مقالاتمنتخب سردبیر

چرا نمی‌توان امنیت فناوری عملیاتی را نادیده گرفت؟

امنیت OT

فناوری عملیاتی (OT[1]) شامل هر سخت‌افزار و نرم‌افزاری است که برای شناسایی یا ایجاد تغییر به صورت مستقیم بر تجهیزات صنعتی و همه دارایی‌ها، پردازش‌ها و رویدادهای آن نظارت می‌کند. حتی با وجود نقش بنیادی امنیت OT در بسیاری از صنایع، فناوری عملیاتی همچنان در برابر حملات سایبری آسیب‌پذیر است.

حمله به سیستم‌های OT از شبکه‌های برق گرفته تا نیروگاه‌های هسته‌ای منجر به ایجاد اختلالات ویرانگر و تغییرات فیزیکی در صنایع مختلف سطح جهان شده است. امروزه اجرای حملات سایبری بر ضد اهداف OT به شکل چشمگیری افزایش یافته و حالا مهاجمان بیشتر از قبل صنایع تولیدی را هدف می‌گیرند. بدیهی است که انجام اقدامات زیر برای ارتقای استاندارد امنیت OT ضروری است. متصدیان زیرساخت‌های حیاتی باید با نقش محوری OT، مخاطرات ایجاد شده توسط مهاجمان و شیوه ایجاد یک فریم ورک OT امن آشنا باشند.

 

محدوده OT

بسیاری از صنایع حیاتی مثل حفاری، ساخت و ساز، انتقال نفت و گاز، نیرو و تسهیلات، کارخانه‌های شیمیایی، تصفیه آب، ماشین‌آلات صنعتی و حمل و نقل از OT استفاده می‌کنند. محیط OT شامل شبکه‌های صنعتی، سیستم‌های کنترل صنعتی (ICS[2]) و فرایندهایی برای عملیات و نگهداری است.

 

OT و IT چه تفاوت‌هایی دارند؟

IT داده‌های دیجیتال از طریق سیستم‌های کامپیوتری که از عملیات شرکتی مثل بازاریابی، فروش، مدیریت روابط با مشتریان، ارتباطات و غیره پشتیبانی می‌کنند را پردازش می‌کند. ایمیل سرور، سرور وب، سیستم برنامه‌ریزی منابع انسانی، تلفن‌های اینترنتی، سرور چاپ و برنامه‌های کاربردی میز راهنمایی IT از جمله نمونه‌های سیستم‌های IT رایج هستند.

صنایع مختلف از سیستم‌های کامپیوتری برای کنترل و نظارت فرایندهای صنعتی و فنی استفاده می‌کنند اما OT عملیات مربوط به ماشین‌آلات و فرایندهای فیزیکی را مدیریت می‌کند. نرم‌افزارها و رویه‌های مورد استفاده در بخش IT به کنترل جریانات بخش OT (مثل تولید و انتقال برق، تصفیه آب و تولید مواد شیمیایی) هم کمک می‌کنند. از طرفی در OT، نقاط پایانی با دارایی‌های فیزیکی تحت کنترل بیشتری هستند مثل موتورها، نوارهای نقاله، شیرآلات و لیفتراک‌ها.

به طور خلاصه، OT محدوده سیستم‌هایی را پوشش می‌دهد که با انتقال فیزیکی اجناس و خدمات سروکار دارند. کاربرد و کارایی این سیستم‌ها که برای انجام کارهایی خاص ساخته می‌شوند، در صنایعی خاص است و به عنوان سیستم‌های حیاتی در انجام عملیات تجاری یا سازمانی هم شناخته می‌شوند.

از لحاظ ایمنی، تأمین‌کنندگان OT وصله‌های امنیتی سالیانه را به عنوان بخشی از استراتژی امنیتی برای سیستم‌های خودشان در نظر می‌گیرند. به دلیل فقدان دانش لازم درباره محصولات و پیچیدگی محیط، بسیاری از شرکت‌ها جهت دریافت توصیه‌های امنیتی متکی بر فروشندگان تجهیزات OT هستند.

 

اجزای رایج در OT

تجهیزات دیجیتال مورد استفاده در فرایندهای صنعتی شامل دارایی‌های ICS می‌شوند که بسیاری از جنبه‌های تولید و زیرساخت‌های حیاتی را دربر می‌گیرند مثل شبکه‌های برق و سیستم‌های تصفیه آب. سیستم‌های جمع‌آوری داده و کنترل نظارتی (SCADA[3]) و سیستم‌های کنترل توزیع شده (DCS[4]) از جمله عناصر اصلی ICS هستند که در ترکیب با یکدیگر، فناوری عملیاتی را که فناوری هم با محیط فیزیکی در تعامل است تشکیل می‌دهند. اسکادا کلیه فرایندهای صنعتی را در همان محیط یا از راه دور مدیریت و کنترل می‌کند. از سیستم اتوماسیون هوشمند DCS نیز در مراکز صنعتی و کنترل استفاده می‌شود. این سیستم قابلیت مدیریت اشیای متصل به اینترنت را دارد.

اجزای رایج در OT

در ادامه اجزای مهم ICS را مورد بررسی قرار می‌دهیم:

  • سیستم‌های اسکادا داده‌ها را از حسگرهایی که معمولاً به صورت پراکنده نصب شدند جمع‌آوری کرده و آنها را برای مدیریت و کنترل به یک کامپیوتر مرکزی ارسال می‌کنند؛
  • DCS یک سیستم کنترل خودکار متشکل از واحدهای کنترل توزیع شده در سطح کارخانه یا منطقه کنترل است؛
  • PLC[5] یک سیستم کنترل کامپیوتری صنعتی است که به صورت پیوسته وضعیت دستگاه‌های ورودی را تحلیل کرده و بر اساس یک نرم‌افزار اختصاصی تصمیم می‌گیرد که چگونه دستگاه‌های خروجی را تنظیم کند؛
  • [6]RTU دستگاه‌های مبتنی بر ریزپردازنده هستند که تجهیزات میدانی را نظارت و کنترل می‌کنند و به سیستم‌های کنترل کارخانه یا SCADA متصل می‌شوند؛
  • HMI[7] تابعی در یک دستگاه یا برنامه نرم‌افزاری است که به افراد امکان می‌دهد با ماشین‌ها در تعامل باشند؛
  • PHD[8] برنامه کاربردی است که داده‌های فرایندهای گذشته و در حال اجرای کارخانه را گردآوری، ذخیره و پخش مجدد می‌کند. این بخش در ترکیب با سایر نرم‌افزارهای صنعتی، امنیت داده‌ها و کارایی فرایندها را ارتقا می‌دهد تا امکان تصمیم‌گیری بهتر و سریع‌تر را فراهم کند.

 

پروتکل‌های OT

از آنجا که پروتکل‌های OT معمولاً سیستم‌هایی بسته هستند، در نتیجه وابسته به فروشنده و به صورت کاملاً اختصاصی هستند. در سطوح مختلف مدل پوردو (Purdue) از پروتکل‌های مختلفی استفاده شده است. اخیراً برای ساده‌سازی عملیات و ارتقای تعامل‌پذیری با سخت‌افزارهای قدیمی‌تر IT، از پروتکل‌های استاندارد IT برای شبکه مثل TCP/IP در سیستم‌ها و دستگاه‌ها استفاده می‌شود. Modbus یکی از پروتکل‌های ارتباطی پرکاربرد در همه PLCها است.

چند مورد از پروتکل‌های OT عبارتند از:

  • Modbus
  • MelsecNet
  • DALI
  • DSI
  • Dynet
  • Obix
  • ZigBee
  • xAP
  • DNP3
  • M-Bus
  • INSTEON
  • BACAnet
  • EnOcean

 

افزایش چالش‌های امنیت OT

در دهه اخیر، حجم حملات سایبری بر علیه سازمان‌هایی که از سیستم‌ها و تجهیزات OT و به ویژه ترکیب OT و IT استفاده می‌کنند، افزایش یافته است. افزایش میزان استفاده از اینترنت صنعتی هم منجر به افزایش تهدیدات مخرب برای سیستم‌های OT شده است که در همه دستگاه‌های متصل به اینترنت وجود دارند. اگرچه سیستم‌های OT از جمله اجزای ذاتی تجهیزات تولیدی حیاتی هستند اما معمولاً در طرح‌های امنیتی در نظر گرفته نمی‌شوند.

همگرایی بین OT و IT منجر به افزایش سطح حمله از طریق موارد زیر می‌شود:

  • اعتبارنامه‌های کاربری ناامن: متصدیان سیستم‌ها معمولاً برای دسترسی راحت‌تر به شبکه از رمزهای ضعیف استفاده می‌کنند. بنابراین هکرها می‌توانند به راحتی و با اجرای حملات جستجوی فراگیر، به سیستم‌ها نفوذ کنند.
  • استفاده از حساب‌های پیش فرض یا مشترک: در سیستمی با ایمنی نه چندان بالا، متصدیان از شناسه‌های مشترک یا اعتبارنامه‌های پیش فرض برای دستگاه‌ها استفاده می‌کنند.
  • تجهیزات سنتی: محدودیت‌های ایجاد شده توسط فروشندگان و عدم به روز بودن تجهیزات هم باعث محدود شدن پوشش نقاط پایانی توسط ابزارها می‌شود.
  • دانش امنیتی: در محیط‌های صنعتی OT، استفاده از فناوری‌های شبکه جدید نیاز به مهارت‌های مدرن دارد. رفع خلأ اطلاعاتی موجود در حوزه امنیت OT ضروری است.
  • مهارت‌های محدود: تهدیدات سایبری همواره رو به رشد و پیشرفت هستند. فقدان مهارت‌های امنیت سایبری OT و عدم درک صحیح، منجر به سوءاستفاده‌های امنیتی می‌شود.
  • به‌روز نبودن سیستم‌عامل: سیستم‌عامل‌های قدیمی که به‌روزرسانی‌های امنیتی را دریافت نمی‌کنند، در برابر تهدیدات و حملات سایبری آسیب‌پذیری هستند. برای پیشگیری از به خطر افتادن تجهیزات، باید همه آنها را بر اساس توصیه‌های تولید کننده به‌روزرسانی کنید.
  • پروتکل‌های آسیب‌پذیر: بسیاری از تولیدکنندگان سعی می‌کنند با پیاده‌سازی قابلیت‌هایی مثل احراز هویت و رمزنگاری، راهکاری برای پروتکل‌ها و تجهیزات ناامن فعلی پیدا کنند.
  • موقعیت امنیتی: جامعه رایانش صنعتی معمولاً توجه کافی را از بخش امنیت دریافت نمی‌کند. صنعت OT از لحاظ رویه‌ها، استانداردها و همکاری با محققان امنیتی از صنعت IT بسیار عقب‌تر است.

 

حملات سایبری مهم در بخش OT

دیجیتالیزه شدن سیستم‌های OT حیاتی، منجر به ایجاد نگرانی‌های مختلفی شده است. همچنین اتصال ICS به اینترنت هم نقش چشمگیری در افزایش تهدیدات دارد.

در ادامه تعدادی از حملات سایبری مهم بر علیه سیستم‌های OT را مورد بررسی قرار می‌دهیم:

  • حمله به شبکه برق اوکراین، 2015

در دسامبر 2015، مهاجمان به شبکه برق اوکراین حمله کردند. این حمله باعث قطع شدن برق 230 هزار بخش شد و تا 6 ساعت تداوم داشت؛ سپس حمله به SCADA و سیستم‌های کامپیوتری شبکه برق، منجر به قطعی 30 پست فرعی برق برای سه ساعت شد. ظاهراً مهاجمان از حدود 6 ماه قبل در زیرساخت قربانی حضور داشتند.

مهاجمان فعالیت‌های سایبری خود را از ماه‌ها پیش و با یک کارزار فیشینگ هدفمند بر علیه مدیران سیستم و پرسنل IT شروع کرده بودند. این افراد برای شرکت‌های توزیع برق مختلف در سطح اوکراین کار می‌کردند.

بدافزار BlackEnergy برای اولین بار در سال 2014 به دلیل کاربرد وسیع آن در هک شرکت‌های برق خبرساز شد. هدف این بدافزار، کسب اطلاعاتی درباره شبکه‌ها و زیرساخت‌ها جهت اجرای حملات سایبری در آینده بود.

در این مورد خاص، زمانی که قربانیان یک فایل اکسل دریافتی از طریق ایمیل را باز می‌کردند، بدافزار BlackEnergy اجرا می‌شد. مهاجمان از راه دور، بدافزار BlackEnergy را ماه‌ها تحت کنترل داشتند و از آن برای جمع‌آوری اطلاعات، جابجایی بین میزبان‌ها، پیدا کردن حفره‌های امنیتی، ورود به شبکه OT و اجرای سایر فعالیت‌های شناسایی استفاده می‌کردند.

در این حمله، مهاجمان کنترل سیستم‌های SCADA را در اختیار گرفته و از راه دور شروع به خاموش کردن پست‌های برق کردند. همچنین در این حمله از ویروس KillDisk برای خراب کردن فایل‌ها در سرورها و ایستگاه‌های کاری استفاده شد. مهاجمان منبع برق وقفه‌ناپذیر، مودم‌ها، واحدهای پایانه‌های راه دور و کموتاتورها (یا جابه‌جاگر) را خاموش کردند.

  • کرم استاکس‌نت، 2010

یکی از پیچیده‌ترین بدافزارهایی که تا به امروز ساخته شده، استاکس‌نت است. هدف این بدافزار آسیب رساندن فیزیکی به سانتریفیوژهای نیروگاه‌های برق هسته‌ای نطنز در ایران بود. براساس نتایج تحقیقات استاکس‌نت آسیب جدی به برنامه هسته‌ای ایران وارد کرده است. این کار با هدف‌گیری سیستم‌های SCADA و PLCهایی انجام شد که امکان اتوماسیون عملیات الکترومکانیکی مثل مدیریت ماشین‌آلات و فرایندهای صنعتی را فراهم می‌کنند.

ظاهراً شبکه تشکیلات نطنز با استفاده از یک درایو USB آلوده به بدافزار استاکس‌نت آلوده شده است. استاکس‌نت از اکسپلویت‌های روز صفر، اعتبارنامه‌های کاربری به سرقت رفته و اعتبارنامه‌های پیش فرض برای حرکت در شبکه و گریز از شناسایی استفاده می‌کرد.

این بدافزار پس از تشخیص شرایط عملیاتی و سخت‌افزاری، توابع مخربی را در PLC مورد هدف اجرا می‌کرد. هدف از این اقدام افزایش سرعت چرخش سانتریفیوژها در فواصل از پیش تعیین شده بود که منجر به ایجاد نقص در تجهیزات و خودتخریبی ماشین‌ها می‌شد.

  • بدافزار تریتون، 2017

بدافزار تریتون برای اولین بار سیستم‌هایی را که برای پیشگیری از بروز حوادث فیزیکی بزرگ و تصادفات مرگبار در تشکیلات زیرساخت‌های حیاتی طراحی شده بودند مورد حمله قرار داد. یک کارخانه پتروشیمی عربستانی هدف حمله این بدافزار بود که منجر به ایجاد اختلال در سیستم‌های امنیتی این کارخانه شد.

سیستم‌های ایمنی این کارخانه در برابر بدافزار تریتون آسیب‌پذیر بودند. تریتون پس از نصب در سیستم‌ها، آنها را از راه دور کنترل می‌کرد. در صورتی که مهاجمان با دستکاری یا از کار انداختن سیستم‌های ایمنی می‌توانستند حوادثی مهلک را رقم بزنند.

  • باج‌افزار نورسک هیدرو (LockerGoga)، 2019

LockerGoga باعث بروز اختلال گسترده در کسب‌وکار کارخانه تولید آلومینیوم نروژی نورسک هیدرو شد و دلالت بر رشد و پیشرفت قابل توجه باج‌افزارها دارد. نسخه‌های اولیه LockerGoga فایل‌ها و سایر داده‌های سیستم‌های آلوده را رمزنگاری می‌کردند؛ سپس بدافزار پیام درخواست باج را به قربانی نمایش می‌داد. در نسخه‌های جدیدتر، قابلیت خروج اجباری کاربر از سیستم آلوده و پیشگیری از ورود مجدد او هم پیاده‌سازی شده است.

LockerGoga باعث شد که فرایندهای چندین شعبه از کارخانه نورسک هیدرو وارد حالت دستی شوند. این تغییر منجر به ایجاد آسیب‌هایی جدی در برخی از سیستم‌های تولیدی و در نهایت کاهش سرعت برخی از فعالیت‌های کارخانه و به بسته شدن آن منتهی شد. نورسک هیدرو بلافاصله به این حمله واکنش نشان داد اما آسیب ایجاد شده جدی بود. این باج‌افزار تقریباً همه کارمندان این شرکت را تحت تأثیر قرار داد.

حملات سایبری مهم در بخش OT

مسیرهای رایج حمله

راهکارهای امنیت OT شامل فناوری‌ها و رویه‌هایی است که جهت نظارت و تنظیم اشیای فیزیکی، رویدادها و فرایندها بکار گرفته می‌شوند. از این فناوری‌ها برای حفاظت از افراد، دارایی‌ها و اطلاعات هم استفاده می‌شود. یک استراتژی مدیریت ریسک وسیع با قابلیت پوشش امنیت فیزیکی سنتی و بازیابی از فاجعه نباید از امنیت سایبری OT غافل شود.

سازمان‌ها باید برای حفاظت کارآمد از شبکه‌های خود در برابر دسترسی‌های غیرمجاز از رایج‌ترین مسیرهای اجرای حملات مخرب آگاه باشند. مسیر حمله، روش یا راهی است که یک مهاجم برای دستیابی به هدف حمله از آن استفاده می‌کند.

رایج‌ترین مسیرهای اجرای حملات سایبری عبارتند از:

  • رسانه‌های قابل جابجایی: ممکن است فلش درایو USB یا سایر دستگاه‌های مشابه که برای انتقال داده‌ها به صورت داخلی استفاده می‌شوند، سیستم‌ها را آلوده به بدافزار کنند.
  • تجهیزات تحت نفوذ: احتمال دارد برخی تجهیزات در زنجیره تأمین آسیب‌پذیر باشند. حین عملیات تعویض (changeover) باید میان‌افزار دستگاه جایگزین شود.
  • اتصالات غیرمجاز: کامپیوترها، لپ تاپ‌ها و دستگاه‌های همراه از جمله دستگاه‌های قابل اتصال هستند که احتمال آسیب‌پذیری‌شان در برابر حمله وجود دارد.
  • دسترسی راه دور: مهاجم می‌تواند از دسترسی راه دور برای دسترسی به یک شبکه یا دستگاه استفاده کند.
  • استفاده از آسیب‌پذیری‌های رفع نشده: مهاجمان با استفاده از آسیب‌پذیری‌های امنیتی سیستم‌عامل‌ها یا برنامه‌های کاربردی، اقدامات غیرمجاز انجام داده یا دسترسی‌های سایر کاربران را در اختیار می‌گیرند.
  • فیشینگ: این روش حمله سنتی بسیار محبوب است. فیشینگ نوعی مهندسی اجتماعی است و با هدف دستیابی به اطلاعات مهم یا حساس با جعل هویت یک سازمان یا شخص قابل اطمینان و استفاده از این اطلاعات برای حمله به قربانی اجرا می‌شود.
  • اعتبارنامه‌های کاربری ضعیف: به دلیل استفاده از رمزهای ضعیف و تکراری، لو رفتن‌شان از جمله روش‌های دسترسی به شبکه و حرکت عرضی در آن توسط مهاجمان است. حملات بدافزاری اخیر مثل Mirai هم از اعتبارنامه‌های کاربری ضعیف در دستگاه‌های مدیریت شده و تجهیزات متصل به اینترنت استفاده کرده‌اند.

 

اصول توصیه شده برای امنیت OT

سازمان‌ها برای کنترل‌های امنیت سایبری اولویت‌ها و طبقه‌بندی‌های مختلفی دارند. فناوری‌های امنیتی مورد استفاده در راهکارهای امنیت OT عبارتند از:

  • مدیریت ریسک
  • رعایت قوانین و استانداردها
  • مدیریت موجودی
  • امنیت شبکه
  • مدیریت آسیب‌پذیری
  • مدیریت رویداد و اطلاعات امنیتی
  • حفاظت در برابر بدافزار
  • دفاع در عمق
  • کنترل دسترسی

برای بهبود وضعیت امنیت سایبری و رعایت اصول توصیه شده امنیتی، سازمان‌ها باید اطمینان حاصل کنند که فناوری عملیاتی آنها توسط یک فریم ورک قوی متشکل از قوانین، رویه‌ها و اصول مشخص پشتیبانی می‌شود. تعدادی از اصول توصیه شده برای امنیت OT عبارتند از:

  • اجرای تحلیل شکاف (Gap Analysis)، مدیریت ریسک برای اطمینان از سطح تکامل امنیت OT و گزارش یافته‌هایی که نیاز به رسیدگی دارند؛
  • ایجاد استراتژی و نقشه راه اختصاصی برای ارتقای سطح امنیت مطابق با اهداف مشتریان و محیط؛
  • شناسایی آسیب‌پذیرترین دارایی‌ها و پیاده‌سازی طرح کارآمد برای امنیت و تقویتشان؛
  • توسعه و طراحی کاربردهای مرکز عملیات امنیتی و راهنمای واکنش به حوادث ویژه OT با توجه به فریم ورک ATT&CK for ICS از MITRE؛
  • ادغام برنامه‌های کاربردی OT با ابزارهای سایبری؛
  • محدود کردن دسترسی به شبکه ICS و دستگاه‌های آن ازلحاظ منطقی و فیزیکی؛
  • پیشگیری از دستکاری ناخواسته داده‌ها و حفاظت از تجهیزات ICS در برابر سوءاستفاده.

 

کلام آخر

متصدیان زیرساخت‌های حیاتی باید در زمینه همگرایی IT/OT رویکرد فعال‌تری در پیش بگیرند. وجود یک طرح امنیت سایبری جامع با نظارت بر کل چرخه حیات امنیتی سازمان ضروری است.

در نتیجه، ایجاد یک فریم ورک کارآمد برای امنیت سایبری OT به کل سازمان کمک می‌کند. چنین فریم ورکی شامل توصیه‌هایی درباره حاکمیت، مدیریت ریسک، توسعه و راه‌اندازی سیستم، حفاظت از اسناد، واکنش به حادثه و بازیابی از فاجعه و مسائل مختلف دیگر است.

سازمان‌ها باید برای مقابله با تهدیدات ناشی از عدم ایمنی OT، از ترکیب راهکارهای امنیت سایبری IT و راهکارهای امنیتی مخصوص OT استفاده کنند.

[1] Operational technology

[2] industrial controls system

[3] Supervisory control and data acquisition

[4] distributed control system

[5] programmable logic controller

[6] Remote terminal unit

[7] Human-machine interface

[8] Process history database

منبع: securityintelligence

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

20 + 1 =

دکمه بازگشت به بالا
سبد خرید
  • هیچ محصولی در سبدخرید نیست.
0