فناوری عملیاتی (OT[1]) شامل هر سختافزار و نرمافزاری است که برای شناسایی یا ایجاد تغییر به صورت مستقیم بر تجهیزات صنعتی و همه داراییها، پردازشها و رویدادهای آن نظارت میکند. حتی با وجود نقش بنیادی امنیت OT در بسیاری از صنایع، فناوری عملیاتی همچنان در برابر حملات سایبری آسیبپذیر است.
حمله به سیستمهای OT از شبکههای برق گرفته تا نیروگاههای هستهای منجر به ایجاد اختلالات ویرانگر و تغییرات فیزیکی در صنایع مختلف سطح جهان شده است. امروزه اجرای حملات سایبری بر ضد اهداف OT به شکل چشمگیری افزایش یافته و حالا مهاجمان بیشتر از قبل صنایع تولیدی را هدف میگیرند. بدیهی است که انجام اقدامات زیر برای ارتقای استاندارد امنیت OT ضروری است. متصدیان زیرساختهای حیاتی باید با نقش محوری OT، مخاطرات ایجاد شده توسط مهاجمان و شیوه ایجاد یک فریم ورک OT امن آشنا باشند.
محدوده OT
بسیاری از صنایع حیاتی مثل حفاری، ساخت و ساز، انتقال نفت و گاز، نیرو و تسهیلات، کارخانههای شیمیایی، تصفیه آب، ماشینآلات صنعتی و حمل و نقل از OT استفاده میکنند. محیط OT شامل شبکههای صنعتی، سیستمهای کنترل صنعتی (ICS[2]) و فرایندهایی برای عملیات و نگهداری است.
OT و IT چه تفاوتهایی دارند؟
IT دادههای دیجیتال از طریق سیستمهای کامپیوتری که از عملیات شرکتی مثل بازاریابی، فروش، مدیریت روابط با مشتریان، ارتباطات و غیره پشتیبانی میکنند را پردازش میکند. ایمیل سرور، سرور وب، سیستم برنامهریزی منابع انسانی، تلفنهای اینترنتی، سرور چاپ و برنامههای کاربردی میز راهنمایی IT از جمله نمونههای سیستمهای IT رایج هستند.
صنایع مختلف از سیستمهای کامپیوتری برای کنترل و نظارت فرایندهای صنعتی و فنی استفاده میکنند اما OT عملیات مربوط به ماشینآلات و فرایندهای فیزیکی را مدیریت میکند. نرمافزارها و رویههای مورد استفاده در بخش IT به کنترل جریانات بخش OT (مثل تولید و انتقال برق، تصفیه آب و تولید مواد شیمیایی) هم کمک میکنند. از طرفی در OT، نقاط پایانی با داراییهای فیزیکی تحت کنترل بیشتری هستند مثل موتورها، نوارهای نقاله، شیرآلات و لیفتراکها.
به طور خلاصه، OT محدوده سیستمهایی را پوشش میدهد که با انتقال فیزیکی اجناس و خدمات سروکار دارند. کاربرد و کارایی این سیستمها که برای انجام کارهایی خاص ساخته میشوند، در صنایعی خاص است و به عنوان سیستمهای حیاتی در انجام عملیات تجاری یا سازمانی هم شناخته میشوند.
از لحاظ ایمنی، تأمینکنندگان OT وصلههای امنیتی سالیانه را به عنوان بخشی از استراتژی امنیتی برای سیستمهای خودشان در نظر میگیرند. به دلیل فقدان دانش لازم درباره محصولات و پیچیدگی محیط، بسیاری از شرکتها جهت دریافت توصیههای امنیتی متکی بر فروشندگان تجهیزات OT هستند.
اجزای رایج در OT
تجهیزات دیجیتال مورد استفاده در فرایندهای صنعتی شامل داراییهای ICS میشوند که بسیاری از جنبههای تولید و زیرساختهای حیاتی را دربر میگیرند مثل شبکههای برق و سیستمهای تصفیه آب. سیستمهای جمعآوری داده و کنترل نظارتی (SCADA[3]) و سیستمهای کنترل توزیع شده (DCS[4]) از جمله عناصر اصلی ICS هستند که در ترکیب با یکدیگر، فناوری عملیاتی را که فناوری هم با محیط فیزیکی در تعامل است تشکیل میدهند. اسکادا کلیه فرایندهای صنعتی را در همان محیط یا از راه دور مدیریت و کنترل میکند. از سیستم اتوماسیون هوشمند DCS نیز در مراکز صنعتی و کنترل استفاده میشود. این سیستم قابلیت مدیریت اشیای متصل به اینترنت را دارد.
در ادامه اجزای مهم ICS را مورد بررسی قرار میدهیم:
- سیستمهای اسکادا دادهها را از حسگرهایی که معمولاً به صورت پراکنده نصب شدند جمعآوری کرده و آنها را برای مدیریت و کنترل به یک کامپیوتر مرکزی ارسال میکنند؛
- DCS یک سیستم کنترل خودکار متشکل از واحدهای کنترل توزیع شده در سطح کارخانه یا منطقه کنترل است؛
- PLC[5] یک سیستم کنترل کامپیوتری صنعتی است که به صورت پیوسته وضعیت دستگاههای ورودی را تحلیل کرده و بر اساس یک نرمافزار اختصاصی تصمیم میگیرد که چگونه دستگاههای خروجی را تنظیم کند؛
- [6]RTU دستگاههای مبتنی بر ریزپردازنده هستند که تجهیزات میدانی را نظارت و کنترل میکنند و به سیستمهای کنترل کارخانه یا SCADA متصل میشوند؛
- HMI[7] تابعی در یک دستگاه یا برنامه نرمافزاری است که به افراد امکان میدهد با ماشینها در تعامل باشند؛
- PHD[8] برنامه کاربردی است که دادههای فرایندهای گذشته و در حال اجرای کارخانه را گردآوری، ذخیره و پخش مجدد میکند. این بخش در ترکیب با سایر نرمافزارهای صنعتی، امنیت دادهها و کارایی فرایندها را ارتقا میدهد تا امکان تصمیمگیری بهتر و سریعتر را فراهم کند.
پروتکلهای OT
از آنجا که پروتکلهای OT معمولاً سیستمهایی بسته هستند، در نتیجه وابسته به فروشنده و به صورت کاملاً اختصاصی هستند. در سطوح مختلف مدل پوردو (Purdue) از پروتکلهای مختلفی استفاده شده است. اخیراً برای سادهسازی عملیات و ارتقای تعاملپذیری با سختافزارهای قدیمیتر IT، از پروتکلهای استاندارد IT برای شبکه مثل TCP/IP در سیستمها و دستگاهها استفاده میشود. Modbus یکی از پروتکلهای ارتباطی پرکاربرد در همه PLCها است.
چند مورد از پروتکلهای OT عبارتند از:
- Modbus
- MelsecNet
- DALI
- DSI
- Dynet
- Obix
- ZigBee
- xAP
- DNP3
- M-Bus
- INSTEON
- BACAnet
- EnOcean
افزایش چالشهای امنیت OT
در دهه اخیر، حجم حملات سایبری بر علیه سازمانهایی که از سیستمها و تجهیزات OT و به ویژه ترکیب OT و IT استفاده میکنند، افزایش یافته است. افزایش میزان استفاده از اینترنت صنعتی هم منجر به افزایش تهدیدات مخرب برای سیستمهای OT شده است که در همه دستگاههای متصل به اینترنت وجود دارند. اگرچه سیستمهای OT از جمله اجزای ذاتی تجهیزات تولیدی حیاتی هستند اما معمولاً در طرحهای امنیتی در نظر گرفته نمیشوند.
همگرایی بین OT و IT منجر به افزایش سطح حمله از طریق موارد زیر میشود:
- اعتبارنامههای کاربری ناامن: متصدیان سیستمها معمولاً برای دسترسی راحتتر به شبکه از رمزهای ضعیف استفاده میکنند. بنابراین هکرها میتوانند به راحتی و با اجرای حملات جستجوی فراگیر، به سیستمها نفوذ کنند.
- استفاده از حسابهای پیش فرض یا مشترک: در سیستمی با ایمنی نه چندان بالا، متصدیان از شناسههای مشترک یا اعتبارنامههای پیش فرض برای دستگاهها استفاده میکنند.
- تجهیزات سنتی: محدودیتهای ایجاد شده توسط فروشندگان و عدم به روز بودن تجهیزات هم باعث محدود شدن پوشش نقاط پایانی توسط ابزارها میشود.
- دانش امنیتی: در محیطهای صنعتی OT، استفاده از فناوریهای شبکه جدید نیاز به مهارتهای مدرن دارد. رفع خلأ اطلاعاتی موجود در حوزه امنیت OT ضروری است.
- مهارتهای محدود: تهدیدات سایبری همواره رو به رشد و پیشرفت هستند. فقدان مهارتهای امنیت سایبری OT و عدم درک صحیح، منجر به سوءاستفادههای امنیتی میشود.
- بهروز نبودن سیستمعامل: سیستمعاملهای قدیمی که بهروزرسانیهای امنیتی را دریافت نمیکنند، در برابر تهدیدات و حملات سایبری آسیبپذیری هستند. برای پیشگیری از به خطر افتادن تجهیزات، باید همه آنها را بر اساس توصیههای تولید کننده بهروزرسانی کنید.
- پروتکلهای آسیبپذیر: بسیاری از تولیدکنندگان سعی میکنند با پیادهسازی قابلیتهایی مثل احراز هویت و رمزنگاری، راهکاری برای پروتکلها و تجهیزات ناامن فعلی پیدا کنند.
- موقعیت امنیتی: جامعه رایانش صنعتی معمولاً توجه کافی را از بخش امنیت دریافت نمیکند. صنعت OT از لحاظ رویهها، استانداردها و همکاری با محققان امنیتی از صنعت IT بسیار عقبتر است.
حملات سایبری مهم در بخش OT
دیجیتالیزه شدن سیستمهای OT حیاتی، منجر به ایجاد نگرانیهای مختلفی شده است. همچنین اتصال ICS به اینترنت هم نقش چشمگیری در افزایش تهدیدات دارد.
در ادامه تعدادی از حملات سایبری مهم بر علیه سیستمهای OT را مورد بررسی قرار میدهیم:
- حمله به شبکه برق اوکراین، 2015
در دسامبر 2015، مهاجمان به شبکه برق اوکراین حمله کردند. این حمله باعث قطع شدن برق 230 هزار بخش شد و تا 6 ساعت تداوم داشت؛ سپس حمله به SCADA و سیستمهای کامپیوتری شبکه برق، منجر به قطعی 30 پست فرعی برق برای سه ساعت شد. ظاهراً مهاجمان از حدود 6 ماه قبل در زیرساخت قربانی حضور داشتند.
مهاجمان فعالیتهای سایبری خود را از ماهها پیش و با یک کارزار فیشینگ هدفمند بر علیه مدیران سیستم و پرسنل IT شروع کرده بودند. این افراد برای شرکتهای توزیع برق مختلف در سطح اوکراین کار میکردند.
بدافزار BlackEnergy برای اولین بار در سال 2014 به دلیل کاربرد وسیع آن در هک شرکتهای برق خبرساز شد. هدف این بدافزار، کسب اطلاعاتی درباره شبکهها و زیرساختها جهت اجرای حملات سایبری در آینده بود.
در این مورد خاص، زمانی که قربانیان یک فایل اکسل دریافتی از طریق ایمیل را باز میکردند، بدافزار BlackEnergy اجرا میشد. مهاجمان از راه دور، بدافزار BlackEnergy را ماهها تحت کنترل داشتند و از آن برای جمعآوری اطلاعات، جابجایی بین میزبانها، پیدا کردن حفرههای امنیتی، ورود به شبکه OT و اجرای سایر فعالیتهای شناسایی استفاده میکردند.
در این حمله، مهاجمان کنترل سیستمهای SCADA را در اختیار گرفته و از راه دور شروع به خاموش کردن پستهای برق کردند. همچنین در این حمله از ویروس KillDisk برای خراب کردن فایلها در سرورها و ایستگاههای کاری استفاده شد. مهاجمان منبع برق وقفهناپذیر، مودمها، واحدهای پایانههای راه دور و کموتاتورها (یا جابهجاگر) را خاموش کردند.
- کرم استاکسنت، 2010
یکی از پیچیدهترین بدافزارهایی که تا به امروز ساخته شده، استاکسنت است. هدف این بدافزار آسیب رساندن فیزیکی به سانتریفیوژهای نیروگاههای برق هستهای نطنز در ایران بود. براساس نتایج تحقیقات استاکسنت آسیب جدی به برنامه هستهای ایران وارد کرده است. این کار با هدفگیری سیستمهای SCADA و PLCهایی انجام شد که امکان اتوماسیون عملیات الکترومکانیکی مثل مدیریت ماشینآلات و فرایندهای صنعتی را فراهم میکنند.
ظاهراً شبکه تشکیلات نطنز با استفاده از یک درایو USB آلوده به بدافزار استاکسنت آلوده شده است. استاکسنت از اکسپلویتهای روز صفر، اعتبارنامههای کاربری به سرقت رفته و اعتبارنامههای پیش فرض برای حرکت در شبکه و گریز از شناسایی استفاده میکرد.
این بدافزار پس از تشخیص شرایط عملیاتی و سختافزاری، توابع مخربی را در PLC مورد هدف اجرا میکرد. هدف از این اقدام افزایش سرعت چرخش سانتریفیوژها در فواصل از پیش تعیین شده بود که منجر به ایجاد نقص در تجهیزات و خودتخریبی ماشینها میشد.
- بدافزار تریتون، 2017
بدافزار تریتون برای اولین بار سیستمهایی را که برای پیشگیری از بروز حوادث فیزیکی بزرگ و تصادفات مرگبار در تشکیلات زیرساختهای حیاتی طراحی شده بودند مورد حمله قرار داد. یک کارخانه پتروشیمی عربستانی هدف حمله این بدافزار بود که منجر به ایجاد اختلال در سیستمهای امنیتی این کارخانه شد.
سیستمهای ایمنی این کارخانه در برابر بدافزار تریتون آسیبپذیر بودند. تریتون پس از نصب در سیستمها، آنها را از راه دور کنترل میکرد. در صورتی که مهاجمان با دستکاری یا از کار انداختن سیستمهای ایمنی میتوانستند حوادثی مهلک را رقم بزنند.
- باجافزار نورسک هیدرو (LockerGoga)، 2019
LockerGoga باعث بروز اختلال گسترده در کسبوکار کارخانه تولید آلومینیوم نروژی نورسک هیدرو شد و دلالت بر رشد و پیشرفت قابل توجه باجافزارها دارد. نسخههای اولیه LockerGoga فایلها و سایر دادههای سیستمهای آلوده را رمزنگاری میکردند؛ سپس بدافزار پیام درخواست باج را به قربانی نمایش میداد. در نسخههای جدیدتر، قابلیت خروج اجباری کاربر از سیستم آلوده و پیشگیری از ورود مجدد او هم پیادهسازی شده است.
LockerGoga باعث شد که فرایندهای چندین شعبه از کارخانه نورسک هیدرو وارد حالت دستی شوند. این تغییر منجر به ایجاد آسیبهایی جدی در برخی از سیستمهای تولیدی و در نهایت کاهش سرعت برخی از فعالیتهای کارخانه و به بسته شدن آن منتهی شد. نورسک هیدرو بلافاصله به این حمله واکنش نشان داد اما آسیب ایجاد شده جدی بود. این باجافزار تقریباً همه کارمندان این شرکت را تحت تأثیر قرار داد.
مسیرهای رایج حمله
راهکارهای امنیت OT شامل فناوریها و رویههایی است که جهت نظارت و تنظیم اشیای فیزیکی، رویدادها و فرایندها بکار گرفته میشوند. از این فناوریها برای حفاظت از افراد، داراییها و اطلاعات هم استفاده میشود. یک استراتژی مدیریت ریسک وسیع با قابلیت پوشش امنیت فیزیکی سنتی و بازیابی از فاجعه نباید از امنیت سایبری OT غافل شود.
سازمانها باید برای حفاظت کارآمد از شبکههای خود در برابر دسترسیهای غیرمجاز از رایجترین مسیرهای اجرای حملات مخرب آگاه باشند. مسیر حمله، روش یا راهی است که یک مهاجم برای دستیابی به هدف حمله از آن استفاده میکند.
رایجترین مسیرهای اجرای حملات سایبری عبارتند از:
- رسانههای قابل جابجایی: ممکن است فلش درایو USB یا سایر دستگاههای مشابه که برای انتقال دادهها به صورت داخلی استفاده میشوند، سیستمها را آلوده به بدافزار کنند.
- تجهیزات تحت نفوذ: احتمال دارد برخی تجهیزات در زنجیره تأمین آسیبپذیر باشند. حین عملیات تعویض (changeover) باید میانافزار دستگاه جایگزین شود.
- اتصالات غیرمجاز: کامپیوترها، لپ تاپها و دستگاههای همراه از جمله دستگاههای قابل اتصال هستند که احتمال آسیبپذیریشان در برابر حمله وجود دارد.
- دسترسی راه دور: مهاجم میتواند از دسترسی راه دور برای دسترسی به یک شبکه یا دستگاه استفاده کند.
- استفاده از آسیبپذیریهای رفع نشده: مهاجمان با استفاده از آسیبپذیریهای امنیتی سیستمعاملها یا برنامههای کاربردی، اقدامات غیرمجاز انجام داده یا دسترسیهای سایر کاربران را در اختیار میگیرند.
- فیشینگ: این روش حمله سنتی بسیار محبوب است. فیشینگ نوعی مهندسی اجتماعی است و با هدف دستیابی به اطلاعات مهم یا حساس با جعل هویت یک سازمان یا شخص قابل اطمینان و استفاده از این اطلاعات برای حمله به قربانی اجرا میشود.
- اعتبارنامههای کاربری ضعیف: به دلیل استفاده از رمزهای ضعیف و تکراری، لو رفتنشان از جمله روشهای دسترسی به شبکه و حرکت عرضی در آن توسط مهاجمان است. حملات بدافزاری اخیر مثل Mirai هم از اعتبارنامههای کاربری ضعیف در دستگاههای مدیریت شده و تجهیزات متصل به اینترنت استفاده کردهاند.
اصول توصیه شده برای امنیت OT
سازمانها برای کنترلهای امنیت سایبری اولویتها و طبقهبندیهای مختلفی دارند. فناوریهای امنیتی مورد استفاده در راهکارهای امنیت OT عبارتند از:
- مدیریت ریسک
- رعایت قوانین و استانداردها
- مدیریت موجودی
- امنیت شبکه
- مدیریت آسیبپذیری
- مدیریت رویداد و اطلاعات امنیتی
- حفاظت در برابر بدافزار
- دفاع در عمق
- کنترل دسترسی
برای بهبود وضعیت امنیت سایبری و رعایت اصول توصیه شده امنیتی، سازمانها باید اطمینان حاصل کنند که فناوری عملیاتی آنها توسط یک فریم ورک قوی متشکل از قوانین، رویهها و اصول مشخص پشتیبانی میشود. تعدادی از اصول توصیه شده برای امنیت OT عبارتند از:
- اجرای تحلیل شکاف (Gap Analysis)، مدیریت ریسک برای اطمینان از سطح تکامل امنیت OT و گزارش یافتههایی که نیاز به رسیدگی دارند؛
- ایجاد استراتژی و نقشه راه اختصاصی برای ارتقای سطح امنیت مطابق با اهداف مشتریان و محیط؛
- شناسایی آسیبپذیرترین داراییها و پیادهسازی طرح کارآمد برای امنیت و تقویتشان؛
- توسعه و طراحی کاربردهای مرکز عملیات امنیتی و راهنمای واکنش به حوادث ویژه OT با توجه به فریم ورک ATT&CK for ICS از MITRE؛
- ادغام برنامههای کاربردی OT با ابزارهای سایبری؛
- محدود کردن دسترسی به شبکه ICS و دستگاههای آن ازلحاظ منطقی و فیزیکی؛
- پیشگیری از دستکاری ناخواسته دادهها و حفاظت از تجهیزات ICS در برابر سوءاستفاده.
کلام آخر
متصدیان زیرساختهای حیاتی باید در زمینه همگرایی IT/OT رویکرد فعالتری در پیش بگیرند. وجود یک طرح امنیت سایبری جامع با نظارت بر کل چرخه حیات امنیتی سازمان ضروری است.
در نتیجه، ایجاد یک فریم ورک کارآمد برای امنیت سایبری OT به کل سازمان کمک میکند. چنین فریم ورکی شامل توصیههایی درباره حاکمیت، مدیریت ریسک، توسعه و راهاندازی سیستم، حفاظت از اسناد، واکنش به حادثه و بازیابی از فاجعه و مسائل مختلف دیگر است.
سازمانها باید برای مقابله با تهدیدات ناشی از عدم ایمنی OT، از ترکیب راهکارهای امنیت سایبری IT و راهکارهای امنیتی مخصوص OT استفاده کنند.
[1] Operational technology
[2] industrial controls system
[3] Supervisory control and data acquisition
[4] distributed control system
[5] programmable logic controller
[6] Remote terminal unit
[7] Human-machine interface
[8] Process history database
منبع: securityintelligence
