نوشته شده در دیدگاه‌تان را بنویسید

به روزرسانی راه حل های ضد ویروس در سیستم های کنترل صنعتی

دکتر پدرام کیانی

همانطور که می دانیم، برای مقابله با آخرین تخلفات سایبری، ضد ویروس باید به روز باشد. معمولاً هیچ گونه سؤالی در مورد به روزرسانی نقاط انتهایی اداری وجود ندارد – آنها اتصالات اینترنتی مستقیم دارند و فرایند بروزرسانی خودکار است. با این حال ، در زیرساخت های اتوماسیون صنعتی ، شرایط air-gapp یا اتصال محدود، به روزرسانی ها را پیچیده می کند. چگونه می توانیم این سیستم ها را بدون به خطر انداختن محیط های ICS به روز نگه داریم؟

دزدکی – Sneakernet

یکی از محبوب ترین استراتژی ها استفاده از روش “sneakernet” است. یعنی کسی به روزرسانی ها را از سرورهای فروشندگان آنتی ویروس در یک هاست اختصاصی بارگیری می کند ، آنها را برای رسانه های قابل جابجایی می نویسد ، و به دنبال آن رسانه ها را به روز می کند تا هر گره را در شبکه ICS به روز کند. این روش از ایجاد ارتباط مستقیم بین سرورهای بروزرسانی فروشنده و گره های موجود در تأسیسات صنعتی را جلوگیری می کند.

اشکال اصلی روش sneakernet این است که به مدیران سایت نیاز دارد تا آن را به درستی و بطور منظم پیاده سازی کنند. این کار بسیار پر وقت و پرهزینه است ، به همین دلیل بسیاری از شبکه های ICS به بانکهای اطلاعاتی قدیمی امضاء ضد ویروس تکیه می کنند. متأسفانه ، مرتباً متوجه می شویم که هنگام انجام ارزیابی های امنیتی ICS ، این مورد وجود دارد.

این روش نیاز به نظم و انضباط برای کار دارد ، و همچنین یک راه حل نقطه پایان با امکان به روزرسانی در رسانه قابل جدا شدن. اجرای آن به معنای بارگیری مکرر به روزرسانی های دستی برای همه سیستم عامل ها ، سیستم های کنترل و نرم افزار دستگاه است. و این مستلزم همکاری هنوز ناشناخته بین تأمین کنندگان و فروشندگان ICS است.

امنیت سایبری واقعی

آنچه شما واقعاً به آن احتیاج دارید ، یک راه حل پایان نقطه فنی است که می تواند به روزرسانی ها را از یک سرور متمرکز و به روز شده در محل دریافت کند. ارائه به روزرسانی ها در یک نقطه واحد بسیار ساده تر و سریعتر است. به همین دلیل ما یک راه حل امنیتی را پیشنهاد می کنیم که از به روزرسانی های یک منبع منفرد ، مانند سرور مدیریت محلی که در یک بخش شبکه صنعتی نصب شده است ، پشتیبانی کند.

موتور آنتی ویروس به خودی خود بعید است از نقاط انتهایی شبکه ICS در برابر بدافزارها و سایر تهدیدات محافظت کند. در عوض ، یک رویکرد چند لایه لازم است ، که تمام نقاط پایانی از محافظت جامع برای جلوگیری از آلودگی از بدافزارهای جدید استفاده کنند. به جای تکیه تنها بر به روزرسانی های پایگاه داده ، باید از ابزارهای محافظتی بدون امضا استفاده کند ، مانند فناوری ضد رمزگذاری تخصصی که می تواند حملات جدید باج افزار را کنترل کند. لیست سفید برنام ه ها؛ و کنترل استفاده از دستگاه (برای محدود کردن استفاده از حافظه های جانبی و مودم های دانگل). این موارد به طور قابل توجهی دفاع شما را سخت می کند و می تواند بدون بروزرسانی برای مدت طولانی کار کند

در عین حال ، حفاظت از نقطه پایانی ICS باید سبک باشد و به طور خاص برای برنامه های کاربردی در محیط های ICS سازگار باشد: با نرم افزار ICS تست شده باشد، داشتن پشتیبانی از سیستم عامل های قدیمی و مصرف کم منابع ، با نظارت های اختیاری (عدم انسداد) حالت های محافظت ، و امکان بروزرسانی محلی با توجه به شرایط نهایی محیط ICS ، حفاظت از نقطه پایانی باید بتواند مدت طولانی بدون راه اندازی مجدد کار کند.

برای محافظت از شبکه های صنعتی که از PLC و IED استفاده می کنند ، روش های دیگر نیاز است. نصب نرم افزار محافظت از endpoint بر روی آنها امکان پذیر نیست. در عوض ، ما ابزارهایی را توصیه می کنیم که امکان نظارت بر امنیت شبکه و پیکربندی یا نظارت بر یکپارچگی منطقی را فراهم کنند.

درک این نکته مهم است که راه حل های نهایی برای شناسایی حملات پیشرفته صنعتی هنوز کافی نیستند. فقط کار مشترک یک راه حل تشخیص ناهنجاری شبکه صنعتی و محافظت ویژه در نقطه انتهایی می تواند امنیت را در مقابل اختلال در برخورد سایبری عمومی و تشخیص حملات پیشرفته و اقدامات کلاهبرداری تضمین کند.

در آینده سندی را با عنوان “تمرین توصیه شده: به روزرسانی آنتی ویروس در یک سیستم کنترل صنعتی” منتشر خواهد شد که حاوی دستورالعملهای جامع برای استراتژی های بروزرسانی آنتی ویروس است ، که می تواند به شرکت های ICS کمک کند تا به روزرسانی های امنیتی خود را مدیریت کنند.

بازنشر مطالب این سایت صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:  https://t.me/pedram_kiani

آدرس ایمیل:  admin@ics-cert.ir

کانال تلگرام:  https://t.me/ics_cert

توییتر:  https://twitter.com/icscerti

نوشته شده در دیدگاه‌تان را بنویسید

تهدیدات و خطرات امنیتی در کارخانه های هوشمند

تهدیدات و خطرات امنیتی در کارخانه های هوشمند

دکتر پدرام کیانی
کارخانه های هوشمند جلوه هایی از چگونگی تغییر اینترنت صنعتی کالاها (IIoT) در تولید سنتی است. سازمان های بخش تولید از قبل درک خوبی از کارخانه های هوشمند و همچنین قابلیت های آنها و مزایا و چالش های ساخت آنها دارند. یک تحول مهم برای انطباق با پیشرفتهای فناوری مانند کارخانه های هوشمند نیاز به بودجه زیادی دارد و نکته مهم این است که چگونه می توان بیشترین ارزش را از آن سرمایه گذاری کسب کرد. مجتمع ها می توانند با ارزیابی مجدد امنیت خود شروع کنند.

یک حمله سایبری می تواند مزایای حاصل از یک کارخانه هوشمند مانند نظارت بر داده های زمان واقعی، مدیریت زنجیره تأمین و نگهداری را نفی کند. به همین دلیل نباید با پیشروی سازمانها با برنامه های “هوشمندانه” خود ، امنیت را کنار بگذاریم. بررسی حملات سایبری گزارش شده در گذشته و بررسی سناریوهای حمله شبکه مشترک می تواند به مشخص کردن مناطقی که امنیت IIoT به مخاطره می افتند کمک کند – دراین مقاله راهکاری که مشخص کند در کارخانه هوشمند از کجا باید امنیت را شروع و افزایش داد، مورد بررسی قرار خواهد گرفت.

تاریخچه حملات به سیستم های کنترل صنعتی

حملات گزارش شده بر روی سیستم های IIoT نه تنها به عنوان یادآوری چگونگی رخداد تهدیدات واقعی در این زمینه – آنها همچنین به عنوان مطالعات موردی برای درک بیشتر ماهیت تهدیدات علیه IoT عمل می کنند. در شکل زیر توضیح داده شده است که حملات به سیستم های IIoT با قدمت بیش از یک دهه قبل باز می گردد.

جدول زمانی خطرات کارخانه های هوشمند

این حوادث آسیب های احتمالی حمله به سیستم های کارخانه هوشمند مانند سیستم های کنترل صنعتی (ICS) ، بویژه سیستم های کنترل نظارتی و جمع آوری داده ها (SCADA) را نشان می دهد. بسته به هدف ، اثرات در مقیاس بزرگ با توجه به حمله به زیرساخت های مهم در گذشته قابل بررسی است. حتی اکنون ، بازیگران تهدید کننده ای که چنین سیستم هایی را هدف قرار می دهند ، همچنان ابزارهای خود را برای فعالیتهای آینده بهبود می بخشند .

حملات احتمالی

بسیاری از حوادث گزارش شده شامل روش های حمله سایبری شناخته شده بودند. به دلیل ماهیت کارخانه های هوشمند ، تأثیر چنین تهدیداتی می تواند به راحتی فراتر از شبکه باشد و به سناریوهای فیزیکی ترجمه شود . بنابراین ضروری است که سازمانها با سناریوهای تهدید و روشهای رایج حمله سایبری علیه شبکه ها آشنا شوند تا در بهبود امنیت آنها بیشتر کمک کند.

🛑 بهره گیری از آسیب پذیری

سیستم کارخانه هوشمند شامل تجهیزات و دستگاه های بی شماری است که به یک شبکه واحد متصل هستند. آسیب پذیری در هر یک از این دستگاه ها می تواند سیستم را برای هر نوع حمله باز کند. در واقع ، این توسط کرم Stuxnet ، که از آسیب پذیری های خاصی برای انتشار استفاده می کرد ، شناخته شد. استاکس نت به دلیل اینکه زیرساخت های مهم را مورد هدف قرار داده است ، توجه را به خود جلب کرده است. کمپین های موفقیت آمیز که از آسیب پذیری ها استفاده می کردند ، بر اهمیت رویه های امنیتی خوب مانند وصله منظم تأکید دارند.

🛑 استقرار بدافزار

حملات گذشته نشان می دهد که استقرار بدافزار رایج ترین روشی است که توسط بازیگران تهدید استفاده می شود. بدافزارهای نصب شده در شبکه صنعتی می توانند سیستم های کنترل صنعتی (ICS) را به خطر بیاندازند ، مانند مورد BlackEnergy و Killdisk . Trojan Triton بسیار مشهور بود زیرا برای دستکاری در سیستم های ایمنی صنعتی ، و به همین ترتیب عملیات یک کارخانه صنعتی را متوقف کرد. به تازگی ، بازیگران تهدید با استفاده از بدافزارهای مخرب cryptocurrency برای حمله به تأسیسات آبی در اروپا پیدا شده اند.

بازیگران تهدید از انواع نرم افزارهای مخرب برای حملات استفاده می کنند ، به عنوان مثال ، rootkits ، باج افزار و تروجان. آنها همچنین چگونگی به کارگیری بدافزارها را در نظر می گیرند ، به این معنی که از روشی بهره میبرند که می تواند بیشترین صدمه را وارد کند یا به دفاع از هدف خود بی توجه بماند. آنها می توانند از تکنیک هایی مانند مهندسی اجتماعی ، حملات فیشینگ نیزه ، حملات مرد میانی استفاده کنند. به همین دلیل است که تولید کنندگان باید آگاهی از امنیت سایبری را نه فقط برای اپراتورهای کارخانه هوشمند بلکه برای همه کارمندان به کار گیرند.

🛑 انکار سرویس (DoS) و حملات انکار سرویس (DDoS) توزیع شده است

DoS نوعی حمله سایبری است که هدف آن غیرفعال کردن یا خاموش کردن شبکه ، دستگاه یا منبع است. DDoS نوعی DoS است که از تعداد زیادی دستگاه حمله کننده(رباتها) – botnet – برای حمله به اتصال یا پردازنده سیستم هدف استفاده می کند. به عنوان مثال ، botnet IoT Mirai چندین وب سایت مشهور و خدمات آنلاین را از بین برد. اگرچه به دلیل تأثیر آن بر بخش صنعت شناخته نشده بود ، اما هنوز هم اثربخشی و عواقب بالقوه حمله DDoS را نشان می دهد. با انتشار کد منبع خود و ارائه دهندگان خدمات DDoS-as-a-service ، افزایش حملات DDoS به کارخانه های هوشمند و سایر زیرساخت های IIoT در آینده امری غیرممکن نیست. به همین ترتیب ، ICS های به خطر افتاده می توانند در نهایت توسط یک بات نت برای حملات علیه سازمانهای دیگر مهار شوند.

🛑 حمله ی مرد میانی (MitM)

حمله MitM شامل یک بازیگر تهدید کننده در بین کانال های ارتباطی است که شرکت ها از آن استفاده می کنند. یک سیستم کارخانه هوشمند برای تسهیل فرایندهای خود ، به عنوان مثال ، بین یک سیستم کنترل و یک دستگاه ، به چندین کانال ارتباطی نیاز دارد. گذشته از اطلاعاتی که به اشخاص ثالث مخرب منتقل می شود ، این حمله همچنین مهاجمین را قادر می سازد تا کد یا داده های خود را وارد کنند. به عنوان مثال ، پروتکل های ارتباطی ناامن ، ممکن است مهاجمان را قادر سازد که ارتقاء سیستم عامل را در هنگام حمل و نقل تغییر دهند. حملات MitM تأکید می کنند که گذشته از امنیت دستگاه و شبکه ، اطمینان از ایمن بودن کانال های ارتباطی نیز برای امنیت کل سیستم بسیار مهم است.

🛑 نظارت و سرقت اطلاعات

مهاجمان همچنین می توانند با سرقت اطلاعات یا نظارت بر سیستمهای در معرض دید ، برخوردی ظریف تر در حملات خود انجام دهند. به عنوان مثال ، رابط های دستگاه انسانی در معرض (HMI) می تواند پایگاه داده های مشتری را در معرض نمایش قرار دهد و یک مهاجم می تواند اطلاعات شناسایی شخصی را به سرقت ببرد (PII). این تهدید – همراه با پیامدهای آبشارگونه – برای ICS در معرض خطر در بخش های مهم و صنایع دیگر امکان پذیر است. با استفاده از دسترسی غیرمجاز به شبکه ، بازیگران تهدید همچنین می توانند اطلاعات مربوط به رفتار تجهیزات را از اندازه گیری ها و داده هایی که معمولاً توسط سنسورهایشان جمع آوری شده برای عملکردهای اتوماتیک کارخانه جمع آوری می شود ، سرقت کنند. چنین حملاتی به شبکه ها اهمیت سیستم های تشخیص نفوذ و جلوگیری از نفوذ را نشان می دهد.

🛑 هک دستگاه

تعداد دستگاههای متصل در یا خارج از داخل کارخانه اهمیت امنیت کلی را کاهش نمی دهد. مهاجمان می توانند برای پخش بدافزار یا دسترسی به کل شبکه صنعتی از یک دستگاه هک شده منفرد استفاده کنند. حتی اگر دسترسی فیزیکی داشته باشند حتی می توانند با دستگاه های واقعی دستکاری کنند. آنها سپس می توانند توسط دستگاه های دستکاری شده به اطلاعات بقیه شبکه یا به سادگی خراب کردن دیگر سیستم ها و نیز بر بقیه خط تولید تأثیر بگذارند.

تغییر چشم انداز امنیتی برای تولید

تمام تهدیدهای فوق روشهای حمله متداولی است که هر شبکه ای می تواند با آن روبرو شود. با این حال ، این تهدیدها اکنون با طلوع IoT در سطح کاملاً جدیدی کار می کنند. منشأ سایبر آنها اکنون می تواند به طور مستقیم به پیامدهای محسوس و فیزیکی، به ویژه در قلمرو IIoT ، با همگرایی IT و OT منعطف گردد. ترکیب کارخانه هوشمند، سیستم های مجازی و فیزیکی باعث قابلیت همکاری و توانایی در زمان واقعی می شود. اما این امر با هزینه سطح حمله گسترده ای همراه است.

بنابراین ، سازمانها باید این همگرایی را با امنیتی که ترکیبی از دفاعی IT و OT است مطابقت دهند. این می تواند به معنای ارزیابی مجدد اقدامات امنیتی موجود و بالا بردن سطح دفاع برای افرادی باشد که از آنها عقب مانده است. در سطح عملیاتی ، سازمان ها می توانند با بررسی تجهیزات موجود در سطح کارخانه ، از بازوهای روبات گرفته تا HMI های خود ، شروع و اطمینان حاصل کنند که هر وسیله ای در معرض اینترنت قرار نمی گیرد و احراز هویت ضعیف یا غیرفعال ندارد.

سطح حمله گسترده کارخانه هوشمند باعث می شود که تولید کنندگان بتوانند از حملات سایبری در برابر آن دفاع کنند. اجازه به واحدهای IT و OT برای به اشتراک گذاشتن دانش خود با یکدیگر و کل شرکت می تواند به پرسنل بیشتر در مقابله با خرابی های کارخانه ناشی از حملات سایبری کمک کند. علاوه بر این ، سازمان ها می توانند از یک رویکرد امنیتی لایه ای مانند Connected Threat Defence استفاده کنند ، که راه حل های موجود در شبکه ها ، نقاط انتهایی و محیط های ابری را برای به اشتراک گذاری اطلاعات فراهم می کند تا به سرعت از هر مؤلفه ای از سیستم های IT و OT دفاع کند.

امنیت کارخانه های هوشمند برنامه ریزی زیادی را انجام می دهد که بهترین مرحله از مرحله طراحی است. یکپارچه سازان باید از ابتدا برای حجم گسترده ای از داده های کارخانه های هوشمند آماده شوند. این به معنای برنامه ریزی در پیش روی نوع تجهیزات استفاده ، ارزیابی پروتکل ارتباطی برای اتخاذ و حتی آماده سازی روش های استاندارد استاندارد مربوط به نقض (SOP) برای پیگیری ، از جمله دیگر ملاحظات است.

سازمان ها در بخش صنعت مسئولیت نوع جدید فضایی را دارند که کارخانه های هوشمند ، اعم از مجازی و فیزیکی در آن فعالیت می کنند. اگرچه ممکن است برای طراحی و اجرای چالش هایی ایجاد کند ، امنیت سایبری بخشی از روند سازگاری با تغییرات در دنیای تولید است و از ارزش ایجاد شده توسط نوآوری های اخیر صنعت محافظت می کند.

بازنشر مطالب این سایت صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:  https://t.me/pedram_kiani

آدرس ایمیل:  admin@ics-cert.ir

کانال تلگرام:  https://t.me/ics_cert

توییتر:  https://twitter.com/icscerti

نوشته شده در دیدگاه‌تان را بنویسید

امنیت فناوری عملیاتی – تمرکز بر امنیت سیستم های صنعتی و کنترل صنعتی

موسسه گارتنر OT (فناوری عملیاتی) را در نواحی صنعتی به عنوان “سخت افزار و نرم افزار تشخیص دادن و یا تغییردهنده، از طریق نظارت مستقیم و / یا کنترل دستگاه های فیزیکی، فرآیندها و رویدادها” تعریف می کند. در جهان امروز شاهد مثال های مختلفی از سیستم های کنترل صنعتی (ICS)، اتوماسیون صنعتی  OT ، شبکه های کنترل فرآیند (PCN)، سیستم های کنترل توزیع شده و غیره هستیم. شما همچنین شرایطی نظیر SCADA (برای “نظارت بر نظارت و کسب اطلاعات”)، یک سیستم مدیریت برجسته برای OT را دیده اید. بسیاری از شرکت هایی که با OT مشغول فعالیت هستند، از انرژی و آب و برق، نفت و گاز، شیمیایی، تولید، حمل و نقل به مراقبت های بهداشتی، داروسازی، هوا فضا و دفاع و غیره وجود دارد. در IT، خروجی اصلی ما اطلاعات است. ما از برنامه های کاربردی، پایگاه های داده، شبکه ها و سیستم ها استفاده می کنیم تا در نهایت اطلاعات را برای تصمیم گیری های تجاری بگیریم. اطلاعات همچنین در محیط OT استفاده می شود، اما دلیل اینکه Gartner از کلمه “عملیاتی” در OT باری تعریف اطلاعات استفاده می کند این است که اطلاعات برای اهداف دیگر بغیر از تصمیم گیری استفاده می شود. یکی از اهداف اصلی تغییر وضعیت محیط در اطراف دستگاه OT یا حالت دستگاه OT خود است.

برنامه های کاربردی OT، سخت افزار و شبکه ها به لحاظ تاریخی اغلب ازمسیرهای مختلف توسعه فناوری اطلاعات پیروی می کنند، که نتیجه آن سیستم عامل ها و پروتکل هایی است که متخصصان فناوری اطلاعات به جز در اصل تنها نمی توانند تشخیص دهند. اصطلاحات برای بسیاری از سیستم ها متفاوت است، هرچند ممکن است به نظر آیند. فروشندگان و ارائه دهندگان خدمات اغلب متفاوت هستند. بسیاری می توانند استدلال کنند که OT در ابتدا به شکل دستگاه های مکانیکی آنالوگ که از قرن 19 قبل از ظهور رایانه های عمومی به شکل اولیه استفاده می شد. در هر حال، امروزه محیط های فناوری اطلاعات و محیط های OT، به طور جداگانه مدیریت می شوند. این بدان معنی است که ما نگرانی های امنیتی فناوری اطلاعات و نگرانی های امنیتی OT را که اغلب سازمان های مختلف آن را مورد توجه قرار می دهند، داریم. سوال این است که IT و OT یکسان هستند، و آیا تفاوت های خاصی در نحوه محافظت از محیط OT وجود دارد؟ گارتنر معتقد است که قانون 80/20 در پاسخ وجود دارد: 80 درصد از مسائل امنیتی که با OT روبرو هستند، تقریبا با فناوری اطلاعات مشابه هستند، در حالی که 20 درصد بسیار منحصر به فرد هستند و نمیتوان آنها را نادیده گرفت. رقم 80٪ به هیچ وجه ناشی از پذیرش فن آوری های فناوری اطلاعات توسط OT در طول زمان نیست.

تعریف Gartner از امنیت OT “شیوه ها و فن آوری های مورد استفاده برای: (الف)  محافظت از مردم، دارایی ها و اطلاعات، (ب) نظارت و / یا کنترل دستگاه های فیزیکی، فرآیندها و رویدادها، و (ج) ایجاد تغییرات دولت در سیستم های OT شرکت است. ما بر این باوریم که جنبه های بسیاری از امنیت OT وجود دارد که همانند امنیت فناوری اطلاعات، مخصوصا در زمینه هایی مانند شبکه هستند. ما همچنین معتقدیم که جنبش های عمده در صنایع برای استفاده از معماری امنیت فناوری اطلاعات و سیستم های امنیتی IT به طور فزاینده ای در محیط OT وجود دارد، به عنوان زیرساخت OT و برنامه های کاربردی به تدریج به روز شده در صورت نیاز. به یک معنا، صنایع برخی از اشتباهات گذشته فناوری اطلاعات را به محیط OT آورده اند. به عبارت دیگر، الزامات منحصر به فردی در OT وجود دارد که به روشی خاص برای امنیت نیاز دارد. ما در مورد این شباهت ها و تفاوت ها در آینده بیشتر خواهیم نوشت، چرا که آنها مهم هستند.

اما امنیت OT در مورد اینترنت چیزها نیز مناسب است ؟ آیا آنها یکسان و یا OT چیزی کاملا متفاوت است؟ مهمتر از همه، آیا باید مراقب باشید؟

بله، شما باید مراقب باشید و بله، OT و IoT مرتبط هستند. به یک معنا، OT نسل اول IoT است، که به طور خاص برای استفاده صنعتی طراحی شده است، اغلب در استقرار درازمدت، که نقطه پایان آن در محیط های صنعتی، از هواپیما به اتومبیل، از خطوط مونتاژ تا فرودگاه ها یافت می شود. OT و IoT بسیاری از اجزای زیر را شامل می شوند: سنسور، actuators، اندازه گیرها، ارتباطات ماشین و ماشین، و سیستم های جاسازی شده. OT به لحاظ تاریخی برای بسیاری از سیستم های خود دارای ریشه های مکانیکی است (هر چند که در حال حاضر عمدتا دیجیتال است) ، در حالی که IoT تقریبا به طور کامل در معماری دیجیتال ریشه دارد.

به عنوان یک تصمیم گیرنده، شما باید از شباهت ها و تفاوت های OT و IOT مراقبت کنید، زیرا بسیاری از تصمیمات امنیتی شما تحت تاثیر استفاده از آن اجزای سازنده قرار می گیرند که به شیوه های مختلف برای سناریوهای مختلف صنعتی، تجاری و کاربردهای مختلف تنظیم شده است. فروشندگان مشترک در جهان OT و IoT وجود خواهند داشت. سناریوهای OT / IoT مخلوط از ارائه دهندگان خدمات مانند مخابرات و چند رسانه ای خواهد بود. OT می تواند یک زیرمجموعه از IoT در نظر گرفته شود همانگونه که بعضی به OT به عنوان “اینترنت صنعتی” یا “IoT صنعتی” اشاره می کنند. فقط به یاد داشته باشید که تمام سناریوهای امنیتی OT برای IoT و بالعکس اعمال نمی شود.

عدم اطمینان قانونی و نگرانی های جهانی در مورد امنیت سیستم های OT در سراسر جهان باعث افزایش علاقه به راه حل های امنیتی OT می شود. این نگرانی ها حتی فوری تر از نگرانی های عمیق تر و غیرمستقیم مورد بحث در مورد حفاظت از IoT هستند، چرا که بسیاری از محیط های OT تاثیر مستقیم و فوری بر مردم و محیط زیست دارند. خرابی های  OT (به علت ناکامی های امنیتی) به معنای واقعی کلمه توانایی کشتن یا ازبین بردن را دارند و می توانند تاثیرات شدید زیست محیطی داشته باشند. این کاملا متفاوت از نگرانی ها در مورد از دست دادن داده ها و یا حتی تاثیر بر روی نام تجاری شرکت بر اساس شرایط بسیاری از محیط های فناوری اطلاعات است.

در مباحث آینده، ما امنیت OT را بیشتربررسی خواهیم کرد. اگر شرکت شما در تامین امنیت OT یا استفاده از سیستم های امنیتی OT مشارکت داشته باشد، وبسایت امنیت زیرساختهای اتوماسیون و کنترل صنعتی علاقه مند به شنیدن از شما در مورد محصولات، خدمات و / یا تجارب شما می باشد. این به خصوص اگر شما یک فروشنده یا ارائه دهنده خدمات هستید، با توجه به برخی از تفاوت های منحصر به فرد 20٪ در OT که در حال حاضر توسط محصولات و خدمات امنیتی فناوری اطلاعات مورد توجه نیستند.

بازنشر مطالب این سایت صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین: https://t.me/pedram_kiani

آدرس ایمیل: admin@ics-cert.ir

کانال تلگرام: https://t.me/ics_cert

توییتر: https://twitter.com/icscerti

نوشته شده در دیدگاه‌تان را بنویسید

SOC کلید امنیت سایبری برای شبکه های صنعتی

تعداد حملات سایبری علیه شبکه های صنعتی درحال افزایش است و اکنون همه سازمان ها نگران آن هستند. سازمان هایی که خود را در معرض خطر قرار می دهند، به طور فزاینده ای برای حفاظت بهتر به SOC متکی هستند. در انجام این کار، آنها اقدامات پیشگیرانه ذاتی را با نظارت بر سیستم های IT ترکیب می کنند. اکنون باید رویکردهای مشابهی در صنایع در نظر گرفته شود. به منظور دستیابی به این هدف، اقدامات امنیتی فناوری اطلاعات باید با طبیعت خاص سیستم های کنترل صنعتی سازگار شوند.

مطالعات نشان می دهد که تعداد حملات سایبری در هر سال افزایش می یابد. در سال 2013، 70 درصد از شرکت ها در سراسر جهان تحت تأثیر حملات سایبری قرار گرفتند. ثروت اقتصادی که توسط مجرمان سایبری دزدیده شده است، 190 میلیارد یورو بود. تعداد زیادی از شرکت ها اقدامات پیشگیرانه ای را برای مبارزه و محافظت از سیستم های خود از تهدیدات IT انجام داده اند. اما این اقدامات کافی نیست و یا به اندازه کافی کافی نیست: زمانی که به امنیت سایبری مربوط می شود، خطر صفر وجود ندارد. هر چه اقدامات انجام می شود، سازمان های دیر یا زود قربانی یک حمله سایبری خواهند شد. ضروری است که سازمانها بدانند چگونه از خود دفاع کنند و وضعیتی را که در آن امنیت سیستم IT خود تهدید می شود، کنترل کنند. راه اندازی SOC (مرکز عملیات امنیتی) قدم مهمی است.

چرا ما نیاز به امنیت SOC برای سیستم های IT داریم؟

SOC  یک مکانیسم نظارتی و اداری برای امنیت سیستم های IT است. این قابلیت مسائل مربوط به امنیت فناوری اطلاعات را با شناسایی رویدادها شناسایی و تحلیل می کند. در صورت اخطار هشدار، SOC  نیز قادر به پاسخگویی مناسب است. هدف اصلی آن اطمینان از نظارت 24/7 و بازنگری امنیت در کوتاه ترین زمان ممکن به سیستم های اطلاعاتی تحت تهدید است.
با این وجود، سازمان های خیلی کمی به چنین اقداماتی مجهز هستند. این دلایل را می توان در 3 نقطه کلیدی خلاصه کرد:

  • سازمان ها همیشه منابع داخلی لازم را برای هدایت و کنترل  SOC ندارند،
  • راه اندازی یک SOC گران است و سازمانها لزوما پول ندارند،
  • سازمان های خاصی نه ابزار و نه روش های آزمایشی SOC ندارند.

حتی اگر یک شرکت به SOC مجهز باشد، تاثیر آن می تواند ناکارآمد باشد. یک مطالعه انجام شده توسط HP در سال 2014 نشان داد که به طور موثر 87 درصد از SOCs مورد بررسی سطح بلوغ مورد نیاز را نداشتند تا بتوانند به اهدافشان دست یابند. با این حال، راه حل برای ایجاد SOC کارآمد وجود دارد. موسسه SANS دراین خصوص 4 مرحله کلیدی را فراهم می کند:

4  مرحله برای ایجاد یک SOC موثر

1-      انطباق ریسک های مرتبط با امنیت سایبری

شرکت ابتدا باید فرآیندهای کلیدی خود را برای انجام یک نقشه برداری ریسک شناسایی کند. سپس آسیب پذیری ها و تهدیدها را براساس احتمال و تأثیر مالی که با این فرآیندهای کلیدی مرتبط هستند شناسایی خواهد کرد. شرکت مرتبط بودن اطلاعات و به روز رسانی اطلاعات مربوط به امنیت سایبر را تضمین خواهد کرد. علاوه بر این، طبقه بندی تمام خطرات توصیه می شود.
گام بعدی این است که آزمون های نفوذ را برای ارائه اطلاعات دقیق در مورد خطرات امنیتی سایبری انجام دهیم. هدف از این آزمایش ها شبیه سازی یک حمله فناوری اطلاعات از یک کاربر مخرب یا نرم افزار مخرب است، سپس برای تحلیل خطر بالقوه ناشی از یک سیستم ضعیف پیکربندی شده، پیش فرض برنامه یا هر آسیب پذیری که می تواند با راه حل آزمایش شده مرتبط شود. هدف اصلی شناسایی آسیب پذیری ها به منظور ایجاد یک برنامه عملیاتی و بهبود امنیت سیستم های اطلاعاتیاست .

2-      شناسایی و اجرای یک تیم اختصاصی

این سازمان باید یک تیم اختصاصی جهت دستیابی به اهداف خود ایجاد کند. این مرحله کمک می کند که یک برنامه آموزشی برای تیم ایجاد کند. ضروری است که تیم ها را به آخرین اخبار و محصولات مجهز کنید و با مهارت های فنی مناسب آموزش دهید. به همین ترتیب، نظارت داخلی و جلسات آموزشی منظم باید برنامه ریزی شود.

3-      پیاده سازی تکنولوژی نظارت برای حوادث سیستم های اطلاعاتی

تیم اختصاصی باید در تکنولوژی نظارت سرمایه گذاری کند که می تواند تمام رویدادهای داخل سیستم IT را کنترل کند و خطر خطاهای احتمالی یا تحقیق را کاهش دهد. کلیدی است که سازه ها قادر به نظارت بر سیستم های IT خود و شناسایی حوادث مشکوک از طریق تولید هشدار هستند. این هشدارها برای بررسی علل وقوع چنین رویدادی مورد استفاده قرار خواهد گرفت.
با این حال، پیچیدگی و تخصص مورد نیاز برای مدیریت چنین ابزارهایی، بعضی از شرکت ها را ترغیب می کنند که خدمات پشتیبانی را به یک تامین کننده خارجی واگزار کنند.

4-      تعریف فرآیند مدیریت حوادث

فرآیند مدیریت حادثه باید شامل سه مرحله اصلی باشد:

  • شناسایی حادثه
  • پاسخ با توجه به سطح بحرانی،
  • ترمیم شبکه به سطح نرمال.

همچنین لازم به ذکر است که SOC باید هر الزام قانونی را برآورده کند. هدف قرار دادن اقدامات برای شناسایی حملات فناوری اطلاعات و اطلاع رسانی به مسئولین در مورد حوادث امنیتی است.

ویژگی های امنیت سایبری سیستم های کنترل صنعتی

گارتنر در وبلاگ خود خاطرنشان می کند که 80 درصد از مشکلات امنیتی سایبری که با سیستم های کنترل صنعتی مواجه می شوند ، مشابه سیستم های IT هستند – فقط 20 درصد کاملا متفاوت هستند.

این تفاوت ها عبارتند از:

  • ماهیت خطرات بسیار بزرگتر است به این معنی که آنها می توانند تاثیرات شدید محیطی داشته و منجر به مرگ شوند. تجهیزات صنعتی خودکار باید به طور مداوم در دسترس باشند.
  • بسیار غیرممکن است که فعالیت خود را متوقف کند. با توجه به این واقعیت که به روز رسانی امنیتی یک سیستم یا یک سرویس معمولا نیاز به راه اندازی مجدد دارد، می توانیم درک کنیم که چرا سیستم های امنیتی به ندرت به روز می شوند و در نتیجه دچار نقض امنیتی آسیب پذیر می شوند.
  • اگر چه در ابتدا برای جدا سازی کار می شود، سیستم های کنترل صنعتی به طور فزاینده ای با سایر بخش های کسب و کار و ذینفعانی که با آنها در ارتباط هستند، ارتباط دارند. این به طور خاص باعث افزایش خطر می شود.

برای پاسخگویی به این نیاز، راهکارهای مدیریت امنیت سایبری باید توسعه یافته و به جهان فناوری عملیاتی (OT) اقتباس شوند. به عبارت دیگر، این سیستم ها باید به طور خاص ایجاد شوند تا تاثیری بر محیط تولید نداشته باشند.  استفاده از سنسورها برای نشان دادن شبکه های صنعتی و بررسی رفتار دستگاه، یک راه حل است. در این مورد، با استفاده از SOC اختصاصی می توان برای نظارت بر داده های جمع آوری شده در زمان واقعی، ایجاد هشدار در مورد حادثه و ارائه توصیه هایی در مورد بازگرداندن سیستم کنترل صنعتی استفاده شود.

👮‍♀️👮‍♀️  بازنشر مطالب این سایت صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین: https://t.me/pedram_kiani

آدرس ایمیل: admin@ics-cert.ir

کانال تلگرام: https://t.me/ics_cert

توییتر:https://twitter.com/icscerti