ICSdefender.ir

شناسایی و ارزیابی

مقدمه

این فاز شامل سه مرحله می‌باشد که در هر کدام از بخش‌های آن نسبت به رویکرد راهکار جامع امنیت زیرساخت‌های صنعتی، مواردی مورد ارزیابی و یا بازرسی قرار می‌گیرد، اولین بخش مربوط به بازرسی امنیت پیرامونی است که نسبت به محیط پیرامونی زیرساخت صنعتی(درون سایت و بیرون سایت) است صورت می‌گیرد. خروجی این بخش روش‌هایی برای امن‌سازی پیرامون زیرساخت صنعتی با نگاه لایه‌بندی و لحاظ نمودن مباحث دفاع در عمق می‌باشد. مرحله بعدی مربوط به ارزیابی سیاست‌های امنیتی اعمال شده در زیرساخت صنعتی/سایبری می‌باشد. که این ارزیابی با توجه به سوالاتی که از استاندارد‌های مطرح در این حوزه استخراج شده است، توسط ابزار ارزیابی سیاست‌های امنیت زیرساخت‌های صنعتی/سایبری صورت می‌گیرد. خروجی این مرحله امن‌سازی سیاست‌های امنیتی اعمال شده در زیرساخت صنعتی/سایبری است که با توجه به راه‌کارهای پیشنهادی مطرح شده در گزارش ابزار صورت می‌گیرد. مرحله سوم این فاز تست نفوذ در زیرساخت صنعتی/سایبری است که برای انجام آن نیاز به عدم استفاده از بخشی از زیرساخت و یا استفاده از آزمایشگاه و یا تست بر روی سیستم رآیند موازی پیشنهاد می‌شود. با توجه به یکسان بودن تجهیزات در زیرساخت‌های صنعتی در بخش فرآیند، کنترل و نظارت می‌توان خروجی‌های این بخش را نسبت به تمام زیرساخت تعمیم داد.

پس به طور خلاصه می‌توان گفت فاز اول راهکار جامع و یکپارچه امنیت زیرساخت‌های صنعتی است، سه فعالیت گسترده را در دل خود جا داده است. این سه فاز شامل موارد زیر می‌باشند:

  • بازرسی امنیت فیزیکی، پیرامونی و محیطی

  • ارزیابی سیاست‌های امنیتی در زیرسا‌خت صنعتی مورد نظر

  • تست‌نفوذ شبکه صنعتی و سایبری(با در نظر گرفتن مخاطرات پیش‌رو و در صورت امکان)

در ادامه سعی بر آن است عمده مواردی که در هر کدام از سه فاز بیان شده بررسی می‌شود، معرفی گردد و نکاتی در مورد آنها ذکر شود. البته لازم به ذکر است تمامی محتوای مورد نظر از حوصله مخاطبان خارج است و تنها سعی بر آن است نوع فعالیت شرح داده شود.

بازرسی امنیت فیزیکی، پیرامونی و محیطی منطبق بر اسناد NIST و ISA

یکی از راه‌­های پیشگیری و ایجاد مانع برای به وجود آمدن چنین اختلالاتی ایجاد و استفاده از استاندارهایی مطمئن است تا سازمان‌­ها و مراکز مورد نظر با استفاده از آن­ها آسیب­‌پذیری‌­های بالقوه سازمان خود را از بین ببرند. این استاندارد­ها باعث به وجود آمدن سازوکاری یکپارچه می‌­شود که در پیشبرد اهداف امنیتی سازمان‌­ها بسیار مفید خواهند بود. استانداردهاي امنيت فضاي تبادل اطلاعات، استانداردهايي هستند که به سازمان­ها توانايي اجراي سياست­‌ها و تکنيک­‌هايي را مي‌­دهند که تعداد حملات موفق فضاي تبادل را به حداقل مي‌­­رسانند. در واقع اين راهنماها يك چارچوب امنيتي كلي و يك سري تكنيك­‌هاي تخصصی­‌تر را براي پياده‌‌سازي امنيت فضاي تبادل اطلاعات فراهم مي‌­سازند. براي برخي استانداردهاي خاص، گواهی‌نامه امنيت فضاي تبادل اطلاعات صادر می‌شود كه از مزیت‌های آن توانايي گرفتن بيمه امنيت فضاي تبادل اطلاعات است.

امنيت سایبری براي انواع كاربرانی که در این فضا کار می‌کنند حائز اهميت است. براي مثال افراد عادي به منظور محافظت در برابر سرقت هويت و شركت­‌هاي تجاري نيز براي حفاظت از اسرار تجاري، مالكيت اطلاعات و اطلاعات مربوط به مشتريان و زیرساخت‌­های حیاتی کشور برای حفاظت و دفاع از زیرساخت­‌های حیاتی، نيازمند بستري امن براي تبادل اطلاعات هستند. از طرف ديگر امنيت سایبری براي دولت­‌ها نيز به منظور اطمينان از اطلاعاتي كه در اختيار آن­ها قرار دارد، بسيار مهم تلقي مي­‌شود. با توجه به مطالب بیان شده دو رویکرد شاخص برای ارزیابی امنیت فیزیکی، پیرامونی و محیطی در این بخش از راهکار جامع ICSdefender بررسی می‌شود.

امنیت فیزیکی، پیرامونی و پیکربندی در استاندارد NIST 800-82

در واقع استاندارد NIST 800-82 راهنمایی است برای تاسیس و راه اندازی سیستم‌­های کنترل صنعتی امن که سیستم­‌هایی مانند SCADA،DCS و PLCها جز این سیستم­‌های کنترل صنعتی هستند و غالباً در بخش­‌های صنعتی قابل مشاهده می‌­باشند. سیستم­‌های صنعتی معمولاً در صنایع مختلف از جمله گاز و نفت، آب و فاضل آب و صنایع شیمیایی که جزی از زیر ساخت‌­های حیاتی کشورها به حساب می‌­آیند به کار می‌­روند. برای مثال سیستم­‌های SCADA معمولاً برای دارایی­‌های پراکنده یک مدیریت مرکزی را ایجاد می­کند و قابلیت کنترل امن و نظارت و اکتساب داده را برای این گونه سامانه­‌ها ایجاد می‌­کند. به همین ترتیب هر کدام از انواع دیگر سیستم­‌های کنترلی فعالیت‌­های مختص به خود را انجام می­‌دهند. موسسه ملی استاندارد و فناوری ایالات متحده (NIST) سند sp 800-82 را به منظور پیش برد مسئولیت‌­های قانونی خود تحت نظر مدیریت امنیت اطلاعات فدرال گسترش داده است. موسسه NIST مسئول توسعه استانداردها و راهنمایی‌­هایی می­‌باشد که شامل الزامات حداقلی، جهت تأمین امنیت اطلاعات برای تمامی دارایی­‌ها و فعالیت‌­های همه سازمان­‌ها می­‌باشد.  هدف این بخش از فاز اول ارزیابی امنیت فیزیکی، پیرامونی و محیطی سیستم‌­های کنترل صنعتی که شامل سیست‌م­های کنترل نظارتی و اکتساب داده و ... هستند می­‌باشد و سعی می‌کند تا دیدی کلی از سیستم‌­های کنترل صنعتی و همبندی‌های رایج این سیستم‌­ها و همچنین تهدیدات و آسیب‌­پذیری­‌های مطرح این سیستم‌­ها را فراهم کند و در همین جهت تلاشش می­‌کند تا اقدامات پیشگیرانه‌ای برای کاهش ریسک­‌های مرتبط پیشنهاد دهد.

به دلیل وجود انواع مختلف سیستم­های صنعتی و هم چنین تفاوت­هایی بین سطوح ریسک­‌های بالقوه که این سیستم‌­ها دارند این بخش، لیست متد­های مختلفی را آماده کرده است تا با تکنیک­‌های متفاوت بتوان ICS را امن نمود. این بخش از فاز اول نباید صرفاً به عنوان یک چک لیست برای تضمین امنیت یک سیستم خاص استفاده شود بلکه پیشنهاد می‌شود ارزیابی ریسک انجام شود و با توجه به موقعیت سیستم­‌های آن سازمان نیازهای خاص آن امنیت را تأمین کرد. در ادامه بخش­‌های مهم استاندارد NIST 800-82 در تهیه سندی به منظور پوشش دادند مباحث امنیت فیزیکی و پیرامونی سامانه‌های کنترل و صنعتی مورد استفاده قرار گرفته است.

امنیت فیزیکی، پیرامونی و پیکربندی در استاندارد ISA99

سند ISA-99 استانداردی به منظور ایجاد چارچوب امنیت سامانه‌های کنترل صنعتی می‌باشد. این سند توسط جامعه بین‌المللی اتوماسیون  و با هدف حفاظت سامانه‌های SCADA و کنترل صنعتی تهیه و تنظیم گردیده است. ISA-99 توصیه نامه‌ها و راهکارهای مختلفی را به منظور حفاظت سامانه‌های صنعتی در اختیار قرار می‌دهد. این توصیه نامه بر دو اصل موقعیت فیزیکی و منطقی سامانه‌ها و همچنین میزان اهمیت عملیاتی که انجام می‌دهند، تمرکز دارد. استاندارد ISA-99 توصیه نامه‌هایی را در 7 الزام اساسی  یا به اختصار FR سازماندهی می‌کند. الزامات اساسی در امنیت سامانه‌های صنعتی از نگاه سند مذکور عبارتند از:

1.       کنترل دسترسی  (AC)

2.       کنترل به کار گیری(UC)

3.       صحت داده(DI) 

4.       محرمانگی داده  (DC)

5.       محدود سازی جریان داده (RDF)

6.       پاسخ به موقع به یک رخداد(TRE) 

7.       دسترسی به منبع(RA) 

این استاندارد از یک طرح دفاع درعمق برای برقراری امنیت در سامانه‌های صنعتی را ممکن می‌سازد. ویژگی لایه‌ای طراحی امنیت با استفاده از این استاندارد موجب گردیده تا از آن به عنوان راهکاری مناسب به منظور شناسایی و کنترل تهدیدات سایبری متوجه زیرساخت‌های امنیتی استفاده شود. از مزیت‌های دیگر این استاندارد، طراحی بر اساس جداسازی فیزیکی و منطقی و تقسیم بندی در طراحی و برقراری ارتباطات امن می‌باشد. الزامات اساسی 1 و 2 و 7 در استاندارد ISA99 ناظر بر موضوع این سند می‌باشد که در بخش‌های بعدی از آن‌ها استفاده شده است.

طرح‌ریزی برای امنیت زیرساخت‌های کنترل صنعتی

طرح ریزی و برنامه ریزی به منظور ایجاد امنیت در سیستم‌های فناوری اطلاعات از اساسی‌ترین و ابتدایی‌ترین مراحل تدوین یک طرح امنیتی جامع می‌باشد. سازمان‌های صنعتی نیز به منظور کنترل و مدیریت دارایی‌ها و حفاظت زیرساخت‌ها، نیازمند طرح و برنامه‌ریزی متناسب با نیازهای ایمنی خود می‌باشند. تصمیم به تهیه برنامه‌ و طرح ریزی به منظور برقراری امنیت در سامانه‌های اتوماسیون و کنترل صنعتی از دو جهت متمایز و مهم می‌باشد. یکی بلادرنگ بودن این سامانه‌ها و دیگری میزان زیان ناشی از بد عمل کردن یا مختل شدن آ‌ن‌ها می‌باشد.

در سامانه‌های امنیت صنعتی بلادرنگ بودن یا پاسخ در زمان مناسب از اهمیت بالایی برخوردار است. بلادرنگی در سامانه‌های امنیتی نیازمند ضریب بالای در دسترس بودن سامانه یا در اصطلاح دسترس پذیری بالا می‌باشد. مقایسه سه معیار اساسی امنیت اطلاعات یعنی دسترس‌پذیری، جامعیت و محرمانگی در سامانه‌های فناوری اطلاعاتی و سامانه‌های صنعتی تفاوت اولویت هر یک از این معیارها را در هر دو حوزه نشان می‌دهد.

همان‌طور که در مثلث امنیت اطلاعات مربوط به حوزه صنعتی نمایش داده شده است؛ رابطه سه عامل اصلی در این مثلث مربوط به هر کدام از حوزه‌های صنعتی و فناوری رابطه‌ای معکوس با یکدیگر دارند. دسترس پذیری که در حوزه فناوری اطلاعات که در کم‌ترین اولویت قرار داشت، در سامانه‌های  کنترل صنعتی بالاترین اولویت را دارا می‌باشد. این موضوع به خوبی حساسیت و چالش اصلی در برقراری امنیت سامانه‌های صنعتی را بیان می‌کند. هر گونه تلاش برای برقراری امنیت در این زیرساخت‌ها باید با حفظ معیار دسترس پذیری این سامانه‌ها صورت پذیرد. به عبارت دیگر یک طرح امنیتی مناسب در زیرساخت‌های صنعتی باید به گونه‌ای باشد، ضمن امن سازی سامانه‌ها دسترس‌پذیری آن‌ها را نیز تضمین نماید.

مدل مجرا و منطقه برای امنیت فیزیکی و محیطی

یکی از طرح‌های که برای امنیت سامانه‌های فناوری اطلاعات و تجاری در سطح گسترده استفاده می‌شود، به کارگیری روش جداسازی در شبکه‌ می‌باشد. جداسازی یا تفکیک شبکه در نگاه اول گزینه‌ای بدیهی به منظور حفاظت از شبکه‌هاست. این روش در واقع به نوعی پاک کردن صورت مسئله است. در این روش شبکه‌ای از ماشین‌هایی که قصد ارتباط با یکدیگر را دارند برپا می‌شود. ماشین‌های می‌تواند دارای سیستم عامل‌های متفاوتی باشند. هیچ سرویس متمرکزی از سوی این ماشین‌ها قابل دست‌یابی نیست و دسترسی به خارج شبکه و اینترنت ممکن نیست. در این شبکه ماشین‌ها می‌توانند در بسیاری از سرویس‌ها یا یکدیگر تعامل کنند و از خدمات سرویس فایل و اشتراک گذاری شبکه، انتقال FTP، SSH و Telnet بهره گیرند. اما ارتباط با دنیای بیرون مسدود است. هر ماشین برای ارتباط به با ماشین یا شبکه‌ای خارجی، می‌باید ابتدا خود را از شبکه جداسازی شده خارج کند. روش جداسازی یا تفکیک شبکه، جز در موارد بسیار حساس(نظیر زیرساخت‌های هسته‌ای) توجیه مناسبی ندارد. دو چالش عمده که در این زمینه مطرح می‌شود عبارتند از:

1.  تمایل به تولید و سودآوری تجاری-اقتصادی بیشتر، موجب گردیده اتصالات سامانه‌های کنترل با سامانه‌های تجاری درون سازمانی و برون سازمانی گسترده‌تر شود و در نتیجه استفاده روز افزون از فناوری‌ TCP/IP و Ethernet افزایش یابد. این در حالی ست که رویکرد جداسازی موجب محدود و دشوار شدن روابط تجاری خواهد شد.

2.  روند منزوی کردن شبکه‌های کنترل جداسازی شده به منظور جلوگیری از سرایت بدافزارهای پیشرفته‌ای چون استاکس‌نت تا چه اندازه موثر و توجیه پذیر است؟  محدود سازی ارتباط سامانه‌های تجاری و کنترل برای تأمین امنیت مناسب‌تر است یا اینکه می‌توان ضمن مجتمع سازی و یکپارچه کردن سامانه‌های تجاری و کنترل، امنیت را نیز برقرار کرد.

امنیت فیزیکی و پیرامونی در زیرساخت‌های کنترل صنعتی

امنیت فیزیکی، مجموعه تمهیدات امنیتی است که به منظور اجتناب از دسترسی غیرمجاز به تأسیسات، تجهیزات، منابع و همچنین محافظت پرسنل و اموال از خرابی و خسارت (نظیر جاسوسی، سرقت یا حملات جاسوسی) طراحی می‌گردد. امنیت فیزیکی ساختاری چند لایه از سامانه‌های مستقل از هم می‌باشد. این سامانه‌ها می‌توانند مواردی نظیر نظارت تصویری مدار بسته، نیروهای امنیتی، موانع حفاظتی، قفل کردن، پروتکل‌های کنترل دسترسی و غیره باشند. حفاظت و امنیت فیزیکی و پیرامونی شامل خط مشی‌ها و رویه‌هایی است که موارد نظیر شرایط فیزیکی، جا به جایی و انتقال، کنترل دسترسی، کنترل‌های وضعیت محیط (دما، غلظت و...)، نقاط ورود/خروج و شرایط اضطراری (خاموشی، محافظت برق، روشنایی و آتش سوزی) را پوشش می‌دهد.

کنترل‌های مدیریت امنیت فیزیکی در زیرساخت‌های صنعتی

کنترل‌های امنیتی حوزه فیزیکی و پیرامونی را می‌توان در ناحیه‌های مختلفی در نظر گرفت. در این بخش کنترل‌های فیزیکی و پیرامونی در دو دسته کلی مدیریتی و فنی-فیزیکی آورده می‌شوند. کنترل‌های مدیریتی به سه دسته تقسیم‌بندی می‌شوند. این سه دسته عبارتند از:

  • طرح‌ریزی ملزومات تأسیسات صنعتی

  • مدیریت امنیت تأسیسات صنعتی

  • مدیریت کنترل پرسنل

نحوه حفاظت فیزیکی، پیرامونی از زیرساخت‌های صنعتی

کنترل امنیتی که در خانواده حفاظت فیزیکی و محیطی خط مشی و روش‌هایی برای دسترسی فیزیکی به یک سیستم اطلاعات از جمله تعیین نقاط ورود/خروج، انتقال و غربالگری رسانه معرفی می‌نماید. این کنترل‌ها شامل کنترل برای نظارت بر دسترسی فیزیکی، ثبت ورودها، و مدیریت بازدید کنندگان. این خانواده همچنین شامل کنترل برای استقرار و مدیریت حفاظت اضطراری کنترل مانند خاموش کردن اضطراری سیستم فناوری اطلاعات، تهیه پشتیبان برای قدرت و روشنایی، کنترل دما و رطوبت، و حفاظت در برابر آتش سوزی و آسیب‌های آب است.

اقدامات امنیتی فیزیکی به منظور کاهش خطر از دست دادن تصادفی یا عمدی یا آسیب به دارایی‌های تأسیسات و محیط اطراف آن. محافظت دارایی‌های فیزیکی شامل ابزار و تجهیزات کارخانه، محیط، جامعه اطراف، و مالکیت معنوی، از جمله داده‌های اختصاصی مانند تنظیمات روند و اطلاعات مربوط به مشتری است. استقرار کنترل‌های امنیتی فیزیکی اغلب به محیط، امنیت، نظارت، قانون، و سایر موارد مورد نیاز که باید شناسایی شود می‌پردازد. موضوع استقرار کنترل‌های امنیتی فیزیکی گسترده است و به نوع حفاظت خاصی نیاز است.

ارزیابی سیاست‌های امنیتی در زیرساخت‌‌های صنعتی و سایبری

ابزار جامع ارزیابی سیاست‌های امنیت زیرساخت‌های صنعتی، نرم‌افزاری تحت وب می‌باشد که می‌تواند کاربران و کارشناسان امنیت را  بصورت گام به گام به ارزیابی سیاست‌‌‌های امنیت اعمال شده در زیرساخت‌های کنترل صنعتی هدایت کند. نحوه عملکرد این ابزار به این صورت می‌باشد که کارشنان با در نظر گرفتن زیرساخت مورد ارزیابی، اطلاعاتی از آن را در سطوح مختلف وارد می‌نمایند. پس از ورود اطلاعات، ابزارجامع ارزیابی امنیت صنعتی و سایبری، نقاط منفی اعم از سیاست‌ها، سخت‌افزار‌ها و نرم‌افزارهای پیش‌روی سازمان را در قالب گزارشی همراه با نمودار‌های اختصاصی در هر حوزه نمایش می‌دهد. گزارش نهایی ابزار جامع ارزیابی سیاست‌های امنیت زیرساخت‌های صنعتی همراه با راه‌کارهایی در جهت مرتفع نمودن نواقص زیرساخت مورد بررسی است.

معرفی ابزار

ابزار ارزیابی سیاست‌های امنیتی زیرساخت‌های صنعتی و سایبری از بخش اصلی ورودی، هسته و خروجی تشکیل شده است. همچنین ابزار پیشنهاد شده در این طرح با ارائه یک رویکرد مبتنی بر دفاع پیش‌دستانه  سعی در برقراری امنیت قبل از وقوع حادثه و پیشگیری از نفوذ دارد. در بسیاری از موارد مشاهده در حملات صورت گرفته در سطوح سازمانی و زیرساخت‌های حساس شناسایی حمله پس از حمله عملاً سودمند نیست و در صورت موفقیت آمیز بودن نفوذ، سیاست‌های امنیت شکست خورده و منجر به خسارات جبران ناپذیر وحتی نابودی بخشی از زیرساخت حساس می‌شود. لذا باید علاوه بر مکانیزم‌های کشف حمله و بازیابی وقایع، مکانیزم‌های پیشگیرانه و پیش‌دستانه امنیت نیز در نظر گرفته شود.

ورودی‌ها

یکی از پایه‌های اصلی ابزار جامع ارزیابی سیاست‌های امنیت زیرساخت‌های صنعتی داده‌ها و اطلاعاتی است که مربوط به زیرساخت مورد بررسی می‌باشد. ورودی‌های ابزار جامع ارزیابی سیاست‌های امنیت زیرساخت‌های صنعتی در سه سطح مختلف از کاربر ابزار دریافت می‌شود. هر کدام از این سطوح اهمیت خاص خود را در نتیجه گزارش دارند. با توجه به مطالب عنوان شده این سه سطح عبارتند از:

  • سطح اول (اطلاعات عمومی): در این سطح که در ابتدای ارزیابی اطلاعاتی را از کاربر دریافت می‌کند، مربوط به هویت کاربر ابزار جامع ارزیابی سیاست‌های امنیت زیرساخت‌های صنعتی و همچنین اطلاعاتی در مورد زیرساخت مورد بررسی می‌باشد. یکی از عواملی که در این بخش توسط ابزار از کاربر ابزار درخواست می‌شود، نوع زیرساخت مورد بررسی می‌باشد که شامل انواع زیر می‌باشد.

  • سطح دوم (سیاست‌های سازمان مورد ارزیابی): در این سطح، اطلاعاتی نظیر آسیب‌هایی که به کارکنان سازمان وارد می‌شود و هزینه‌هایی که زیرساخت در اثر حملات سایبری متحمل می‌شود از ارزیاب دریافت می‌شود. با توجه به اطلاعات دریافتی در این سطح، میزان اهمیت و تاثیرات حملات سایبری در دارایی‌های سازمان توسط ابزار جامع ارزیابی سیاست‌های امنیت زیرساخت‌های صنعتی بررسی و تحلیل می‌شود.

  • سطح سوم (بررسی امنیت سیاست‌ها، تجهیزات و سامانه‌های اختصاصی هدف مورد ارزیابی): در این بخش که شامل مجموعه‌ای جامع از سوالات امنیتی در حوزه صنعتی و سایبری می‌باشد، کاربر را ملزم به پاسخ سوالات با انتخاب گزینه‌ای می‌نماید. این سوالات که در پایگاه دانش ابزار قرار دارند، قابل گسترش و ارتقا  با توجه به هدف مورد ارزیابی می‌باشد. در این بخش کاربر قادر به انتخاب یکی از دو پاسخ بله و خیر می‌باشد. و اگر پاسخ خیر باشد علت آن نیز با انتخاب یکی از چهار دلیل (هزینه، دانش، راهکارهای جایگزین، غیر قابل پیاده‌سازی) مشخص می‌کند.

پایگاه دانش

این بخش از ابزار که مربوط به لایه درونی ابزار می‌باشد، شامل سوالات ارزیابی امنیت سایبری و سیستم‌های کنترل صنعتی و راهکارهای امن نمودن آنها می‌باشد. البته با توجه به رویه‌هایی استاندارد، اطلاعات به هنگام رجوع از پایگاه دانش دریافت می‌شود و مورد استفاده قرار می‌گیرد. لازم به ذکر است که پایگاه دانش تولیدی دارای گرایش پویا می‌باشد و قابل گسترش می‌باشد. همچنین می‌توان با استناد به اسناد امنیتی و ساختار‌‌‌های بومی کشور سوالاتی را بصورت اضافه طراحی نمود و در کنار سایر سوالات به آنها پاسخ داد. یکی از مزیت‌های پایگاه دانش ابزار جامع ارزیابی سیاست‌های امنیت زیرساخت‌های صنعتی، قابلیت شیءگرایی آن در محتوا می‌باشد که در تعاریف به آن اشاره شده است.

تضمین سطح امنیت

در این بخش قابلیت تعیین سطح تضمین امنیت مورد نیاز زیر ساخت مورد ارزیابی با استفاده از اطلاعات دریافتی در ورودی سطح دوم به ابزار جامع ارزیابی سیاست‌های امنیت زیرساخت‌های صنعتی افزوده خواهد شد. با تغییر سطح تضمین امنیت تعدد سوالات امنیتی نیز تغییر خواهد کرد. محاسبه سطح تضمین امنیت به دو روش انجام می‌شود. روش اول منطبق بر اسناد NIST و روش دوم بومی می‌باشد، که در جدول زیر اطلاعات مورد نیاز آن بررسی می‌شود.

روش محاسبه سطح تضمین امنیت به حالت عمومی

 

درون محیطی

برون محیطی

نوع زیان

>1000

751-1000

501-750

251-500

101-250

51-100

11-50

1-10

0

>1000

751-1000

501-750

251-500

101-250

51-100

11-50

1-10

0

نفر

انسان

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

جراحت عادی

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

نیاز به بیمارستان

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

مرگ

بیش از  هزار میلیار

ده هزار میلیارد تا یکصد هزار میلیارد

هزار میلیارد تا ده هزار میلیارد

یکصد میلیارد تا هزار میلیارد

ده میلیارد تا یکصد میلیارد

یک  تا ده میلیارد

300 میلیون تا یک میلیارد

300 میلیون

0

بیش از  هزار میلیار

ده هزار میلیارد تا یکصد هزار میلیارد

هزار میلیارد تا ده هزار میلیارد

یکصد میلیارد تا هزار میلیارد

ده میلیارد تا یکصد میلیارد

یک  تا ده میلیارد

300 میلیون تا یک میلیارد

300 میلیون

0

تومان

سرمایه

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

دارایی و سرمایه

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

تاثیر اقتصادی

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

هزینه به محیط زیست

پس از دریافت ورودی‌ها در دو سطح اول، هسته ابزار جامع ارزیابی سیاست‌های امنیت زیرساخت‌های صنعتی با توجه به اطلاعات دریافتی و پاسخ‌های داده شده به سوالات در سطح سوم، قادر به تحلیل وضعیت امنیت صنعتی و سایبری زیرساخت مورد نظر خواهد بود. این تحلیل صرفا با توجه به پاسخ‌‌های داده شده و اطلاعات ورودی توسط کاربر می‌باشد. تحلیل مورد نظر منجر به تولید گزارشات خروجی خواهد شد.

فرایند ارزیابی سیاست‌های امنیت در زیرساخت‌های صنعتی بطور خلاصه

گزارش‌گیری و خروجی

با توجه به پاسخ‌های انتخاب شده در جواب پرسش‌های پایگاه دانش، ابزار جامع امنیت صنعتی و سایبری گزارش‌های متفاوتی را در سطوح مدیریتی مختلف ارائه می‌کند. در ادامه با برخی از گزارش‌های این ابزار آشنا می‌شوید.

  • وضعیت پاسخ‌ها: در این بخش از گزارش اطلاعات آماری از تعداد پاسخ‌ها بله، خیر، راه‌کارهای جایگزین و غیر قابل پیاده‌سازی و همچنین تعداد پرسش‌های بی‌پاسخ ارائه خواهد شد. این بخش از گزارش در دو سطح مدیرست سازمان و مدیریت امنیت ارائه می‌شود.کمکی که این بخش از گزارش به مدیریت سازمان می‌کند به این صورت است که با دانستن اینکه چه تعداد سوال به دلیل نبود دانش، کم‌بود هزینه و یا غیر قابل پیاده‌سازی پاسخ داده شده است می‌تواند علت نواقص و کاستی را مطلع شود.

  • ادوات مورد استفاده در این ارزیابی: در این بخش تعداد و انواع ادواتی که ارزیابی شده‌اند مشخص خواهد شد. این بخش از گزارش در سطح مدیران امنیت، شبکه، ابزار دقیق و سیستم‌های کنترل صنعتی ارائه می‌شود.

  • وضعیت امتیاز‌ها بصورت کلی و به تفکیک: در این بخش از گزارش میزان امتیاز کسب شده بصورت کلی توسط زیرساخت مورد ارزیابی و همچنین ادوات مورد ارزیابی ذکر می‌گردد. . این بخش از گزارش در دو سطح مدیرست سازمان و مدیریت امنیت ارائه می‌شود.

  • نمودارهای درصدی: در این بخش تمامی اطلاعات  و امتیازات کسب شده در ارزیابی بصورت نمودار دایره‌ای بصورت کلی و بصورت تفکیکی نمایش داده‌ خواهد شد.

  • نقاط ضعف و راه حل‌های پیشنهادی: در این بخش از گزارش سعی بر آن است که با توجه به پاسخ‌های داده شده، راهکارهای  پیشنهادی برای برقراری امنیت در هر یک از ادوات مورد ارزیابی ارائه گردد.

تصویری از بخش راهکارهای پیشنهادی در گزارش تولید شده توسط ابزار ارزیابی سیاست‌ها

تست‌تفوذ در زیرساخت‌‌های کنترل صنعتی

با توجه به مطالب بیان شده با پیاده‌سازی فاز اول و دوم راهکار جامع، بسیاری از آسیب‌پذیری‌های فیزیکی و منطقی در زیرساخت صنعتی به حداقل ممکن رسید. اما بسیاری از آسیب‌پذیری‌های موجود در زیرساخت‌های کنترل صنعتی بصورت بالفعل به واسطه عوامل زیر در سیستم وجود دارند:

  • نرم‌افزار‌های مربوط به کنترل و نظارت فرآیند‌ها که یصورت عمومی و برپایه تولید کننده عرضه می‌شوند

  • سخت‌افزارهای مربوط به ارتباطات و کنترل فرآیند‌های صنعتی مانند: PLC، RTU، MTU، DCS و ...

  • پروتکل‌های ارتباطی سایبری و صنعتی که یا بصورت عمومی و استاندارد وجود دارند و یا مربوط به تولید کننده مورد استفاده قرار می‌گیرند.

حال با توجه به بالفعل بودن این آسیب‌پذیری‌ها، تنها راه بررسی، شناسایی و وصله نگاری آنها، انجام فرآیند تست نفوذ در زیرساخت‌های کنترل صنعتی می‌باشد. تست نفوذ فرآيندي شامل استفاده از ابزارها و روش‌هاي مهاجمين براي آزمودن و ارزيابي امنيت سازمان و سامانه‌های آن مي‌باشد. اين تست مي‌تواند به صورت يك فرآيند مجزا و یا قسمتي از فرآيند مديريت مخاطرات امنيت فناوري اطلاعات انجام شود. در عملیات تست نفوذ آزمونگر اقدام به بهره‌برداری از آسیب‌پذیری‌های شناخته شده کرده و به سامانه‌ها ورود پیدا می‌کند. در بسیاری موارد آزمونگر برای نشان داده موفقیت آمیز بودن نفوذپذیری، شواهدی از دسترسی به هدف را ارائه می‌دهد. نتايج ارزشمند تست نفوذ عبارتند از:

  • شناسايي ضعف‌هاي امنيتي

  • تشخيص ميزان نفوذپذيري رخنه‌هاي امنيتي موجود

  • آزمودن عملكرد امنيتي مدير سيستم‌ها و شبكه در سازمان

  • شناسايي چگونگي تغيير ريسك‌هاي امنيتي سطح پايين به سطح پايين

  • شناسايي آسيب‌پذيري‌هاي خاصي از سيستم كه توسط ابزارهاي خودكار قابل شناسايي نيستند

  • ارزيابي و برآورد تأثیرات حملات بر عملكرد سيستم‌ها

  • آزمودن مكانيزم‌ها و تجهيزات دفاعي موجود در شبكه جهت بررسي صحت كاركرد آن‌ها

  • ارائه مستندي براي افزايش بودجه در بخش امنيت اطلاعات

تست نفوذ از منظر فنی کمک بسیاری در نشان دادن نقاط ضعف سازمان ها و سامانه‌های امنیت فناوری اطلاعات در اختیار قرار می‌دهد. اما این شیوه دو اشکال اساسی دارد:

  • هکرها و نفوذگران کارکشته، بسیاری از حملات را منتشر نمی‌کنند. از این رو این شیوه با درصد زیادی متکی بر دانش فرد آزمونگر است. به نحوی که در صورت در دسترسی نبود کد بهره برداری از یک آسیب‌پذیری موجود یا شناخته نشدن آسیب‌پذیری در مرحله ارزیابی آسیب‌پذیری‌ها، ضعف سامانه یا سازمان پوشیده باقی می‌ماند.

  • غیرقابل پیاده سازی بودن آزمون در همه محیط‌ها: آزمون‌های این روش در برخی موارد در بسترهای خاص قابل پیاده سازی نیست. لذا قابلیت فراگیر بودن همه آزمون‌های این شیوه زیر سوال است. مثلا در محیط‌های عملیاتی و کنترل صنعتی اجرای بسیاری از تست‌های نفودپذیری امکان خرابی یا از کار انداختن سامانه‌ها و عملیات در حال انجام مرتبط با آن را به خطر میاندازد که خود باعث بوجود آمدن مخاطرات بعضا غیرقایل پیش بینی می‌شود.

برای پوشش دو اشکال مورد نظر در زیرساخت‌های صنعتی، پیشنهاد می‌شود از الگوی پله‌ای با محتوای چهار بخشی استفاده شود. در این الگو آزمونگرها به چهار تیم تقسیم می‌شوند و هر تیم متناسب با تخصص خود یکی از چهار مسیر را برای کشف آسیب‌پذیری و روشی برای نفوذ استفاده می‌کند. این چهار بخش شامل موارد زیر می‌شود:

  • شبکه کل زیرساخت صنعتی/سایبری

  • سخت‌افزارها و تجهیزات کنترلی در شبکه صنعتی و سایبری

  • نرم‌افزارهای مربوط به شبکه صنعتی/سایبری

  • سامانه‌های تحت وب در شبکه صنعتی/سایبری

لازم به ذکر است در این روش که دیاگرامی مشخصی برای استفاده دارد، در برخی از نقاط تیم‌ها با یافتن آسیب‌پذیری‌ها و کشف روش نفوذ از روش‌های مختلف همدیگر را در آن نقطه نفوذ ملاقات می‌کنند. این روش مشکل پوشش تست در زیرساخت‌ها تامین می‌کند. و البته با توجه به ماهیت کارکرد زیرساخت‌های کنترل صنعتی که بخش اعظمی از زیرساخت‌های حساس و حیاتی کشور را تشکیل می‌دهند، شاید امکان تست‌نفوذ در آن زیرساخت فراهم نباشد که با مشخص کردن یک بخش مجزا که از نظر تجهیزاتی، آمار خوبی نسبت به کل زیرساخت داشته باشد می‌توان این مشکل را نیز برطرف نمود. البته برخی از زیرساخت‌های کشور دارای آزمایشگاه‌های صنعتی/سایبری نیز می‌باشند که برای انجام تست می‌توان از آنها نیز استفاده نمود و گزارش بدست آمده از نتیجه تست‌نفوذ و آسیب‌پذیری‌های کشف شده را برای بهبود امنیت و وصله‌گذاری در کل زیرساخت استفاده نمود.

ورود به سامانه


نام کاربری
گذر واژه
کد امنیتی

شبکه های اجتماعی

ما را در شبکه های اجتماعی دنبال کنید