تشخیص

مقدمه

در فاز اول و دوم راهکار جامع و یکپارچه امنیت زیرساخت‌های کنترل صنعتی خدمات امنیتی مانند بازرسی امنیت پیرامونی، ارزیابی سیاست‌های امنیتی و تست نفوذ مورد بررسی قرار گرفت و با توجه به نتایج این آزمون‌ها، زیرساخت تا حد قابل قبولی در کوتاهترین زمان ممکن امن شد، ولی این موارد بدون استفاده از محصولات امنیتی مختص این حوزه نمی‌تواند امنیتی تکامل یافته و در مسیر بلوغ را برای زیرساخت‌های صنعتی به ارمغان آورد. از آنجا که سیستم‌های کنترل صنعتی ویژگی‌های مختص به خود دارند و استفاده از تجهیزات امنیتی ممکن است برای آنها سربار ایجاد کند، معماری امنیتی در این زیرساخت‌ها کمی متفاوت و سخت‌گیرانه است. در این فازسعی بر آن است محصولات امنیتی قابل استفاده در حوزه امنیت سیستم‌های کنترل صنعتی با دو رویکرد پیشگیری و تشخیص بررسی شود.

تشخیص مخاطرات، تهدیدات و حملات سایبری در زیرساخت‌های کنترل صنعتی

با توجه به مطالب عنوان شده در سایر بخش‌ها، مشخص است که سیستم‌های کنترل صنعتی در این برهه از تاریخ تمایل زیادی به استفاده از تجهیزات فناوری اطلاعات دارند که برای مرتفع کردن مشکل امنیت سایبری، متولیان امر تنها به مجزا نمودن شبکه‌های کنترل صنعتی از سایر شبکه‌ها و محیط خارجی بسنده کرده‌اند. که این امر باعث می‌شود سطح تهدیدات از نظر بردار حمله به پرسنلی که دسترسی فیزیکی به شبکه‌ کنترل صنعتی دارند و آسیب‌پذیری‌های مربوط به تجهیزات آنها و همچنین آسیب‌پذیری‌های مجزا سازی و AirGap خلاصه شود. از این رو ارتباطات داده در زیرساخت‌های مورد نظر نیازمند نظارت امنیتی بیشتری است. با در نظر نگرفتن شبکه‌‌های فناوری اطلاعات، فرمان‌های عملیاتی، دستورات، و گردآوری داده در یک محیط ایزوله اتفاق می‌افتد که همه‌ی ارتباطات مطمئن هستند. در کل اگر یک فرمان یا دستور با شبکه ارسال شود در شرایطی دور از خطر به مقصد می‌رسد و با توابع مجاز اجرا می‌شود چرا که اپراتورها فقط اجازه دسترسی به سیستم را دارند. ادغام یک معماری فناوری اطلاعات که تجهیزات جدید در آن به وفور به کار رفته است با یک شبکه‌ی ایزوله که ممکن است هیچ اقدامات متقابلی برای امنیت سایبری نداشته باشد یک چالش به حساب می‌آید. اگر چه اتصالات با استفاده از روتر‌ها و سوییچ‌ها معانی روشن‌تری را از اتصالات ایجاد می‌کند اما دسترسی بدون مجوز توسط یک فرد می‌تواند نتیجه‌اش دسترسی‌های نامحدود به سیستم‌ها باشد.

شکل بالا، شبکه کنترل صنعتی (در حالت عمومی)و نحوه ارتباطش با شبکه‌های بالا دستی را به طور واضح به تصویر کشیده است، که در آن، شبکه به چهار بخش corporate Boundary Mgmt، Enterprise Network، Process information Network و process Control Network تقسیم می‌شود. امروزه پروتکل‌های استفاده شده در بخش کنترل فرآیند و ارتباط شبکه فرآیند کنترل و شبکه‌های دسته بالایی که عموما شبکه فناوری اطالاعات در بستر TCP/IP صورت می‌گیرد که این نقطه اشتراک شبکه‌های کنترل صنعتی و شبکه‌های فناوری اطلاعات، نیاز به بررسی و نظارت دقیق‌تری دارد که در ادامه راه‌کار مناسب مبتنی بر استفاده از تجهیزات امنیتی معرفی می‌شود.

تجهیزات امنیتی، تشخیصی در زیرساخت‌های صنعتی(پیاده‌سازی فاز سوم )

برای پوشش و نظارت دقیق‌تر بر امنیت کل زیرساخت‌ صنعتی، بهتر است تجهیزات را به سه نوع سطح شبکه‌های کنترل فرآیند(سطح تشخیص)، سطح میانی(کنترل امنیت) و سطح بالایی(مدیریت امنیت) تقسیم‌بندی کرد که در سطح اول یعنی شبکه‌های کنترل فرآیند دو تجهیز سیستم تشخیص نفوذ مبتنی بر شبکه‌صنعتی و میزبان‌های صنعتی، در سطح میانی تجهیز مدیر سنسورها و در سطح بالایی سامانه مدیریت رویداد‌های امنیتی معرفی می‌شوند.

سطح شبکه‌ کنترل فرآیند

در این بخش از زیرساخت صنعتی، عموما تجهیزاتی مانند رابط بین انسان و ماشین، تجهیزات کنترلی مانند (DCS، PLC، RTU)، تجهیزات مرتبط با سطح فیلد و درایوها استفاده می‌شود. تجهیزات این بخش رک‌های مختص به خود دارند و معمولا بخش کنترل فرآیند در اتاقی به نام مارشال روم پیاده‌ُ‌سازی می‌شوند و ارتباطات خود را با HMI ها و HIS ها از طریق بستر TCP/IP مدیریت می‌کنند.

سیستم تشخیص نفوذ شبکه صنعتی

با توجه به این مهم که در زیرساخت‌های کنترل صنعتی یکی از چالش‌ها، حفظ بلادرنگی داده‌ها تحت هر شرایطی می‌باشد، استفاده از تجهیزات پیشگیرانه امکان‌پذیر نیست. برای برون رفت از این چالش استفاده از تجهیزات تشخیصی که از داده‌های کپی شده که در شبکه صنعتی رد و بدل می‌شود استفاده می‌کند بهترین روش است. با استقرار یک سیستم تشخیص نفوذ در شبکه صنعتی قادر به تشخیص ناهنجاری‌ها بدون ایجاد تداخل در عملکرد طبیعی زیرساخت خواهیم بود. سنسور تشخیص نفوذ شبکه‌های صنعتی با ماژول‌های امنیتی خود می‌تواند شبکه‌های ICS، OT وSCADA را امن کند. هر ماژول دارای یک قابلیت منحصر به فرد برای تشخیص ترافیک مشکوک در شبکه صنعتی می‌باشد. قابلیت های کلی سیستم تشخیص نفوذ سنسور تشخیص نفوذ شبکه‌های صنعتی به شرح زیر می‌باشد:

  • Automatic learning of topology and operational behavior

  • Network traffic analusis based on DPI protocols for SCADA

  • Supervision over configuration changes in PLCs

  • Model-based anomaly detection analytics

  • Signature-based detection of know vulnerabilities

  • Non-intrusive network opration

  • Central or distributed deployment

  • Low false alarm rate

سیستم تشخیص نفوذ میزبان‌های صنعتی

بسیاری از فرآیند‌های صنعتی با استفاده از میزبان‌های صنعتی یا به اصطلاح رابط بین انسان و ماشین کنترل و نظارت می‌شود که معمولا این میزبان‌ها دارای سیستم‌ عامل‌های مبتنی بر ویندوز هستند. نرم‌افزار‌‌های مرتبط با تجهیزات کنترلی در این سیستم‌عامل‌ها نصب شده و کاربر با استفاده از آن‌ها می‌تواند فرآیند صنعتی مورد نظر را کنترل کند و یا بر اجرای صحیح آن نظارت داشته باشد. اما چالش این سیستم‌ها اینجاست که با نصب نرم‌افزار‌های مختلف بر روی سیستم‌عامل‌های مبتنی بر ویندوز، تعدد آسیب‌پذیری‌ها روند افزایشی خواهد داشت. علت روند افزایشی مذکور موارد زیر می‌باشد:

  • عدم به‌ روز رسانی سیستم‌عامل بصورت دوره‌ای و منظم

  • عدم به‌ روز رسانی نرم‌افزار‌های مربوط به سیستم‌های صنعتی

  • عدم نظارت بر امنیت میزبان‌ها توسط تیم امنیت(به دلیل قرارگیری در بخش صنعتی)

  • باز شدن درگاه‌های غیر معمول به دلیل استفاده از نرم‌افزار‌های صنعتی و ایجاد محل رخنه‌ای جدید

  • نبود فرآیندی برای کشف آسیب‌پذیری‌های میزبان‌های صنعتی(هرگونه پویش فعال این سیستم‌ها را با خطر از دسترس خارج شدن مواجه می‌کند)

حال با توجه به موارد ذکر شده بهتر است امنیت میزبان‌های صنعتی بصورت منظم کنترل شود که بهترین راه برای انجام این مهم، نصب و پیاده‌سازی یک سیستم تشخیص نفوذ میزبان‌های صنعتی بصورت افزونه نرم‌افزاری و یا سخت‌افزاری (از طریق درگاه USB) می‌باشد که بتواند نظارت دقیقی بر میزبان‌های مرتبط با سیستم‌های کنترل صنعتی داشته باشد.

سطح میانی و لبه اشتراکی شبکه کنترل صنعتی و فناوری اطلاعات

در این سطح تجهیزاتی که بتوان سنسور‌های امنیتی سطح پایین‌تر را کنترل و نظارت کرد استفاده می‌شود. دلیل این مهم، با توجه به مطالبی که در بخش‌های قبل به آن‌ها اشاره شد، عدم امکان حضور کارشناسان امنیت در بخش‌های فرآیند صنعتی و پیکربندی و تنظیم این سنسور‌ها می‌باشد. از این رو با استفاده از تجهیزات سطح میانی که در لبه اشتراکی شبکه‌ کنترل صنعتی و شبکه فناوری اطلاعات قرار می‌گیرند قادر خواهیم بود سنسور‌های مورد نظر را کنترل کنیم و تنظیمات جانبی را بر آن‌ها اعمال کنیم. این تجهیز همچنین باعث ایجاد قطعه‌بندی بین مناطق کاری مختلف یعنی شبکه کنترل صنعتی و شبکه فناوری اطلاعات می‌شود.

تجهیزی برای مدیریت سنسور‌های امنیتی در زیرساخت‌های صنعتی

با توجه به ساختار شبکه‌های صنعتی که معمولا به دو بخش اصلی یعنی، شبکه کنترل و شبکه فناوری اطلاعات تقسیم می‌شود، تجهیزات امنیت سایبری که در بخش بالا معرفی شد، قابل مدیریت و تنظیم در بخش کنترل نیست. علت آن است که معمولا در بخش کنترل و همچنین سطح فیلد کارشناسان ابزار دقیق و مهندسان کنترل فرآیند صنعتی فعالیت می‌کنند و این بخش‌ها از نیروهای مقیم امنیت سایبری و شبکه بی نصیب است. از طرفی با توجه به استراتژی دفاع در عمق، شبکه‌های کنترل باید بصورت ایزوله در نظر گرفته شوند، در نتیجه برای کنترل مدیریت سنسورها، نظارت بر داده‌های آنها، تجمیع رویداد‌ها و حتی به روز رسانی آنها از سامانه مدیر سنسورها استفاده خواهد شد.

با توجه به مطالب بیان شده، استفاده از تجهیزی که بتوان با آن مدیریت سنسورها و همچنین نظارت بر امنیت این شبکه‌ها را انجام داد، امری اجتناب‌ناپذیر است. بنابراین دو سیستم تشخیص نفوذ معرفی شده در بخش قبل، یعنی سیستم‌ تشخیص نفوذ شبکه صنعتی و سیستم تشخیص نفوذ میزبان‌های صنعتی، تنها از طریق این سامانه قابل مدیریت می‌باشند و خود به تنهایی رابط کاربری مجزا ندارند. یکی از موارد دیگری که در مباحث امنیتی امروزه بسیار مهم است، ایجاد بستری برای نظارت بر امنیت کل زیرساخت‌ می‌باشد. این مهم با استفاده از سامانه‌های مدیریت امنیت اطلاعات قابل انجام است که معمولا این سامانه به عنوان یکی از اصلی‌ترین ابزار‌های مرکز عملیات امنیت استفاده می‌‌‌‌‌‌‌‌‌‌‌‌شود. تجهیز مدیریت سنسورهای صنعتی قابلیت تجمیع لاگ‌ها و هشدارهای امنیتی و غیر امنیتی را برای ارسال به مرکز عملیات امنیت فراهم می‌آورد و این یکی از نقاط قوت این تجهیز می‌ّباشد. ماژول‌های این تجهیز در زیر آورده شده است:

  • مدیریت دارایی‌ها و نقشه شبکه

  • مدیریت تعمیر و نگه‌داری

  • نظارت بر سیاست‌ها

  • حملات سایبری

  • یادگیری و تشخیص ناهنجاری

  • رفتار عملیاتی

روش پیاده‌سازی سنسور‌ها و مدیر سنسورها در شبکه

پیاده‌سازی این دستگاه بسیار آسان‌تر و سریع‌تر از سایر تجهیزات امنیتی موجود می‌باشد. به صورتی که در اتصال این تجهیز به شبکه حتی مسیر جریان داده‌ها در منطقه کنترل شبکه نیز تغییر نخواهد کرد. همانطور که در بخش‌های قبل گفته شد، بعد از مرحله نصب و پیاده‌سازی سیستم‌های تشخیص نفوذ، مرحله یادگیری شروع می‌شود که در آن اطلاعات در مورد شبکه جمع‌آوری می‌شود. در طول مدت این مرحله یک کپی از جریان داده‌ها توسط پورت Mirroring و البته بدون ایجاد تداخل در شبکه به سنسور تشخیص نفوذ شبکه‌های صنعتی ارسال می‌شود. قابلیت بازبینی عمیق بسته‌ها یا همان (DPI) در این تجهیز قادر است مقادیر زمان، پروتکل، قوانین و فرامین، شناسه دستگاه‌ها و سایر موارد را که برای یادگیری شبکه لازم است را استخراج می‌نماید. داده‌های جمع‌آوری شده برای تولید یک مدل شبکه کامل شبیه‌سازی شده برای مشخص نمودن روابط بین نشست‌ها را کافی است. مدل تولید شده منجر به ایجاد لیستی می‌شود که هر فعالیت خارج از موارد تعریف شده در آن باعث تولید هشدار می‌شود. در کنار اینها رابط گرافیکی که تمامی موجودیت‌های شبکه را نشان می‌دهد نیز عملکرد خوبی دارد.

روش تشخیص

بعد از اتمام مرحله یادگیری سنسور تشخیص نفوذ شبکه‌های صنعتی به مرحله شناسایی ورود پیدا می‌کند. در این مرحله تجهیز به فرآیند مانیتورینگ شبکه با استفاده از موتورهای جستجوی تعبیه شده برای شناسایی تهدیدات سایبری در شبکه اسکادا اقدام می‌کند. داشبورد تجهیز بصورت پویا لاگ رویداد‌ها و همچنین مجموعه‌ای از آمارهای جمع‌آوری شده از نواقص موجود که شناسایی شده‌اند را نمایش می‌دهد. با کلیک بر روی تجهیز و مشخص شدن مشخصات آن می‌توان قوانین هر کدام را بصورت جداگانه ویرایش نمود که این انعطاف خوبی برای مدیریت انفرادی تجهیزات مورد استفاده در شبکه می‌باشد. در شکل زیر می‌توان به نحوه شناسایی بدافزار استاکس‌نت مبتنی بر روش Kill Chain توسط تجهیزات امنیتی در زیرساخت کنترل صنعتی اشاره کرد. در توضیح لازم به ذکر است که در بخش اول که بدافزار شروع به شناسایی هدف می‌نماید ماژول‌ مدلینگ شبکه مدیر سنسورها، این تحرک را تشخیص می‌دهد. در بخش بعد که مربوط به انتشار بدافزار در سیستم‌های HMI بود، توسط سنسور تشخیص نفوذ میزبان‌های صنعتی شناسایی صورت می‌گیرد. این روند در تمامی بخش‌ها ادامه دارد و در تصویر نیز مشخی است. سرانجام با تجمیع داده‌های سناریو‌های تولید شده، یادگیری‌ و تشخیص ناهنجاری‌ها و همچنین همبسته‌سازی این رویداد‌ها بدافزار استاکس‌نت شناسایی می‌شود و هشدار نهایی تولید می‌شود.

سطح مدیریت امنیت  شبکه کنترل صنعتی و سایبری

با توجه به راهکار جامع و یکپارچه امنیت زیرساخت‌های صنعتی تدوین شده توسط ICSdefender در فاز تشخیص در لایه مدیریت امنیت شبکه زیرساخت مورد نظر، از مرکز عملیات امنیت صنعتی به منظور همبسته‌سازی و گردآوری لاگ‌ها و رویداد‌های امنیتی و کنترل امنیت ورود و خروج اطلاعات و فرآیند‌های صنعتی و همچنین امنیت فیزیکی و پیرامونی و محیطی استفاده می‌شود. 

مرکز عملیات امنیت صنعتی/سایبری

مرکز عملیات امنیت صنعتی/سایبری (ISOC)، مکانی جهت پایش و کنترل ۲۴ ساعته امنیت ورود و خروج اطلاعات در شبکه صنعتی و سایبری و بعنوان بخش مرکزی جهت دریافت گزارشات امنیتی، تحلیل وقایع، اتخاذ تدابیر و اعمال سیاست‌های امنیتی بر روی بخش‌های مختلف شبکه صنعتی و سایبری می‌باشد. تمامی تجهیزات که در لایه‌های متفاوت کار می‌کنند، وقایع رخ داده شده توسط اطلاعات انتقالی را برای مرکز عملیات امنیت صنعتی/سایبری ارسال نموده و این بخش بعد از جمع آوری اطلاعات و آنالیز، آنها را دسته بندی ک