در بخش اول از این مقاله به بررسی مفهوم فناوریعملیات پرداختیم و چشماندازی از شایعترین چالشهای امنیتی در حوزه فناوریعملیات ارائه شد. در بخش دوم قصد داریم راهکارهای امنیتی متناظر با هر یک از چالشهای مطرحشده در بخش اول را بررسی نماییم.
1. استفاده از فناوریهای جدید و امنسازی پروتکلهای قدیمی در حوزه فناوریعملیات
پیشتر گفته شد که بهدلیل استفاده از پروتکلهای قدیمی و چرخه کند جایگزینی سیستمهای فناوریعملیات، نیازمندیهای امنیتی در طراحی بسیاری از پروتکلهای کنترلصنعتی، بهصورت مناسب لحاظ نشده است و عوامل تهدید با بهرهبرداری از این ضعف، پروتکلها را هدف قرار میدهند. راهکار مناسب جهت مقابله با این تهدیدات، شناسایی آسیبپذیریهای موجود در پروتکلهای قدیمی و برطرفسازی آنها بااستفاده از فناوریهای جدید است.
برای مثال بر اساس گزارش سال 2019 شرکت امنیتی Fortinet، یکی از آسیبپذیرترین پروتکلها BACnet بود که در بخش قبل معرفی شد. BACnet Secure Connect یا BACnet/SC ضمیمهای بر پروتکل BACnet است که توسط کمیته ASHRAE BACnet ارائهشده است. این پروتکل ارتباطداده امن، از پروتکل TLS برای احراز هویت دستگاهها بر روی شبکه اتوماسیون و رمزنگاری ارتباطات بین آنها استفاده میکند. بهاینترتیب در شبکه BACnet/SC، هویت هر دستگاه، پیشاز آنکه مجاز به برقراری ارتباط با سایر دستگاهها باشد، بررسی میشود و دستگاههایی که هویت آنها تائید نشود، نمیتوانند به شبکه متصل شوند. همچنین کلیه اطلاعاتی که در این شبکه تبادل میشوند بهصورت end-to-end رمزنگاری میگردند و بهاینترتیب عواملتهدید نمیتوانند ترافیک را رمزگشایی کنند و یا بازدهی سیستم را تغییر دهند. از سوی دیگر اطلاعات تبادلشده در این بستر، معتبر هستند و نسبت به منبع اصلی تغییر نمیکنند.
2. جداسازی سیستمهای حیاتی و غیرحیاتی در شبکههای فناوریعملیات
پیشتر گفته شد که طراحی مسطح شبکههایOT که در آن، همه سیستمها ازنظر اهمیت، عملکرد و میزان حیاتیبودن، در یک سطح درنظر گرفته میشوند، مخاطرات امنیتی را افزایش میدهد و بانفوذ عوامل تهدید به هر دستگاه مستقلی، ممکن است کل شبکه OT در معرض تهدید قرار گیرد.
برای حل این مشکل لازم است جداسازی شفافی بین سیستمهای حیاتی و غیرحیاتی صورت گیرد. بهاینترتیب نهتنها تأثیر منفی هرگونه نفوذ احتمالی کاهش مییابد بلکه این جداسازی، سیستمهای ارزشمند و حیاتی در حوزه فناوریعملیات را مشخص میکند تا برای آنها کنترلهای امنیتی مناسب درنظر گرفته شود.
با پیادهسازی یک مدل zoneبندی که از رهیافت “دفاع در عمق” بهره میبرد، مهاجم برای نفوذ به سیستمهای حیاتی باید از چندین لایه دفاعی عبور کند و درنتیجه احتمال نفوذ و همچنین تأثیر منفی هرگونه نفوذ احتمالی در شبکه فناوریعملیات و سیستمهای آن به حداقل میرسد.
3. استفاده از رویکرد selective probing در بحث Asset Discovery
در بخش اول اشاره شد که محدودیتهای رویکرد پویش Passive که با بررسی ترافیک شبکه صورت میگیرد، تأثیرات منفی بر Visibility و مدیریت آسیبپذیریها دارد.
در این زمینه، رویکرد selective probing میتواند یک جایگزین مناسب باشد. بهاینمعنی که دستگاههای فناوریعملیات داخل شبکه شامل سوئیچها و مسیریابها، بااستفاده از پروتکلهای معتبر و اطلاعاتهویتی دسترسی، بررسی شوند. درحقیقت، در این رویکرد، بهجای تحلیل مستمر تمام ترافیک شبکه، از یک پروتکل شناسایی استفاده میشود که فراخوانیهای probing مناسب را ارسال و سپس پاسخهای ارسالشده به این فراخوانیها را جمعآوری و پردازش میکند. این فعالیت تقریباً هر 24 ساعت یکبار انجام میشود.
در این رهیافت، دستگاههایی که بهصورت منظم دادهای ارسال نمیکنند، نسخههای firmware، نرمافزارها و وصلههای امنیتی نیز احصاء میشوند و توپولوژی شبکه که شامل مشخصههای لایه 1 و 2 است، به شکل دقیقی نگاشت میشود. از سویدیگر پیادهسازی این رهیافت، نیاز به تجهیزات سختافزاری گرانقیمت ندارد.
4. محدودسازی دسترسی به اینترنت Outbound از شبکههای فناوریعملیات
چالش امنیتی دیگری که در بخش اول موردبررسی قرار گرفت، ایجاد دسترسی مستقیم از شبکههای فناوری عملیات به اینترنت Outbound بود که این موضوع، ریسک آلودگی شبکه OT را افزایش میدهد.
برای حل این مشکل، لازم است دسترسی به اینترنت از سیستمهای فناوریعملیات محدود گردد و درصورت درنظر گرفتن هرگونه استثنائی در این زمینه، ارزیابی ریسک به شکل رسمی برای آنها انجام شود.
سیستمهای فناوریعملیات که استثنائاً دسترسی آنها به اینترنت محدود نمیشود، باید بهصورت امن وصله شوند، پایش دقیق روی آنها انجام شود و بهنحو مناسب، از باقی شبکه فناوریعملیات مجزا شوند.
همچنین بهروزرسانیهای امنیتی را میتوان از اینترنت روی یک سیستم مجزا در خارج از شبکه فناوریعملیات دانلود و پس از تائید آن در محیط تست، بر روی سیستمهای فناوریعملیات اعمال نمود.
5. تدوین برنامهای برای آموزش و آگاهیرسانی امنیتی کارکنان
همانگونه که در بخش اول توضیح داده شد، فقدان آگاهی لازم درباره تهدیدات سایبری حوزه فناوریعملیات و مسئولیتهای امنیتاطلاعات کارکنان، میتواند سازمان را با چالشهای امنیتی جدی مواجه کند؛ بنابراین سرمایهگذاری درزمینۀ آموزش و آگاهیرسانی کارکنان میتواند بسیار مفید باشد. موضوعات مهم و کاربردی مانند مهندسی اجتماعی، بدافزارهای حوزه فناویعملیات و مرجع و نحوه گزارشدهی هرگونه مورد مشکوک، باید در برنامه آموزش و آگاهیرسانی امنیتی کارکنان گنجانده شوند. همچنین لازم است در هنگام استخدام نیرویانسانی، مسئولیتهای افراد در قبال امنیتاطلاعات سازمان بهشکل شفاف به آنها ابلاغ و بر لزوم رعایت سیاستهای امنیتی سازمان تأکید گردد.
بهاینترتیب کارکنان علاوه بر درک بهتر تهدیدات و ریسکهای مرتبط با محیطهای فناوریعملیات و آشنایی با بهروشهای موجود درزمینۀ حفظ امنیت و ایمنی محیطهای مذکور، در برخورد با موقعیتهای مخاطرهآمیز، رفتار هوشمندانهتری خواهند داشت.
6. مقابله با حملات باجافزاری در شبکههای فناوریعملیات
همانگونه که در بخش اول اشاره شد، پیچیدگی حملات باجافزاری در حال افزایش است و ترکیبی از استراتژیها و عوامل تهدید در آنها بهکار گرفته میشود؛ بنابراین لازم است که یک استراتژی مناسب بهمنظور جلوگیری از دسترسی غیرمجاز و سرقت اطلاعاتسازمانی اتخاذ گردد. مؤثرترین راهکار پیشگیرانه برای مقابله با حملات باجافزاری، ایجاد و نگهداری نسخههای پشتیبان آفلاین از دادههاست و درصورت آلودگی سازمان به باج افزار، دسترسپذیری فایلهای پشتیبان نیز در زمان بازیابیاطلاعات بسیار حائز اهمیت خواهد بود.
همچنین جهت شناسایی نقاط ضعف سیستمها، لازم است تستنفوذ بهصورت منظم انجام و از آنالیز رفتار کاربر برای تشخیص حوادث امنیتی بالقوه استفاده شود. بهکارگیری احرازهویت چندعامله بر روی تمامی access pointهایی که از راه دور به شبکه سازمان متصل میشوند و امنسازی یا غیرفعال نمودن دسترسی به RDP نیز میتواند بسیار مفید باشد چراکه در بسیاری از حملات باج افزاری، نفوذ اولیه مهاجمان به شبکه سازمان، با بهرهبرداری از آسیبپذیریهای موجود در دسترسی از طریق RDP صورت میگیرد.
بدون دیدگاه