سازمان امنیت زیرساخت و امنیت سایبری (CISA[1]) و اداره امنیت حمل و نقل (TSA[2]) آمریکا با همکاری یکدیگر سند راهنمایی را با هدف کمک به زیرساخت های حیاتی خطوط لوله (پالایشگاهی، نیروگاهی و غیره) جهت بهبود امنیت سامانه های فناوری اطلاعات (IT) و فناوری عملیاتی (OT) و همچنین حفاظت از آنها در برابر مخاطرات متداول منتشر کرده اند. در این مطلب از فراست، مروری بر این سند راهنما خواهیم داشت.
ادغام فناوریهای اطلاعات و ارتباطات (ICT[3]) همچون دستگاههای متصل به اینترنت و ابزارهای دسترسی از راه دور در زیرساخت های خط لوله منجر به افزایش بهرهوری و بهبود امنیت این خطوط شده است. با این وجود، ادغام ICT در سیستمهای کنترل صنعتی (ICS) میتواند باعث گسترش سطح حمله و بیشتر شدن روش های نفوذ به سیستمهای کنترلی شود. در نتیجه برای حفاظت از دستگاهها و نظارت کافی بر شبکه صنعتی، نیازمند توجه بیشتر به امنیت سایبری آنها هستیم.
محافظت از مرزها
حفاظت از مرزها شامل ایجاد زیرشبکههای خاص برای انجام اقدامات مهم و عملیاتی ICS جهت جلوگیری از دسترسی و برقراری ارتباطات غیرمجاز به سامانه های کنترلی است. در صورت عدم ناحیه بندی شبکه، مهاجمان راحتتر میتوانند از طریق شبکه سازمانی یا دستگاههای متصل به شبکه صنعتی، به سامانه های کنترلی نفوذ کرده و محدوده بیشتری را تحت تأثیر حملات مخرب خود قرار دهند.
روش مقابله
- ارتباطات اینترنتی سیستم های کنترل صنعتی را محدود کنید؛ مگر اینکه این ارتباطات از طریق یک پروکسی امن در شبکه سازمانی یا ویپیان، آن هم با بهره گیری از رمزنگاری و احراز هویت دومرحلهای انجام شود.
- شبکه فناوری اطلاعات را از شبکه صنعتی جدا کرده و با استفاده از یک لایه فایروالی ارتباطات بین آنها را کنترل کنید.
- ترافیکی که در قوانین فایروال به صورت شفاف مجاز اعلام نشده است را مسدود نمایید (یعنی حالت پیش فرض را بر روی مسدودسازی ترافیک عبوری قرار دهید).
- برقراری هر گونه ارتباط با محیط ICS را تنها محدود به انجام کارهای ضروری کنید.
- برای دسترسی به محیطهای فناوری اطلاعات و فناوری عملیاتی و همچنین مدیریت این محیطها از سیستم های رایانه ای امنسازی شده و اختصاصی استفاده نمایید.
مثال واقعی: در سال 2017 میلادی مهاجمی توانست بدافزاری را در سیستم ابزارهای ایمنی (SIS) یک شرکت پتروشیمی کشور عربستان قرار داده تا با استفاده از آن بتواند به این زیرساخت حیاتی آسیب بزند. به احتمال زیاد، عدم تفکیک سیستمهای SIS از شبکه صنعتی در این مسأله نقش ویژه ای داشته است.
نظارت
بررسی و نظارت، مستلزم استفاده از فناوریها و روشهایی برای جمع آوری، نظارت و بازبینی ترافیک شبکههای فناوری اطلاعات و فناوری عملیاتی و نیز مشخص کردن اصول مبنایی برای رفتارهای مورد انتظار جهت شناسایی فعالیتهای خرابکارانه است. بدون وجود قابلیتهای نظارت مؤثر در محیط ICS ممکن است کارشناسان شبکه قادر به تشخیص ترافیک های غیرعادی نباشند.
روش مقابله
- انجام تحلیل های لازم در شبکهها و سیستمهای کنترل صنعتی برای آشنایی با ترافیک ارتباطی عادی
- بررسی و اعتبارسنجی تمامی ارتباطات برقرار شده با یک آدرس اینترنتی (IP) یا دامنه جدید از شبکه فناوری عملیاتی
- شناسایی و غیرفعال کردن سرویسها و پورتهای غیرضروری در سیستمهای فناوری عملیاتی و همچنین بررسی دقیق بستهها یا تحلیل دستی جریان شبکه
- نظارت بر ترافیک غیرعادی و رفتارهایی مثل ورود همزمان به سیستم، ترافیک ویپیان یا TOR، ورود به سیستمهای سازمانی از خارج سازمان یا ورود به حسابهای کاربری در زمان هایی غیر از ساعات کاری.
مثال واقعی: در سال 2014 میلادی، مهاجمان بدافزاری را در شرکتهای حوزه انرژی نصب کردند که امکان جاسوسی و دسترسی مداوم را برای آنها فراهم کرده و میتوانستند از آن برای خرابکاری در شبکه هم استفاده کنند. به احتمال زیاد نظارت بر ترافیک HTTP غیرمجاز که از خارج شبکه ICS به سمت سازمان هدایت شده است میتوانست به شناسایی و مقابله با این بدافزار کمک کند.
مدیریت پیکربندی
مدیریت پیکربندی به مجموعه فعالیتهایی گفته میشود که برای برقراری و حفظ جامعیت محصولات و سیستمها از طریق کنترل فرایندهای مقداردهی اولیه، تنظیم و نظارت بر پیکربندی سیستمها و محصولات انجام میشود. ضعف در برنامه مدیریت پیکربندی میتواند مانع از تشخیص فعالیتهای مخرب از فعالیتهای مجاز شود.
روش مقابله
- اصول مبنای مشخصی را برای انجام پیکربندیها و کدنویسی دستگاههای بخش فناوری عملیات در نظر بگیرید.
- بر انجام پیکربندی ها و منطق موجود در دستگاههای بخش فناوری عملیات، به صورت منظم نظارت کنید. ترافیک شبکه را کنترل کرده تا بتوانید هر گونه تلاش برای تغییر پیکربندی این دستگاهها یا انتقال فایلهای مهم را در شبکه شناسایی نمایید.
- همواره نرمافزار، میان افزار، نسخهها، وصلههای امنیتی و غیره را بررسی کرده و دقت کنید که این نسخهها چه تاریخی و توسط چه شخصی نصب شده اند.
- هر زمانی که ممکن بود، اعتبار و درستی دانلودها (مثل بهروزرسانیها و وصلههای امنیتی) را با استفاده از روشهای رمزنگاری بررسی کنید. هرگز فایلهای بهروزرسانی را از منابع نامعتبر دانلود و نصب نکنید.
- خط مشی های لازم را برای جلوگیری از اعمال هر گونه تغییری بدون گذراندن فرایندهای تصویب شده، تدوین و اجرا کنید.
مثال واقعی: در سال 2014 میلادی یک مهاجم توانست با نفوذ به سایتهای یک شرکت واسط موجب دانلود نرمافزارهای به ظاهر مجاز توسط کارشناسان ICS شود که بعضی از آنها برای دسترسی به دستگاههای PLC استفاده میشدند.
کنترل دسترسی
کنترل دسترسی به فرایندهایی گفته میشود که دسترسی به سیستمهای فناوری اطلاعات یا فناوری عملیاتی را محدود به کاربران، نرمافزارها، فرایندها یا سیستمهای مجاز میکند. ضعف در کنترل دسترسی میتواند باعث فراهم شدن امکان دسترسی غیرمجاز به دادهها و نرمافزارها، کلاهبرداری یا از کار انداختن سرویسهای رایانهای شود.
روش مقابله
- دسترسی به محیط فناوری عملیاتی را محدود به کارکنانی کنید که برای انجام وظایف شغلی شان به آن نیاز دارند. حسابهای کاربری را به صورت منظم بررسی نموده تا مطمئن شوید اعتبارنامهها به روشهای اصولی مراقبت، به روزرسانی یا غیرفعال میشوند.
- برای دفاع در برابر حملات سایبری، هر زمان که ممکن بود از کلمات عبور قوی، احراز هویت دومرحلهای و لغو اعتبار حسابهای کاربری بدون استفاده استفاده کنید.
- نصب و اجرای برنامههای غیرمجاز را ممنوع و به شدت محدود کنید.
- برای استفاده از شبکههای غیرقابل اطمینان یا دسترسی از راه دور به شبکه صنعتی از ابزارهای رمزنگاری مثل ویپیان استفاده نمایید.
- برای بخش فناوری اطلاعات و فناوری عملیاتی، حسابهای کاربری جدا و کلمات عبور منحصر به فرد انتخاب کنید.
- کلمات عبور پیش فرض مورد استفاده در دستگاهها، برنامههای کاربردی و سیستمهای مختلف را غیرفعال نمایید.
مثال واقعی: در سال 2016 میلادی مهاجمی با راه اندازی یک کمپین فیشینگ، اقدام به دسترسی به محیط ICS یک شرکت برق اوکراینی و سرقت اطلاعات آن کرد. او سپس توانست با از کار انداختن یک پست برق منجر به خاموشی شهر کییف شود.
[1] Cybersecurity and Infrastructure Security Agency
[2] Transportation Security Administration
[3] Information Communication Technology