1. مقدمه
شکار تهدید به فرآیندها و متدولوژیهایی گفته میشود که شامل جستجو برای شناسایی تهدیدهای احتمالی در شبکه بهصورت منظم و فعال است. شکارچیان تهدید، با بهرهگیری از هوش تهدید سایبری (CTI)، فرضیههای حمله را ایجاد میکنند و سپس دادههای مربوط به رویدادهای امنیتی را بررسی مینمایند تا از گسترش هرگونه حمله احتمالی جلوگیری نمایند و یا پیش از وقوع حوادث امنیتی، راهکارهایی برای تقویت برنامه امنیتی سازمان ارائه دهند.
در این مقاله، ضمن بررسی تفاوتهای شکار تهدید در سیستمهای کنترل صنعتی در مقایسهبا سیستمهای فناوری اطلاعات و عوامل مؤثر در اثربخشی شکار تهدید در محیط ICS، مهمترین منابع داده ICS برای پشتیبانی از شکار تهدید معرفی میشوند و درنهایت، شکار تهدید در سطوح مختلف مدل Purdue تشریح میگردد.
2. تفاوتهای شکار تهدید در سیستمهای کنترل صنعتی در مقایسه با سیستمهای IT
شکار تهدید، هم درزمینۀ فناوری اطلاعات و هم در محیط سیستمهای کنترل صنعتی کاربردپذیر است ولی رویکرد اتخاذشده در محیط ICS، متفاوت از رویکرد مرتبط با محیطهای فناوری اطلاعات است. در محیط ICS، داراییهای متفاوتی، هدف حمله سایبری قرار میگیرند و قابلیتهای واقعهنگاری نیز باید بهشکلی متفاوت مدنظر قرار گیرند؛ بنابراین شکار تهدید در محیط سیستمهای کنترل صنعتی، باید دستگاههای قدیمی، سیستمعاملهای توکار و دستگاههای مهندسی که با پروتکلهایی متفاوت از پروتکلهای سنتی محیط ICS، باهم ارتباط برقرار میکنند را احصاء کند.
از سوی دیگر مأموریت سیستمهای IT و ICS، اهداف آنها و تأثیرات منفی که حوادث امنیتی بر این سیستمها دارند از هم متفاوت است. درنهایت، مهاجمان در محیطهای ICS، برای دسترسی گرفتن، اجرای کد، جمعآوری اطلاعات و باقیماندن در سیستم هدف بهمنظور کاهشدادن ایمنی، دستکاری نمودن کنترلهای امنیتی، آسیبرسانی فیزیکی به داراییهای مهندسی یا سایر تجهیزات، باید از طرحها و تکنیکهای حمله متفاوتی استفاده کنند.
3. چه زمانی شکار تهدید، بالاترین اثربخشی را دارد؟
شکار تهدید، جانشینی برای دفاع امنیتی سنتی) مانند مدل معماری شبکه Purdue و یا رهیافتهای ضدبدافزاری مبتنیبر whitelisting در نقاط نهایی بحرانی( در محیطهای ICS نیست، بلکه باید در ورای این لایههای امنیتی قرار گیرد و منابع داده آنها را تقویت نماید. گرچه شکار تهدید در هر سطح بلوغی از برنامه امنیتی ICS سودمند است، اما درصورتیکه سطح بلوغ، به فاز Active Defense رسیده باشد، شکار تهدید بالاترین اثربخشی را خواهد داشت. علاوه بر این، شکار تهدید در ICS، در حالتهای ذیل، بیشترین اثربخشی را دارد:
• شکارچیان تهدید، دانش کافی درباره سیستمهای مهندسی و پروتکلهای صنعتی داشتهباشند.
4. مهمترین منابع داده ICS، برای پشتیبانی از شکار تهدید
منابع داده شبکه
دادههای مربوط به نشستهای شبکه و رویدادهای مربوط به کنترل دسترسی در فایروال میبایست فراهم شوند. منابع داده کلیدی شبکه که برای پشتیبانی از شکار تهدید به آنها نیاز است و باید بهصورت دورهای جهت بررسی رویدادهای امنیتی مورد پایش قرار گیرند، عبارتاند از:
• اتصالهای شبکهای از HMI به controller
• اتصالهای شبکهای از ایستگاه کاری مهندسی به controller
• تلاشهای انجامشده برای برقراری اتصال بین شبکه و اینترنت (inbound و outbound)
• لاگهای دسترسی از راه دور (RDP، VPN، jump host های ICS و DMZ و …)
• دادههای IPFIX مربوط به فایروال و ترافیک شبکه (شمال/جنوب و شرق/غرب)
• دستگاههای شبکهای و دستگاههای شبکهای دارای قابلیت full-packet capture
منابع داده نقاط نهایی
نقاط نهایی در ICS، فقط شامل سیستمعاملهای سنتی که بر روی داراییهای OT اجرا میشوند نیست. در ورای نقاط نهایی سنتی، پیشرفتهایی که در سالهای اخیر، در controllerها و سایر دستگاهایالکترونیکی هوشمند ایجادشده است، امکان ارسال لاگ رویدادها از داراییهای مهندسی به سرور syslog و SIEM را بهمنظور بازبینی تیمهای امنیت ICS فراهم کرده است. منابع داده کلیدی نقاط نهایی که شکار تهدید نیازمند پشتیبانی آنها است و باید بهصورت دورهای جهت بررسی رویدادهای امنیتی، مورد پایش قرار گیرند عبارتاند از:
• لاگ مربوط به hostهای ویندوزی و لینوکسی در محیط OT
• رویدادهای مربوط به دستگاههای Controller محلی (یا لاگهای ارسالشده به syslog)
• لاگ دادههای جریان یافته از Data historian و لاگ دسترسی به برنامه
• لاگ تغییر/ دسترسی به برنامه HMI
5. شکار تهدید در سطوح مختلف مدل Purdue
مدل معماری Purdue، چکیدهای در اختیار شکارچیان تهدید ICS قرار میدهد که با استفاده از آن، میتوانند شبکه را بر اساس کارکرد صنعتی، بخشبندی کنند. در اینجا سطوح مختلف این مدل و انواع شکارهای احتمالی که میتوان در هر یک از این سطوح انجام داد را بررسی میکنیم.
سطح 4 – سیستمهای لجستیک کسبوکار
سطح 4 از مدل Purdue، معمولاً توسط کارکنان IT کنترل میشود و شبکه کلی سازمان را دربر میگیرد؛ بنابراین شکار تهدید در این سطح، از همان استراتژیهای شبکه سازمان استفاده میکند. در این سطح معمولاً مهاجمان از ابزار و تکنیکهای سنتی، مانند فیشینگ هدفمند و بهرهبرداری از نقاط ضعف شبکههای سازمان برای نفوذ اولیه استفاده میکنند و در مراحل بعدی، به ایجاد تأثیرات منفی در عملیات صنعتی، جستجو برای دسترسی به اطلاعات ارزشمند و طرحریزی برای حملات آتی میپردازند.
سطح 3 – سیستمهای عملیات تولیدی
این سطح شامل سیستمهای عملیات تولیدی میشود که عملیات محیط صنعتی را هماهنگ میکنند. بسته به ماهیت سازمان، این سطح ممکن است توسط کارکنان IT یا OT مدیریت شود. ازآنجاییکه نوع سیستمها و پروتکلهای مورداستفاده در سطح 3 با سطح 4 مشابهت دارد، رهیافتهای سنتی شکار تهدید درزمینۀ IT، در این سطح نیز بسیار کاربردپذیر است. شکار تهدید در سطح 3، باید بر ایجاد راهنماهایی برای شناسایی رفتار بهنجار پروتکلها و سیستمها متمرکز باشد.
سطح 2 – سیستمهای کنترل
در این سطح، شکار تهدید مختص به ICS آغاز میشود. این سطح توسط کارکنان OT مدیریت میشود و شامل کنترلهای بلادرنگ ، سیستمهای کنترل توزیعشده (DCS)، واسطهای بین انسان و ماشین (HMI) و سیستمهای کنترل نظارت و اکتساب داده (SCADA) است.
شکارچیان تهدیدی که در سطح 2 فعالیت میکنند، باید از دستگاههایی که در این سطح فعالیت میکنند و منابعی که این دستگاهها برای انجام عملیات خود، به آن نیاز دارند، شناخت دقیقی بهدست آورند.
در حالت ایدهآل، شکار تهدید در سطح 2، شامل تحلیل passive شبکه و دادههای مربوط به hostها است. این تحلیل با استفاده همزمان از ابزارهای سنتی شکار تهدید در IT، بهمنظور پوششدادن پروتکلهای سنتی IT موجود در این سطح و همچنین استفاده از ابزارهای شکار تهدید در OT، بهمنظور تحلیل پروتکلهای صنعتی و لاگ مربوط به hostها انجام میشود.
سطح 1/0 – دستگاههای هوشمند و فرآیند فیزیکی
سطح 1، شامل دستگاههای هوشمند است که اغلب به PLCها اشاره دارد؛ درحالیکه سطح صفر، شامل دستگاههای فیزیکی برای اندازهگیری و راهاندازی است.
در حالت کلی، ویندوز بر روی دستگاههای سطح 1 اجرا نمیشود و در عوض، این دستگاهها از سیستمعاملهای توکار استفاده میکنند. امتیازی که این سطح برای شکارچیان تهدید فراهم میکند این است که ازلحاظ نوع و حجم، ترافیک بسیار ناچیز و محدودی در این سطح ایجاد میشود. اگر یک مهاجم از طریق نفوذ به شبکه، به نقطهای رسیده باشد که بتواند تنظیمات firmware برروی PLC را تغییر دهد، در سطح 1 است که شکارچیان تهدید باید بتوانند آدرس IP مبدأیی را که در تلاش برای بهروزرسانی firmware است، مشاهده کنند.
6. منابع و مراجع
ICS Threat Hunting: “They’re Shootin’ at the Lights!” – PART 1 July 22, 2021 •
ICS Threat Hunting: “They’re Shootin’ at the Lights!” – PART 2 November 6, 2021 •
Threat Hunting Part 2: Hunting on ICS Networks DRAGOS 10.03.17 •
بدون دیدگاه