با رشد روز افزون تهدیدهای امنیتی در زیرساختهای حساس و حیاتی کشور، اهمیت پرداختن به امنیت زیرساخت های صنعتی و کنترل صنعتی بیشتر نمایان میشود. به همین دلیل طی سالیان اخیر راهکارهای امنیتی متعددی مورد توجه قرار گرفته است که این روشها عمدتا مکانیزمهای جلوگیری از حملات میباشند که بدلیل تاثیر زمانی بر زیرساختهای کنترل صنعتی قابل استفاده نبودهاند. آنچه بدان توجه می شود این نکته است که اگرچه بکارگیری راهکارهای حفاظتی در جلوگیری از برخی حملات و تهدیدهای امنیتی موثر است، ولی به تنهایی تامین کننده امنیت و ایمنی نخواهد بود. در این راستا یکی از راهکارهایی که اخیرا مورد توجه قرار گرفته است، پیاده سازی مرکز عملیات امنیت صنعتی است. ISOC یا مرکز عملیات امنیت صنعتی یک سامانه رصد و مدیریت امنیتی یکپارچه در حوزه سیستمهای کنترل صنعتی است که با توجه به بهرهمندی از هوشمندی، امکان مدیریت حجم عظیمی از رویدادها و رخدادهای تولید شده را توسط راهکار های حفاظتی فراهم میآورد.
یکی از دلایل نیاز زیرساختهای کنترل صنعتی به مراکز عملیات امنیت ظهور سلاحهای سایبری است که میتواند امنیت و ایمنی یک منطقه، شهر و یا یک کشور را به خطر بیاندازد. بدافزار استاکسنت نمونهای از این دست بدافزارها میباشند که با توجه به سرمایهگذاری کشورهای متخاصم بر روی آن توانست حدود دو سال پیشرفت برنامه هستهای کشور را به تعویق بیاندازد و در حدود 1000 سانتریفیوژ را از بین ببرد. لازم به ذکر است که هیچکدام از ابزارها و سامانههای امنیتی به تنهایی امکان شناسایی این بدافزار را نداشتهاند. دلیل این مهم این است که بدافزار مذکور در چند موجودیت تاثیرهای متفاوت میگذاشت که این نوع حملات بجز با همبستهسازی و جمعآوری رویدادها و لاگها در یک سامانه یکپارچه مانند مرکز عملیات امنیت صنعتی قابل شناسایی نیست. یکی دیگر از دلایلی که مدیران را ترقیب به استفاده از مراکز عملیات امنیت میکند، کمبود دانش امنیت سیستمهای کنترل صنعتی است که این مسئله خود یک عامل محرک برای تهدیدات در این حوزه میباشد.
با توجه به ماهیت سیستمهای کنترل صنعتی که نیاز به کار مداوم و پیوسته در آنها موج میزند، هر عاملی که به عنوان بازدارنده در این سیستمها عمل کند میتواند یک فاجعه را رقم بزند. عوامل بازدارنده که یک مخاطره و یک تهدید را تعریف میکنند میتوانند باعث از دسترس خارج شدن مانیتورینگ و یا ارسال دادههای کنترلی اشتباه و یا ورودی اشتباه حسگرها و سنسورها در سطح فیلد و یا عدم ارسال دادهها باشد. با توجه به سطح اهمیت یک منطقه و یا یک دارایی، مرکز عملیات امنیت صنعتی قائل به متوقف ویا کند نمودن فرآیند در آن بخش خواهد بود. چه بسا سیستمهای تشخیص نفوذ فعالیت غیر نرمالی را تشخیص دهند و این فعالیت نیاز به تغییر روند تولید و فرآیند داشته باشد. در این بخش سیستم باید توانایی اعمال تغییرات را در مناطق مختلف داشته باشد. اما با توجه به اینکه زیرساختهای حساس و حیاتی در صورت آسیب، تاثیر بسیار زیادی بر روی محیط زیست، جان انسان و اقتصاد میگذارند، روش پیادهسازی مرکز عملیات امنیت صنعتی بسیار پیچیده خواهد بود. ولی با استفاده از روشهای دفاع در عمق و مدلهای امنیت لایهای میتوان این مهم را پیادهسازی نمود. استفاده از این روشها در پیادهسازی مرکز عملیات امنیت صنعتی میتواند امنیت بالایی را برای زیرساخت مورد نظر به ارمغان بیاورد.
طبق اسناد NERC در پیادهسازی امنیت زیرساختهای کنترل صنعتی باید موارد زیر در نظر گرفته شود:
هر یک از نیازهای مطرح شده توسط اسناد NERC، توسط مراکز عملیات امنیت صنعتی پوشش داده میشود. براي این منظور، هر مرکز عملیات امنیت صنعتی نیاز به ابزارهایی دارد که بتواند تهدیدات داخلی، امنیت فیزیکی، ارزیابی آسیبپذیریها، مدیریت رخدادها و تشخیص نقاط و مناطق حیاتی، متوقف نمودن فرآیند، پیمایش لحظه به لحظه موجودیتهای حیاتی را پیادهسازی نماید.
البته تعریف مرکز عملیات امنیت در زیرساختهای کنترل صنعتی با سامانههای فناوری اطلاعات تفاوتهای عمدهای دارد. بطوری که رویکرد اصلی در پیادهسازی مرکز عملیات امنیت در زیرساختهای صنعتی حفظ ایمنی و امنیت هر دو درکنار هم است، در صورتی که در زیرساختهای فناوری اطلاعات به حفظ امنیت بسنده میکند. تفاوت دیگر سامانه مرکز عملیات امنیت در زیرساختهای کنترل صنعتی ناشی از پراکندگی تجهیزات در نقاط مختلف است. شبکه توزیع ملی برق کشور مثال بارزی از این پراکندگی میباشد.
پیادهسازی مرکز عملیات امنیت سایبری/ صنعتی رویکردهای متفاوتی دارد. در ادامه سه رویکرد متفاوت در پیادهسازی این مهم شرح داده میشود:
با توجه به این رویکرد سعی بر آن است، با کلاسه نمودن حملات از نظر هدف، روش و محل نشست آنها بتوانیم آنها را از هم تفکیک کنیم و با استفاده از راهکارهای موجود آنها را تحلیل و آنالیز نماییم. حملات در زیرساختهای کنترل صنعتی که تلفیقی از تجهیزات سایبری، پروتکلهای صنعتی، بستر TCP/IP، تجهیزات سطح فیلد و تجهیزات کنترل صنعتی میباشد با سه هدف عمده اتفاق میافتد. اصول سهگانه محرمانگی، دسترسی پذیری و جامعیت موسوم به CIA در مخاطرات مرتبط با حوزه صنعتی باید لحاظ شده و حفاظت شود.
حوزه اثرگذاری در سهتایی امنیت اطلاعات
مخاطره
محرمانگی
افشا شدن بدون مجوز اطلاعات
دسترسپذیری
اختلال و قطعی در ارائه خدمات سامانههای کنترل صنعتی
خرابی فیزیکی
یکپارچگی
از دست دادن کنترل سامانههای صنعتی
سرقت فیزیکی
تهدیدات مترتب بر امنیت سیستمهای کنترل صنعتی که در آن اصول سهگانه امنیت اطلاعات، لحاظ شده است.
· از بین بردن محرمانگی
با نگاه دقیقتر به مسئله متوجه این مهم خواهیم شد که علاوه بر هدف حملات، روشهای ایجاد آنها نیز در حل این مهم کمک شایانی به ما میکند. از این رو با بررسی صورت گرفته مشخص میشود که روشهای ایجاد حملات به سه صورت تکنیکال، خودی و فیزیکی میباشد. با نگاه یکی از بارزترین حملات صورت گرفته در این حوزه، بدافزار استاکسنت بوده است، که به پیوست این سند مورد بررسی قرار میگیرد.
اینگونه حملات بااستفاده از دسترسی خودی و یا کارمند ناراضی و یا ضعف دانش کارشناسان بوجود میآید و ممکن است عمدی و یا غیر عمدی باشد.
در این بخش که رویکردی میانی میباشد، سعی بر آن است با بررسی آسیبپذیری در لایههای سختافزاری، نرمافزاری، کاربردی، سیاستی، تنضیمات ضعیف و غیره ... بتوان حملات را در سطح بالاتری شناسایی، پیشبینی و گزارش کرد. حال با توجه به دامنه وسیعی از آسیبپذیریها نیاز به کلاسه نمودن آنها میباشد. از این رو دو رویکرد ممکن برای کلاسه نمودن آسیبپذیریها پیشنهاد میشود که به توجه به توان و سیاستهای شرکت قابل پیادهسازی میباشند.
رویکرد پیش رو مبتنی بر اصول حل مسئله از کل به جزء میباشد. به این صورت که اگر ایجاد گزارشات ISOC مسئله باشد، حملات و تهدیدات و مخاطرات جزء این مسئله هستند و همچنین معماری ISOC کل این مسئله تعریف میشوند. در این بخش سعی بر آن است ابتدا معماری صحیحی از ISOC و روشهای جمعآوری log در بستر زیرساخت صنعتی تعریف و ایجاد شود که بتوان به واسطه آنها به تشخیص کل اقدام نمود. با توجه به نحوه کارکرد سیستمهای کنترل صنعتی که بخش قابل ملاحظه از آن با زیرساختهای فناوری و اطلاعات در لبه اشتراکی قرار دارند، بسیاری از روشهای جمعآوری log منطبق بر همان اصول SOC سایبری میباشد. در ادامه به تعریف روشهای جمعآوری Log به عنوان ورودی سامانههای SOC میپردازیم.
عدم دانش امنیت سایبری و کنترل صنعتی در کشور باعث شده است که متخصصین ابزار دقیق و مهندسین فرآیند نتوانند موارد امنیتی را در زیرساختهای مورد نظر پیادهسازی کنند. البته لازم به ذکر است در صورت پیادهسازی نیز به دلیل نبود راهکاری منسجم اغلب موفق نخواهد بود. و اما با توجه به راهکارهای موجود ممکن است برای شما سوالاتی بوجود آید:
زیرساختهای حساس و حیاتی در صورت آسیب، تاثیر بسیار زیادی بر روی محیط زیست، جان انسان و اقتصاد میگذارند، برای پیشگیری از اتفاقات ناگوار باید راهکاری را در نظر گرفت که با توجه به تفاوتهای زیرساختهای کنترل صنعتی که در آنها مرز امنیت و ایمنی بسیار کمرنگ است، استفاده از سیستمی منسجم، یکپارچه و هوشمند که بتواند آسیبهای احتمالی را مرتفع کند یک اصل میباشد. میتوان گفت کاملترین راهحل که بتواند از حوادثی همچون حمله سایبری شعله، استاکسنت و... جلوگیری کند مراکز عملیات امنیت صنعتی میباشد که میتواند در تمامی لحظات موجودیتها را از نظر امنیت و ایمنی رهگیری کند.
کد: 50012659
زمان انتشار: یکشنبه 16 مهر 1396 08:30 ب.ظ
تعداد نمایش: 265
ما را در شبکه های اجتماعی دنبال کنید