خبرمقالات

روش‌های جلوگیری از نفوذ به سیستم‌های کنترل صنعتی خطوط لوله

سازمان امنیت زیرساخت و امنیت سایبری (CISA[۱]) و اداره امنیت حمل و نقل (TSA[۲]) آمریکا با همکاری یکدیگر سند راهنمایی را با هدف کمک به زیرساخت های حیاتی خطوط لوله (پالایشگاهی، نیروگاهی و غیره) جهت بهبود امنیت سامانه های فناوری اطلاعات (IT) و فناوری عملیاتی (OT) و همچنین حفاظت از آنها در برابر مخاطرات متداول منتشر کرده اند. در این مطلب از فراست، مروری بر این سند راهنما خواهیم داشت.

 

ادغام فناوری‌های اطلاعات و ارتباطات (ICT[۳]) همچون دستگاه‌های متصل به اینترنت و ابزارهای دسترسی از راه دور در زیرساخت های خط لوله منجر به افزایش بهره‌وری و بهبود امنیت این خطوط شده است. با این وجود، ادغام ICT در سیستم‌های کنترل صنعتی (ICS) می‌تواند باعث گسترش سطح حمله و بیشتر شدن روش های نفوذ به سیستم‌های کنترلی شود. در نتیجه برای حفاظت از دستگاه‌ها و نظارت کافی بر شبکه صنعتی، نیازمند توجه بیشتر به امنیت سایبری آنها هستیم.

 

محافظت از مرزها

حفاظت از مرزها شامل ایجاد زیرشبکه‌های خاص برای انجام اقدامات مهم و عملیاتی ICS جهت جلوگیری از دسترسی و برقراری ارتباطات غیرمجاز به سامانه های کنترلی است. در صورت عدم ناحیه بندی شبکه، مهاجمان راحت‌تر می‌توانند از طریق شبکه سازمانی یا دستگاه‌های متصل به شبکه صنعتی، به سامانه های کنترلی نفوذ کرده و محدوده بیشتری را تحت تأثیر حملات مخرب خود قرار دهند.

روش مقابله

  • ارتباطات اینترنتی سیستم های کنترل صنعتی را محدود کنید؛ مگر اینکه این ارتباطات از طریق یک پروکسی امن در شبکه سازمانی یا وی‌پی‌ان، آن هم با بهره گیری از رمزنگاری و احراز هویت دومرحله‌ای انجام شود.
  • شبکه فناوری اطلاعات را از شبکه‌ صنعتی جدا کرده و با استفاده از یک لایه فایروالی ارتباطات بین آنها را کنترل کنید.
  • ترافیکی که در قوانین فایروال به صورت شفاف مجاز اعلام نشده است را مسدود نمایید (یعنی حالت پیش فرض را بر روی مسدودسازی ترافیک عبوری قرار دهید).
  • برقراری هر گونه ارتباط با محیط ICS را تنها محدود به انجام کارهای ضروری کنید.
  • برای دسترسی به محیط‌های فناوری اطلاعات و فناوری عملیاتی و همچنین مدیریت این محیط‌ها از سیستم های رایانه ای امن‌سازی شده و اختصاصی استفاده نمایید.

مثال واقعی: در سال ۲۰۱۷ میلادی مهاجمی توانست بدافزاری را در سیستم ابزارهای ایمنی (SIS) یک شرکت پتروشیمی کشور عربستان قرار داده تا با استفاده از آن بتواند به این زیرساخت حیاتی آسیب بزند. به احتمال زیاد، عدم تفکیک سیستم‌های SIS از شبکه صنعتی در این مسأله نقش ویژه ای داشته است.

 

نظارت

بررسی و نظارت، مستلزم استفاده از فناوری‌ها و روش‌هایی برای جمع آوری، نظارت و بازبینی ترافیک شبکه‌های فناوری اطلاعات و فناوری عملیاتی و نیز مشخص کردن اصول مبنایی برای رفتارهای مورد انتظار جهت شناسایی فعالیت‌های خرابکارانه است. بدون وجود قابلیت‌های نظارت مؤثر در محیط ICS ممکن است کارشناسان شبکه قادر به تشخیص ترافیک های غیرعادی نباشند.

روش مقابله

  • انجام تحلیل های لازم در شبکه‌ها و سیستم‌های کنترل صنعتی برای آشنایی با ترافیک ارتباطی عادی
  • بررسی و اعتبارسنجی تمامی ارتباطات برقرار شده با یک آدرس اینترنتی (IP) یا دامنه جدید از شبکه فناوری عملیاتی
  • شناسایی و غیرفعال کردن سرویس‌ها و پورت‌های غیرضروری در سیستم‌های فناوری عملیاتی و همچنین بررسی دقیق بسته‌ها یا تحلیل دستی جریان شبکه
  • نظارت بر ترافیک غیرعادی و رفتارهایی مثل ورود همزمان به سیستم، ترافیک وی‌پی‌ان یا TOR، ورود به سیستم‌های سازمانی از خارج سازمان یا ورود به حساب‌های کاربری در زمان هایی غیر از ساعات کاری.

مثال واقعی: در سال ۲۰۱۴ میلادی، مهاجمان بدافزاری را در شرکت‌های حوزه انرژی نصب کردند که امکان جاسوسی و دسترسی مداوم را برای آنها فراهم کرده و می‌توانستند از آن برای خرابکاری در شبکه هم استفاده کنند. به احتمال زیاد نظارت بر ترافیک HTTP غیرمجاز که از خارج شبکه ICS به سمت سازمان هدایت شده است می‌توانست به شناسایی و مقابله با این بدافزار کمک کند.

 

مدیریت پیکربندی

مدیریت پیکربندی به مجموعه فعالیت‌هایی گفته می‌شود که برای برقراری و حفظ جامعیت محصولات و سیستم‌ها از طریق کنترل فرایندهای مقداردهی اولیه، تنظیم و نظارت بر پیکربندی سیستم‌ها و محصولات انجام می‌شود. ضعف در برنامه مدیریت پیکربندی می‌تواند مانع از تشخیص فعالیت‌های مخرب از فعالیت‌های مجاز شود.

روش مقابله

  • اصول مبنای مشخصی را برای انجام پیکربندی‌ها و کدنویسی دستگاه‌های بخش فناوری عملیات در نظر بگیرید.
  • بر انجام پیکربندی ها و منطق موجود در دستگاه‌های بخش فناوری عملیات، به صورت منظم نظارت کنید. ترافیک شبکه را کنترل کرده تا بتوانید هر گونه تلاش برای تغییر پیکربندی این دستگاه‌ها یا انتقال فایل‌های مهم را در شبکه شناسایی نمایید.
  • همواره نرم‌افزار، میان‎ افزار، نسخه‌ها، وصله‌های امنیتی و غیره را بررسی کرده و دقت کنید که این نسخه‌ها چه تاریخی و توسط چه شخصی نصب شده اند.
  • هر زمانی که ممکن بود، اعتبار و درستی دانلودها (مثل به‌روزرسانی‌ها و وصله‌های امنیتی) را با استفاده از روش‌های رمزنگاری بررسی کنید. هرگز فایل‌های به‌روزرسانی را از منابع نامعتبر دانلود و نصب نکنید.
  • خط مشی های لازم را برای جلوگیری از اعمال هر گونه تغییری بدون گذراندن فرایندهای تصویب شده، تدوین و اجرا کنید.

مثال واقعی: در سال ۲۰۱۴ میلادی یک مهاجم توانست با نفوذ به سایت‌های یک شرکت واسط موجب دانلود نرم‌افزارهای به ظاهر مجاز توسط کارشناسان ICS شود که بعضی از آنها برای دسترسی به دستگاه‌های PLC استفاده می‌شدند.

 

کنترل دسترسی

کنترل دسترسی به فرایندهایی گفته می‌شود که دسترسی به سیستم‌های فناوری اطلاعات یا فناوری عملیاتی را محدود به کاربران، نرم‌افزارها، فرایندها یا سیستم‌های مجاز می‌کند. ضعف در کنترل دسترسی می‌تواند باعث فراهم شدن امکان دسترسی غیرمجاز به داده‌ها و نرم‌افزارها، کلاهبرداری یا از کار‌ انداختن سرویس‌های رایانه‌ای شود.

روش مقابله

  • دسترسی به محیط فناوری عملیاتی را محدود به کارکنانی کنید که برای انجام وظایف شغلی شان به آن نیاز دارند. حساب‌های کاربری را به صورت منظم بررسی نموده تا مطمئن شوید اعتبارنامه‌ها به روش‌های اصولی مراقبت، به ‎روزرسانی یا غیرفعال می‌شوند.
  • برای دفاع در برابر حملات سایبری، هر زمان که ممکن بود از کلمات عبور قوی، احراز هویت دومرحله‌ای و لغو اعتبار حساب‌های کاربری بدون استفاده استفاده کنید.
  • نصب و اجرای برنامه‌های غیرمجاز را ممنوع و به شدت محدود کنید.
  • برای استفاده از شبکه‌های غیرقابل اطمینان یا دسترسی از راه دور به شبکه صنعتی از ابزارهای رمزنگاری مثل وی‌پی‌ان استفاده نمایید.
  • برای بخش فناوری اطلاعات و فناوری عملیاتی، حساب‌های کاربری جدا و کلمات عبور منحصر به فرد انتخاب کنید.
  • کلمات عبور پیش فرض مورد استفاده در دستگاه‌ها، برنامه‌های کاربردی و سیستم‌های مختلف را غیرفعال نمایید.

مثال واقعی: در سال ۲۰۱۶ میلادی مهاجمی با راه اندازی یک کمپین فیشینگ، اقدام به دسترسی به محیط ICS یک شرکت برق اوکراینی و سرقت اطلاعات آن کرد. او سپس توانست با از کار‌ انداختن یک پست برق منجر به خاموشی شهر کی‌یف شود.

 

[۱] Cybersecurity and Infrastructure Security Agency

[۲] Transportation Security Administration

[۳] Information Communication Technology

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

12 + 19 =

دکمه بازگشت به بالا