ICSdefender.ir

تشخیص

مقدمه

در فاز اول و دوم راهکار جامع و یکپارچه امنیت زیرساخت‌های کنترل صنعتی خدمات امنیتی مانند بازرسی امنیت پیرامونی، ارزیابی سیاست‌های امنیتی و تست نفوذ مورد بررسی قرار گرفت و با توجه به نتایج این آزمون‌ها، زیرساخت تا حد قابل قبولی در کوتاهترین زمان ممکن امن شد، ولی این موارد بدون استفاده از محصولات امنیتی مختص این حوزه نمی‌تواند امنیتی تکامل یافته و در مسیر بلوغ را برای زیرساخت‌های صنعتی به ارمغان آورد. از آنجا که سیستم‌های کنترل صنعتی ویژگی‌های مختص به خود دارند و استفاده از تجهیزات امنیتی ممکن است برای آنها سربار ایجاد کند، معماری امنیتی در این زیرساخت‌ها کمی متفاوت و سخت‌گیرانه است. در این فازسعی بر آن است محصولات امنیتی قابل استفاده در حوزه امنیت سیستم‌های کنترل صنعتی با دو رویکرد پیشگیری و تشخیص بررسی شود.

تشخیص مخاطرات، تهدیدات و حملات سایبری در زیرساخت‌های کنترل صنعتی

با توجه به مطالب عنوان شده در سایر بخش‌ها، مشخص است که سیستم‌های کنترل صنعتی در این برهه از تاریخ تمایل زیادی به استفاده از تجهیزات فناوری اطلاعات دارند که برای مرتفع کردن مشکل امنیت سایبری، متولیان امر تنها به مجزا نمودن شبکه‌های کنترل صنعتی از سایر شبکه‌ها و محیط خارجی بسنده کرده‌اند. که این امر باعث می‌شود سطح تهدیدات از نظر بردار حمله به پرسنلی که دسترسی فیزیکی به شبکه‌ کنترل صنعتی دارند و آسیب‌پذیری‌های مربوط به تجهیزات آنها و همچنین آسیب‌پذیری‌های مجزا سازی و AirGap خلاصه شود. از این رو ارتباطات داده در زیرساخت‌های مورد نظر نیازمند نظارت امنیتی بیشتری است. با در نظر نگرفتن شبکه‌‌های فناوری اطلاعات، فرمان‌های عملیاتی، دستورات، و گردآوری داده در یک محیط ایزوله اتفاق می‌افتد که همه‌ی ارتباطات مطمئن هستند. در کل اگر یک فرمان یا دستور با شبکه ارسال شود در شرایطی دور از خطر به مقصد می‌رسد و با توابع مجاز اجرا می‌شود چرا که اپراتورها فقط اجازه دسترسی به سیستم را دارند. ادغام یک معماری فناوری اطلاعات که تجهیزات جدید در آن به وفور به کار رفته است با یک شبکه‌ی ایزوله که ممکن است هیچ اقدامات متقابلی برای امنیت سایبری نداشته باشد یک چالش به حساب می‌آید. اگر چه اتصالات با استفاده از روتر‌ها و سوییچ‌ها معانی روشن‌تری را از اتصالات ایجاد می‌کند اما دسترسی بدون مجوز توسط یک فرد می‌تواند نتیجه‌اش دسترسی‌های نامحدود به سیستم‌ها باشد.

شکل بالا، شبکه کنترل صنعتی (در حالت عمومی)و نحوه ارتباطش با شبکه‌های بالا دستی را به طور واضح به تصویر کشیده است، که در آن، شبکه به چهار بخش corporate Boundary Mgmt، Enterprise Network، Process information Network و process Control Network تقسیم می‌شود. امروزه پروتکل‌های استفاده شده در بخش کنترل فرآیند و ارتباط شبکه فرآیند کنترل و شبکه‌های دسته بالایی که عموما شبکه فناوری اطالاعات در بستر TCP/IP صورت می‌گیرد که این نقطه اشتراک شبکه‌های کنترل صنعتی و شبکه‌های فناوری اطلاعات، نیاز به بررسی و نظارت دقیق‌تری دارد که در ادامه راه‌کار مناسب مبتنی بر استفاده از تجهیزات امنیتی معرفی می‌شود.

تجهیزات امنیتی، تشخیصی در زیرساخت‌های صنعتی(پیاده‌سازی فاز سوم )

برای پوشش و نظارت دقیق‌تر بر امنیت کل زیرساخت‌ صنعتی، بهتر است تجهیزات را به سه نوع سطح شبکه‌های کنترل فرآیند(سطح تشخیص)، سطح میانی(کنترل امنیت) و سطح بالایی(مدیریت امنیت) تقسیم‌بندی کرد که در سطح اول یعنی شبکه‌های کنترل فرآیند دو تجهیز سیستم تشخیص نفوذ مبتنی بر شبکه‌صنعتی و میزبان‌های صنعتی، در سطح میانی تجهیز مدیر سنسورها و در سطح بالایی سامانه مدیریت رویداد‌های امنیتی معرفی می‌شوند.

سطح شبکه‌ کنترل فرآیند

در این بخش از زیرساخت صنعتی، عموما تجهیزاتی مانند رابط بین انسان و ماشین، تجهیزات کنترلی مانند (DCS، PLC، RTU)، تجهیزات مرتبط با سطح فیلد و درایوها استفاده می‌شود. تجهیزات این بخش رک‌های مختص به خود دارند و معمولا بخش کنترل فرآیند در اتاقی به نام مارشال روم پیاده‌ُ‌سازی می‌شوند و ارتباطات خود را با HMI ها و HIS ها از طریق بستر TCP/IP مدیریت می‌کنند.

سیستم تشخیص نفوذ شبکه صنعتی

با توجه به این مهم که در زیرساخت‌های کنترل صنعتی یکی از چالش‌ها، حفظ بلادرنگی داده‌ها تحت هر شرایطی می‌باشد، استفاده از تجهیزات پیشگیرانه امکان‌پذیر نیست. برای برون رفت از این چالش استفاده از تجهیزات تشخیصی که از داده‌های کپی شده که در شبکه صنعتی رد و بدل می‌شود استفاده می‌کند بهترین روش است. با استقرار یک سیستم تشخیص نفوذ در شبکه صنعتی قادر به تشخیص ناهنجاری‌ها بدون ایجاد تداخل در عملکرد طبیعی زیرساخت خواهیم بود. سنسور تشخیص نفوذ شبکه‌های صنعتی با ماژول‌های امنیتی خود می‌تواند شبکه‌های ICS، OT وSCADA را امن کند. هر ماژول دارای یک قابلیت منحصر به فرد برای تشخیص ترافیک مشکوک در شبکه صنعتی می‌باشد. قابلیت های کلی سیستم تشخیص نفوذ سنسور تشخیص نفوذ شبکه‌های صنعتی به شرح زیر می‌باشد:

  • Automatic learning of topology and operational behavior

  • Network traffic analusis based on DPI protocols for SCADA

  • Supervision over configuration changes in PLCs

  • Model-based anomaly detection analytics

  • Signature-based detection of know vulnerabilities

  • Non-intrusive network opration

  • Central or distributed deployment

  • Low false alarm rate

سیستم تشخیص نفوذ میزبان‌های صنعتی

بسیاری از فرآیند‌های صنعتی با استفاده از میزبان‌های صنعتی یا به اصطلاح رابط بین انسان و ماشین کنترل و نظارت می‌شود که معمولا این میزبان‌ها دارای سیستم‌ عامل‌های مبتنی بر ویندوز هستند. نرم‌افزار‌‌های مرتبط با تجهیزات کنترلی در این سیستم‌عامل‌ها نصب شده و کاربر با استفاده از آن‌ها می‌تواند فرآیند صنعتی مورد نظر را کنترل کند و یا بر اجرای صحیح آن نظارت داشته باشد. اما چالش این سیستم‌ها اینجاست که با نصب نرم‌افزار‌های مختلف بر روی سیستم‌عامل‌های مبتنی بر ویندوز، تعدد آسیب‌پذیری‌ها روند افزایشی خواهد داشت. علت روند افزایشی مذکور موارد زیر می‌باشد:

  • عدم به‌ روز رسانی سیستم‌عامل بصورت دوره‌ای و منظم

  • عدم به‌ روز رسانی نرم‌افزار‌های مربوط به سیستم‌های صنعتی

  • عدم نظارت بر امنیت میزبان‌ها توسط تیم امنیت(به دلیل قرارگیری در بخش صنعتی)

  • باز شدن درگاه‌های غیر معمول به دلیل استفاده از نرم‌افزار‌های صنعتی و ایجاد محل رخنه‌ای جدید

  • نبود فرآیندی برای کشف آسیب‌پذیری‌های میزبان‌های صنعتی(هرگونه پویش فعال این سیستم‌ها را با خطر از دسترس خارج شدن مواجه می‌کند)

حال با توجه به موارد ذکر شده بهتر است امنیت میزبان‌های صنعتی بصورت منظم کنترل شود که بهترین راه برای انجام این مهم، نصب و پیاده‌سازی یک سیستم تشخیص نفوذ میزبان‌های صنعتی بصورت افزونه نرم‌افزاری و یا سخت‌افزاری (از طریق درگاه USB) می‌باشد که بتواند نظارت دقیقی بر میزبان‌های مرتبط با سیستم‌های کنترل صنعتی داشته باشد.

سطح میانی و لبه اشتراکی شبکه کنترل صنعتی و فناوری اطلاعات

در این سطح تجهیزاتی که بتوان سنسور‌های امنیتی سطح پایین‌تر را کنترل و نظارت کرد استفاده می‌شود. دلیل این مهم، با توجه به مطالبی که در بخش‌های قبل به آن‌ها اشاره شد، عدم امکان حضور کارشناسان امنیت در بخش‌های فرآیند صنعتی و پیکربندی و تنظیم این سنسور‌ها می‌باشد. از این رو با استفاده از تجهیزات سطح میانی که در لبه اشتراکی شبکه‌ کنترل صنعتی و شبکه فناوری اطلاعات قرار می‌گیرند قادر خواهیم بود سنسور‌های مورد نظر را کنترل کنیم و تنظیمات جانبی را بر آن‌ها اعمال کنیم. این تجهیز همچنین باعث ایجاد قطعه‌بندی بین مناطق کاری مختلف یعنی شبکه کنترل صنعتی و شبکه فناوری اطلاعات می‌شود.

تجهیزی برای مدیریت سنسور‌های امنیتی در زیرساخت‌های صنعتی

با توجه به ساختار شبکه‌های صنعتی که معمولا به دو بخش اصلی یعنی، شبکه کنترل و شبکه فناوری اطلاعات تقسیم می‌شود، تجهیزات امنیت سایبری که در بخش بالا معرفی شد، قابل مدیریت و تنظیم در بخش کنترل نیست. علت آن است که معمولا در بخش کنترل و همچنین سطح فیلد کارشناسان ابزار دقیق و مهندسان کنترل فرآیند صنعتی فعالیت می‌کنند و این بخش‌ها از نیروهای مقیم امنیت سایبری و شبکه بی نصیب است. از طرفی با توجه به استراتژی دفاع در عمق، شبکه‌های کنترل باید بصورت ایزوله در نظر گرفته شوند، در نتیجه برای کنترل مدیریت سنسورها، نظارت بر داده‌های آنها، تجمیع رویداد‌ها و حتی به روز رسانی آنها از سامانه مدیر سنسورها استفاده خواهد شد.

با توجه به مطالب بیان شده، استفاده از تجهیزی که بتوان با آن مدیریت سنسورها و همچنین نظارت بر امنیت این شبکه‌ها را انجام داد، امری اجتناب‌ناپذیر است. بنابراین دو سیستم تشخیص نفوذ معرفی شده در بخش قبل، یعنی سیستم‌ تشخیص نفوذ شبکه صنعتی و سیستم تشخیص نفوذ میزبان‌های صنعتی، تنها از طریق این سامانه قابل مدیریت می‌باشند و خود به تنهایی رابط کاربری مجزا ندارند. یکی از موارد دیگری که در مباحث امنیتی امروزه بسیار مهم است، ایجاد بستری برای نظارت بر امنیت کل زیرساخت‌ می‌باشد. این مهم با استفاده از سامانه‌های مدیریت امنیت اطلاعات قابل انجام است که معمولا این سامانه به عنوان یکی از اصلی‌ترین ابزار‌های مرکز عملیات امنیت استفاده می‌‌‌‌‌‌‌‌‌‌‌‌شود. تجهیز مدیریت سنسورهای صنعتی قابلیت تجمیع لاگ‌ها و هشدارهای امنیتی و غیر امنیتی را برای ارسال به مرکز عملیات امنیت فراهم می‌آورد و این یکی از نقاط قوت این تجهیز می‌ّباشد. ماژول‌های این تجهیز در زیر آورده شده است:

  • مدیریت دارایی‌ها و نقشه شبکه

  • مدیریت تعمیر و نگه‌داری

  • نظارت بر سیاست‌ها

  • حملات سایبری

  • یادگیری و تشخیص ناهنجاری

  • رفتار عملیاتی

روش پیاده‌سازی سنسور‌ها و مدیر سنسورها در شبکه

پیاده‌سازی این دستگاه بسیار آسان‌تر و سریع‌تر از سایر تجهیزات امنیتی موجود می‌باشد. به صورتی که در اتصال این تجهیز به شبکه حتی مسیر جریان داده‌ها در منطقه کنترل شبکه نیز تغییر نخواهد کرد. همانطور که در بخش‌های قبل گفته شد، بعد از مرحله نصب و پیاده‌سازی سیستم‌های تشخیص نفوذ، مرحله یادگیری شروع می‌شود که در آن اطلاعات در مورد شبکه جمع‌آوری می‌شود. در طول مدت این مرحله یک کپی از جریان داده‌ها توسط پورت Mirroring و البته بدون ایجاد تداخل در شبکه به سنسور تشخیص نفوذ شبکه‌های صنعتی ارسال می‌شود. قابلیت بازبینی عمیق بسته‌ها یا همان (DPI) در این تجهیز قادر است مقادیر زمان، پروتکل، قوانین و فرامین، شناسه دستگاه‌ها و سایر موارد را که برای یادگیری شبکه لازم است را استخراج می‌نماید. داده‌های جمع‌آوری شده برای تولید یک مدل شبکه کامل شبیه‌سازی شده برای مشخص نمودن روابط بین نشست‌ها را کافی است. مدل تولید شده منجر به ایجاد لیستی می‌شود که هر فعالیت خارج از موارد تعریف شده در آن باعث تولید هشدار می‌شود. در کنار اینها رابط گرافیکی که تمامی موجودیت‌های شبکه را نشان می‌دهد نیز عملکرد خوبی دارد.

روش تشخیص

بعد از اتمام مرحله یادگیری سنسور تشخیص نفوذ شبکه‌های صنعتی به مرحله شناسایی ورود پیدا می‌کند. در این مرحله تجهیز به فرآیند مانیتورینگ شبکه با استفاده از موتورهای جستجوی تعبیه شده برای شناسایی تهدیدات سایبری در شبکه اسکادا اقدام می‌کند. داشبورد تجهیز بصورت پویا لاگ رویداد‌ها و همچنین مجموعه‌ای از آمارهای جمع‌آوری شده از نواقص موجود که شناسایی شده‌اند را نمایش می‌دهد. با کلیک بر روی تجهیز و مشخص شدن مشخصات آن می‌توان قوانین هر کدام را بصورت جداگانه ویرایش نمود که این انعطاف خوبی برای مدیریت انفرادی تجهیزات مورد استفاده در شبکه می‌باشد. در شکل زیر می‌توان به نحوه شناسایی بدافزار استاکس‌نت مبتنی بر روش Kill Chain توسط تجهیزات امنیتی در زیرساخت کنترل صنعتی اشاره کرد. در توضیح لازم به ذکر است که در بخش اول که بدافزار شروع به شناسایی هدف می‌نماید ماژول‌ مدلینگ شبکه مدیر سنسورها، این تحرک را تشخیص می‌دهد. در بخش بعد که مربوط به انتشار بدافزار در سیستم‌های HMI بود، توسط سنسور تشخیص نفوذ میزبان‌های صنعتی شناسایی صورت می‌گیرد. این روند در تمامی بخش‌ها ادامه دارد و در تصویر نیز مشخی است. سرانجام با تجمیع داده‌های سناریو‌های تولید شده، یادگیری‌ و تشخیص ناهنجاری‌ها و همچنین همبسته‌سازی این رویداد‌ها بدافزار استاکس‌نت شناسایی می‌شود و هشدار نهایی تولید می‌شود.

سطح مدیریت امنیت  شبکه کنترل صنعتی و سایبری

با توجه به راهکار جامع و یکپارچه امنیت زیرساخت‌های صنعتی تدوین شده توسط ICSdefender در فاز تشخیص در لایه مدیریت امنیت شبکه زیرساخت مورد نظر، از مرکز عملیات امنیت صنعتی به منظور همبسته‌سازی و گردآوری لاگ‌ها و رویداد‌های امنیتی و کنترل امنیت ورود و خروج اطلاعات و فرآیند‌های صنعتی و همچنین امنیت فیزیکی و پیرامونی و محیطی استفاده می‌شود. 

مرکز عملیات امنیت صنعتی/سایبری

مرکز عملیات امنیت صنعتی/سایبری (ISOC)، مکانی جهت پایش و کنترل ۲۴ ساعته امنیت ورود و خروج اطلاعات در شبکه صنعتی و سایبری و بعنوان بخش مرکزی جهت دریافت گزارشات امنیتی، تحلیل وقایع، اتخاذ تدابیر و اعمال سیاست‌های امنیتی بر روی بخش‌های مختلف شبکه صنعتی و سایبری می‌باشد. تمامی تجهیزات که در لایه‌های متفاوت کار می‌کنند، وقایع رخ داده شده توسط اطلاعات انتقالی را برای مرکز عملیات امنیت صنعتی/سایبری ارسال نموده و این بخش بعد از جمع آوری اطلاعات و آنالیز، آنها را دسته بندی کرده و در اختیار مسئولین مربوطه قرار می‌دهد و یا در مواردی عکس العمل های مورد نیاز را انجام می‌دهد و فرمان جلوگیری از انتقال اطلاعات را به تجهیزات مربوطه ارسال می‌کند. البته پیاده‌سازی و طراحی یک ISOC بنا به اقتضائاتی که در شکل زیر آورده شده است در هر زیرساخت و سازمان متفاوت است. با در نظر گرفتن تمامی این موارد ایجاد یک مرکز عملیات امنیت صنعتی/سایبری هدفمندتر خواهد بود. در این راستا مواردی که باید در پیاده‌سازی مرکز عملیات امنیت صنعتی/سایبری در نظر گرفته شود، سه سطح عمده  است که با کمک ابزارهای متنوع امنیتی اقدام به کنترل تمامی موارد می‌نماید. این سطوح عبارتند از:

  • سطح اول: در سطح اول، کارشناسان گروه امنیت سایبری و امنیت کنترل صنعتی مسئول پاسخگویی به اخطارهای دریافتی از سیستم‌های کاربران می‌باشند. در 3این سطح، به کلیه اخطارهایی که از پیچیدگی پایینتری برخوردارند، پاسخ داده می‌شود.

  • سطح دوم: در این سطح، کارشناسان سطح بالاتر امنیت صنعتی و سایبری، مسئول پاسخگویی به مشکلات پیچیده‌تر در سیستم‌های امنیتی شبکه، شبکه صنعتی و نرم‌افزار‌های مربوطه می‌باشند. برای اخطارهایی که از اهمیت بالایی برخوردارند، سیستم‌های سطح دوم به طور کامل درگیر می‌شوند.

  • سطح سوم: در این سطح، کارشناسان ارشد و مشاوران با تجربه امنیت صنعتی و سایبری، سیاست‌های امنیت شبکه سازمان را وضع نموده و کلیه تدابیر امنیتی و مدیریتی زیرساخت را مشخص و تبیین می نمایند. این سطح در حقیقت، پشتیبان دو سطح قبلی است. در صورتی که به اشکالات امنیتی در دو سطح فوق پاسخ داده نشود، کارشناسان و سیستم‌های این سطح، درگیر می‌شوند.

شکل(1): چرخه پیاده‌سازی و قابلیت‌های مرکز عملیات امنیت صنعتی /سایبری

در طراحي مراكز امنيت شبكه صنعتی و سایبری، متدلوژي‌هاي مختلفي مطرح مي‌باشد. با اين حال پايه همه روش‌ها بر اساس تركيب تكنولوژي، نيروي انساني، فرآيندها در هسته‌ی فعاليت مركز امنيت و احاطه‌ی آن توسط فرآيندهاي اجرايي مي‌باشد. اين فرآيندهای اجرایی شامل برنامه‌ريزي، طراحي، پياده‌سازي، عملياتي نمودن و توسعه مركز امنيت شبكه صنعتی و سایبری مي‌باشد. لايه بعدي در طراحي مرکز ISOC ، شامل ابزارها و معيارهايي است كه از طريق آن‌ها خدمات ارائه شده ارزيابي مي‌گردند. اين ابزارها و معيارها شامل چشم‌انداز، منابع، زمان، هزينه، ارتباطات و ريسك‌هاي موجود در راه اندازي ISOC مي‌باشد. نكته قابل‌توجه در طراحي يك ISOC در زیرساختی که به لحاظ امنیت اطلاعات، کاری صورت نگرفته است؛ انعطاف‌پذيريِ متدولوژي طراحي آن است كه به واسطه آن مي‌توان براي هر يك از مشتريان، بر اساس سرويس‌هاي مورد نياز، راه حل خاصي براي مديريت امنيت شبكه صنعتی و سایبری ارایه نمود. در هر يك از سطوح مطرح‌ شده، ابزاري براي مديريت سيستم‌هاي امنيتي درنظر گرفته مي‌شود. اين ابزارها امنيت شبكه صنعتی و سایبری را از دو ديدگاه درون سازماني و برون‌سازماني مورد بررسي قرار مي‌دهند. براي اين منظور، هر ISOC شامل تجهيزاتی در داخل شبكه سایبری و کنترل صنعتی و يك سري تجهيزات در خود مركز مي‌باشد. همه سرويس‌هايي كه در مراكز ISOC ارائه مي‌گردند، تحت نظارت و مديريت شده هستند. ديگر سرويس‌هايي كه می‌توان از طريق راه‌اندازی مراكز ISOC در زیرساخت‌‌هایی که موارد امنیتی در آنها صورت نگرفته است ارائه داد، به شرح زير مي‌باشد:

  • ارزیابی و توسعه سياست‌هاي امنيتي‌

  • آموزش مباحث امنيتي

  • ایجاد ساختاری برای ارتباطات درون شبکه امنیت(بلیط)

  • تنظیم و پیکربندی Firewall ها و سیستم‌های تشخیص نفوذ منطبق بر اصول دفاع در عمق و نوع شبکه و فرآیند صنعتی

  • پاسخگويي آني‌ و ارتباط با واحد خاموشی ضروری

  • تشخیص حملات APT با استفاده از ماژول‌های مختلف

  • مقابله با خطرات و پياده‌سازي آنها

به منظور مرتفع‌سازي موارد فوق و متمرکزکردن نيازهاي امنيتي سازمان‌‌ها، موتور همبستگي‌سنجي در کنار پايگاه دانش و سامانه ثبت رويدادها در يک مرکز عمليات امنيت صنعتی/سایبری توصيه مي‌گردد، اما در ساده‌‌‌‌ترين و بديهي‌‌‌‌ترين تعريف مي‌توان بیان نمود که يک موتور همبستگي‌سنجي رخداد دقيقاً عملی را انجام می‌دهد که از معناي لغت همبستگي‌سنجي برداشت مي‌‌‌‌شود. در واقع رخدادها را به گونه‌‌‌‌اي به يکديگر مرتبط مي‌‌‌‌کند که معناي جديدي از آن‌ها استخراج شود. گاهي حجم رخدادها به قدري زياد است که تحليل اين حجم از اطلاعات، با اشکالات زیادی همراه است. در اين گونه موارد، کارکرد موتور همبستگي‌سنجي مي‌تواند به گونه‌‌‌‌اي باشد که حجم زياد اطلاعات را به اندازه‌‌‌‌اي کم کند که قابليت مديريت شدن را بدست آورد. همچنین، مي‌تواند به تشخيص فعاليت‌‌‌‌هاي خرابکارانه در نمايي بالاتر و انتزاعي، متفاوت‌‌‌‌‌‌‌‌ با سطح تحليل هر رخداد منفرد دست پيدا کند. در ادامه به بررسي و توضيح جریان کار و مولفههای مرکز عملیات امنیت صنعتی/سایبری پرداخته و در انتهای این بخش، مهمترین مولفه‌ی مرکز عملیات امنیت صنعتی/سایبری یعنی ISIEM که در واقع قلب تپنده مرکز عملیات امنیت صنعتی/سایبری محسوب می‌شود، مي‌پردازيم.

معماری مرکز عملیات امنیت صنعتی/سایبری

این معماری شامل کلیه ماژول‌‌های نرم‌افزاری و سخت‌افزاری مورد نیاز جهت راه‌اندازی یک مرکز عملیات امنیت صنعتی/سایبری و همچنین تعریف و سفارشی‌‌سازی فرآیندهای داخلی آن و نیز پرورش نیروی انسانی متخصص جهت راهبری سامانه می‌باشد. این معماری کاملاً به صورت بومی پیاده‌سازی شده و قابلیت توسعه‌‌پذیری و سفارشی شدن بر اساس نظر کارفرما را داراست. در فصل‌‌های آتی، اجزای این معماری معرفی می‌گردد. بخش اول از معرفی زیربخش‌های این معماری اختصاص یافته است به لایه نرم‌افزاری اصلی یک مرکز عملیات امنیت سایبری/صنعتی که به طور معمول به آن ISIEM گفته می‌شود. مهم‌ترين ويژگي‌هاي کيفي که معماری مرکز عملیات امنیت صنعتی/سایبری تضمین مي‌کند عبارتند از بلادرنگ بودن، توسعه‌پذيري، واحدمندي، کارايي بالا براي پردازش هشدارها با نرخ ورود بسيار بالا و يکپارچگي. این ویژگی‌های کیفی توسط مؤلفه‌هاي مهم سيستم که شامل: جمع‌کننده، عامل، واسط کاربري، مؤلفه مديريت داده، همبستگي‌سنجي، پايگاه دانش و هوش امنیتی مي‌باشند تامین می‌شود که در ادامه به آن پرداخته شده است.

مولفه‌های معماری مرکز عملیات امنیت صنعتی/سایبری

بعد از معرفی اجمالی مرکز عملیات امنیت صنعتی/سایبری، در این بخش به محصول بومی شرکت امن‌‌‌افزار گستر شریف به نام "پرهام صنعتی (پردازشگر هشدارهای امنیتی)" به عنوان مهمترین محصول لایه نرم‌افزاری مرکز عملیات امنیت صنعتی/سایبری پرداخته می‌شود. در ادامه مولفه‌‌‌های مستقل معماری مرکز عملیات امنیت صنعتی/سایبری که در کنار پرهام سرویس‌‌‌دهی می‌‌‌کنند معرفی شده و در آخر ویژگی‌های کیفی این معماری بیان می‌گردد. مؤلفه‌هاي معماری سیستم همبستگي‌سنجي SIEM صنعتی عبارتند از:

  • ارسال کننده‌گان و سنسورها

  • مدیریت حسگرها

  • موتور همبستگی

  • پايگاه دانش 

  • مدير داده 

  • پایگاه داده‌ها

  • واسط کاربري

در نهایت زیرساخت کنترل صنعتی و یا OT و یا ICS و یا به اصطلاح عوام شبکه اسکادا با استفاده از تجهیزات تشخیصی مسقر شده در تمامی سه لایه تشخیصی، کنترلی و مدیریتی، قابلیت‌های فراوانی را در اختیار سازمان مربوطه قرار می‌دهد و به مسئولین قابلیت کنترل امنیت در زیرساخت‌های حساس و حیاتی را می‌دهد. زیرساخت مذکور بعد از پیاده‌سازی فاز سوم از راهکار جامع و یکپارچه امنیت زیرساخت‌های کنترل صنعتی تدوین شده توسط ICSdefender همانند تصویر زیر خواهد بود.

 

 

ورود به سامانه

نام کاربری
گذر واژه
کد امنیتی

شبکه های اجتماعی

ما را در شبکه های اجتماعی دنبال کنید