بررسی مدل Kill Chain در سیستم‌های کنترل صنعتی

همانگونه که در شکل (1) نیز مشاهده می‌شود، مدل پیشنهادی پژوهشگران Lockheed Martin، با عنوان Cyber Kill Chain از فازهای زیر تشکیل شده است. 

شکل1. فازهای Kill Chain – ارایه شده توسط Lockheed Martin

بخش اول تقریباً شبیه به مدل اصلی است و مطابق با آنچه که قبلاً به عنوان عملیات جاسوسی یا اطلاعاتی طبقه بندی شده است، می‌باشد. فاز 1 منعكس كننده روش كاربردي و حمله هدفمند حمله است.

برنامه ریزی: این مرحله اول است و شامل کارهای شناسایی است که به منظور جمع آوری اطلاعات در مورد هدف انجام می‌شود. معمولاً این شامل تحقیق هدفمند با استفاده از ابزارهای رایگان است، اما اساساً مبتنی بر OSINT است، از وبلاگهای شرکتی، بروشورهای محصول، استفاده از ابزارهای نوع Sochan و غیره با هدف شناسایی نقاط ضعف هدف بهره می‌برد.

آماده‌سازی: هدف این مرحله تهیه مسیر نفوذ است. ممکن است شامل تهیه پرونده برای استفاده در مراحل بعدی و انتخاب هدف حمله بعدی باشد. ابزارهای مناسب بسته به هدف انتخاب می‌شوند. هر دو کار موجود در این مرحله ممکن است انجام شود اما اجباری نیست.

نفوذ سایبری: شامل هرگونه تلاش دسترسی به شبکه ها و سیستم های هدف، صرف‌نظر از موفقیت یا عدم موفقیت آنها می‌شود. در صورت موفقیت آمیز بودن، مهاجم باید بر روی سوء استفاده از هدف کار کند و سعی می‌کند روش‌هایی را برای اطمینان از دسترسی آینده نصب یا اصلاح کند.

مدیریت و فعال سازی: پس از اتمام نفوذ در سیستم، مرحله بعدی مدیریت دسترسی به دست آمده است، که برای آن مهاجم یک یا چند سیستم فرمان و کنترل (C2 یا C&C) ایجاد می‌کند.

توسعه، اجرا و پایداری: این مرحله‌ای است که مهاجم در آن عمل می‌کند. برخی اقدامات معمول در این مرحله اجرای قابلیت های اضافی، پیدا کردن تجهیزات جدید، جابجایی بین شبکه‌ها و غیره است. این کار برای شروع مرحله دوم بسیار مهم است.

در مرحله دوم، دانش جمع آوری شده در مرحله قبلی برای تهیه یك حمله هدفمند مورد استفاده قرار می‌گیرد. این مرحله ممکن است بلافاصله مرحله اول را دنبال کند. تاخیر بین مراحل امکان‌پذیر است. مراحل اصلی فاز دو Kill Chain عبارتند از:

شکل 2. فاز دوم حمله به سیستم‌های کنترل صنعتی با مدل Kill Chain

توسعه حمله و میزان‌سازی: در این مرحله، مهاجم سعی می‌کند قابلیت جدیدی (رویه، ابزار، روش و غیره) را بطور خاص به منظور کنترل زیرساخت انجام نماید.

اعتبارسنجی: هدف از مرحله اعتبار سنجی، تأیید قابلیت جدید در یک محیط یکسان یا مشابه با موردی است که مورد حمله قرار می‌گیرد. معمولاً مهاجم برای انجام این مرحله سخت افزار خاصی را بدست می‌آورد، که شامل شبیه سازی حمله مورد نظر نیز می‌شود. این یک چالش بزرگ است، به این دلیل که شبیه سازی یک سیستم کامل مانند سیستم های مورد استفاده در محیط های صنعتی بسیار پیچیده است.

حمله به سیستم کنترل صنعتی: مرحله آخر زنجیره. مهاجم تلاش می‌کند ظرفیت توسعه یافته را ارسال کند، یا آن را نصب کند، یا رفتار سیستم مورد استفاده را تغییر داده و از آن استفاده کند. عواقب معمول حمله به سیستم های کنترل، کنترل یا از دست دادن داده ها و یا انکار سرویس است.

پیچیدگی تکمیل دو مرحله مجزا از Kill Chain اقتباس شده توسط یک مهاجم در یک محیط صنعتی بستگی به اقدامات امنیتی اعمال شده برای سیستم هدف دارد.

شکل 3. پیاده‌سازی بدافزار Havex با استفاده از مدل Kill Chain

تمهیدات امنیتی

آگاهی از زنجیره سایبر قتل اجازه می‌دهد تا کاربران و مأموران امنیتی اقدامات خاصی را در این زمینه با هدف حفاظت از سیستم های کنترل در هر مرحله از زنجیره اعمال کنند. بسته به مرحله و عمل مورد نظر، ابزارهای مختلفی که امروزه در سیستم های کنترل استفاده می‌شوند، مورد استفاده قرار می‌گیرند، فقط استفاده از آنها ضروری است. اقدامات دیگر مربوط به رفتار کارمندان است که با تشویق فرهنگ ایمنی عمیق تر در شرکت، به راحتی و با استفاده از آموزش اجرا می‌شود.