معرفی

سیستم های اسکادا که زیرساخت‌های ملی و حیاتی (CNI) را نظارت و کنترل می‌کنند، به علت همگرایی‌شان با بسترTCP / IP و شبکه های دیگر برای کنترل کارآمد، به طور فزاینده ای در حال تبدیل به هدف حملات سایبری پیشرفته می‌باشند. هنگامی که یک حادثه در زیرساخت‌های کنترل صنعتی رخ می‌دهد، عواقب آن می‌تواند با داشتن تاثیر بر محیط زیست، اقتصاد و زندگی انسان فاجعه بار باشد به همین علت تحقیقات جرم شناسی و پی بردن به علت و منشا حادثه، امری اجتناب ناپذیر است. جرم‌شناسی سیستم اسکادا یک فرایند اساسی در چرخه عمر امنیت سایبری است که نه تنها در شناسایی علت حادثه و کسانی که مسئولند کمک می‌کند، بلکه باعث بهبود امنیت سیستم های آینده نیز می‌شود. این مقاله یک طبقه بندی جامع جرم‌شناسی از سیستم اسکادا با رویکرد مدل واکنش تصادفی فراهم می کند.

مقدمه

سیستم های اسکادا (کنترل نظارتی و اکتساب داده ها) مسئول نظارت و کنترل بسیاری از زیرساخت‌های حیاتی کشور هستند. آنها در میان سیستم های توزیع و سیستم های کنترل صنعتی که در پالایشگاه های نفت، شبکه های قدرت، نیروگاه‌های هسته‌ای، و توزیع آب یافت می‌شوند، همچنین در زمینه حمل و نقل مانند راه آهن، خطوط هوایی و چراغ های ترافیک نیز رایج هستند. بسیاری از این سیستم‌ها دهه‌های پیش در شبکه‌های بسته با تمرکز بر در دسترس بودن اطلاعات اما نه لزوما امن و محرمانه بودنشان طراحی و اجرا شدند. امروزه، مرز سیستم‌های اسکادا با شبکه داخلی سازمان‌ها و اینترنت بسیار کم شده است و با برقراری ارتباط از طریق بستر TCP/IPبا استفاده از رسانه‌های کابلی، فیبر نوری، بدون سیم و بلوتوث به هم متصل می‌شوند، تا فرایند کنترل و نظارت کارآمد تری را امکان پذیر سازند. با توجه به نقشی که سیستم‌های اسکادا در زیرساخت‌های حیاتی ایفا می‌کنند، برای آنها ضروری است که به طور مداوم و بدون وقفه فعالیت کنند. در نتیجه، بسیاری از این سیستم‌ها با قرارگیری در محیط مدرن‌تر از نظر تکنولوژی ارتباطی باعث بروز آسیب‌پذیری در زیرساخت کنترل صنعتی می‌شوند که این مهم در نهایت می‌تواند منجر به حملات خارجی نیز شود.

اولین حملات ثبت شده در سیستم‌های کنترل صنعتی به سال 1982برمی‌گردد، که در آن زمان یک اسب تروجان مسئول انفجار خط لوله گاز ترانس سیبری بود، در سال‌های اخیر شاهد افزایش چشمگیر تعداد حملات اختصاصی در سیستم‌های اسکادا بوده‌ایم. استاکس‌نت(Stuxnet) که توسط برخی به عنوان اولین سلاح سایبری جهان شرح داده شده، یک راهنمای شگفت‌آور برای تمام متخصین امنیت سایبری جهان بود. دوکو، فلیم، گاوس و وایپر فقط چند نمونه از حملات پیچیده طراحی شده برای خرابکاری و بهره‌برداری از سیستم‌های اسکادا خاص بوده‌اند. در سالهای اخیر تلاش متمرکزی برای بهبود آگاهی و توسعه امنیت سایبری در سیستمهای کنترل صنعتی و اسکادا با پروژه‌هایی نظیر CockpitCI (کروز و همکاران 2014 ) و VIKING (بیورکمان 2010) و همچنین توسعه هایی در استانداردهای امنیتی ICS و توصیه هایی مانند ISA-99 و IEC 62443 صورت گرفته است.

هر گاه حمله‌ای به شبکه و یا حادثه‌ای در زیرساخت‌های حیاتی و یا سیستم‌های کنترل صنعتی رخ دهد، ضروری است که جرم‌شناسی صورت گیرد. با این حال، روش‌های سنتی جرم‌شناسی کامپیوتر نمی‌تواند به سادگی در سیستم‌های اسکادا استفاده شود زیرا تجهیزات استفاده شده در این زیرساخت‌ها بسیار متفاوت است. بنابراین، نیاز به توسعه یک برنامه پاسخ به حادثه در قالب جرم‌شناسی اسکادا وجود دارد.

طبقه‌بندی جرم‌شناسی در سیستم‌های اسکادا

جرم‌شناسی سنتی و اسکادا

تحقیقات جرم‌شناسی از یک سیستم مرسوم IT شامل جمع آوری آثار به جا مانده از منابع داده‌های فرار و غیر فرار در آن شبکه یا محیط می‌باشد. اگر چه همان اطلاعات را نیز می‌توان برای فرایند جرم‌شناسی در زیرساخت‌های کنترل صنعتی استفاده کرد ولی ویژگی‌ها و دلایل بسیاری وجود دارد که استفاده از ابزارها و تکنیک‌های مرسوم جرم‌شناسی در زیرساخت‌های کنترل صنعتی را تا حدی محدود می‌نماید. یکی از دلایل این امر، استفاده از تجهیزات اختصاصی در اینگونه زیرساخت‌ها است. نرخ تغییر و ارتقای سیستم‌ها برای یک سیستم مرسوم IT ممکن است برای مثال، بین سه تا پنج سال باشد. در طول این دوره، نرم‌افزار، سخت‌افزار، شبکه‌ها و ارتباطات با توجه به نیازهای کسب و کار و تکنولوژی جدید به احتمال زیاد به روز شده است. در سیستم اسکادا نرخ تغییرات بسیار کندتر است. سیستم‌هایی که دهه‌های پیش طراحی شده و استفاده می‌شوند باید کنار گذاشته می‌شدند ولی دست نخورده و آسیب‌پذیر به طور مداوم در چرخه فعالیت قرار دارند. در نتیجه بسیاری از زیرساخت‌های اسکادا شامل اجزای اخصاصی و قدیمی هستند که دیگر پشتیبانی نمی‌شوند و در مقایسه با سیستم‌های IT مرسوم از پروتکل‌های اختصاصی به جای پروتکل‌های استاندارد استفاده می‌کنند.

چالش هایی برای کارشناسان جرم‌شناسی در زیرساخت‌های کنترل صنعتی

چالش‌های خاصی پیش روی محقق جرم‌شناسی اسکادا است که شامل موارد ذیل می‌شود:

جرم‌شناسی live : با توجه به نقش سیستم‌های کنترل صنعتی در فرآیندهای حیاتی اکثر سیستم‌های اسکادا به سادگی نمی‌توانند قطع شوند و مورد تجزیه و تحلیل قرار بگیرند. بنابراین تجزیه و تحلیل جرم‌شناسی live مورد نیاز است، در حالی که سیستم و دستگاه‌های در حال اجرای فرآیندها هستند.

پاسخ سریع : زمانی که یک حادثه رخ می‌دهد شواهد جرم‌شناسی در اوج خود خواهد بود. با گذشت زمان شواهد بالقوه ممکن است توسط فرایندهای جدید بازنویسی شوند بنابراین نیاز به پاسخ فوری ضروری است. البته این امر ممکن است کمی مشکل باشد زمانی که متوجه می‌شوید، سیستم‌های اسکادا هزاران کیلومتر مربع را با صدها تجهیز سطح فیلد پوشش می‌دهد.

یکپارچگی و صحت : شواهد دیجیتال به طور معمول با تطبیق مقدار hash شواهد اصلی در برابر کپی به دست آمده بازبینی می‌شوند. یک از چالش‌های جرم‌شناسی در سیستم‌‌های کنترل صنعتی چک کردن اعتبار داده است زیرا از آنجایی که سیستم live باقی می‌ماند و داده‌ها به طور مداوم در حال بروز رسانی‌اند، وضعیت داده‌ها را از شروع فرایند کپی کردن به تکمیل یک hash محاسبه شده تغییر می‌یابد و در نتیجه hash مورد نظر غیر قابل استفاده است.

لاگ های مربوط به حادثه و قابلیت استفاده از آنها : گزارش‌گیری موثر در کنار جدول‌ زمانی رویداد‌های صورت گرفته می‌تواند به طور قابل توجهی در تحقیقات جرم‌شناسی کمک کند. اما متاسفانه اغلب اوقات تجهیزات سیستم‌های کنترل صنعتی فضای کافی برای نگه‌داری لاگ‌ها ندارند و یا در ابتدای راه‌اندازی تجهیز غیرفعال شده‌اند

فقدان ابزارهای جرم‌شناسی اسکادا : تحقیقات صورت گرفته بر نبودن ابزار و روش‌های اکتساب داده‌ها صحه می‌گذارد. البته ممکن است، تا حدودی، به علت تاثیری که چنین ابزارهایی می‌توانند بر خدمات live اسکادا و همچنین بسیاری از مسائل دیگر بگذارند از تولید چنین ابزار هایی پیش از این جلوگیری به عمل آمده است.

آمادگی جرم‌شناسی

اثر به جا مانده در جرم‌شناسی اسکادا

اثر به جا مانده به محقق کمک می کند تا دلایل مشکلات را به هم متصل کند و وضعیت فعلی سیستم را که در آن مشکل رخ داده است شناسایی کند. یک اثر به جا مانده می‌تواند در بسیاری از فرمت‌های مختلف و در منبع داده‌های گوناگونی در محیط اسکادا وجود داشته باشد. اثر به جا مانده در اسکادا از نظر مفهومی در سه سطح وجود دارد:

سطح شرکت: اطلاعات دارای محتوای کسب و کار است و برای هدف خاصی طراحی شده به عنوان مثال پروتکل‌های ورود به سیستم(logging)، جدول مسیریابی، ارسال فرمان و غیره

سطح اطلاعات: اطلاعات دارای یک ساختار، یک طول خاص است که برای کمک به محاسبه نیمه عمر یک اثر به جا مانده می‌تواند مورد استفاده قرار گیرد.

سطح فیزیکی : اطلاعات در یک یا چند مولفه فیزیکی وجود داشته باشد.

محدود کردن نوع اثر به جا مانده موردنیاز بر اساس نوع حادثه‌ای که رخ داده است. برای کارشناس جرم‌شناسی یک کلید است و در ادامه بدست آوردن اثر به جا مانده مورد نظر بسیار راه‌گشا می‌باشد. شکل یک سطوحی را توصیف می‌کند که اثر به جا مانده در آنجا می‌تواند وجود داشته باشد، که در آن "الف" سطح شرکت، "ب" سطح اطلاعات "ج" سطح فیزیکی، و خطوط منقطع مسیری است که کارشناس جرم‌شناسی ممکن است مراحل بازیابی و کشف را انجام دهد.

1. سطوح اثر به جا مانده در سیستم‌های اسکادا

هنگامی که یک اثر به جا مانده خاص در سطح شرکت"الف" شناسایی می‌شود یک ساختار منطقی "ب" خواهد داشت و در یک یا چند دارایی فیزیکی"ج" وجود خواهد داشت. اگر ساختار منطقی ناشناخته باشد، کارشناس ممکن است مستقیما به سمت دارایی‌های فیزیکی برود و همه چیز را بازیابی کند (الف به ج)، با این حال، اگر کارشناس قادر به درک ساختار منطقی اثر به جا مانده باشد، دقیقا همان اطلاعاتی و آن دارایی‌های خاص که مورد نیاز است را تعریف می کند (از الف به ب و سپس به ج).

نیمه عمر یک اثر به جا مانده در جرم‌شناسی اسکادا

با فرض این که کارشناس جرم‌شناسی نوع اثر به جا مانده‌ای را که می‌خواهد و دارایی فیزیکی را که بر آن قرار گرفته شناسایی کند، در ادامه نیاز دارد بدانند که اثر به جا مانده چه مدت دوام خواهد داشت که قبل از این که توسط فرآیند جدیدتری بر آن دستگاه بازنویسی و جایگزین شود استفاده مطلوب را از آن ببرد. باتوجه به ماهیت پیچیده، مقیاس منابع ممکن داده‌ها و شبکه‌های مختلف به هم پیوسته در داخل یک سیستم کنترل صنعتی معمولی، محاسبه نیمه عمر داده‌ها برای کل سیستم غیر‌ممکن خواهد بود. نیمه عمر داده‌ها همان طور که به طور چشمگیری از یک سیستم به سیستم دیگر تغییر می‌کند، وابسته به نوع حادثه‌ای که رخ داده و تجهیزی که در آن در حال اجرا نیز می‌باشد وابسته است. به عنوان مثال، اطلاعات در ایستگاه‌های کاری ثبت وقایع بیشتر از ایستگاه‌های کاری مهندسان دوام می‌یابد همچنین آن نیز به نوبه خود به طور قابل توجهی از داده‌های ذخیره شده در یک PLC بیشتردوام می‌یابد. بنابراین، نیم عمر داده‌ها باید در سطحی پایین‌تر برای هر مولفه خاص در آن سیستم کنترل صنعتی شناسایی شود و می‌توان آن را با استفاده از اثرات به جا مانده در سیستم‌های کنترل صنعتی در سطح اطلاعات همراه با دارایی فیزیکی که بر آن را بر ذخیره شده به دست آورد. این موضوع تاثیر بسزایی بر لیست اولویت‌بندی منابعی که در بررسی قرار دارند دارد.

طبقه بندی دارایی

طبقه‌بندی تمامی دارایی‌های زیرساخت بسیار مشکل است زیرا حساسیت در سطوح مختلف بسیار متفاوت است. با این حال می‌توانیم به طبقه‌بندی خاص مولفه‌های درون سیستم اسکادا همانطور که در جدول یک توصیف شده نگاهی بیاندازیم. این امر کارشناس مربوطه را دقیقًا از مناطق و یا دستگاه‌هایی که می‌توانند مورد بررسی قرارگیرند، آگاه می‌کند، آنهایی که می‌توانند خاموش شوند و یا آنهایی که باید حتما روشن باشند نیز در این طبقه‌بندی مشخص می‌شود. طبقه‌بندی دارایی‌ها محقق را در واکنش مناسب و پاسخ به رویداد‌ها در مباحث جرم‌شناسی کمک خواهد کرد.

1. طبقه‌بندی دارایی‌ها در سیستم‌های اسکادا

اولویت‌بندی دارایی‌ها

با توجه به لیست طبقه‌بندی دارایی‌ها و همچنین لیستی از تجهیزات به کار رفته در فرآیند مورد نظر و همچنین نیمه عمر اطلاعات مربوط به آن‌ها پاسخی دقیق‌تر فراهم می‌شود و امکان بازیابی اثر به جا مانده در جرم‌شناسی سیستم‌های کنترل صنعتی را بسیار افزایش می‌دهد.

پیاده سازی سخت افزار جرم‌شناسی اسکادا

به علت قرارگیری برخی از دستگاه‌ها در طبقه‌بندی فعال تمام وقت، ممکن است دسترسی فیزیکی به برخی از دارایی‌ها محدود شود، به این معنی که کارشناس جرم‌شناسی قادر به بررسی آنها نیست. همچنین ممکن است که یک دستگاه خاص اثرگذار در مسیر جرم‌شناسی، هزاران مایل دورتر واقع شده باشد و تا زمان رسیدن اطلاعات به کارشناس جرم‌شناسی، داده‌های جدیدی در آن بازنویسی شده باشد.

برای غلبه بر این حالت، می‌توان از یک قطعه سخت‌افزاری در جرم‌شناسی استفاده نمود که بر هر یک از دستگاه‌های مورد نظر به منظور بهبود در دسترس بودن و بازیابی اطلاعات پیاده‌سازی شود، که بسیار شبیه به جعبه سیاه هواپیما در تحقیق یک فاجعه استفاده می‌شود. یک سیستم اسکادای معمولی به طور بالقوه می‌تواند هزاران PLC را شامل شود و نتیجه به کارگیری از چنین دستگاهی می‌تواند هزینه هنگفتی را رقم زند. ولی برای صرفه اقتصادی بیشتر می‌توان آنها را برای دستگاه‌های میانی و یا دستگاه‌هایی که اطلاعات آنها بیشتر راهگشا است و یا دستگاه‌‌هایی که نیمه عمر اطلاعات آنها کوتاه است در نظر گرفت.

سخت‌افزار جرم‌شناسی می‌تواند به عنوان دستگاه سخت‌افزاری که داده‌ها را ضبط می‌کند در زیرساخت قرار گیرد. به عنوان مثال، می‌تواند به یک PLC برای جمع آوری و ذخیره داده‌های PLC ، مانند وضعیت حافظه، تغییرات و دستورات صادره متصل شود. سخت‌افزار جرم‌شناسی می‌تواند بوسیله یک SBC (کامپیوتر تک بردی)، مانند Raspberry-Pi توسعه یابد، همچنین با استفاده از منطقه ذخیره‌سازی بسیار بزرگتر از آن که در PLC استفاده می‌شود، طول نیمه عمر داده‌ها را افزایش داد. برای افزایش فضای ذخیره داده‌‌ها نیز می‌توان از حافظه‌های SSD و یا SD استفاده نمود. در صورت استفاده از این نوع حافظه‌ها دیگر نیازی به خاموش نمودن سخت‌افزار نیست و تنها حافظه آن قابل جدا نمودن می‌باشد.

روشگان جرم‌شناسی سیستم‌های کنترل صنعتی در حوادث

روند جرم‌شناسی اسکادا نباید فقط پس از وقوع حادثه‌ای که رخ داده است، اتفاق افتد، بلکه قبل و در طول یک حادثه نیز قابل پیاده‌سازی است. هرچه محقق در مورد یک سیستم اسکادا تحت بررسی دسترسی به اطلاعات دقیق‌تری داشته باشد، سطح شواهد جرم‌شناسی کارا و موثرتر می‌شود. یک روشگان جرم‌شناسی سیستم‌های کنترل صنعتی در حوادث شامل چهار مرحله اصلی است که شامل: آمادگی، تشخیص، تریاژ و پاسخگویی می‌شود. مرحله نهایی به بهبود آماده‌سازی سیستم برای ادامه فرآیند کمک می‌کند.

مرحله اول: آماده‌سازی

اولین مرحله در پاسخ به حوادث زیرساخت‌های حساس و حیاتی و جرم‌شناسی آنها باید قبل از یک حادثه اتفاق بیفتد. این فرآیند شامل برنامه‌ریزی و درک هر نوع سناریو، به منظور واکنش نشان دادن به حوادث می‌باشد. برای اینکه این مهم برآورده شود نیاز به درک معماری اسکادا بیش از پیش مورد نیاز است.

درک معماری اسکادا

از آنجایی که سیستم‌ها از یکدیگر متفاوتند، برای هر سیستم اسکادا مهم است که مستندات دقیق در مورد معماری شبکه‌اش، مولفه‌ها و الزامات داشته باشد. این موضوع باید شامل تمام سخت‌افزارهای مورد استفاده، از جمله برند و مدل و نسخه استفاده شده در آنها، تمام نرم‌افزارهای در حال اجرا بر روی هر دستگاهی در تمام مناطق و تمام نقاط ورودی به شبکه‌ها باشد. اسناد و مدارک جغرافیایی دقیق در مورد مکان میدانی دستگاه و نیمه عمر دستگاه و غیره نیز باید در دسترس یک کارشناس جرم‌شناسی در صورت درخواست باشد.

درک الزامات سیستم

الزامات ویژه نیز باید برای سیستم اسکادا ثبت شود. این امر باید شامل اطلاعاتی از قبیل چه سیستم‌ها و دستگاه‌هایی نیاز است که در حال اجرا باقی بمانند، چه دستگاه‌هایی می‌توانند خاموش باشند و چه دستگاه‌هایی می‌توانند از سیستم پشتیبان خود استفاده کنند می‌شود. همچنین فرآیند جرم‌شناسی باید به طور کامل از طبقه‌بندی دستگاه‌های سیستم اسکادا تحت تحقیق یعنی کسب و کار- بحرانی، ایمنی- بحرانی و غیره آگاه شود.

درک حملات احتمالی

در کنار درک معماری و الزامات آن، برای یک گروه جرم‌شناسی در زیرساخت‌های حساس و حیاتی ضروری است که بدانند چه نوع حملاتی و چگونه میتواند به یک شبکه اسکادا نفوذ کند. با توجه به بررسی‌های صورت گرفته حملات سایبری در زیرساخت‌های حساس و حیاتی از سه طریق به وقوع می‌پیوندد: سخت افزار، نرم افزار و پشته ارتباطی.

حملات سخت افزاری: حملات سخت افزاری می‌تواند یک کاربر غیرمجاز را درگیر کند که دسترسی به دستگاه های میانی و دارایی‌های مربوط به شبکه اسکادا را از طریق دسترسی از راه دور و بدون مجوز بدست آورد. در صورت موفقیت، آنها می‌توانند دستکاری مرزهای آستانه را شروع کنند و باعث شوند یک دستگاه ناامن رفتار کند و یا خاموش شود. در بدافزار استاکسنت این مهم نمایان بود که به صورتی طراحی شده بود که، می‌توانست عملیات و فرآیند سخت افزار PLC در یک شبکه اسکادا را هدف قرار دهد. این اقدامات می‌تواند عواقب فاجعه باری به بار بیاورند . دلیل آن این است که این سیستم‌های برای فرآیند‌های مستمر و دقیق در نظر گرفته شده‌اند که هرگونه خل در رفتار آنها فاجعه‌ای جبران ناپذیر را رقم می‌زند.

از دسترس خارج نمودن:

یک نوع حمله سخت افزار می‌تواند در قالب یک حمله انکار سرویس در PLC باشد. اگر مهاجمی دسترسی از راه دور غیرمجاز به شبکه اسکادا داشته باشد و قادر به ارسال داده ها به آن باشد می‌تواند با اشغال پهنای باند ورودی PLC با داده‌های غیرقابل اجرا، تجهیز مورد نظر را از دسترس خارج کند. در سال 2013، Neworks Solera کشف کرد که بسته های دستکاری شده می‌توانند به یک Nano-10 PLC ارسال شوند و موجب حمله انکار سرویس برای آن دستگاه شوند (ICS-CERT 2013).

حملات نرم افزاری: برخی از نرم‌افزارهای، رایج در میان سیستم های اسکادا، می‌تواند آسیب پذیر به حملات سرریز و تزریق SQL و همچنین سوء استفاده از حافظه در PLC ها با استفاده از RTOS (سیستم عملیاتی زمان واقعی) باشند.

سرریز بافر:

سرریز بافر وقتی است که یک فرایند و یا برنامه سعی در ذخیره و بازنویسی داده بیشتر از آنچه برای آن به صورت پیش‌فرض طراحی شده است می‌کند و سعی می‌کند با فراتر رفتن از مرز در نظر گرفته شده، حافظه را بازنویسی کند. دو حوزه درون یک سیستم اسکادا است که می‌تواند هدف یک حمله سرریز بافر باشد. هدف اول سرورها و ایستگاه‌های کاری و رابط میان انسان و ماشین است. در سال 2011، یک آسیب‌پذیری در نرم افزار اتوماسیون صنعتی محبوب و مورد استفاده برای مدیریت سرورهای ایستگاه کاری به نام Kingview HistorySrv کشف شد. مشخص شد که Kingview آسیب‌پذیر به یک سرریز مبتنی بر پشته است که با استفاده از شل کد عمومی برای ارسال درخواست‌های دستکاری شده خاص به روند HistoryServer.exe بود. با ایجاد یک سرریز بافر در نرم افزار یک مهاجم می‌تواند کد دلخواه اجرا کند و یا باعث خرابی سیستم شود (ICS-CERT 2011). هدف دوم مستعد ابتلا به حمله سرریز بافر، دستگاه میدانی در منطقه کنترل است که متکی بر سیستم عملیاتی زمان واقعی (RTOS) است. یک نمونه از دستگاه‌های میدانی در منطقه کنترل PLC ها هستند. با حمله سرریز بافر در این کنترلرها امکان تغییر کد و اجرای کد دلخواه ممکن خواهد بود.

تزریق SQL:

نتیجه مهاجرت سیستم های اسکادا به بسترTCP/IP امکان‌پذیر کردن ارتباطات از طریق اینترنت و اینترانت است که این مهاجرت خود امکان حملات تزریق SQL را بیشتر می‌کند. بخش‌هایی از شبکه اسکادا آسیب‌پذیر به این نوع تهدید، وب و سرورهای پایگاه داده می‌باشند. تزریق SQL از برنامه‌های کاربردی متکی به پایگاه داده و یا برنامه‌‌های تحت وب که پیکربندی ضعیفی دارند استفاده می‌کند که در آن یک مهاجم داده‌های مخرب خاص را به یک فیلد ورودی وارد می‌کند، که می‌تواند باعث تغییرات مخربی برای اطلاعات پایگاه داده شود و به آسیب گسترده‌ای بیانجامد.

پشته ارتباطات/ حملات پروتکل: حملاتی که در پشته ارتباطات رخ می‌دهند، می‌توانند از آسیب‌پذیری‌ها در پروتکل‌های اسکادا از قبیل جعل DNS در لایه کاربرد و حملات سیل SYN در لایه چهارم ( استریلاند وهمکاران 2014) استفاده کند و منجر به اصلاح، حذف و تولید بسته شود. همچنین کارشناسان امنیت سیستم‌هایی کنترل صنعتی بر نقاط ضعف در پروتکل‌های اسکادا، از قبیل فقدان رمزنگاری تاکید می‌کنند که اگر حمله ای صورت گیرد، به طور بالقوه می‌تواند یکپارچگی داده های منتقل شده را زیر سوال ببرد بصورتی که سیستم‌ها این نا هماهنگی را تشخیص ندهند و منجر به دستکاری بسته و یا سایر مقادیر شود.

مرد میانی (MITM) :پروتکل‌هایی که شامل آدرس منبع و مقصد در فرمت قاب بسته شان، مانند DNP3 هستند می‌تواند در حمله مرد میانی دستکاری شوند.

خاموش کردن سیستم هشداردهی و گزارش‌ سنسورها

جعل بسته‌های ارسالی از تجهیزات سطح فیل که به HMI ها می‌روند. این حمله باعث می‌شود که کاربر اسکادا فرامین اشتباه ارسال کند.

عملیات مخرب با راه اندازی مجدد دستگاه و یا متوقف کردن پردازش‌گر و یا کنترلر.

به عنوان مثال با استفاده از ابزار Ettercap می‌توان بسته‌های DNP3 را با استفاده از مکانیزم‌های شنود داده‌ها و مسمومیت فریم‌های ARP در اختیار گرفت و با استفاده از ابزار libpcap نیز قادر به تقسیم یک بسته intercepted به لایه‌های جداگانه آن بود و در نهایت با تغییر مقادیر بسته باعث به اشتباه افتادن سیستم اسکادا شد.

جعل: پروتکل هایی است که حاوی هیچ مکانیزم های امنیتی احراز هویت نیستند ، می‌توانند مستعد ابتلا به حملات جعل PLC به خصوص جایی که در آن یک PLC خاص دارای یک زمان پاسخ کند باشد. به عنوان مثال، در یک حمله جعل مهاجم می‌تواند آستانه پارامترهای ایمنی را در PLCتغییر دهد منتهی به اختلال در سیستم اسکادا شود. و یا یک حمله جعل در MTU می‌تواند باعث ارسال فرمان‌‌های نادرست به PLC مانند متوقف کردن یک فرآیند یا بستن ی دریچه شود در حالی که پمپ‌های کارخانه هنوز فعال هستند.

دستکاری بسته: فقدان ویژگی های امنیتی در پروتکل های اسکادا سیستم ها را آسیب پذیر به حملات دستکاری بسته مانند موارد زیر می‌کند:

ساخت بسته: نوع حمله پروتکل که در آن یک مهاجم با دسترسی به شبکه اسکادا مقادیر جعلی را در جریان داده‌‌های شبکه جا می‌دهد.

اصلاح بسته: نوع حمله مرد میانی که در آن یک مهاجم با دسترسی به شبکه اسکادا بسته‌هایی که در حال رد و بدل بین PLC و میزبان است را تغییر می‌دهد و باعث تغییر مسیر فرآیند می‌شود.

حذف بسته: نوع حمله پروتکل که در آن یک مهاجم با دسترسی به شبکه اسکادا بسته هایی را که از یک دستگاه به دستگاه دیگر به طور تصادفی یا انتخابی در حال ارسالند را حذف می‌کند.

مرحله دوم: شناسایی

تعیین نوع حمله

اولین تلاش کارشناس جرم‌شناسی در هنگام وقوع حملات به زیرساخت‌های حساس و حیاتی است، ارزیابی وقایع و ناهنجاری‌های رخ داده در سطوح فیلد، کنترل و شبکه داخلی است.

تعیین مناطق بالقوه آلوده

با توجه به معماری شبکه و مسیر داده‌های در جریان می‌توان پی به مناطق آلوده و یا مناطقی که مستعد آلوده شدن هستند برد. این مهم به مشخص کردن منبع و یا منابع حمله کمک شایانی می‌کند.

جداسازی مناطق آلوده، در صورت امکان

حال با توجه به طبقه‌بندی صورت گرفته در دارایی‌های زیرساخت مورد بررسی و اطمینان از آلوده بودن مناطق می‌توان اقدام به جداسازی مناطق آلوده شده نمود. این امر موجب عدم نشر آسیب به سایر مناطق زیرساخت‌ می‌شود و تهدادات احتمالی را کاهش می‌دهد.

مرحله سوم: دسته‌بندی و تریاژ

شناسایی منابع داده

با استفاده از اسناد و مدارک جمع‌آوری شده از مرحله اول به همراه اطلاعات مربوط به نوع حمله ممکن (در صورت شناسایی)، لیستی از منابع داده بالقوه برای تحقیق می‌تواند گردآوری شود، که شامل: محل تجهیز در داخل شبکه، نوع تجهیز، مدل، شماره سریال و سایر ماهیت‌های دستگاه به عنوان مثال میزان حیاتی بودن فرآیند مربوط به آن می‌باشد.

اولویت‌بندی منابع داده

هنگامی که منابع داده‌های با ارزش در جرم‌شناسی شناسایی شدند، نیاز به اولویت‌بندی آنها از لحاظ بی‌ثباتی و نوسان شکل گرفته، میزان دسترس‌پذیری به تجهیز و میزان ارزش تجهیز در سیستم می‌باشد که این اولویت‌بندی باعث می‌شود بتوان بیشترین اطلاعات را از آنها دریافت نمود. همچنین اولویت‌بندی به نوع رویدادی که رخ داده، الزامات زمینه تجاری زیرساخت مورد بررسی و درگیری با سایر بخش‌های داخلی و شرکت‌های خارجی نیز بستگی دارد و این موارد نیز باید بررسی شود. البته این مهم باید در نظر گرفته شود که زمان زیادی برای تمام این امور وجود ندارد، چرا که ممکن از نیمه عمر اطلاعات قابل بازیابی به اتمام برسد.

مرحله چهارم: پاسخ

این مرحله، از لحاظ جرم‌شناسی شامل به دست آوردن اطلاعات از منابع داده‌ای مربوطه و تجزیه و تحلیل نتایج روابط داده‌ها در گزارش نهایی است.

انجام اکتساب داده ها

در سیستم‌های اسکادا، شواهد جرم‌شناسی می‌تواند از دو منبع داده اصلی بوجود آیند. داده‌هایی که در تجهیزات مختلف در سراسر زیرساخت ذخیره می‌شوند و داده‌هایی که از طریق شبکه منتقل می‌شوند. این موارد شامل استخراج حافظه‌ها و تصویر گرفتن از دیسک‌ها می‌شود. برای ایستگاه‌های کاری مهندسی و سرور‌ها از همان روش‌های متعارف جرم‌شناسی و ابزار‌های مربوطه می‌توان استفاده نمود. اما از این روش‌ها نمی‌توان برای بیشتر تجهیزات تخصصی کنترل فرآیند مانند PLC و RTU استفاده نمود. برای این گونه تجهیزات می‌توان از نرم‌افزار‌های Flashing استفاده نمود که معمولا در اختیار شرکت‌های سازنده است و توان استخراج داده‌ها از حافظه را توسط درگاه JTAG دارد. و البته در صورت نیاز عملیاتی تضمین می‌کند که هیچ تاثیری بر عمکرد دستگاه نمی‌گذارد.

نیاز به دستورالعمل‌های روشن راجع به این که چگونه می‌توان به هر نوع دارایی نزدیک شد، وجود دارد. هر نوع تجهیز باید روش جرم‌شناسی مناسب خود را داشته باشد و وابسته به تجمع اطلاعات جمع‌آوری شده در مراحل قبلی خواهد بود مانند؛

آیا تجهیز باید در سیستم اسکادا ، به روند فعالیت خود ادامه دهد؟

در صورت استخراج داده‌ها از حاظه بصورتی که تجهیز در حالت فعالیت باشد، منظور از نوسانات برای آن نوع تجهیز چیست؟

اگر تجهیز را می‌توان خاموش کرد و برای تجزیه و تحلیل به منطقه‌ای دیگر حمل نمود، و یا به یک نسخه پشتیبان آن را تغییر داد،آیا نیاز است حافظه فرار تجهیز ذخیره شود ؟

نیمه عمر شواهد در مورد تجهیزات پس از شروع حادثه چیست؟ آیا شواهد وجود دارند و یا بازنویسی شده‌اند؟

با توجه به مطالب عنوان شده نیاز به دریافت داده‌های درون شبکه امری اجتناب‌ناپذیر است که با استفاده از ابزار‌هایی مانند Wireshark می‌توان این مهم را انجام داد. مورد دیگری که در داده‌های شناور باید جمع‌آوری شود لاگ‌های تجهیزات است که با استفاده از ابزار‌های مرسوم جرم‌شناسی می‌توان آنها را تحلیل نمود.

انجام تجزیه و تحلیل داده ها

این روش شامل تجزیه و تحلیل و مرتبط کردن روابط بین همه اثرات به جا مانده‌است که بازیابی شده‌اند. استفاده از نرم‌افزار و ابزارهای مختلف جرم‌شناسی به انجام این مرحله کمک خواهد کرد و می‌توان یک جدول زمانی حوادث برای درک تاثیر کلی برسیستم اسکادا ایجاد نمود.

تولید گزارش

در نهایت، یک گزارش از نتایج، یافته‌ها و رابطه‌ها که از روابط جمع‌آوری شده ایجاد می‌شود که این گزارش باید شامل یکپارچگی و اثبات یافته‌ها و دلایل ایجاد آن باشد که در انتهای آن نیز باید راهکارهای امن‌سازی زیرساخت و وصله‌نگاری با توجه به گزارش صورت گرفته انجام شود.

نتیجه‌گیری

تحقیقات جرم‌شناسی از یک سیستم اسکادا می‌تواند به عنوان یک پازل jigsaw (داستان فیلم اره که با یک اشتباه یک فاجعه رخ می‌داد) دیده شود. این پازل در زمانی که حادثه رخ می‌دهد، کامل است اما با گذشت زمان قطعات پازل حذف می‌شوند و دیدن کل تصویر سخت‌تر می‌شود. نقطه‌ای که درآن حمله سایبری رخ می‌دهد، جایی است که بیشترین شواهد موجود و در قلمرو سیستم اسکادا است. پیشنهاد بنده برای کاهش خطرات ایجاد یک مرکز عملیات امنیت اسکادا می‌باشد که بتواند دارایی‌های زیرساخت را تفکیک کند، مرز‌ها را بشناسد و با استفاده از سنسور‌های قرار گرفته در تمامی زیرساخت مشخص کند کدام بخش در صورت ادامه روند ریسک بیشتری را به سیستم تحمیل می‌کند. با داشتن یک مرکز کنترل عملیات اسکادا می‌توان جرم‌شناسی را به راحتی پی‌گیری نمود.