آیا بدافزارها، تروجان‌ها و APTها در شبکه ICS شما مخفی شده است؟

آیا بدافزارها، تروجان‌ها و APTها در شبکه ICS شما مخفی شده است؟

یشتر سازمان های صنعتی هنوز شبکه های ICS خود را از تهدیدات رایج سایبری که به طور عمده شبکه های IT را هدف قرار می دهند، در نظر می گیرند. با این حال، دو حادثه اخیر استخراج ارز دیجیتال نشان می دهد که شبکه های ICS از نرم افزار ناخواسته "استریل" نیستند. 
علاوه بر این، این واقعیت که این حوادث سایبری در تاسیسات زیرساختی حیاتی در اروپا و روسیه رخ داده است، اسطوره ای را مبنی بر اینکه شبکه های ICS / OT (به جای همتایان IT خود) " air-gapped" هستند و دستگاه های ویندوز و دیگر دستگاه ها در این شبکه ها از بدافزار و سایر تهدیدات سایبری محافظت می شوند.
به طور خلاصه، دو رخداد استخراج ارز دیجیتال در اروپا و روسیه روی داده است. 
اولین حادثه کشف بدافزار استخراج کننده ارز دیجیتال در شبکه ارائه دهنده خدمات آب در اروپا بود. بر اساس گزارش ها، این حمله اولین کشف عمومی یک ماینر غیر مجاز cryptocurrency است که بر روی سرور ICS یا SCADA تاثیر می گذارد.
بدافزاری که پیدا شد در سرور نرم افزار ، Monero  در حال استخراج ارز دیجیتال بود. تحقیقات نشان می دهد که بدافزار استخراج کننده ارز دیجیتال  به احتمال زیاد از یک وب سایت تبلیغاتی مخرب دانلود شده است. این نشان می دهد که اپراتور در  سیستم کنترل و نظارتی زیرساخت حیاتی مربوط به آب در اروپا، قادر بود به گشت و گذار در اینترنت، رسیدن به یک وب سایت خطرناک و کلیک بر روی لینک است که باعث نصب کد ماینر ارز دیجیتال در سیستم شد.
سیستم واقعی که در ابتدا توسط این بدافزار آلوده شده بود، رابط کاربری انسان (HMI) برای شبکه SCADA بود.نرم افزارهای HMI در سیستم عامل مایکروسافت ویندوز ایکس پی اجرا شده بود، که در آوریل 2014 پشتیبانی از آن به پایان رسیده بود. شایان ذکر است که استفاده از سیستم عامل های قدیمی و غیرقابل استفاده در محیط SCADA رایج است، که ترجیح می دهند از به روز رسانی سیستم عامل و پچ کردن به علت نگرانی های پایداری عملیاتی اجتناب کنند.
تأثیر اصلی طرح های استخراج بیتکوین، که منابع محاسباتی قابل توجهی را مصرف می کند، کاهش عملکرد سیستم می باشد. یک خطر اضافی این است که نرم افزارهای مخرب از نقطه شروع سرایت به سایر سیستم های موجود در شبکه ICS و منابع اضافی مصرف کنند.

مورد دوم در روسیه رخ داد، جایی که چند دانشمند در یک تسهیلات کلاهکی هسته ای روسی کاملا محرمانه کار می کنند در اوایل فوریه برای استخراج ارز دیچیتال دستگیر شدند. براساس گزارش ها، این کارکنان سعی کردند از یکی از قدرتمندترین ابر رایانه های روسیه برای استخراج بیت کوین استفاده کنند؛ این روند نیاز به منابع محاسباتی و انرژی زیادی دارد. این تنها زمانی یافت می شود که دانشمندان تلاش کردند سوپر کامپیوتر را به اینترنت متصل کنند، که مخاطرات را در بخش امنیت هسته ای افزایش می‌دهند. سیاست امنیتی چنین اتصال اینترنتی را برای رفع خطر نفوذ ممنوع کرده است.
1. شبکه های کنترل صنعتی قابل دسترسی هستند
ده سال پیش، این air-gap مانند یک استراتژی بدون خطا و شکست به نظر می رسید: ایجاد شکاف فیزیکی بین شبکه ICS و دیگر نقاط، بنابراین هیچ راهی برای نفوذ سایبری و ایجاد تهدید و مخاطره در این حوزه وجود ندارد. این استراتژی دیگر مناسب نیست. سازمان های صنعتی به فناوری های جدید متصل شده‌اند. مانند استفاده از دستگاه های IIoT در جهت افزایش کارایی و تولید. این تکنولوژی ها مرز بین شبکه های IT و OT تقریبا از بین می‌برند.
پس حتی اگر شما موفق به جداسازی کامل شبکه ICS شوید، هنوز در معرض تهدیدها قرار دارید. این نوع تهدید از افراد غیر مجاز گرفته تا یک کارمند بی دقت که یک دستگاه تلفن همراه آلوده به بدافزار یا یک درایو USB را به دستگاه ویندوز متصل می کند.

2. شبکه های کنترل صنعتی به خوبی اداره نمی شوند

با توجه به خطرات موجود، می توان تصور کرد که شبکه های کنترل صنعتی به خوبی در برابر نفوذ بدافزارهای پیشرفته و مانا، مدیریت و "استریل" نمیشوند. برای بهبود امنیت شبکه در زیرساخت‌های حساس و حیاتی، سازمان های صنعتی باید ارزیابی آسیب پذیری های دوره ای، وصله کردن و فهرست کردن نرم افزارهای نصب شده بر روی دستگاه های ویندوز را مکرراً انجام دهند.

3. با توجه به عدم تدابیر حفاظتی، شبکه های صنعتی در معرض خطری جدی قرار دارند. در حالی که همیشه وصله کردن ماشینهای مبتنی بر ویندوز، بهترین روش استاندارد در دنیای فناوری اطلاعات است، در مورد ICS اینطور نیست. ایستگاه های کاری اپراتور ممکن است در فرایندهایی مداوم دخیل باشند که نمی توانند قطع شوند. برای مثال در شرکت های نفتی و گازی  تقریبا غیر ممکن است که یک خط لوله یا توربین را خاموش کنید تا سیستم های پشتیبانی را پاکسازی کنید. ثبات سیستم و ایمنی نگرانی های بزرگی  در این زیرساخت‌ها است.
خطر امنیتی ذاتی این است که اپراتورهای ناامن و ایستگاه های کاری مهندسی در سیستم عامل های ویندوز توسط حمله بدافزار مورد سوء استفاده قرار می گیرند. سپس می توان از ایستگاه های کاری آسیب دیده برای ارسال دستورالعمل های مخرب به کنترل کننده ها، ایجاد اختلال در عملیات تولید استفاده کرد.
گفته می شود که هنگام به خطر انداختن یک شبکه ICS، هک کردن ماشین های ویندوز در واقع سخت تر از دسترسی به کنترل کننده ها است که معمولا با احراز هویت، رمزگذاری، مجوز یا سایر مکانیزم های امنیتی محافظت نمی شوند. به همین دلیل ما بر این باوریم که تهدیدات خاص ICS، مانند بدافزار تریتون، در گذر زمان پیشرفت خواهند کرد.
برای محافظت از شبکه های ICS خود در برابر حملات پیشرفته و مانای سایبری و اطمینان از اینکه بدافزار و یا برنامه ناخواسته راه خود را به ماشین های ویندوز نمی رساند، زیرساخت های حیاتی و سازمان های صنعتی نیازمند مدیریت بهتر در موجودی دارایی های خود هستند.
برای ایجاد یک استراتژی امنیتی موثر، باید از سازندگان، مدل ها، نسخه های سیستم عامل، آخرین وصلههای اعمال شده و پیکربندی فعلی برای هر شی در شبکه خود مطلع باشند. این مهم، شامل کنترل کننده های اتوماسیون (PLC ها، RTU ها یا کنترل کننده های DCS)  که مسئولیت مدیریت فرآیندهای فیزیکی را بر عهده دارند، و همچنین سرورهای ویندوز مورد استفاده توسط اپراتورها نیز می‌شود. در واقع با ترکیب کشف دارایی خودکار با ابزارهای تشخیص و تحلیل فعال، سازمان های صنعتی می توانند شبکه های ICS خود را از تهدیدات سایبری خارجی و داخلی محافظت کنند.

مولف: زهرا محمودی

کد: 50016257

زمان انتشار: جمعه 19 مرداد 1397 02:18 ب.ظ

منبع: Indegy

تعداد نمایش: 76

ورود به سامانه


نام کاربری
گذر واژه
کد امنیتی

شبکه های اجتماعی

ما را در شبکه های اجتماعی دنبال کنید