مقدمه

با رشد روز افزون تهدیدهای امنیتی در زیرساخت‌ها‌ی حساس و حیاتی کشور، اهمیت پرداختن به امنیت زیرساخت های صنعتی و کنترل صنعتی  بیشتر نمایان می‌شود. به همین دلیل طی سالیان اخیر راهکارهای امنیتی متعددی مورد توجه قرار گرفته است که این روش‌ها عمدتا مکانیزم‌های جلوگیری از حملات می‌باشند که بدلیل تاثیر زمانی بر زیرساخت‌های کنترل صنعتی قابل استفاده نبوده‌اند. آنچه بدان توجه می شود این نکته است که اگرچه بکارگیری راهکارهای حفاظتی در جلوگیری از برخی حملات و تهدیدهای امنیتی موثر است، ولی به تنهایی تامین کننده امنیت و ایمنی نخواهد بود. در این راستا یکی از راهکارهایی که اخیرا مورد توجه قرار گرفته است، پیاده سازی مرکز عملیات امنیت صنعتی است. ISOC یا مرکز عملیات امنیت صنعتی یک سامانه رصد و مدیریت امنیتی یکپارچه در حوزه سیستم‌های کنترل صنعتی است که با توجه به بهره‌مندی از هوشمندی، امکان مدیریت حجم عظیمی از رویدادها و رخدادهای تولید شده را توسط راهکار های حفاظتی فراهم می‌آورد.

ضرورت و بیان مسئله

یکی از دلایل نیاز زیرساخت‌های کنترل صنعتی به مراکز عملیات امنیت ظهور سلاح‌های سایبری است که می‌تواند امنیت و ایمنی یک منطقه، شهر و یا یک کشور را به خطر بیاندازد. بدافزار استاکس‌نت نمونه‌ای از این دست بدافزار‌ها می‌باشند که با توجه به سرمایه‌گذاری کشور‌های متخاصم بر روی آن توانست حدود دو سال پیشرفت برنامه هسته‌ای کشور را به تعویق بیاندازد و در حدود 1000 سانتریفیوژ را از بین ببرد. لازم به ذکر است که هیچ‌کدام  از ابزار‌ها و سامانه‌های امنیتی به تنهایی امکان شناسایی این بدافزار را نداشته‌اند. دلیل این مهم این است که بدافزار مذکور در چند موجودیت تاثیرهای متفاوت می‌گذاشت که این نوع حملات بجز با همبسته‌سازی و جمع‌آوری رویداد‌ها و لاگ‌ها در یک سامانه یکپارچه مانند مرکز عملیات امنیت صنعتی قابل شناسایی نیست.  یکی دیگر از دلایلی که مدیران را ترقیب به استفاده از مراکز عملیات امنیت می‌کند، کمبود دانش امنیت سیستم‌های کنترل صنعتی است که این مسئله خود یک عامل محرک برای تهدیدات در این حوزه می‌باشد.

تعریف مرکز عملیات امنیت در زیرساخت‌های کنترل صنعتی

با توجه به ماهیت سیستم‌های کنترل صنعتی که نیاز به کار مداوم و پیوسته در آنها موج می‌زند، هر عاملی که به عنوان بازدارنده در این سیستم‌ها عمل کند می‌تواند یک فاجعه را رقم بزند. عوامل بازدارنده که یک مخاطره و یک تهدید را تعریف می‌کنند می‌توانند باعث از دسترس خارج شدن مانیتورینگ و یا ارسال داده‌های کنترلی اشتباه و یا  ورودی اشتباه حسگرها و سنسورها در سطح فیلد و یا عدم ارسال داده‌ها باشد. با توجه به سطح اهمیت یک منطقه و یا یک دارایی، مرکز عملیات امنیت صنعتی قائل به متوقف ویا  کند نمودن فرآیند در آن بخش خواهد بود. چه بسا سیستم‌‌های تشخیص نفوذ فعالیت غیر نرمالی را تشخیص دهند و این فعالیت نیاز به تغییر روند تولید و فرآیند داشته باشد. در این بخش سیستم باید توانایی اعمال تغییرات را در مناطق مختلف داشته باشد.  اما با توجه به اینکه زیرساخت‌های حساس و حیاتی در صورت آسیب، تاثیر بسیار زیادی بر روی محیط زیست، جان انسان و اقتصاد می‌گذارند، روش پیاده‌سازی مرکز عملیات امنیت صنعتی بسیار پیچیده خواهد بود. ولی با استفاده از روش‌های دفاع در عمق و مدل‌های امنیت لایه‌ای می‌توان این مهم را پیاده‌سازی نمود. استفاده از این روش‌ها در پیاده‌سازی مرکز عملیات امنیت صنعتی می‌تواند امنیت بالایی را برای زیرساخت مورد نظر به ارمغان بیاورد.

طبق اسناد NERC در پیاده‌سازی امنیت زیرساخت‌های کنترل صنعتی باید موارد زیر در نظر گرفته شود:

• امنیت دارایی‌های حیاتی
• مدیریت کنترل‌های امنیتی
• آموزش امنیت
• امنیت فیزیکی
• گزارش رخداد‌ها و اعمال طرح‌های پاسخ‌دهنده به تهدیدات
• اعمال طرح‌های بازیابی پس از بحران

هر یک از نیاز‌های مطرح شده توسط اسناد NERC، توسط مراکز عملیات امنیت صنعتی پوشش داده‌ می‌شود. براي این منظور، هر مرکز عملیات امنیت صنعتی نیاز به ابزار‌هایی دارد که بتواند تهدیدات داخلی، امنیت فیزیکی، ارزیابی آسیب‌پذیری‌ها، مدیریت رخداد‌ها و تشخیص نقاط و مناطق حیاتی، متوقف نمودن فرآیند، پیمایش لحظه به لحظه موجودیت‌های حیاتی  را پیاده‌سازی نماید.

تفاوت مرکز عملیات امنیت کنترل صنعتی با مراکز عملیات امنیت زیرساخت‌های فناوری اطلاعات

البته تعریف مرکز عملیات امنیت در زیرساخت‌های کنترل صنعتی با سامانه‌های فناوری اطلاعات تفاوت‌های عمده‌ای دارد. بطوری که رویکرد اصلی در پیاده‌سازی مرکز عملیات امنیت در زیرساخت‌های صنعتی حفظ ایمنی و امنیت هر دو درکنار هم است، در صورتی که در زیرساخت‌های فناوری اطلاعات به حفظ امنیت بسنده می‌کند. تفاوت دیگر سامانه مرکز عملیات امنیت در زیرساخت‌های کنترل صنعتی ناشی از پراکندگی تجهیزات در نقاط مختلف است. شبکه توزیع ملی برق کشور مثال بارزی از این پراکندگی می‌باشد.

روش‌های پیاده‌سازی مرکز عملیات امنیت کنترل صنعتی

پیاده‌سازی مرکز عملیات امنیت سایبری/ صنعتی رویکرد‌های متفاوتی دارد. در ادامه سه رویکرد متفاوت در پیاده‌سازی این مهم شرح داده‌ می‌شود:

رویکرد مبتنی بر حملات سایبری/ صنعتی

با توجه به این رویکرد سعی بر آن است، با کلاسه نمودن حملات از نظر هدف، روش و محل نشست آن‌ها بتوانیم آنها را از هم تفکیک کنیم و با استفاده از راه‌کارهای موجود آنها را تحلیل و آنالیز نماییم. حملات در زیرساخت‌های کنترل صنعتی که تلفیقی از تجهیزات سایبری، پروتکل‌های صنعتی، بستر TCP/IP، تجهیزات سطح فیلد و تجهیزات کنترل صنعتی می‌باشد با سه هدف عمده اتفاق می‌افتد. اصول سه‌گانه محرمانگی، دسترسی پذیری و جامعیت موسوم به CIA  در مخاطرات مرتبط با حوزه صنعتی باید لحاظ شده و حفاظت شود.

تهدیدات مترتب بر امنیت سیستم‌های کنترل صنعتی که در آن اصول سه‌گانه امنیت اطلاعات، لحاظ شده است.

• از بین بردن صحت اطلاعات
• از دسترس خارج کردن و یا ایجاد وقفه

· از بین بردن محرمانگی

با نگاه دقیق‌تر به مسئله متوجه این مهم خواهیم شد که علاوه بر هدف حملات، روش‌های ایجاد آن‌ها نیز در حل این مهم کمک شایانی به ‌ما می‌کند. از این رو با بررسی صورت گرفته مشخص می‌شود که روش‌های ایجاد حملات به سه صورت تکنیکال، خودی و فیزیکی می‌باشد. با نگاه یکی از بارزترین حملات صورت گرفته در این حوزه، بدافزار استاکس‌نت بوده است، که به پیوست این سند مورد بررسی قرار می‌گیرد.

· حملات تکنیکال

• • حملات مختص پروتکل‌های صنعتی
    • حملات پروتکل DNP3
    • حملات پروتکل Modbus
    • حملات پروتکل Profibus
    • حملات پروتکل VnetIP
    • حملات پروتکل IEC 105/104
    • حملات پروتکل S7comm
  • حملات مختص پروتکل‌های سایبری
  • حملات مختص تجهیزات صنعتی
    • نرم‌افزار‌های سیستم‌های کنترل صنعتی
      • Centum                  
      • Citect 
      • simatic wincc          
    • سخت‌افزار‌های سیستم‌های کنترل صنعتی
      • DCS/Yokogawa        
      • PLC/Siemens
      • PLC/schneider electric
  • حملات بدافزار
    • Stuxnet                            
    • Flame
    • BlackEnergy
    • DragonFly
    • Duqu
    • Gauss

· حملات Insider

این‌گونه حملات بااستفاده از دسترسی خودی و یا کارمند ناراضی و یا ضعف دانش کارشناسان بوجود می‌آید و ممکن است عمدی و یا غیر عمدی باشد.

· حملات فیزیکی

رویکرد مبتنی بر آسیب‌پذیری‌‌

در این بخش که رویکردی میانی می‌باشد، سعی بر آن است با بررسی آسیب‌پذیری در لایه‌های سخت‌افزاری، نرم‌افزاری، کاربردی، سیاستی، تنضیمات ضعیف و غیره ... بتوان حملات را در سطح بالاتری  شناسایی، پیش‌بینی و گزارش کرد. حال با توجه به دامنه وسیعی از آسیب‌پذیری‌ها نیاز به کلاسه نمودن آنها می‌باشد. از این رو دو رویکرد ممکن برای کلاسه نمودن آسیب‌پذیری‌‌ها پیشنهاد می‌شود که به توجه به توان و سیاست‌های شرکت قابل پیاده‌سازی می‌باشند.

رویکرد مبتنی بر معماری و روش‌های جمع‌آوری

رویکرد پیش رو مبتنی بر اصول حل مسئله از کل به جزء می‌باشد. به این صورت که اگر ایجاد گزارشات ISOC مسئله باشد، حملات و تهدیدات و مخاطرات جزء این مسئله هستند و همچنین معماری ISOC کل این مسئله تعریف می‌شوند. در این بخش سعی بر آن است ابتدا معماری صحیحی از ISOC و روش‌های جمع‌آوری log در بستر زیرساخت صنعتی تعریف و ایجاد شود  که بتوان به واسطه آنها به تشخیص کل اقدام نمود. با توجه به نحوه کارکرد سیستم‌های کنترل صنعتی که بخش قابل ملاحظه از آن با زیرساخت‌‌های فناوری و اطلاعات در لبه اشتراکی قرار دارند، بسیاری از روش‌های جمع‌آوری log منطبق بر همان اصول SOC سایبری می‌باشد. در ادامه به تعریف روش‌های جمع‌آوری Log به عنوان ورودی سامانه‌های SOC می‌پردازیم.

نتیجه‌گیری

عدم دانش امنیت سایبری و کنترل صنعتی در کشور باعث شده است که متخصصین ابزار دقیق و مهندسین فرآیند نتوانند موارد امنیتی را در زیرساخت‌های مورد نظر پیاده‌سازی کنند. البته لازم به ذکر است در صورت پیاده‌سازی نیز به دلیل نبود راهکاری منسجم اغلب موفق نخواهد بود. و اما با توجه به راه‌کارهای موجود ممکن است برای شما سوالاتی بوجود آید:

• آیا تجهیزات امنیتی در زیرساخت‌های کنترل صنعتی قادر به جلوگیری از حملات سایبری هستند؟
• آیا متخصصین امنیت می‌توانند حملات سطح بالا را شناسایی کنند و قبل از بروز فجایع جبران ناپذیر از آنها جلوگیری کنند؟
• در صورت مورد هدف قرار گرفتن زیرساخت‌های کنترل صنعتی  چه حوادثی روی می‌دهد؟
• آیا در صورت بروز خطا، نقص و یا حملات سایبری خسارات وارد شده را می‌توان جبران نمود؟
• آیا می‌توان سیل عظیمی از داده‌ها و رویداد‌ها را با اتکا به دانش نیروی انسانی تحلیل نمود؟
• آیا در صورت وقوع حملات سایبری به زیرساخت‌های صنعتی امکان جرم‌شناسی وجود دارد؟

زیرساخت‌های حساس و حیاتی در صورت آسیب، تاثیر بسیار زیادی بر روی محیط زیست، جان انسان و اقتصاد می‌گذارند، برای پیش‌گیری از اتفاقات ناگوار باید راهکاری را در نظر گرفت که با توجه به تفاوت‌های زیرساخت‌های کنترل صنعتی که در آنها مرز امنیت و ایمنی بسیار کمرنگ است، استفاده از سیستمی منسجم، یکپارچه و هوشمند که بتواند آسیب‌های احتمالی را مرتفع کند یک اصل می‌باشد. می‌توان گفت کامل‌ترین راه‌حل که بتواند از حوادثی همچون حمله سایبری شعله، استاکس‌نت و... جلوگیری کند مراکز عملیات امنیت صنعتی می‌باشد که می‌تواند در تمامی لحظات موجودیت‌ها را از نظر امنیت و ایمنی رهگیری کند.