معرفی
سیستم های اسکادا که زیرساختهای ملی و حیاتی (CNI) را نظارت و کنترل میکنند، به علت همگراییشان با بسترTCP / IP و شبکه های دیگر برای کنترل کارآمد، به طور فزاینده ای در حال تبدیل به هدف حملات سایبری پیشرفته میباشند. هنگامی که یک حادثه در زیرساختهای کنترل صنعتی رخ میدهد، عواقب آن میتواند با داشتن تاثیر بر محیط زیست، اقتصاد و زندگی انسان فاجعه بار باشد به همین علت تحقیقات جرم شناسی و پی بردن به علت و منشا حادثه، امری اجتناب ناپذیر است. جرمشناسی سیستم اسکادا یک فرایند اساسی در چرخه عمر امنیت سایبری است که نه تنها در شناسایی علت حادثه و کسانی که مسئولند کمک میکند، بلکه باعث بهبود امنیت سیستم های آینده نیز میشود. این مقاله یک طبقه بندی جامع جرمشناسی از سیستم اسکادا با رویکرد مدل واکنش تصادفی فراهم می کند.
مقدمه
سیستم های اسکادا (کنترل نظارتی و اکتساب داده ها) مسئول نظارت و کنترل بسیاری از زیرساختهای حیاتی کشور هستند. آنها در میان سیستم های توزیع و سیستم های کنترل صنعتی که در پالایشگاه های نفت، شبکه های قدرت، نیروگاههای هستهای، و توزیع آب یافت میشوند، همچنین در زمینه حمل و نقل مانند راه آهن، خطوط هوایی و چراغ های ترافیک نیز رایج هستند. بسیاری از این سیستمها دهههای پیش در شبکههای بسته با تمرکز بر در دسترس بودن اطلاعات اما نه لزوما امن و محرمانه بودنشان طراحی و اجرا شدند. امروزه، مرز سیستمهای اسکادا با شبکه داخلی سازمانها و اینترنت بسیار کم شده است و با برقراری ارتباط از طریق بستر TCP/IPبا استفاده از رسانههای کابلی، فیبر نوری، بدون سیم و بلوتوث به هم متصل میشوند، تا فرایند کنترل و نظارت کارآمد تری را امکان پذیر سازند. با توجه به نقشی که سیستمهای اسکادا در زیرساختهای حیاتی ایفا میکنند، برای آنها ضروری است که به طور مداوم و بدون وقفه فعالیت کنند. در نتیجه، بسیاری از این سیستمها با قرارگیری در محیط مدرنتر از نظر تکنولوژی ارتباطی باعث بروز آسیبپذیری در زیرساخت کنترل صنعتی میشوند که این مهم در نهایت میتواند منجر به حملات خارجی نیز شود.
اولین حملات ثبت شده در سیستمهای کنترل صنعتی به سال 1982برمیگردد، که در آن زمان یک اسب تروجان مسئول انفجار خط لوله گاز ترانس سیبری بود، در سالهای اخیر شاهد افزایش چشمگیر تعداد حملات اختصاصی در سیستمهای اسکادا بودهایم. استاکسنت(Stuxnet) که توسط برخی به عنوان اولین سلاح سایبری جهان شرح داده شده، یک راهنمای شگفتآور برای تمام متخصین امنیت سایبری جهان بود. دوکو، فلیم، گاوس و وایپر فقط چند نمونه از حملات پیچیده طراحی شده برای خرابکاری و بهرهبرداری از سیستمهای اسکادا خاص بودهاند. در سالهای اخیر تلاش متمرکزی برای بهبود آگاهی و توسعه امنیت سایبری در سیستمهای کنترل صنعتی و اسکادا با پروژههایی نظیر CockpitCI (کروز و همکاران 2014 ) و VIKING (بیورکمان 2010) و همچنین توسعه هایی در استانداردهای امنیتی ICS و توصیه هایی مانند ISA-99 و IEC 62443 صورت گرفته است.
هر گاه حملهای به شبکه و یا حادثهای در زیرساختهای حیاتی و یا سیستمهای کنترل صنعتی رخ دهد، ضروری است که جرمشناسی صورت گیرد. با این حال، روشهای سنتی جرمشناسی کامپیوتر نمیتواند به سادگی در سیستمهای اسکادا استفاده شود زیرا تجهیزات استفاده شده در این زیرساختها بسیار متفاوت است. بنابراین، نیاز به توسعه یک برنامه پاسخ به حادثه در قالب جرمشناسی اسکادا وجود دارد.
طبقهبندی جرمشناسی در سیستمهای اسکادا
تحقیقات جرمشناسی از یک سیستم مرسوم IT شامل جمع آوری آثار به جا مانده از منابع دادههای فرار و غیر فرار در آن شبکه یا محیط میباشد. اگر چه همان اطلاعات را نیز میتوان برای فرایند جرمشناسی در زیرساختهای کنترل صنعتی استفاده کرد ولی ویژگیها و دلایل بسیاری وجود دارد که استفاده از ابزارها و تکنیکهای مرسوم جرمشناسی در زیرساختهای کنترل صنعتی را تا حدی محدود مینماید. یکی از دلایل این امر، استفاده از تجهیزات اختصاصی در اینگونه زیرساختها است. نرخ تغییر و ارتقای سیستمها برای یک سیستم مرسوم IT ممکن است برای مثال، بین سه تا پنج سال باشد. در طول این دوره، نرمافزار، سختافزار، شبکهها و ارتباطات با توجه به نیازهای کسب و کار و تکنولوژی جدید به احتمال زیاد به روز شده است. در سیستم اسکادا نرخ تغییرات بسیار کندتر است. سیستمهایی که دهههای پیش طراحی شده و استفاده میشوند باید کنار گذاشته میشدند ولی دست نخورده و آسیبپذیر به طور مداوم در چرخه فعالیت قرار دارند. در نتیجه بسیاری از زیرساختهای اسکادا شامل اجزای اخصاصی و قدیمی هستند که دیگر پشتیبانی نمیشوند و در مقایسه با سیستمهای IT مرسوم از پروتکلهای اختصاصی به جای پروتکلهای استاندارد استفاده میکنند.
چالشهای خاصی پیش روی محقق جرمشناسی اسکادا است که شامل موارد ذیل میشود:
جرمشناسی live : با توجه به نقش سیستمهای کنترل صنعتی در فرآیندهای حیاتی اکثر سیستمهای اسکادا به سادگی نمیتوانند قطع شوند و مورد تجزیه و تحلیل قرار بگیرند. بنابراین تجزیه و تحلیل جرمشناسی live مورد نیاز است، در حالی که سیستم و دستگاههای در حال اجرای فرآیندها هستند.
پاسخ سریع : زمانی که یک حادثه رخ میدهد شواهد جرمشناسی در اوج خود خواهد بود. با گذشت زمان شواهد بالقوه ممکن است توسط فرایندهای جدید بازنویسی شوند بنابراین نیاز به پاسخ فوری ضروری است. البته این امر ممکن است کمی مشکل باشد زمانی که متوجه میشوید، سیستمهای اسکادا هزاران کیلومتر مربع را با صدها تجهیز سطح فیلد پوشش میدهد.
یکپارچگی و صحت : شواهد دیجیتال به طور معمول با تطبیق مقدار hash شواهد اصلی در برابر کپی به دست آمده بازبینی میشوند. یک از چالشهای جرمشناسی در سیستمهای کنترل صنعتی چک کردن اعتبار داده است زیرا از آنجایی که سیستم live باقی میماند و دادهها به طور مداوم در حال بروز رسانیاند، وضعیت دادهها را از شروع فرایند کپی کردن به تکمیل یک hash محاسبه شده تغییر مییابد و در نتیجه hash مورد نظر غیر قابل استفاده است.
لاگ های مربوط به حادثه و قابلیت استفاده از آنها : گزارشگیری موثر در کنار جدول زمانی رویدادهای صورت گرفته میتواند به طور قابل توجهی در تحقیقات جرمشناسی کمک کند. اما متاسفانه اغلب اوقات تجهیزات سیستمهای کنترل صنعتی فضای کافی برای نگهداری لاگها ندارند و یا در ابتدای راهاندازی تجهیز غیرفعال شدهاند
فقدان ابزارهای جرمشناسی اسکادا : تحقیقات صورت گرفته بر نبودن ابزار و روشهای اکتساب دادهها صحه میگذارد. البته ممکن است، تا حدودی، به علت تاثیری که چنین ابزارهایی میتوانند بر خدمات live اسکادا و همچنین بسیاری از مسائل دیگر بگذارند از تولید چنین ابزار هایی پیش از این جلوگیری به عمل آمده است.
اثر به جا مانده به محقق کمک می کند تا دلایل مشکلات را به هم متصل کند و وضعیت فعلی سیستم را که در آن مشکل رخ داده است شناسایی کند. یک اثر به جا مانده میتواند در بسیاری از فرمتهای مختلف و در منبع دادههای گوناگونی در محیط اسکادا وجود داشته باشد. اثر به جا مانده در اسکادا از نظر مفهومی در سه سطح وجود دارد:
سطح شرکت: اطلاعات دارای محتوای کسب و کار است و برای هدف خاصی طراحی شده به عنوان مثال پروتکلهای ورود به سیستم(logging)، جدول مسیریابی، ارسال فرمان و غیره
سطح اطلاعات: اطلاعات دارای یک ساختار، یک طول خاص است که برای کمک به محاسبه نیمه عمر یک اثر به جا مانده میتواند مورد استفاده قرار گیرد.
سطح فیزیکی : اطلاعات در یک یا چند مولفه فیزیکی وجود داشته باشد.
محدود کردن نوع اثر به جا مانده موردنیاز بر اساس نوع حادثهای که رخ داده است. برای کارشناس جرمشناسی یک کلید است و در ادامه بدست آوردن اثر به جا مانده مورد نظر بسیار راهگشا میباشد. شکل یک سطوحی را توصیف میکند که اثر به جا مانده در آنجا میتواند وجود داشته باشد، که در آن "الف" سطح شرکت، "ب" سطح اطلاعات "ج" سطح فیزیکی، و خطوط منقطع مسیری است که کارشناس جرمشناسی ممکن است مراحل بازیابی و کشف را انجام دهد.
1. سطوح اثر به جا مانده در سیستمهای اسکادا
هنگامی که یک اثر به جا مانده خاص در سطح شرکت"الف" شناسایی میشود یک ساختار منطقی "ب" خواهد داشت و در یک یا چند دارایی فیزیکی"ج" وجود خواهد داشت. اگر ساختار منطقی ناشناخته باشد، کارشناس ممکن است مستقیما به سمت داراییهای فیزیکی برود و همه چیز را بازیابی کند (الف به ج)، با این حال، اگر کارشناس قادر به درک ساختار منطقی اثر به جا مانده باشد، دقیقا همان اطلاعاتی و آن داراییهای خاص که مورد نیاز است را تعریف می کند (از الف به ب و سپس به ج).
با فرض این که کارشناس جرمشناسی نوع اثر به جا ماندهای را که میخواهد و دارایی فیزیکی را که بر آن قرار گرفته شناسایی کند، در ادامه نیاز دارد بدانند که اثر به جا مانده چه مدت دوام خواهد داشت که قبل از این که توسط فرآیند جدیدتری بر آن دستگاه بازنویسی و جایگزین شود استفاده مطلوب را از آن ببرد. باتوجه به ماهیت پیچیده، مقیاس منابع ممکن دادهها و شبکههای مختلف به هم پیوسته در داخل یک سیستم کنترل صنعتی معمولی، محاسبه نیمه عمر دادهها برای کل سیستم غیرممکن خواهد بود. نیمه عمر دادهها همان طور که به طور چشمگیری از یک سیستم به سیستم دیگر تغییر میکند، وابسته به نوع حادثهای که رخ داده و تجهیزی که در آن در حال اجرا نیز میباشد وابسته است. به عنوان مثال، اطلاعات در ایستگاههای کاری ثبت وقایع بیشتر از ایستگاههای کاری مهندسان دوام مییابد همچنین آن نیز به نوبه خود به طور قابل توجهی از دادههای ذخیره شده در یک PLC بیشتردوام مییابد. بنابراین، نیم عمر دادهها باید در سطحی پایینتر برای هر مولفه خاص در آن سیستم کنترل صنعتی شناسایی شود و میتوان آن را با استفاده از اثرات به جا مانده در سیستمهای کنترل صنعتی در سطح اطلاعات همراه با دارایی فیزیکی که بر آن را بر ذخیره شده به دست آورد. این موضوع تاثیر بسزایی بر لیست اولویتبندی منابعی که در بررسی قرار دارند دارد.
طبقهبندی تمامی داراییهای زیرساخت بسیار مشکل است زیرا حساسیت در سطوح مختلف بسیار متفاوت است. با این حال میتوانیم به طبقهبندی خاص مولفههای درون سیستم اسکادا همانطور که در جدول یک توصیف شده نگاهی بیاندازیم. این امر کارشناس مربوطه را دقیقًا از مناطق و یا دستگاههایی که میتوانند مورد بررسی قرارگیرند، آگاه میکند، آنهایی که میتوانند خاموش شوند و یا آنهایی که باید حتما روشن باشند نیز در این طبقهبندی مشخص میشود. طبقهبندی داراییها محقق را در واکنش مناسب و پاسخ به رویدادها در مباحث جرمشناسی کمک خواهد کرد.
1. طبقهبندی داراییها در سیستمهای اسکادا
توصیف
طبقه بندی دستگاه
شکست مولفه میتواند به از دست دادن زندگی، جراحت و یا آسیب به محیط منتج شود.
ایمنی- بحرانی (از نظر فرآیند)
شکست مولفه میتواند به از دست دادن زندگی، صدمه و یا آسیب به محیط بعد از مدتی خاص منتج شود.
ایمنی- بحرانی (از نظر زمان)
دسترسی به مولفه برای رسیدگی یا ترمیم، به جراحت و یا از دست دادن زندگی منتج می شود.
ایمنی- بحرانی (از نظر مکان)
شکست مولفه میتواند به شکست بعضی از فعالیت های هدایت شده کلی منتج شود
ماموریت - بحرانی
شکست مولفه میتواند زیان های اقتصادی بالا به بار آورد.
تجاری- بحرانی
با توجه به لیست طبقهبندی داراییها و همچنین لیستی از تجهیزات به کار رفته در فرآیند مورد نظر و همچنین نیمه عمر اطلاعات مربوط به آنها پاسخی دقیقتر فراهم میشود و امکان بازیابی اثر به جا مانده در جرمشناسی سیستمهای کنترل صنعتی را بسیار افزایش میدهد.
به علت قرارگیری برخی از دستگاهها در طبقهبندی فعال تمام وقت، ممکن است دسترسی فیزیکی به برخی از داراییها محدود شود، به این معنی که کارشناس جرمشناسی قادر به بررسی آنها نیست. همچنین ممکن است که یک دستگاه خاص اثرگذار در مسیر جرمشناسی، هزاران مایل دورتر واقع شده باشد و تا زمان رسیدن اطلاعات به کارشناس جرمشناسی، دادههای جدیدی در آن بازنویسی شده باشد.
برای غلبه بر این حالت، میتوان از یک قطعه سختافزاری در جرمشناسی استفاده نمود که بر هر یک از دستگاههای مورد نظر به منظور بهبود در دسترس بودن و بازیابی اطلاعات پیادهسازی شود، که بسیار شبیه به جعبه سیاه هواپیما در تحقیق یک فاجعه استفاده میشود. یک سیستم اسکادای معمولی به طور بالقوه میتواند هزاران PLC را شامل شود و نتیجه به کارگیری از چنین دستگاهی میتواند هزینه هنگفتی را رقم زند. ولی برای صرفه اقتصادی بیشتر میتوان آنها را برای دستگاههای میانی و یا دستگاههایی که اطلاعات آنها بیشتر راهگشا است و یا دستگاههایی که نیمه عمر اطلاعات آنها کوتاه است در نظر گرفت.
سختافزار جرمشناسی میتواند به عنوان دستگاه سختافزاری که دادهها را ضبط میکند در زیرساخت قرار گیرد. به عنوان مثال، میتواند به یک PLC برای جمع آوری و ذخیره دادههای PLC ، مانند وضعیت حافظه، تغییرات و دستورات صادره متصل شود. سختافزار جرمشناسی میتواند بوسیله یک SBC (کامپیوتر تک بردی)، مانند Raspberry-Pi توسعه یابد، همچنین با استفاده از منطقه ذخیرهسازی بسیار بزرگتر از آن که در PLC استفاده میشود، طول نیمه عمر دادهها را افزایش داد. برای افزایش فضای ذخیره دادهها نیز میتوان از حافظههای SSD و یا SD استفاده نمود. در صورت استفاده از این نوع حافظهها دیگر نیازی به خاموش نمودن سختافزار نیست و تنها حافظه آن قابل جدا نمودن میباشد.
روشگان جرمشناسی سیستمهای کنترل صنعتی در حوادث
روند جرمشناسی اسکادا نباید فقط پس از وقوع حادثهای که رخ داده است، اتفاق افتد، بلکه قبل و در طول یک حادثه نیز قابل پیادهسازی است. هرچه محقق در مورد یک سیستم اسکادا تحت بررسی دسترسی به اطلاعات دقیقتری داشته باشد، سطح شواهد جرمشناسی کارا و موثرتر میشود. یک روشگان جرمشناسی سیستمهای کنترل صنعتی در حوادث شامل چهار مرحله اصلی است که شامل: آمادگی، تشخیص، تریاژ و پاسخگویی میشود. مرحله نهایی به بهبود آمادهسازی سیستم برای ادامه فرآیند کمک میکند.
اولین مرحله در پاسخ به حوادث زیرساختهای حساس و حیاتی و جرمشناسی آنها باید قبل از یک حادثه اتفاق بیفتد. این فرآیند شامل برنامهریزی و درک هر نوع سناریو، به منظور واکنش نشان دادن به حوادث میباشد. برای اینکه این مهم برآورده شود نیاز به درک معماری اسکادا بیش از پیش مورد نیاز است.
از آنجایی که سیستمها از یکدیگر متفاوتند، برای هر سیستم اسکادا مهم است که مستندات دقیق در مورد معماری شبکهاش، مولفهها و الزامات داشته باشد. این موضوع باید شامل تمام سختافزارهای مورد استفاده، از جمله برند و مدل و نسخه استفاده شده در آنها، تمام نرمافزارهای در حال اجرا بر روی هر دستگاهی در تمام مناطق و تمام نقاط ورودی به شبکهها باشد. اسناد و مدارک جغرافیایی دقیق در مورد مکان میدانی دستگاه و نیمه عمر دستگاه و غیره نیز باید در دسترس یک کارشناس جرمشناسی در صورت درخواست باشد.
الزامات ویژه نیز باید برای سیستم اسکادا ثبت شود. این امر باید شامل اطلاعاتی از قبیل چه سیستمها و دستگاههایی نیاز است که در حال اجرا باقی بمانند، چه دستگاههایی میتوانند خاموش باشند و چه دستگاههایی میتوانند از سیستم پشتیبان خود استفاده کنند میشود. همچنین فرآیند جرمشناسی باید به طور کامل از طبقهبندی دستگاههای سیستم اسکادا تحت تحقیق یعنی کسب و کار- بحرانی، ایمنی- بحرانی و غیره آگاه شود.
در کنار درک معماری و الزامات آن، برای یک گروه جرمشناسی در زیرساختهای حساس و حیاتی ضروری است که بدانند چه نوع حملاتی و چگونه میتواند به یک شبکه اسکادا نفوذ کند. با توجه به بررسیهای صورت گرفته حملات سایبری در زیرساختهای حساس و حیاتی از سه طریق به وقوع میپیوندد: سخت افزار، نرم افزار و پشته ارتباطی.
حملات سخت افزاری: حملات سخت افزاری میتواند یک کاربر غیرمجاز را درگیر کند که دسترسی به دستگاه های میانی و داراییهای مربوط به شبکه اسکادا را از طریق دسترسی از راه دور و بدون مجوز بدست آورد. در صورت موفقیت، آنها میتوانند دستکاری مرزهای آستانه را شروع کنند و باعث شوند یک دستگاه ناامن رفتار کند و یا خاموش شود. در بدافزار استاکسنت این مهم نمایان بود که به صورتی طراحی شده بود که، میتوانست عملیات و فرآیند سخت افزار PLC در یک شبکه اسکادا را هدف قرار دهد. این اقدامات میتواند عواقب فاجعه باری به بار بیاورند . دلیل آن این است که این سیستمهای برای فرآیندهای مستمر و دقیق در نظر گرفته شدهاند که هرگونه خل در رفتار آنها فاجعهای جبران ناپذیر را رقم میزند.
از دسترس خارج نمودن:
یک نوع حمله سخت افزار میتواند در قالب یک حمله انکار سرویس در PLC باشد. اگر مهاجمی دسترسی از راه دور غیرمجاز به شبکه اسکادا داشته باشد و قادر به ارسال داده ها به آن باشد میتواند با اشغال پهنای باند ورودی PLC با دادههای غیرقابل اجرا، تجهیز مورد نظر را از دسترس خارج کند. در سال 2013، Neworks Solera کشف کرد که بسته های دستکاری شده میتوانند به یک Nano-10 PLC ارسال شوند و موجب حمله انکار سرویس برای آن دستگاه شوند (ICS-CERT 2013).
حملات نرم افزاری: برخی از نرمافزارهای، رایج در میان سیستم های اسکادا، میتواند آسیب پذیر به حملات سرریز و تزریق SQL و همچنین سوء استفاده از حافظه در PLC ها با استفاده از RTOS (سیستم عملیاتی زمان واقعی) باشند.
سرریز بافر:
سرریز بافر وقتی است که یک فرایند و یا برنامه سعی در ذخیره و بازنویسی داده بیشتر از آنچه برای آن به صورت پیشفرض طراحی شده است میکند و سعی میکند با فراتر رفتن از مرز در نظر گرفته شده، حافظه را بازنویسی کند. دو حوزه درون یک سیستم اسکادا است که میتواند هدف یک حمله سرریز بافر باشد. هدف اول سرورها و ایستگاههای کاری و رابط میان انسان و ماشین است. در سال 2011، یک آسیبپذیری در نرم افزار اتوماسیون صنعتی محبوب و مورد استفاده برای مدیریت سرورهای ایستگاه کاری به نام Kingview HistorySrv کشف شد. مشخص شد که Kingview آسیبپذیر به یک سرریز مبتنی بر پشته است که با استفاده از شل کد عمومی برای ارسال درخواستهای دستکاری شده خاص به روند HistoryServer.exe بود. با ایجاد یک سرریز بافر در نرم افزار یک مهاجم میتواند کد دلخواه اجرا کند و یا باعث خرابی سیستم شود (ICS-CERT 2011). هدف دوم مستعد ابتلا به حمله سرریز بافر، دستگاه میدانی در منطقه کنترل است که متکی بر سیستم عملیاتی زمان واقعی (RTOS) است. یک نمونه از دستگاههای میدانی در منطقه کنترل PLC ها هستند. با حمله سرریز بافر در این کنترلرها امکان تغییر کد و اجرای کد دلخواه ممکن خواهد بود.
تزریق SQL:
نتیجه مهاجرت سیستم های اسکادا به بسترTCP/IP امکانپذیر کردن ارتباطات از طریق اینترنت و اینترانت است که این مهاجرت خود امکان حملات تزریق SQL را بیشتر میکند. بخشهایی از شبکه اسکادا آسیبپذیر به این نوع تهدید، وب و سرورهای پایگاه داده میباشند. تزریق SQL از برنامههای کاربردی متکی به پایگاه داده و یا برنامههای تحت وب که پیکربندی ضعیفی دارند استفاده میکند که در آن یک مهاجم دادههای مخرب خاص را به یک فیلد ورودی وارد میکند، که میتواند باعث تغییرات مخربی برای اطلاعات پایگاه داده شود و به آسیب گستردهای بیانجامد.
پشته ارتباطات/ حملات پروتکل: حملاتی که در پشته ارتباطات رخ میدهند، میتوانند از آسیبپذیریها در پروتکلهای اسکادا از قبیل جعل DNS در لایه کاربرد و حملات سیل SYN در لایه چهارم ( استریلاند وهمکاران 2014) استفاده کند و منجر به اصلاح، حذف و تولید بسته شود. همچنین کارشناسان امنیت سیستمهایی کنترل صنعتی بر نقاط ضعف در پروتکلهای اسکادا، از قبیل فقدان رمزنگاری تاکید میکنند که اگر حمله ای صورت گیرد، به طور بالقوه میتواند یکپارچگی داده های منتقل شده را زیر سوال ببرد بصورتی که سیستمها این نا هماهنگی را تشخیص ندهند و منجر به دستکاری بسته و یا سایر مقادیر شود.
مرد میانی (MITM) :پروتکلهایی که شامل آدرس منبع و مقصد در فرمت قاب بسته شان، مانند DNP3 هستند میتواند در حمله مرد میانی دستکاری شوند.
خاموش کردن سیستم هشداردهی و گزارش سنسورها
جعل بستههای ارسالی از تجهیزات سطح فیل که به HMI ها میروند. این حمله باعث میشود که کاربر اسکادا فرامین اشتباه ارسال کند.
عملیات مخرب با راه اندازی مجدد دستگاه و یا متوقف کردن پردازشگر و یا کنترلر.
به عنوان مثال با استفاده از ابزار Ettercap میتوان بستههای DNP3 را با استفاده از مکانیزمهای شنود دادهها و مسمومیت فریمهای ARP در اختیار گرفت و با استفاده از ابزار libpcap نیز قادر به تقسیم یک بسته intercepted به لایههای جداگانه آن بود و در نهایت با تغییر مقادیر بسته باعث به اشتباه افتادن سیستم اسکادا شد.
جعل: پروتکل هایی است که حاوی هیچ مکانیزم های امنیتی احراز هویت نیستند ، میتوانند مستعد ابتلا به حملات جعل PLC به خصوص جایی که در آن یک PLC خاص دارای یک زمان پاسخ کند باشد. به عنوان مثال، در یک حمله جعل مهاجم میتواند آستانه پارامترهای ایمنی را در PLCتغییر دهد منتهی به اختلال در سیستم اسکادا شود. و یا یک حمله جعل در MTU میتواند باعث ارسال فرمانهای نادرست به PLC مانند متوقف کردن یک فرآیند یا بستن ی دریچه شود در حالی که پمپهای کارخانه هنوز فعال هستند.
دستکاری بسته: فقدان ویژگی های امنیتی در پروتکل های اسکادا سیستم ها را آسیب پذیر به حملات دستکاری بسته مانند موارد زیر میکند:
ساخت بسته: نوع حمله پروتکل که در آن یک مهاجم با دسترسی به شبکه اسکادا مقادیر جعلی را در جریان دادههای شبکه جا میدهد.
اصلاح بسته: نوع حمله مرد میانی که در آن یک مهاجم با دسترسی به شبکه اسکادا بستههایی که در حال رد و بدل بین PLC و میزبان است را تغییر میدهد و باعث تغییر مسیر فرآیند میشود.
حذف بسته: نوع حمله پروتکل که در آن یک مهاجم با دسترسی به شبکه اسکادا بسته هایی را که از یک دستگاه به دستگاه دیگر به طور تصادفی یا انتخابی در حال ارسالند را حذف میکند.
اولین تلاش کارشناس جرمشناسی در هنگام وقوع حملات به زیرساختهای حساس و حیاتی است، ارزیابی وقایع و ناهنجاریهای رخ داده در سطوح فیلد، کنترل و شبکه داخلی است.
با توجه به معماری شبکه و مسیر دادههای در جریان میتوان پی به مناطق آلوده و یا مناطقی که مستعد آلوده شدن هستند برد. این مهم به مشخص کردن منبع و یا منابع حمله کمک شایانی میکند.
حال با توجه به طبقهبندی صورت گرفته در داراییهای زیرساخت مورد بررسی و اطمینان از آلوده بودن مناطق میتوان اقدام به جداسازی مناطق آلوده شده نمود. این امر موجب عدم نشر آسیب به سایر مناطق زیرساخت میشود و تهدادات احتمالی را کاهش میدهد.
با استفاده از اسناد و مدارک جمعآوری شده از مرحله اول به همراه اطلاعات مربوط به نوع حمله ممکن (در صورت شناسایی)، لیستی از منابع داده بالقوه برای تحقیق میتواند گردآوری شود، که شامل: محل تجهیز در داخل شبکه، نوع تجهیز، مدل، شماره سریال و سایر ماهیتهای دستگاه به عنوان مثال میزان حیاتی بودن فرآیند مربوط به آن میباشد.
هنگامی که منابع دادههای با ارزش در جرمشناسی شناسایی شدند، نیاز به اولویتبندی آنها از لحاظ بیثباتی و نوسان شکل گرفته، میزان دسترسپذیری به تجهیز و میزان ارزش تجهیز در سیستم میباشد که این اولویتبندی باعث میشود بتوان بیشترین اطلاعات را از آنها دریافت نمود. همچنین اولویتبندی به نوع رویدادی که رخ داده، الزامات زمینه تجاری زیرساخت مورد بررسی و درگیری با سایر بخشهای داخلی و شرکتهای خارجی نیز بستگی دارد و این موارد نیز باید بررسی شود. البته این مهم باید در نظر گرفته شود که زمان زیادی برای تمام این امور وجود ندارد، چرا که ممکن از نیمه عمر اطلاعات قابل بازیابی به اتمام برسد.
این مرحله، از لحاظ جرمشناسی شامل به دست آوردن اطلاعات از منابع دادهای مربوطه و تجزیه و تحلیل نتایج روابط دادهها در گزارش نهایی است.
در سیستمهای اسکادا، شواهد جرمشناسی میتواند از دو منبع داده اصلی بوجود آیند. دادههایی که در تجهیزات مختلف در سراسر زیرساخت ذخیره میشوند و دادههایی که از طریق شبکه منتقل میشوند. این موارد شامل استخراج حافظهها و تصویر گرفتن از دیسکها میشود. برای ایستگاههای کاری مهندسی و سرورها از همان روشهای متعارف جرمشناسی و ابزارهای مربوطه میتوان استفاده نمود. اما از این روشها نمیتوان برای بیشتر تجهیزات تخصصی کنترل فرآیند مانند PLC و RTU استفاده نمود. برای این گونه تجهیزات میتوان از نرمافزارهای Flashing استفاده نمود که معمولا در اختیار شرکتهای سازنده است و توان استخراج دادهها از حافظه را توسط درگاه JTAG دارد. و البته در صورت نیاز عملیاتی تضمین میکند که هیچ تاثیری بر عمکرد دستگاه نمیگذارد.
نیاز به دستورالعملهای روشن راجع به این که چگونه میتوان به هر نوع دارایی نزدیک شد، وجود دارد. هر نوع تجهیز باید روش جرمشناسی مناسب خود را داشته باشد و وابسته به تجمع اطلاعات جمعآوری شده در مراحل قبلی خواهد بود مانند؛
آیا تجهیز باید در سیستم اسکادا ، به روند فعالیت خود ادامه دهد؟
در صورت استخراج دادهها از حاظه بصورتی که تجهیز در حالت فعالیت باشد، منظور از نوسانات برای آن نوع تجهیز چیست؟
اگر تجهیز را میتوان خاموش کرد و برای تجزیه و تحلیل به منطقهای دیگر حمل نمود، و یا به یک نسخه پشتیبان آن را تغییر داد،آیا نیاز است حافظه فرار تجهیز ذخیره شود ؟
نیمه عمر شواهد در مورد تجهیزات پس از شروع حادثه چیست؟ آیا شواهد وجود دارند و یا بازنویسی شدهاند؟
با توجه به مطالب عنوان شده نیاز به دریافت دادههای درون شبکه امری اجتنابناپذیر است که با استفاده از ابزارهایی مانند Wireshark میتوان این مهم را انجام داد. مورد دیگری که در دادههای شناور باید جمعآوری شود لاگهای تجهیزات است که با استفاده از ابزارهای مرسوم جرمشناسی میتوان آنها را تحلیل نمود.
این روش شامل تجزیه و تحلیل و مرتبط کردن روابط بین همه اثرات به جا ماندهاست که بازیابی شدهاند. استفاده از نرمافزار و ابزارهای مختلف جرمشناسی به انجام این مرحله کمک خواهد کرد و میتوان یک جدول زمانی حوادث برای درک تاثیر کلی برسیستم اسکادا ایجاد نمود.
در نهایت، یک گزارش از نتایج، یافتهها و رابطهها که از روابط جمعآوری شده ایجاد میشود که این گزارش باید شامل یکپارچگی و اثبات یافتهها و دلایل ایجاد آن باشد که در انتهای آن نیز باید راهکارهای امنسازی زیرساخت و وصلهنگاری با توجه به گزارش صورت گرفته انجام شود.
نتیجهگیری
تحقیقات جرمشناسی از یک سیستم اسکادا میتواند به عنوان یک پازل jigsaw (داستان فیلم اره که با یک اشتباه یک فاجعه رخ میداد) دیده شود. این پازل در زمانی که حادثه رخ میدهد، کامل است اما با گذشت زمان قطعات پازل حذف میشوند و دیدن کل تصویر سختتر میشود. نقطهای که درآن حمله سایبری رخ میدهد، جایی است که بیشترین شواهد موجود و در قلمرو سیستم اسکادا است. پیشنهاد بنده برای کاهش خطرات ایجاد یک مرکز عملیات امنیت اسکادا میباشد که بتواند داراییهای زیرساخت را تفکیک کند، مرزها را بشناسد و با استفاده از سنسورهای قرار گرفته در تمامی زیرساخت مشخص کند کدام بخش در صورت ادامه روند ریسک بیشتری را به سیستم تحمیل میکند. با داشتن یک مرکز کنترل عملیات اسکادا میتوان جرمشناسی را به راحتی پیگیری نمود.
کد: 50012661
زمان انتشار: یکشنبه 16 مهر 1396 08:30 ب.ظ
تعداد نمایش: 416
ما را در شبکه های اجتماعی دنبال کنید