1. مقدمه

شکار تهدید به فرآیندها و متدولوژی‌هایی گفته می‌شود که شامل جستجو برای شناسایی تهدیدهای احتمالی در شبکه به‌صورت منظم و فعال است. شکارچیان تهدید، با بهره‌گیری از هوش تهدید سایبری (CTI)، فرضیه‌های حمله را ایجاد می‌کنند و سپس داده‌های مربوط به رویدادهای امنیتی را بررسی می‌نمایند تا از گسترش هرگونه حمله احتمالی جلوگیری نمایند و یا پیش از وقوع حوادث امنیتی، راهکارهایی برای تقویت برنامه امنیتی سازمان ارائه دهند.
در این مقاله، ضمن بررسی تفاوت‌های شکار تهدید در سیستم‌های کنترل صنعتی در مقایسه‌با سیستم‌های فناوری اطلاعات و عوامل مؤثر در اثربخشی شکار تهدید در محیط ICS‌، مهم‌ترین منابع داده ICS برای پشتیبانی از شکار تهدید معرفی می‌شوند و درنهایت، شکار تهدید در سطوح مختلف مدل Purdue تشریح می‌گردد.

2. تفاوت‌های شکار تهدید در سیستم‌های کنترل صنعتی در مقایسه با سیستم‌های IT

شکار تهدید، هم درزمینۀ فناوری اطلاعات و هم در محیط سیستم‌های کنترل صنعتی کاربردپذیر است ولی رویکرد اتخاذ‌شده در محیط ICS، متفاوت از رویکرد مرتبط با محیط‌های فناوری اطلاعات است. در محیط ICS، دارایی‌های متفاوتی، هدف حمله سایبری قرار می‌گیرند و قابلیت‌های واقعه‌نگاری نیز باید به‌شکلی متفاوت مدنظر قرار گیرند؛ بنابراین شکار تهدید در محیط سیستم‌های کنترل صنعتی، باید دستگاه‌های قدیمی، سیستم‌عامل‌های توکار و دستگاه‌های مهندسی که با پروتکل‌هایی متفاوت از پروتکل‌های سنتی محیط ICS، باهم ارتباط برقرار می‌کنند را احصاء کند.
از سوی دیگر مأموریت سیستم‌های IT و ICS، اهداف آن‌ها و تأثیرات ‌منفی که حوادث امنیتی بر این سیستم‌ها دارند از هم متفاوت است. درنهایت، مهاجمان در محیط‌های ICS، برای دسترسی گرفتن، اجرای کد، جمع‌آوری اطلاعات و باقی‌ماندن در سیستم هدف به‌منظور کاهش‌دادن ایمنی، دست‌کاری نمودن کنترل‌های امنیتی، آسیب‌رسانی فیزیکی به دارایی‌های مهندسی یا سایر تجهیزات، باید از طرح‌ها و تکنیک‌های حمله متفاوتی استفاده کنند.
3. چه زمانی شکار تهدید، بالاترین اثربخشی را دارد؟
شکار تهدید، جانشینی برای دفاع امنیتی سنتی) مانند مدل معماری شبکه Purdue و یا رهیافت‌های ضدبدافزاری مبتنی‌بر whitelisting در نقاط ‌نهایی بحرانی( در محیط‌های ICS نیست، بلکه باید در ورای این لایه‌های امنیتی قرار گیرد و منابع‌ داده آن‌ها را تقویت نماید. گرچه شکار تهدید در هر سطح بلوغی از برنامه امنیتی ICS سودمند است، اما درصورتی‌که سطح بلوغ، به فاز Active Defense رسیده باشد، شکار تهدید بالاترین اثربخشی را خواهد داشت. علاوه بر این، شکار تهدید در ICS‌، در حالت‌های ذیل، بیشترین اثربخشی را دارد:
• شکارچیان تهدید، دانش کافی درباره سیستم‌های مهندسی و پروتکل‌های صنعتی داشته‌باشند.

4. مهم‌ترین منابع داده ICS، برای پشتیبانی از شکار تهدید

منابع داده شبکه

داده‌های مربوط به نشست‌های شبکه و رویدادهای مربوط به کنترل دسترسی در فایروال می‌بایست فراهم شوند. منابع داده کلیدی شبکه که برای پشتیبانی از شکار تهدید به آن‌ها نیاز است و باید به‌صورت دوره‌ای جهت بررسی رویدادهای امنیتی مورد پایش قرار گیرند، عبارت‌اند از:
• اتصال‌های شبکه‌ای از HMI به controller
• اتصال‌های شبکه‌ای از ایستگاه کاری مهندسی به controller
• تلاش‌های انجام‌شده برای برقراری اتصال بین شبکه و اینترنت (inbound و outbound)
• لاگ‌های دسترسی از راه دور (RDP، VPN، jump host های ICS و DMZ و …)
• داده‌های IPFIX مربوط به فایروال و ترافیک شبکه (شمال/جنوب و شرق/غرب)
• دستگاه‌های شبکه‌ای و دستگاه‌های شبکه‌ای دارای قابلیت full-packet capture

منابع داده نقاط نهایی

نقاط نهایی در ICS‌، فقط شامل سیستم‌عامل‌های سنتی که بر روی دارایی‌های OT اجرا می‌شوند نیست. در ورای نقاط نهایی سنتی، پیشرفت‌هایی که در سال‌های اخیر، در controllerها و سایر دستگا‌های‌الکترونیکی هوشمند ایجادشده است، امکان ارسال لاگ رویدادها از دارایی‌های مهندسی به سرور syslog و SIEM را به‌منظور بازبینی تیم‌های امنیت ICS فراهم کرده است. منابع داده کلیدی نقاط نهایی که شکار تهدید نیازمند پشتیبانی آن‌ها است و باید به‌صورت دوره‌ای جهت بررسی رویدادهای امنیتی، مورد پایش قرار گیرند عبارت‌اند از:
• لاگ مربوط به hostهای ویندوزی و لینوکسی در محیط OT
• رویدادهای مربوط به دستگاه‌های Controller محلی (یا لاگ‌های ارسال‌شده به syslog)
• لاگ داده‌های جریان یافته از Data historian و لاگ دسترسی به برنامه
• لاگ تغییر/ دسترسی به برنامه HMI

5. شکار تهدید در سطوح مختلف مدل Purdue

مدل معماری Purdue، چکیده‌ای در اختیار شکارچیان تهدید ICS قرار می‌دهد که با استفاده از آن، می‌توانند شبکه را بر اساس کارکرد صنعتی، بخش‌بندی کنند. در اینجا سطوح مختلف این مدل و انواع شکارهای احتمالی که می‌توان در هر یک از این سطوح انجام داد را بررسی می‌کنیم.

سطح 4 – سیستم‌های لجستیک کسب‌وکار


سطح 4 از مدل Purdue، معمولاً توسط کارکنان IT کنترل می‌شود و شبکه کلی سازمان را دربر می‌گیرد؛ بنابراین شکار تهدید در این سطح، از همان استراتژی‌های شبکه سازمان استفاده می‌کند. در این سطح معمولاً مهاجمان از ابزار و تکنیک‌های سنتی، مانند فیشینگ هدفمند و بهره‌برداری از نقاط ضعف شبکه‌های سازمان برای نفوذ اولیه استفاده می‌کنند و در مراحل بعدی، به ایجاد تأثیرات ‌منفی در عملیات صنعتی، جستجو برای دسترسی به اطلاعات ارزشمند و طرح‌ریزی برای حملات آتی می‌پردازند.

سطح 3 – سیستم‌های عملیات تولیدی

این سطح شامل سیستم‌های عملیات تولیدی می‌شود که عملیات محیط صنعتی را هماهنگ می‌کنند. بسته به ماهیت سازمان، این سطح ممکن است توسط کارکنان IT یا OT مدیریت شود. ازآنجایی‌که نوع سیستم‌ها و پروتکل‌های مورداستفاده در سطح 3 با سطح 4 مشابهت دارد، رهیافت‌های سنتی شکار تهدید درزمینۀ IT‌، در این سطح نیز بسیار کاربردپذیر است. شکار تهدید در سطح 3‌، باید بر ایجاد راهنماهایی برای شناسایی رفتار بهنجار پروتکل‌ها و سیستم‌ها متمرکز باشد.

سطح 2 – سیستم‌های کنترل

در این سطح، شکار تهدید مختص به ICS آغاز می‌شود. این سطح توسط کارکنان OT مدیریت می‌شود و شامل کنترل‌های بلادرنگ ، سیستم‌های کنترل توزیع‌شده (DCS)، واسط‌های بین انسان و ماشین (HMI) و سیستم‌های کنترل نظارت و اکتساب داده (SCADA) است.
شکارچیان تهدیدی که در سطح 2 فعالیت می‌کنند، باید از دستگاه‌هایی که در این سطح فعالیت می‌کنند و منابعی که این دستگاه‌ها برای انجام عملیات خود، به آن نیاز دارند، شناخت دقیقی به‌دست آورند.
در حالت ایده‌آل، شکار تهدید در سطح 2‌، شامل تحلیل passive شبکه و داده‌های مربوط به hostها است. این تحلیل با استفاده هم‌زمان از ابزارهای سنتی شکار تهدید در IT‌، به‌منظور پوشش‌دادن پروتکل‌های سنتی IT موجود در این سطح و همچنین استفاده از ابزارهای شکار تهدید در OT، به‌منظور تحلیل پروتکل‌های صنعتی و لاگ مربوط به hostها انجام می‌شود.

سطح 1/0 – دستگاه‌های هوشمند و فرآیند فیزیکی

سطح 1‌، شامل دستگاه‌های هوشمند است که اغلب به PLCها اشاره دارد؛ درحالی‌که سطح صفر، شامل دستگاه‌های فیزیکی برای اندازه‌گیری و راه‌اندازی است.
در حالت کلی، ویندوز بر روی دستگاه‌های سطح 1 اجرا نمی‌شود و در عوض، این دستگاه‌ها از سیستم‌عامل‌های توکار استفاده می‌کنند. امتیازی که این سطح برای شکارچیان تهدید فراهم می‌کند این است که ازلحاظ نوع و حجم، ترافیک بسیار ناچیز و محدودی در این سطح ایجاد می‌شود. اگر یک مهاجم از طریق نفوذ به شبکه، به نقطه‌ای رسیده باشد که بتواند تنظیمات firmware برروی PLC را تغییر دهد، در سطح 1 است که شکارچیان تهدید باید بتوانند آدرس IP مبدأیی را که در تلاش برای به‌روزرسانی firmware است، مشاهده کنند.

 

6. منابع و مراجع

 

ICS Threat Hunting: “They’re Shootin’ at the Lights!” – PART 1 July 22, 2021 •
ICS Threat Hunting: “They’re Shootin’ at the Lights!” – PART 2 November 6, 2021 •
Threat Hunting Part 2: Hunting on ICS Networks DRAGOS 10.03.17 •

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پنج + 17 =