار تأثیر چشمگیری در پیشگیری از بروز مشکلات مخاطرهآمیز دارد.
فناوری اطلاعات دارای سابقه و میراثی طولانی در زمینه مدیریت و ثبت فهرست داراییها بوده و ابزارها، فریمورکها و شیوههای ایجاد قابلیت دید بر روی این داراییها متناسب با کاربردهایشان تنظیم و بهینهسازی شدهاند. با این وجود اگرچه ابزارها و فرایندهای بخش فناوری اطلاعات متناسب با چالشهای موجود در محیط فناوری عملیاتی طراحی نشدهاند ولی در هر صورت این چالشها باید جهت حفاظت از داراییهای صنعتی مدیریت گردند. کارمندان اداری معمولاً تجربه ریبوت (Reboot) اجباری کامپیوترها برای نصب وصلههای امنیتی را دارند اما در یک محیط صنعتی، راهاندازی مجدد یک ایستگاه کاری متصل به یک کوره ذوب یا همان ریبوت میتواند منجر به از کارافتادگی برنامهریزی نشده در تجهیزات خنککننده، تخلیهکننده و گرمکننده کوره در طی مدت زمانی طولانی شود.
بسیاری از تاکتیکها و ابزارهایی که جهت نظارت بر روی داراییهای فناوری اطلاعات طراحی شدهاند، معمولاً قابل تبدیل برای استفاده در محیط فناوری عملیاتی نیستند. برای مثال امکان استقرار یک کارگذار بر روی یک PLC وجود ندارد چون این تجهیزات معمولاً با سیستمعاملها یا میانافزارهایی کار میکنند که سازگاری چندانی با کارگذارها ندارند. یک مدیر فناوری اطلاعات که با استفاده از ابزار NMAP، اسکن شبکه را در یک محیط صنعتی اجرا میکند، ممکن است ناخواسته باعث غیرفعالسازی دستگاههای حساس مثل کنترلگرهای دستگاه شود. در نتیجه در چنین شرایطی امکان بروز اختلال در خط تولید یا توقف آن وجود دارد. در محیطهای فناوری اطلاعات سنتی، استفاده از ابزارهای اسکن فعال برای شناسایی و نظارت بر روی داراییها یک امر کاملاً عادی است. در هر صورت اجرای تکنیکهای غیرفعال که ایمنی بیشتری ایجاد میکنند ترجیح داده میشوند. سازمانها باید برای تحقق نظارت مناسب بر روی داراییهای محیط فناوری عملیاتی، یک رویکرد متفاوت و مناسب با این محیط بکار بگیرند.
یکی از راهنماهای توصیه شده به مالکان داراییهای فناوری عملیاتی، استفاده از فریمورک مدیریت مجموعه برای واکنش به حادثه و عملیات امنیتی ICS است. این منبع شامل یک مرجع کامل است که طی سالها تجربه شکل گرفته و با واقعیتهای منحصربفرد محیط فناوری عملیاتی سازگاری دارد. در ادامه ابتدا دلایل نیاز به نظارت و سپس اصول و پایههای فریمورک مدیریت مجموعه و نحوه دستیابی به نظارت بر روی داراییها را مورد بررسی قرار میدهیم.
براساس نظرسنجی که در سال 2019 توسط مؤسسه SANS صورت گرفته، فقط حدود 10 درصد از سازمانها فهرست کامل داراییهای تحت پوشش مرکز عملیات امنیتی را در اختیار دارند.
همچنین با توجه به مطالعه امنیت سایبری ICS شرکت Dragos که در سال 2020 میلادی انجام شده، در حدود 90 درصد از تعاملات این شرکت با سایر شرکتها برای ارایه خدمات حرفهای، مشخص شده که سازمانها دید نسبتاً محدودی بر روی محیط فناوری عملیاتی خودشان دارند یا اینکه دارای هیچگونه قدرتی برای نظارت و کنترلی بر روی داراییهای خود نیستند.
وجود فهرست داراییهای مهم برای انجام یک عملیات نقش مهمی در مدیریت ریسک امنیت سایبری دارد. ثبت اطلاعات حساس مثل نسخه نرمافزار، موقعیت فیزیکی، مالک دستگاه و الویت آن به انجام سایر فعالیتها و عملیات ضروری جهت مدیریت امنیت سایبری کمک میکند.
راهکارهای نظارت بر روی داراییها
1- مشخص نمودن وضعیت عادی
آشنایی با وضعیت واقعی محیط و اینکه چه داراییهایی در کدام قسمت از شبکه قرار دارند و دارای چه عملکردی هستند، منجر به ایجاد یک خط مبنا و الگو از شرایط عادی میشود. برای مثال شما انتظار ندارید که یک سرور مدیریت وصلههای امنیتی ناگهان شروع به ارسال موقعیت مکانی به یک منبع خاص در اینترنت کند. با پیادهسازی چنین الگویی میتوانید نحوه اجرای فرایندها و جریانات کاری را در محیط عملیاتی مشخص نمایید. همچنین این منبع زمینه لازم و اطلاعات شفاف برای تسریع فعالیتهای امنیتی مختلف مثل تشخیص تهدید، نظارت، مدیریت تغییر و واکنش به حادثه را فراهم میکند.
برقراری این خط مبنا فقط با هدف پیگیری حلقه تشخیص ناهنجاری انجام نمیشود. وابستگی صرف به تشخیص ناهنجاری میتواند باعث بروز مشکلات مختلف و خستگی از هشدارهای متعدد شود چون ناهنجاری همواره معادل با تهدید نیست. البته شناسایی وضعیت عادی و تشخیص هر گونه تخدی از این خط مبنا میتواند دادهها و تاریخچههای مفیدی در اختیار تحلیلگران امنیت قرار دهد. کارشناسان امنیتی نیز میتوانند از چنین اطلاعاتی در بررسیها و همچنین جهت انجام اقدامات لازم استفاده کنند.
متصدیان سیستمها به ابزارهایی جهت ارتقای بهرهوری، تشخیص راحت خط مبنا و شناسایی سریع هرگونه انحراف از این خط مبنا نیاز دارند. این تشخیصها معمولاً در اثر هشدارها یا اعلانها صورت میگیرند. البته میتوانند قالبها و نمودارهای گرافیکی هم داشته باشند. رنگهای مختلف در این نمودارها نشاندهنده وضعیت سلامت عملیاتی هستند. برای مثال در هنگام شروع شیفت، بکارگیری داشبوردی ساده که PLCهای مشکلدار را به رنگ قرمز و موارد پایدار و معمولی را به رنگ سبز نمایش میدهد، منجر به تمرکز بهتر بر روی حوزههایی میشود که نیازمند هستند. حرکت پرشتابی که به سمت انجام کارهای عملیاتی به صورت دیجیتالیزه و به هم متصلتر وجود دارد باعث افزایش نیاز به وجود نماهایی متمرکز در سطح محیطهای OT شده است.
2- اعتبارسنجی داراییها
سازمانها با قابلیت نظارت کامل بر روی داراییهای بخش OT و کنترل آنها، مثل رابطهای انسان ماشین، ابزارهای ثبت تاریخچه و کنترلگرها، میتوانند با واقعیت موجود در تشکیلاتشان آشنا شوند. وجود یک منبع کامل متشکل از فهرست داراییها به ایجاد دید واضح کمک میکند. در اختیار داشتن چنین دیدی جهت تشخیص پیکربندیهای نادرست، آسیبپذیریها و سایر نقاط ضعف در کل محیط کنترل صنعتی ضروری است.
در صورت انجام و اجرای صحیح فرایند ایجاد نظارت، باید علاوه بر وجود داراییهای مختلف، نسخه، وضعیت میانافزار و وضعیت پیکربندی آنها نیز مشخص شود. آگاهی نسبت به اینکه کنترلگری با نسخه آسیبپذیر یک میانافزار کار میکند و اینکه آیا فروشنده آن، بهروزرسانی خاصی برای دستگاه منتشر نموده یا خیر بسیار مهم است.
مالکان داراییها معمولاً منابع ارزشمند زیادی را صرف بررسی و شناسایی دستی دستگاههای متصل به شبکه از جمله سوئیچهای شبکه، ایستگاههای کاری یا حتی کنترلگرهای پردازش میکنند. این روش کارایی چندانی نداشته و احتمال بروز خطاهای چشمگیری را هم دارد. جمعآوری و بهروزرسانی خودکار این اطلاعات، وجود یک فهرست دارایی منسجم در سطح کل تشکیلات با قابلیت مقیاسپذیری را تضمین میکند. همچنین این اطلاعات دنیایی از امکانات مختلف را برای اعتبارسنجی وضعیت داراییها به ویژه در صورت عدم دسترسی به تیمهای عملیات در اثر اشتغال فراوان فراهم میکنند. برای مثال ممکن است تیمهای امنیتی در حال بهبود و ارتقای زیرساخت یا رفع مشکلات و حوادث امنیتی ناگهانی و برنامهریزینشده باشند.
-
تشخیص و مصورسازی روابط بین داراییها و مسیرهای ارتباطی
امکان قابلیت نظارت بر روی داراییها علاوه بر فراهم نمودن اطلاعاتی درباره آنها، دادههای ارزشمندی را نیز درباره روابط و مسیرهای ارتباطی که در بینشان وجود دارند فراهم میکند. سازمانها با استفاده از قابلیت نظارت کامل میتوانند بر روی کانالهای ارتباطی مدیریت شخص ثالث و OEM نظارت داشته باشند. آنها همچنین اطمینان مییابند که این شرکتها به موارد ذکر شده در قرارداد پایبند بوده و مخاطرات غیرضروری برای اکوسیستم ICS ایجاد نمیکنند. چنین قابلیت دید و نظارتی شامل نظارت بر روی مسیرهای ارتباطی است که نباید پیامی را به سایر سیستمها ارسال کنند و باید عملیات مشخص را در بازه زمانی تأیید شده انجام دهند. در صورت ارسال فرمانهای ناگهانی یک ایستگاه کاری به یک کنترلگر در منطقه 2 در حالی که این ایستگاه کاری فقط باید با دستگاههای منطقه 1 صحبت کند، نیاز به تحقیق و بررسی بیشتر وجود دارد.
ترسیم نقشه داراییها به نمایش نقاط عطف و تعداد گامهای بین داراییها کمک میکند. به این ترتیب یک تصویر کلی از وضعیت بخشبندی شبکه در اختیار متصدیان و تحلیلگران امنیت قرار میدهد تا نقاط مشکلآفرین را شناسایی نموده و نحوه حرکت یک مهاجم در شبکه را ارزیابی کنند. این اطلاعات به اعتبارسنجی قوانین فایروال هم کمک مینمایند. اگر یک پیمانکار یک مودم سلولی غیرمجاز را برای پشتیبانی از راه دور نصب کرده، باید از این مسئله آگاه باشید. ممکن است این مودم مسیری به یک ایستگاه کاری مهندسی برقرار نموده و مهاجمان با استفاده از آن به یک کنترلگر دامنه دسترسی یابند.
این نمایش منطقی علاوه بر ایجاد قابلیت نظارت بر روی فعالیتهای شبکه، پیکربندیهای اشتباه و خلأهای موجود در معماری را مشخص میکند. مالکان داراییها با شناسایی چنین خلاءهایی میتوانند کنترلهای دفاعی را به صورت پیشگیرانه پیادهسازی نمایند. باید با انجام اقدامات ساده مثل نظارت بر روی اکتیودایرکتوری یا ارتباطات راه دور و تقویت محیط یک معماری قابل دفاع ساخت، از اجرای حملات باجافزاری پیشگیری کنیم.
-
تشخیص تهدید
یک رویکرد تشخیص غیرفعال، لزوماً نیازمند نظارت کامل بر روی داراییها یا خط مبنای رفتار عادی جهت شناسایی تهدیدات فعال در بین داراییها نیست. همانگونه که پیش از این هم اشاره شده، ناهنجاریهای موجود در وضعیت داراییها مثل آفلاین شدن یک ایستگاه کاری که عمداً و برای تعمیر غیرفعال شده، لزوماً دلالت بر وجود یک تهدید ندارد. با این وجود شناسایی حملات و مخاطرات امنیتی در داراییهایی که تحت نظارت و کنترلمان قرار دارند کار چندان سختی نیست. برای مثال، فایلهای .iso بزرگ که دارای تشابه نامی زیادی با یک بهروزرسانی OEM هستند اما مقدار هش آنها با یک فایل مخرب شناخته شده تطبیق دارد، میتوانند سرنخهایی از وجود فعالیتهای مخرب باشند.
داشتن قابلیت دید و وجود یک خط مبنا از رفتارها و فهرست داراییها، به ایجاد سرنخهای مهم و حیاتی جهت تسریع در شناسایی تهدیدات کمک میکنند. هر یک از این تغییرات میتوانند به نوبه خود نتایج مثبت یا منفی را به همراه داشته باشند و هر گونه تخدی از خط مبنا لزوماً نشاندهنده شرایط پرمخاطره نیست. باز شدن یک پورت دسترسی از راه دور، در بازه زمانی از پیش مشخص شده جهت پشتیبانی از سیستمها توسط فروشنده، لزوماً دلالت بر خطر ندارد اما در صورت امکان برقراری همین پورت با یک سیستم غیرمجاز، شرایط کاملاً متفاوت خواهد بود. اطلاعات محیطی در ترکیب با دادههای مربوط به رفتار تهدیدات، زمینه لازم برای تشخیص تغییرات مربوط به تاکتیکها، تکنیکها و روشهای مهاجمان یا TTP (به انگلیسی: tactics, techniques, and procedures) از تغییرات زیرساختی برنامهریزی شده را فراهم میکند.
- تشخیص و قابلیت دید؛ دو روی یک سکه
همه فروشندگان راهکارهایی جامع که منعکسکننده چنین نکته مهم و حیاتی باشند ارایه نمیدهند. یک قانون تشخیص تهدید که به دلیل وجود جریان ترافیک غرب – شرق فعال شده، زمینه و شرایط کاملاً متفاوتی با ترافیکی دارد که در بین یک HMI و یک سیستم امنیت ابزاری یا SIS (به انگلیسی: Safety Instrumented System) جریان دارد. قابلیت نظارت و شناسایی داراییها یا حتی تشخیص تهدیدات امنیتی به تنهایی کافی نیست. برای ایجاد نظارت کامل بر روی تهدیدات، این دو قابلیت باید با یکدیگر همراه باشند.
-
تشخیص داراییهای مشکل آفرین
متصدیان معمولاً با همه داراییهای متصل به فرایندهای اصلی آشنا هستند اما ممکن است نسبت به وجود داراییهای مخفی یا مشکلآفرینی که محیط را در معرض خطر قرار میدهند آگاه نباشند. این مسئله برای شرکتهایی که شعبههای راه دور یا تشکیلات بزرگ و پیچیده با سطوح امنیت فیزیکی مختلف دارند، مشکلآفرین است. این دارایی مخاطرهآمیز میتواند لپتاپ یا یک دستگاه قدیمی از رده خارج شدهای (مانند یک درایو ذخیره اطلاعات USB خارجی که برای پشتیبانگیری استفاده میشود) که توسط یک تکنسین برای عیبیابی و رفع مشکل به شبکه متصل مانده یا دستگاهی مثل دوربین نظارتی باشد که با نیات مخرب مستقر شدهاند.
متصدیان سیستمها معمولاً اطلاعی درباره وجود چنین تجهیزاتی ندارند. مهاجمان نیز همواره در حال تلاش برای نفوذ به دستگاههایی (مثل ایستگاههای کاری مهندسی ثبت نشده) هستند که به صورت کامل توسط سازمانها شناسایی نشدهاند.
پیش از ابداع روشهای خودکار تشخیص داراییها، روش سنتی برای شناسایی چنین دستگاههایی، مستلزم اجرای یک فرایند بررسی دستی پرزحمت بود. حتی در صورت استفاده از اتوماسیون، بررسی تشکیلات به صورت حضوری و دستی همچنان نقش مهمی در حفاظت از امنیت دارد. البته منابع مورد نیاز برای انجام این کار زیاد است و سازمانها معمولاً این عملیات را به صورت سالیانه، دو بار در سال یا هر سه ماه یک بار انجام میدهند. وجود یک روش خودکار جهت تشخیص داراییهای مشکلآفرین در فاصله بین انجام بررسیهای دستی تأثیر چشمگیری بر ایمنسازی پیوسته محیطهای OT دارد.
-
واکنش به حادثه
قابلیت نظارت کامل و بهروز نسبت به داراییها، نقش مهمی در کل چرخه واکنش به حادثه دارد. در صورتی که مسئولان واکنش به حادثه فهرست کامل و دقیقی از داراییهای موجود در اختیار داشته باشند، به راحتی و در اسرع وقت وجود تهدید و وقوع حادثه را تأیید میکنند. در هنگام انجام تحقیقات، قابلیت نظارت کافی بر روی داراییها تأثیر زیادی در تشخیص گستردگی حادثه و درک کامل سیستمهای تحت تأثیر اقدامات مهاجمان دارد. آگاهی نسبت به اینکه یک HMI (رابط انسان ماشین) هک شده در کدام شعبه و محل قرار دارد، به کاهش هزینهها و تسریع در فرایند جرمشناسی کمک میکند.
همچنین سازمانها میتوانند با استفاده از اطلاعاتی که توسط این قابلیت فراهم میشوند جهت طراحی و پیادهسازی برنامههای مقابله با حمله برنامهریزی کنند. در آخرین مراحل واکنش به حادثه این قابلیت نیز به مسئولان اطمینان میدهد که تهدید مدنظر به صورت کامل ریشهکن شده است.
-
مقابله با تهدیدات و آسیبپذیریهای حیاتی جدید
آیا میتوانید به سرعت به این پرسش مدیران اجرایی پاسخ دهید که زیرساخت سازمان شما تحت تأثیر آسیبپذیری جدیدی یا تاکتیکها و روشهای یک گروه جدید قرار دارد یا خیر؟ با استفاده از فهرستی در دسترس و قابل جستجو از داراییهای موجود میتوانید تحقیقات لازم درباره ارتباط تهدیدات جدید با سازمانتان را در اسرع وقت انجام دهید.
همچنین با در اختیار داشتن این اطلاعات میتوانید مشخص نمایید که تجهیزات نیازمند به نصب وصلههای امنیتی در کدام بخش از سازمان هستند یا در صورت عدم امکان نصب وصلههای امنیتی، کنترلهای جبرانی لازم را برای آنها پیادهسازی کنید. به این ترتیب علاوه بر تسریع فرایند رسیدگی به ریسکهای جدید بسیار حیاتی، فرایندهای روزمره مدیریت وصلههای امنیتی و آسیبپذیریها نیز به راحتی انجام میشوند. تیمهای امنیتی در محیطهای تولیدی باید اطلاعات کاملی از آسیبپذیریهای قابل رفع با وصلههای امنیتی داشته و برنامهریزی دقیقی درباره رویدادهایی مثل خاموشی سیستمها انجام دهند.
مدیریت آسیبپذیری بدون اتوماسیون، منجر به نابودی منابع میشود. تیمهای امنیت سایبری بدون در اختیار داشتن یک دید متمرکز بر روی آسیبپذیریها و وجود یک حلقه بسته مثل نصب وصلههای امنیتی، تغییر پیکربندی و تغییر پورت/پروتکل مسیریابی برای مدیریت کنترلهایی که به آسیبپذیریها رسیدگی میکند، با چالش زیادی مواجه خواهند شد.
-
تکمیل مدیریت آسیبپذیری با تشخیص پیکربندی
تنظیم استانداردهای پیکربندی برای تجهیزات فناوری عملیاتی و پایبندی به این استانداردها کار چندان آسانی نیست. تغییر پیکربندی در یک شبکه صنعتی پویا امری رایج است و عملیات پیگیری و مدیریت لحظهای این تغییرات بسیار سخت میباشد.
با امکان دید واضح بر روی داراییها، عملیات تشخیص تغییرات پیکربندی که منجر به تضعیف زیرساختها یا حتی نقض قوانین و استانداردها میشوند، راحتتر انجام میشود. این نظارت اطلاعات لازم را برای مدیریت تغییر و تکامل طرح مدیریت دارایی که نقش مهمی در حفظ امنیت و همچنین جامعیت عملیاتی دارد ایجاد میکند. غیرفعال شدن گزارشهای دسترسی به یک سرور مخصوص مدیریت وصلههای امنیتی توسط یک مهاجم میتواند جریمههای سنگینی برای شرکتها به همراه داشته و حتی منجر به ایجاد اختلال در عملیات آنها گردد.
-
کمک به تولید گزارشات رعایت الزامات قانونی
داشتن دید کامل بر روی داراییها میتواند کمک قابل توجهی به کارمندان بخش امنیت سایبری در زمینه رعایت الزامات و استانداردهای قانونی کند. متصدیان این بخش معمولاً تحت فشار الزامات قانونی مثل NERC CIP و ISA 99/IEC-62443 قرار دارند تا به صورت منظم کنترلهای دارایی و امنیتی را به بازرسان گزارش دهند. انجام چنین کاری در سازمانها معمولاً مستلزم اجرای فرایندهای دستی سنگین بوده و حتی ممکن است در کارهای روزمره اختلال ایجاد کند. تشخیص، تحلیل و نگاشت خودکار داراییها میتواند فرایند گزارشدهی قانونی را برای کل تیم راحتتر نموده و منابع را آزاد کند. اصلاحات امنیتی و عملیاتی نیز با استفاده از روشهای معنادارتر و مفیدتری انجام میشوند.
مدیریت پیکربندی داراییها شامل تعیین خط مبنای پیکربندی برای داراییهای اطلاعاتی، داراییهای بخش IT و داراییهای OT و همچنین کسب اطمینان از پیکربندی این داراییها بر اساس خط مبنای تعریف شده است. این اطلاعات به کسب اطمینان از پیکربندی دستگاههای مشابه به صورت یکسان کمک میکنند اما در صورتی که بعضی از داراییها منحصربفرد بوده یا دارای پیکربندیهای متفاوتی باشند، باید معیار پیکربندی در فرایند مدیریت پیکربندی برای دارایی مدنظر در محل استقرار آن مشخص شود و این اطمینان حاصل گردد که پیکربندی وسیله مورد نظر همچنان منطبق با خط مبنای مشخص شده خواهد بود.
-
توجیه سرمایهگذاریهای امنیتی
درک پیچیدگی مجموعه داراییهای بخش OT از جمله گامهای ابتدایی لازم برای ارزیابی ریسک است. آگاهی نسبت به محل و شیوه نصب داراییها و محدوده کنترلهای امنیتی مربوط به آنها جهت تشخیص خلأهای موجود در کنترلها و فرایندها ضروری است. ممکن است عواقب و پیامدهای منفی به خطر افتادن یک دارایی مرتبط با عملیات صنعتی یا زیرساختهای حیاتی بسیار بیشتر از ایجاد مخاطره برای اکثر دستگاههای IT باشد.
با نظارت کامل بر روی داراییها، به راحتی میتوانید کمبود کنترلهای امنیتی را تشخیص داده و سرمایهگذاری و طرحهای آینده را الویتبندی کنید. فهرست و نقشه داراییها یک منبع قابل دسترس و قابل بهروزرسانی در اختیار تیمهای امنیتی قرار میدهد. تیمهای امنیتی با استفاده از این اطلاعات میتوانند برای ترسیم و تغییر نقشه راه خودشان از آن استفاده کنند. این منبع همچنین میتواند شواهد لازم را برای توجیه هزینهها یا تغییرات فرایندها فراهم نماید.
سایر مزایای عملیاتی
مزایای اطلاعاتی که در اثر قابلیت نظارت به دست میآیند بسیار فراتر از مواردی هستند که در این مقاله مورد بررسی قرار دادیم. کاهش زمان حل مشکلات، بهبود مراقبتهای پیشگیرانه به دلیل در اختیار داشتن دادههای بیشتر و اجرای کارآمد عملیات در حین خاموشی برنامهریزی شده از جمله موارد مهمی هستند که نقش مهمی در سود و زیان شرکتها دارند.
این اطلاعات همچنین برای حوزههایی مثل مدیریت کارایی بسیار مفید میباشند. با افزایش قابلیت دید بر روی داراییهای بخش OT، تیمهای عملیاتی به راحتی میتوانند حوزههای مصرف بیش از حد شبکه را شناسایی نموده و مشکلات را پیش از ایجاد تأثیرات عملیاتی شناسایی کنند. تشخیص سوئیچی که در اثر بار سنگین، بعضی از بستهها را نادیده گرفته و شناسایی وقفههای ایجاد شده در فرایند جمعآوری دادهها کار چندان آسانی نیست. تشکیلات آبی را در نظر بگیرید که به دلیل فعال نشدن اخطار مشکل در دریچه کنترل جریان، آب آلوده را وارد سیستم میکند. به طور مشابه، داشتن قابلیت دید به سادهسازی شناسایی تأثیر مشکلات داراییها بر روی فرایندهای عملیاتی مثل تشخیص اینکه آیا یک سیستم نظارت بر گاز آفلاین شده است یا سرورهای زمان شبکه کمک میکند.
منبع: infosecurity-magazine