در بخش اول از این مقاله به بررسی مفهوم فناوری‌عملیات پرداختیم و چشم‌اندازی از شایع‌ترین چالش‌های امنیتی در حوزه فناوری‌عملیات ارائه شد. در بخش دوم قصد داریم راهکارهای امنیتی متناظر با هر یک از چالش‌های مطرح‌شده در بخش اول را بررسی نماییم.

1. استفاده از فناوری‌های جدید و امن‌سازی پروتکل‌های قدیمی در حوزه فناوری‌عملیات

پیش‌تر گفته شد که به‌دلیل استفاده از پروتکل‌های قدیمی و چرخه کند جایگزینی سیستم‌های فناوری‌عملیات، نیازمندی‌های امنیتی در طراحی بسیاری از پروتکل‌های کنترل‌صنعتی، به‌صورت مناسب لحاظ نشده است و عوامل تهدید با بهره‌برداری از این ضعف، پروتکل‌ها را هدف قرار می‌دهند. راهکار مناسب جهت مقابله با این تهدیدات، شناسایی آسیب‌پذیری‌های موجود در پروتکل‌های قدیمی و برطرف‌سازی آن‌ها با‌استفاده از فناوری‌های جدید است.
برای مثال بر اساس گزارش سال 2019 شرکت امنیتی Fortinet، یکی از آسیب‌پذیرترین پروتکل‌ها BACnet بود که در بخش قبل معرفی شد. BACnet Secure Connect یا BACnet/SC ضمیمه‌ای بر پروتکل BACnet است که توسط کمیته ASHRAE BACnet ارائه‌شده است. این پروتکل ارتباط‌داده امن، از پروتکل TLS برای احراز هویت دستگاه‌ها بر روی شبکه اتوماسیون و رمزنگاری ارتباطات بین آن‌ها استفاده می‌کند. به‌این‌ترتیب در شبکه BACnet/SC، هویت هر دستگاه، پیش‌از آن‌که مجاز به برقراری ارتباط با سایر دستگاه‌ها باشد، بررسی می‌شود و دستگاه‌هایی که هویت آن‌ها تائید نشود، نمی‌توانند به شبکه متصل شوند. همچنین کلیه اطلاعاتی که در این شبکه تبادل می‌شوند به‌صورت end-to-end رمزنگاری می‌گردند و به‌این‌ترتیب عوامل‌تهدید نمی‌توانند ترافیک را رمزگشایی کنند و یا بازدهی سیستم را تغییر دهند. از سوی دیگر اطلاعات تبادل‌شده در این بستر، معتبر هستند و نسبت به منبع اصلی تغییر نمی‌کنند.

2. جداسازی سیستم‌های حیاتی و غیرحیاتی در شبکه‌های فناوری‌عملیات

پیش‌تر گفته شد که طراحی مسطح شبکه‌هایOT که در آن، همه سیستم‌ها ازنظر اهمیت، عملکرد و میزان حیاتی‌بودن، در یک سطح درنظر گرفته می‌شوند، مخاطرات امنیتی را افزایش می‌دهد و بانفوذ عوامل تهدید به هر دستگاه مستقلی، ممکن است کل شبکه OT در معرض تهدید قرار گیرد.

برای حل این مشکل لازم است جداسازی شفافی بین سیستم‌های حیاتی و غیرحیاتی صورت گیرد. به‌این‌ترتیب نه‌تنها تأثیر منفی هرگونه نفوذ احتمالی کاهش می‌یابد بلکه این جداسازی، سیستم‌های ارزشمند و حیاتی در حوزه فناوری‌عملیات را مشخص می‌کند تا برای آن‌ها کنترل‌های امنیتی مناسب درنظر گرفته شود.
با پیاده‌سازی یک مدل zone‌بندی که از رهیافت “دفاع در عمق” بهره می‌برد، مهاجم برای نفوذ به سیستم‌های حیاتی باید از چندین لایه دفاعی عبور کند و درنتیجه احتمال نفوذ و همچنین تأثیر منفی هرگونه نفوذ احتمالی در شبکه فناوری‌عملیات و سیستم‌های آن به حداقل می‌رسد.

3. استفاده از رویکرد selective probing در بحث Asset Discovery

در بخش اول اشاره شد که محدودیت‌های رویکرد پویش Passive که با بررسی ترافیک شبکه صورت می‌گیرد، تأثیرات منفی بر Visibility و مدیریت آسیب‌پذیری‌ها دارد.

در این زمینه، رویکرد selective probing می‌تواند یک جایگزین مناسب باشد. به‌این‌معنی که دستگاه‌های فناوری‌عملیات داخل شبکه شامل سوئیچ‌‌ها و مسیریاب‌ها، با‌استفاده از پروتکل‌های معتبر و اطلاعات‌هویتی دسترسی، بررسی شوند. درحقیقت، در این رویکرد، به‌جای تحلیل مستمر تمام ترافیک شبکه، از یک پروتکل شناسایی استفاده می‌شود که فراخوانی‌های‌ probing مناسب را ارسال و سپس پاسخ‌های ارسال‌شده به این فراخوانی‌ها را جمع‌آوری و پردازش می‌کند. این فعالیت تقریباً هر 24 ساعت یک‌بار انجام می‌شود.
در این رهیافت، دستگاه‌هایی که به‌صورت منظم داده‌ای ارسال نمی‌کنند، نسخه‌های firmware، نرم‌افزارها و وصله‌های امنیتی نیز احصاء می‌شوند و توپولوژی شبکه که شامل مشخصه‌های لایه 1 و 2 است، به شکل دقیقی نگاشت می‌شود. از سوی‌دیگر پیاده‌سازی این رهیافت، نیاز به تجهیزات سخت‌افزاری گران‌قیمت ندارد.

4. محدودسازی دسترسی به اینترنت Outbound از شبکه‌های فناوری‌عملیات

چالش امنیتی دیگری که در بخش اول موردبررسی قرار گرفت، ایجاد دسترسی مستقیم از شبکه‌های فناوری عملیات به اینترنت Outbound بود که این موضوع، ریسک آلودگی شبکه OT را افزایش می‌دهد.
برای حل این مشکل، لازم است دسترسی به اینترنت از سیستم‌های فناوری‌عملیات محدود گردد و درصورت درنظر گرفتن هرگونه استثنائی در این زمینه، ارزیابی ریسک به شکل رسمی برای آن‌ها انجام شود.

سیستم‌های فناوری‌عملیات که استثنائاً دسترسی آن‌ها به اینترنت محدود نمی‌شود، باید به‌صورت امن وصله شوند، پایش دقیق روی آن‌ها انجام شود و به‌نحو مناسب، از باقی شبکه فناوری‌عملیات مجزا شوند.
همچنین به‌روزرسانی‌های امنیتی را می‌توان از اینترنت روی یک سیستم مجزا در خارج از شبکه فناوری‌عملیات دانلود و پس از تائید آن در محیط تست، بر روی سیستم‌های فناوری‌عملیات اعمال نمود.

5. تدوین برنامه‌ای برای آموزش و آگاهی‌رسانی امنیتی کارکنان

همان‌گونه که در بخش اول توضیح داده شد، فقدان آگاهی لازم درباره تهدیدات سایبری حوزه فناوری‌عملیات و مسئولیت‌های امنیت‌اطلاعات کارکنان، می‌تواند سازمان را با چالش‌های امنیتی جدی مواجه کند؛ بنابراین سرمایه‌گذاری درزمینۀ آموزش و آگاهی‌رسانی کارکنان می‌تواند بسیار مفید باشد. موضوعات مهم و کاربردی مانند مهندسی اجتماعی، بدافزارهای حوزه فناوی‌عملیات و مرجع و نحوه گزارش‌دهی هرگونه مورد مشکوک، باید در برنامه آموزش و آگاهی‌رسانی امنیتی کارکنان گنجانده شوند. همچنین لازم است در هنگام استخدام نیروی‌انسانی، مسئولیت‌های افراد در قبال امنیت‌اطلاعات سازمان به‌شکل شفاف به آن‌ها ابلاغ و بر لزوم رعایت سیاست‌های امنیتی سازمان تأکید گردد.
به‌این‌ترتیب کارکنان علاوه بر درک بهتر تهدیدات و ریسک‌های مرتبط با محیط‌های فناوری‌عملیات و آشنایی با به‌روش‌های موجود درزمینۀ حفظ امنیت و ایمنی محیط‌های مذکور، در برخورد با موقعیت‌های مخاطره‌آمیز، رفتار هوشمندانه‌‌تری خواهند داشت.

6. مقابله با حملات باج‌افزاری در شبکه‌های فناوری‌عملیات

همان‌گونه که در بخش اول اشاره شد، پیچیدگی حملات باج‌افزاری در حال افزایش است و ترکیبی از استراتژی‌ها و عوامل تهدید در آن‌ها به‌کار گرفته می‌شود؛ بنابراین لازم است که یک استراتژی مناسب به‌منظور جلوگیری از دسترسی غیرمجاز و سرقت اطلاعات‌سازمانی اتخاذ گردد. مؤثرترین راهکار پیشگیرانه برای مقابله با حملات باج‌افزاری، ایجاد و نگهداری نسخه‌های پشتیبان آفلاین از داده‌‌هاست و درصورت آلودگی سازمان به باج افزار، دسترس‌پذیری فایل‌های پشتیبان نیز در زمان بازیابی‌اطلاعات بسیار حائز اهمیت خواهد بود.
همچنین جهت شناسایی نقاط ضعف سیستم‌ها، لازم است تست‌نفوذ به‌صورت منظم انجام و از آنالیز رفتار کاربر برای تشخیص حوادث امنیتی بالقوه استفاده شود. به‌کارگیری احرازهویت چندعامله بر روی تمامی access point‌هایی که از راه دور به شبکه سازمان متصل می‌شوند و امن‌سازی یا غیرفعال نمودن دسترسی به RDP نیز می‌تواند بسیار مفید باشد چراکه در بسیاری از حملات باج افزاری، نفوذ اولیه مهاجمان به شبکه سازمان، با بهره‌برداری از آسیب‌پذیری‌های موجود در دسترسی از طریق RDP صورت می‌گیرد.

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

1 × سه =