مقایسه راهکار جامع با سایر راهکار ها

مقایسه راهکار جامع با سایر راهکار ها

بررسی راهکار جامع و یکپارچه ICSdefender و سایر راهکارها

مجموعه ICSdefender با استفاده از مجموعه از خدمات و محصولات سعی در بهبود شرایط امنیتی و به واسطه آن ایمنی زیرساخت‌های کنترل صنعتی دارد. در این مجموعه راهکار‌ها رویکرد اصلی حفظ شرایط فعالیتی مجموعه زیرساخت مورد نظر و یکپارچه نمودن سطوح امنیت در زیرساخت می‌باشد. در توضیح چرایی این رویکرد لازم به ذکر است که معمولا زیرساخت‌های کنترل صنعتی به واسطه نوع فعالیت خود، نیاز به پایداری بالا دارند و این مهم باید در نظر گرفته شود که در اولویت، حفظ فعالیت اصلی زیرساخت(تولید مثل کارخانه‌های تولیدی، خدماتی مثل انتقال نیرو) می‌باشد و همچنین این پایداری با در نظر گرفتن امنیت، ایمنی بالاتری را به ارمغان می‌آورد. از این رو مجموعه راهکارهای ICSdefender با در نظر گرفتن این دو اصل قلب تپنده صنعت را پایدارتر می‌کند. در ادامه با بررسی راه‌کارهای امنیت در زیرساخت‌های صنعتی و سایبری متوجه خواهیم شد که هیچکدام از آنها به تنهایی توانایی امن‌سازی زیرساخت‌های حساس و حیاتی ندارند و نیاز به یک چارچوب و روشگان جامع و استاندارد به منظور امن‌سازی این زیرساخت‌ها می‌باشد.

    1-1- راهکارهای امنیتی موجود

توسعه و استقرار یک طرح امنیت جامع نیازمند بررسی و تحلیل اصولی شیوه‌های موجود است. این امر با کمک شناسایی و مورد توجه قرار دادن اجزای سطح ریز و درشت سازمان صورت می‌پذیرد. برنامه‌ریزی و ارائه راهکار امنیتی برای هر یک از بخش‌ها و ابعاد سازمان و زیرساخت مورد ارزیابی موضوعی است که تنها با بینش سطحی و کلی قابل انجام نیست بلکه نیازمند بررسی لایه‌ای و عمقی است.

در چرخه حیات مکانیزم‌ها و ابزارهای امنیتی معرفی شده تا‌کنون، انواع مختلفی از فناوری‌ها گسترش یافته‌اند که هر دارای نقاط قوت و ضعف می‌باشند. از طرفی تهدیدات و آسیب‌پذیری‌های جدید بر ساختار آن‌ها نیز قابل چشم پوشی نبوده و در گذر زمان برخی روش‌های قابل اطمینان، نقاط ضعف خود را نشان داده و حتی در برخی موارد در برابر حملات مهاجمین شکست خورده‌اند. در ادامه سند، به بررسی رو‌ش‌های امنیتی رایج برای شناسایی و مقابله با تهدیدات سایبری پرداخته می‌شود و ضعف‌های هر کدام به تشریح بیان می‌گردد.

        1-1-1-تجهیزات و ابزارهای امنیتی

از جمله رایج ترین راه‌حل‌های موجود در امنیت سامانه‌ها استفاده از تجهیزات و ابزارها است. مهم‌ترین این ابزارها که می‌توانند به صورت نرم‌افزاری یا سخت‌افزاری به کارگیری شوند عبارتند از:

  • دیوارآتش

  • سامانه تشخیص و جلوگیری از نفوذ

  • مدیریت تهدید پکپارچه

  • ضد ویروس و بدافزار

در ادامه به بررسی هر یک از ابزارهای فوق پرداخته خواهد شد.

            1-1-1-1-دیوارآتش

دیوارآتش یک سامانه امنیتی است که کنترل ترافیک ورودی/خروجی به شبکه را بر عهده دارد. دیوارآتش بین شبکه داخلی سازمان و شبکه بیرونی (یا اینترنت) قرار گرفته و بسته‌های ورودی را بازرسی می‌کند. در صورتی که بسته‌ی شبکه منطبق با مجموعه قواعد تعیین شده در دیوارآتش باشد، اجازه عبور داده می‌شود، در غیر اینصورت بسته دور انداخته شده و پیغام خطا به فرستنده ارسال می‌شود. دیوارآتش‌ها عموما در لایه‌های بالایی اینترنت (لایه فیزیکی تا لایه شبکه) فعالیت می‌کنند. دیوارآتش‌های نسل دوم نیز مانند اجداد نسل اول خود عمل می‌کنند با این تمایز که تا لایه چهارم مدل OSI پیشروی می‌کنند. در این دیوار آتش بسته‌ها تا دستیابی به اطلاعات کافی برای تصمیم‌گیری در مورد وضعیت هریک نگهداشته می‌شوند. این دیوارآتش‌ها با نام بازرسی کننده هوشمند بسته نیز شناخته می‌شوند. دیوارآتش‌های با قابلیت بازرسی هوشمند بسته، تمامی اتصالات عبوری از خود را ضبط می‌کند و تشخیص می‌دهد که بسته بخشی از شروع یک ارتباط جدید است، جزیی از یک ارتباط موجود و یا با هیج ارتباطی مرتبط نیست.

            محدودیت‌های دیوارآتش

  • ناتوانی در برابر محافظت از حملات داخلی: با افزایش ارتباطات شبکه خطر حملات داخلی و کارمندان ناراضی افزایش می یابد.

  • حملات پروتکل‌های لایه بالای شبکه را نمی‌تواند جلوگیری کند.

  • معماری دیوار آتش: نیاز به چند نوع دیوار آتش برای عمل در لایه‌های مختلف است. اغلب دیوارآتش‌ها تنها در بالاترین لایه‌های اینترنت با مدل شبکه عمل می‌کنند لذا سطح امنیت پایین‌تری را در اختیار قرار می‌دهند. برای مثال دیوارآتشی که در لایه کاربردی پشته TCP/IP کار می‌کند الگوی داده و امضای برنامه‌های کاربردی را به منظور تشخیص امن بودن بسته‌ها بررسی می‌کند. در صورتی که آن بسته در لیست برنامه‌های مطمئن (لیست برنامه‌های مورد اطمینان سیستم‌عامل، دیوارآتش یا برنامه‌های مجوز داده شده قبلی) یافت شود، دیوارآتش به بسته داده اجازه ورود به رایانه و شبکه را می‌دهد. در صورتیکه که یک بات‌نت یا هکردر حال مشاهده الگوی بسته‌های داده باشد به سادکی می‌تواند بسته‌های جعلی با آدرس‌های IP مبدا مورد اطمینان ایجاد کرده و به شبکه یا رایانه مورد پشت دیوارآتش نفوذ کند.

  • در صورتی که شبکه به درستی پیکربندی نشده باشد، دیوارآتش سودمند نیست.

  • دیوارآتش جایگزینی برای ابزارهای ضدویروس و بدافزار نیست.

            1-1-1-2-سیستم تشخیص نفوذ

سامانه تشخیص نفوذ یک قطعه سخت افزاری یا نرم‌افزاری است که با پویش ترافیک شبکه یا فعالیت‌های سیستم اقدامات مخرب، یا نقض روال ها و سیاست‌های امنیتی را گزارش می‌دهد. تفاوت عمده دیوارآتش با سامانه تشخیص نفوذ در این است که دیوارآتش عملکردی سطحی به منظور شناسایی نفوذ دارد و با اعمال محدودیت برای دسترسی به شبکه ها موجب پیشگیری از دخول می‌شود. دیوارآتش عموما حملات به منشا درون شبکه را شناسایی نمی‌کند. در مقابل یک سامانه تشخیص نفوذ دخول مشکوک به شبکه را در زمان رخ دادن شناسایی کرده و با ارزیابی آن سیگنال هشدار صادر می‌کند. در صورتی که سامانه تشخیص نفوذ قابلیت مقابله و اقدام مناسب (مثلا قطع ارتباط) پس از شناسایی حمله را داشته باشد، به آن سامانه جلوگیری نفوذ اطلاق می‌شود. سامانه تشخیص نفوذ توانایی شناسایی حملات با منشا درون شبکه و ارسال هشدار به اپراتور مربوطه را نیز دارد. این امر اغلب از طریق شناسایی ابتکاری و الگوهای حملات بدست آمده(معمولا از امضای حملات) صورت می‌پذیرد.

تذکر: باید توجه داشت که دیوارآتش‌های نسل سوم(دیوارآتش لایه کاربردی) و نسل‌ آینده دارای قابلیت‌های تشخیص و پیشگیری نفوذ هستند و در برخی موارد تمایز بین این نوع دیوارآتش‌ها و سامانه‌های تشخیص نفوذ امری بی معنی است.

            محدودیت‌های سامانه تشخیص نفوذ

  • عامل نویز به شدت بر کارایی سامانه تشخیص نفوذ محدودیت ایجاد می‌کند. بسته‌های بد تولید شده توسط باگ‌های نرم‌افزاری، داده‌های دارای اشکال DNS و بسته‌های محلی بشدت نرخ تولید هشدار نادرست را افزایش می‌دهد.

  • بسیاری از بسته‌های حملات واقعی با نرخ پایین تر از سطح نرخ تولید هشدار منتشر می‌شوند که موجب اشتباه در تصمیم‌گیری یا نادیده گرفتن آن‌ها در سامانه تشخیص نفوذ می‌شود.

  • بسیاری از حملات برای نسخه‌های خاصی از نرم‌افزار است که معمولا از رده خارج هستند. در سامانه تشخیص نفوذ همیشه به یک پایگاه داده در حال تغییر و بروز رسانی به منظور کاهش تهدیدات نیاز است. به روز نبودن پایگاه داده موجب آسیب‌پذیر شدن سامانه تشخیص نفوذ در برابر تهدیدات و حملات جدید می‌شود.

  • در سامانه‌های تشخیص نفوذ مبتنی بر امضا، یک فاصله زمانی بین شناسایی یک تهدید جدید و اعمال شدن امضای آن در سامانه وجود دارد. در این حفره زمانی سامانه قادر به تشخیص تهدید نخواهد بود.

  • از این سامانه‌ها نمی‌توان برای موارد ضعف احراز هویت یا آسیب‌پذیری موجود درپروتکل‌های شبکه استفاده کرد. هنگامیکه نفوذگر به دلیل ضعف در مکانیزم احراز می هویت موفق به دسترسی شود، آنگاه سامانه تشخیص نفوذ قادر به جلوگیری از اقدامات هرگونه اقدام مخرب نفوذگر نیست.

  • بسته‌های رمزشده توسط نرم‌افزار تشخیص نفوذ پردازش نمی‌شوند. بنابراین بسته‌های رمزشده امکان نفوذ را فراهم آورده و تا وخیم شدن سطح حمله ناشناخته باقی می‌مانند.

  • نرم‌افزارهای تشخیص نفوذ اطلاعات خود را بر پایه مشخصاتی که در بسته IP ارسال شده به شبکه قرار دارد، بدست آورده و تحلیل می‌کند. این امر در شرایطی مناسب است که آدرس موجود در بسته IP صحیح باشد، در حالیکه آدرسی که در بسته IP قرار می گیرد می‌تواند جعل یا دستکاری شود.

  • به دلیل ماهیت سامانه‌های تشخیص نفوذ و نیاز آن‌ها به تحلیل پروتکل‌ها، آن‌ها نیز همانند ماشین‌های شبکه در برابر حملات مبتنی بر پروتکل‌ها آسیب‌پذیرند. برای مثال حملات داده غیر معتبر و پشته پروتکل می‌تواند موجب از کار افتادن سامانه تشخیص نفوذ شود.

            1-1-1-3-سامانه مدیریت تهدیدات یکپارچه

با افزایش حملات در لایه‌های مختلف شبکه و ارائه راه‌کارها و ابزارهای امنیتی برای هریک، مسئله تعدد ابزارها و مدیریت پیکربندی هر یک بوجود آمد. سامانه‌های مدیریت تهدید یکپارچه با ارائه قابلیت‌های مختلف امنیتی در یک ابزار راه‌کاری برای این منظور فراهم آوردند. سامانه مدیریت تهدید یکپارچه با ساده سازی مدیریت استراتژی‌های امنیتی یک سازمان این امکان را فراهم می آورد که با قراردادن یک قطعه چندین لایه نرم‌افزاری و سخت افزاری را مدیریت کرد. همچنین توسط این سامانه، از یک رابط متمرکز می‌توان تمامی راه‌کارهای امنیتی را پایش و پیکربندی کرد. از جمله قابلیت‌هایی اساسی که یک سامانه تهدید یکپارچه در اختیار قرار می‌دهد عبارت است از: دیوارآتش، شبکه خصوصی مجازی، ضد ویروس و ضد هرزنامه دروازه شبکه، پیشگیری نفوذ، فیلترینگ محتوا، مدیریت پهنای باند، کنترل برنامه‌های کاربردی و گزارش دهی متمرکز. این سامانه‌ها دارای سیستم‌عاملی مخصوص برای نگهداری تمامی مشخصه‌های امنیتی در یک مکان می‌باشند که به منظور بهبود در عملکرد یکپارچه سازی و کارایی در مقایسه با جمع آوری اطلاعات از چندین منبع پراکنده در نظر گرفته شده است. اگر چه سامانه‌های تهدید یکپارچه موجب آسان سازی راه اندازی و مدیریت راهکارهای امنیت و کاهش پیچیدگی و هزینه ها می‌شوند اما دارای نقاط ضعفی نیز می‌باشند

  • ایجاد نقطه شکست واحد در ترافیک شبکه

  • ایجاد نقطه نفوذ واحد در صورت داشتن آسیب‌پذیری

  • تاثیر بالقوه در تاخیر و پهنای باند ترافیک در زمانی که سامانه قادر به همسان سازی خود با ترافیک شبکه نیست

            1-1-1-4-ضد ویروس و بدافزارها

ضد ویروس ها اغلب عمومی‌ترین و پرکاربردترین ابزارهای موجود به منظور مقابله با تهدیدات بدافزارها و کدهای مخرب در بین عوام شناخته می‌شوند. ضد ویروس ها با در اختیار داشتن پایگاه داده عظیمی از بدافزارها و کدهای مخرب شناخته شده اقدام به شناسایی سیستم‌های آلوده و پاکسازی آن‌ها می‌کنند. شیوه کلی ابزارهای ضدویروش شناسایی تهدید بر پایه وجود امضای یا الگوی شناخته شده ای از تهدید یا بدافزار است. مشکل اساسی در به کارگیری روش شناسایی مبتنی بر امضا این است که در صورت در دسترس نبود امضای بدافزار، این روش قادر به شناسایی تهدید نخواهد بود، لذا دو مشکل اساسی بروز خواهد کرد:

الف) مشکل هزینه و زمان به روز رسانی: ابزارهای موجود و مبتنی بر امضا نیازمند آن هستند که پایگاه داده شان به طور مداوم بازبینی و به روز رسانی شوند تا قادر به شناسایی باشند.

ب) حملات و بدافزارهای روز صفرم : بدافزارها و شیوه‌های حمله‌ای که تا کنون شناسایی و منتشر نشده اند که در اصطلاح به حملات Zero-Day یا روز صفرم معروف اند در این روش قابل شنایایی نیستند. همچنین با کمی تغییر در الگوی یا امضای بدافزار بدافزار و حملات شناسایی شده این شیوه به راحتی دور زده می‌شود.

        1-1-2-سیاست‌ها و الزامات امنیتی

سیاست امنیتی تعریفی است که هر آنچه در رابطه با امن شدن یک سامانه، سازمان یا نهاد دیگر می‌باشد، بیان می‌کند. در یک سازمان سیاست امنیتی می‌توان شامل محدودیت‌هایی برای اعضا و کارمندان، همچنین محدودیت‌ها اعمال شده برای رقابا باشد نظیر اعمال محدودیت در درب‌ها، کلیدها، قفل‌ها و مرزهای سازمان تعریف شود. در سامانه‌ها سیاست امنیت شامل ایجاد محدودیت بر عملکردها و جریان اطلاعات بین آن‌ها می‌شود. مواردی نظیر جلوگیری از دسترسی به سامانه توسط افراد متفرقه و سامانه‌های بیرونی یا دسترسی به داده‌های سامانه‌ توسط افراد غیرمجاز از این دسته‌اند. به منظور پیاده سازی واجرای سیاست‌های امنیتی، عموما از الزامات مورد نیاز هر سازمان یا سامانه استفاده می‌شود. سیاست امنیت شامل سندی نوشتاری است که چگونگی برنامه سازمان در محافظت از دارایی‌های فیزیکی و فناوری اطلاعات را بیان می‌کند. یک سیاست امنیتی اغلب به عنوان یک سند زنده[6] شناخته می‌شود. بدین معنی که نابود یا منسوخ نمی‌شود، بلکه به طور پیوسته همزمان با نیازهای کارمندان، سازمان و تغییر فناوری بروز رسانی می‌گردد.

            1-2-1-1-استانداردها، دستورالعمل‌ها و الزامات امنیتی

استانداردها و دستورالعمل‌های امنیتی در کسب دانش و استقرار هر یک از مسائل مرتبط با امنیت سامانه‌های مدیریت فناوری اطلاعات را به خوبی پوشش می‌دهند. استانداردها و الزامات امنیتی با نگرش کلان و مدیریت سازمانی در حوزه امنیت کمک فراوانی به رسیدن به سیاست گذاری و رسیدن به چارچوبی امن می‌کنند. یکی از استانداردها رایج در حوزه امنیت فناوری اطلاعات سری استانداردهای ISO27000 و ISO 15408 می‌باشد. استانداردها و دستوالعمل‌های امنیتی اغلب بر پایه دیدگاه کلی و خطی مشی سازمانی، راهکارهای کلی امنیت را مورد بررسی قرار داده و الزامات لازم آن را تدوین می‌کنند. مسائل عمده در این حوزه عبارتند از:

  • مسئله تعداد و گستردگی عناصر: اسناد و راهنماهای امنیت به علت تداد کنترل ها و الزامات زیادی که دارند مورد غفلت قرار می گیرند و زمان زیادی صرف بررسی هر یک از الزامات باید صرف شود.

  • دیدگاه کلان و کلی: به علت کلی و کلان بودن مباحث امنیتی عنوان شده در این اسناد نیاز به راهکار عملی و کاربردی احساس می‌گردد.

  • قابلیت اطمینان: دستوالعمل‌ها و استانداردها به واسطه اینکه از سوی نهادهای بعضا دارای اهداف سازمانی مشخص تدوین می‌گردند، ممکن است برای سازمان ها و زیرساخت‌های کشور‌های دیگر لذوما بهینه نباشند. به عبارت دیگر قابلیت اطمینان دستورالعمل‌های تدوین شده برای دیگر سازمان ها و زیرساخت‌های کشور‌های دیگر را چه مرجعی تایید صلاحیت می‌کند؟. لذا در این بخش نیازبه راهکارها و دستوالعمل‌های بومی و قابل اطمینان و متناسب با ارزش‌ها و اصول کشور هدف احساس می‌گردد.

  • عدم پوشش جامع: بسیاری از استانداردهای تدوین شده به لحاظ دانشی و پرداختن به حوزه‌های امنیت نا کارآمد هستند. مثلا در استاندارد مدیریت امنیت سامانه‌های فناوری اطلاعات یا ISMS بخش‌های مرتبط با کارمندان ناراضی، امنیت صنعتی و امنیت رایانش ابری و غیره پوشش داده نشده است.

        1-1-3-مدیریت و ارزیابی امنیتی

مدیریت امنیت، شامل شناسایی دارایی‌های سازمان و توسعه، مستندسازی و پیاده کردن سیاست‌ها و رویه‌هایی است که به منظور حفاظت دارایی‌ها مورد استفاده قرار می‌گیرد. برای دستیابی به برنامه مدیریت امنیت کارآمد طیف گسترده‌ای از رویه‌ها و ساز و کارهای مورد استفاده قرار می‌گیرند. در چرخه مدیریت امنیت، ارزیابی و تحلیل از اهمیت بالایی برخوردار بوده و در شناسایی تهدیدها، دسته بندی اطلاعات و دارایی‌ها و رتبه دهی به آسیب‌پذیری‌های سامانه‌های اطلاعاتی موثر است. سیستم رتبه دهی به آسیب‌پذیری‌ها قابلیت پیاده سازی و اعمال کنترل‌های کارآمد را می‌دهد. در دسته مدیریت و ارزیابی امنیت راهکاری‌هایی نظیر چک لیست و ممیزی امنیت اطلاعات، مدیریت وقایع امنیت، مدیریت آسیب‌پذیری‌ها و تست نفوذ(به عنوان بخشی از فرآیند ارزیابی امنیت) می‌تواند قرار گیرد. در ادامه به تشریح هر یک پرداخته می‌شود.

            1-1-3-1چک‌لیست‌ها و ممیزی امنیت

چک لیست‌ها و ممیزی امنیت به تنهایی قادر به مشخص نمودن همه نقاط آسیب‌پذیر و ضعف‌ها نیست، از سویی این شیوه اغلب بر خط مشی‌ها و کلیت به کارگیری الزامات امنیت تمرکز دارد تا ارائه گزارش کاربردی و در اختیار گذاشتن جزئیات عناصر. چک لیست تنها کلیت حوزه آسیب‌پذیر را نشان داده و راهکار عملی و نحوه پیاده سازی امنیت در جز آسیب‌پذیر را بیان نمی‌کند.

  • فقدان ارائه جزئیات آسیب‌پذیرها و نقص‌ها

  • عدم گزارش جزئیات امن سازی عنصر آسیب‌پذیر

  • در نظر نگرفتن شواهد عینی و زمان نفوذ

            1-1-3-2مدیریت وقایع و واکنش سریع

مدیریت وقایع و واکنش سریع بر پایه موفقیت آمیز بودن حملات و بروز تهدید بر سازمان تکیه دارد. مدیریت وقایع با بررسی شواهد صورت گرفتن حمله سعی در شناسایی حملات و نوع آن‌ها داشته و با به کارگیری شیوه‌های بازیابی از حوادث و واکنش سریع سعی در کاهش مخاطرات و خسارات ناشی از آن دارد. مکانیزم‌های مدیریت وقایع و واکنش سریع دارای مشکل اساسی درمان پس از وقوع حادثه هستند. به بیان دیگر این رویکرد ابتدا منتظر وقوع یک تهدید یا حمله می‌ماند و سپس در جهت برطرف کردن یا جلوگیری از گسترش آن اقدام می‌کند. در چنین رویکردی ممکن است دربازه زمانی شناسایی شدن حمله، پاکسازی و بازگردانی از شرایط بحران بسیاری از خسارات صورت گرفته و هزینه‌های متعددی بر سازمان متحمل شود. بنابراین مشکلات این شیوه را می‌توان به صورت زیر بیان کرد:

  • نداشتن سازوکار پیشگیرانه: این شیوه بر پاسخگویی و واکنش سریع به رخدادهای امنیت تمرکز دارد و هدف آن بازیابی بحران و به حداقل رساندن خسارات ناشی از یک رخداد سایبری است. این رویکرد عملا راه حلی برای جلوگیری یا پیشگیری از وقع حوادث ارائه نمی‌دهد.

  • تاخیر و هزینه : مکانیزم مدیریت وقایع و واکنش سریع در رخدادهای امنیت عموما دارای صرف زمان و هزینه است، در بازه زمانی به منظور شناسایی، پاکسازی و بازگردانی سامانه‌ها از شرایط بحران به روال عادی، گاهاً خسارات و هزینه‌های جبران ناپذیری ممکن است بوقوع بیانجامد.

             1-1-3-3-مدیریت آسیب‌پذیری و وصله

مدیریت آسیب‌پذیری‌ها و وصله‌های امنیتی از راهکارهای رایج به منظور جلوگیری از سوء استفاده از نقاط ضعف و نفوذ به سامانه‌ها است. در مدیریت آسیب‌پذیر و وصله ها بوسیله شناسایی، دسته بندی و رفع اشکال ضعف‌های امنیتی شناسایی شده در نرم‌افزارها و سفت افزارها در جهت کاهش تهدیدات اقدام می‌شود. مدیریت آسیب‌پذیری‌ها و اعمال وصله‌های امنیتی بخش مهمی در امنیت رایانه ها و شبکه‌های ارتباطاتی به شمار می آید. این راهکار دارای اشکالات قابل توجه زیر است:

  • نیاز به مدیریت و صرف زمان: این رویکرد به شدت نیازمند افراد خبره و صرف زمان به منظور شناسایی تمامی آسیب‌پذیری‌ها، دسته بندی و اعمال وصله‌های امنیتی مورد نیاز است.

  • تاخیر: این روش به علت انتظار سیستم به جهت ارائه وصله از سوی سازنده عملا ناکارآمد است. در این شیوه تا زمان انتشار وصله سامانه در معرض حمله قرار دارد و ممکن است در این مدت سیستم مورد نفوذ قرار گرفته و خسارات به با آورد.(درمان پس از واقعه سودمند نیست)

  • عدم شناسایی حملات zero-day: در خصوص شناسایی حملات شناسایی نشده یا zero-day این رویکرد پاسخگو نیست.

            1-1-3-4-تست‌نفوذ‌پذیری

تست نفوذ فرآيندي شامل استفاده از ابزارها و روش‌هاي مهاجمين براي آزمودن و ارزيابي امنيت سازمان و سامانه‌های آن مي‌باشد. اين تست مي‌تواند به صورت يك فرآيند مجزا و یا قسمتي از فرآيند مديريت مخاطرات امنيت فناوري اطلاعات انجام شود. در عملیات تست نفوذ آزمونگر اقدام به بهره برداری از آسیب‌پذیری‌های شناخته شده کرده و به سامانه‌ها ورود پیدا می‌کند. در بسیاری موارد آزمونگر برای نشان داده موفقیت آمیز بودن نفوذ پذیری، شواهدی از دسترسی به هدف را ارائه می‌دهد. نتايج ارزشمند تست نفوذ عبارتند از:

  • شناسايي ضعف‌هاي امنيتي

  • تشخيص ميزان نفوذپذيري رخنه‌هاي امنيتي موجود

  • آزمودن عملكرد امنيتي مدير سيستم‌ها و شبكه در سازمان

  • شناسايي چگونگي تغيير ريسك‌هاي امنيتي سطح پايين به سطح پايين

  • شناسايي آسيب‌پذيري‌هاي خاصي از سيستم كه توسط ابزارهاي خودكار قابل شناسايي نيستند

  • ارزيابي و برآورد تأثیرات حملات بر عملكرد سيستم‌ها

  • ‌آزمودن مكانيزم‌ها و تجهيزات دفاعي موجود در شبكه جهت بررسي صحت كاركرد آن‌ها

  • ارائه مستندي براي افزايش بودجه در بخش امنيت اطلاعات

تست نفوذ از منظر فنی کمک بسیاری در نشان دادن نقاط ضعف سازمان ها و سامانه‌های امنیت فناوری اطلاعات در اختیار قرار می‌دهد. اما این شیوه دو اشکال اساسی دارد:

  • هکرها و نفوذگران کارکشته، بسیاری از حملات را منتشر نمی‌کنند. از این رو این شیوه با درصد زیادی متکی بر دانش فرد آزمونگر است. به نحوی که در صورت در دسترسی نبود کد بهره برداری از یک آسیب‌پذیری موجود یا شناخته نشدن آسیب‌پذیری در مرحله ارزیابی آسیب‌پذیری‌ها، ضعف سامانه یا سازمان پوشیده باقی می‌ماند.

  • غیرقابل پیاده سازی بودن آزمون در همه محیط‌ها: آزمون‌های این روش در برخی موارد در بسترهای خاص قابل پیاده سازی نیست. لذا قابلیت فراگیر بودن همه آزمون‌های این شیوه زیر سوال است. مثلا در محیط‌های عملیاتی و کنترل صنعتی اجرای بسیاری از تست‌های نفودپذیری امکان خرابی یا از کار انداختن سامانه‌ها و عملیات در حال انجام مرتبط با آن را به خطر می اندازد که خود باعث بوجود آمدن مخاطرات بعضا غیرقایل پیش بینی می‌شود.

    1-2- راهکار جامع و یکپارچه ICSdefender برای امن‌سازی زیرساخت‌‌های صنعتی

اولین اصل در ایجاد راهکار جامع و یکپارچه شناخت کامل مسئله و در ادامه شناخت روش‌های حل متعدد می‌باشد که ICSdefender با بررسی تقریبا تمام رهکار‌ها و محصولات موجود در این حوزه و در راستای ایجاد راهکاری قابل پیاده‌سازی و همچنین با اتکا به اسناد معتبر و استانداردهای مربوط به این حوزه ماننده اسناد بالادستی IEC62443، CPNI، NERC، NIST، NISTIR و تجربه ارزیابی و تست نفوذ این زیرساخت‌ها، "راهکار جامع و یکپارچه ICSdefender به منظور امن‌سازی زیرساخت‌های صنعتی" را تدوین نمود. راهکار مذکور با توجه به مفاهیم زیر تدوین گردیده است:

  • منطبق بر اصول چرخه PDCA به منظور ایجاد پویایی در اجرای فرآیند‌های اجزا

  • در راستای پیاده‌سازی مفاهیم استراتژی دفاع در عمق که در زیرساخت‌های حساس و حیاتی از اهمیت بالایی برخوردار است.

  • مبتنی بر سه مفهوم protect، Detect و Respond که در سند CPNI به آنها اشاره شده است.

  • راهکار جامع و یکپارچه ICSdefender ارتقای عناصر بلوغ(نیروی انسانی، تکنولوژی و فرآیند) را در نظر دارد.

همچنین برای ایجاد این مهم نیاز به چارچوبی است که نیازمندی‌های اصلی و فعایت‌های کلیدی و اهداف نهایی را در راهکار جامع مشخص کند و بتواند نمایی کلی از راهکار را بیان کند.

1. چارچوب راهکار جامع و یکپارچه امن‌سازی زیرساخت‌های صنعتی

با توجه به مطالب بیان شده راهکارجامع و یکپارچه امن‌سازی زیرساخت‌های صنعتی شامل چهار بخش اصلی می‌باشد که هر کدام از این بخش‌ها به زیر بخش‌هایی تقسیم می‌شوند. در شکل زیر نمایی از راهکار جامع و یکپارچه امن‌سازی زیرساخت‌های صنعتی که توسط ICSdefender تولید شده است را ملاحظه می‌نمایید.

2. چرخه حیات راهکارجامع و یکپارچه امن‌سازی زیرساخت‌های صنعتی

مرحله اول راهکار که مربوط به شناسایی و ارزیابی امنیت و عملکرد شبکه‌های صنعتی و سایبری زیرساخت می‌باشد. در این فرآیند سعی بر آن است تا ابتدا با بازرسی امنیت پیرامونی و سپس با ارزیابی سیاست‌های امنیتی اعمال شده در زیرساخت و بهبود آنها بر اساس راهکارهای پیشنهاد شده، مخاطرات احتمالی را در کوتاهترین زمان به حداقل ممکن می‌رسانیم. مراحل این ارزیابی به این صورت است که با شناسایی سطح تضمین امنیت، تمامی دارایی‌های شبکه صنعتی و سایبری در سامانه مشخص و ارزیابی بر اساس آنها و نوع زیرساخت انجام می‌شود.

3. دیاگرام ارزیابی سیاست‌های امنیتی در زیرساخت‌های صنعتی

در ادامه این بخش که همان شناسایی و ارزیابی می‌باشد، این بار با اتکا به روش تست‌نفوذ جعبه سیاه سعی به شناخت آسیب‌پذیری‌های بالفعل می‌نماییم، که بعد از شناخت آنها در تمامی حوزه‌های شبکه صنعتی و سایبری بتوان آنها را مرتفع نمود و در صورت نیاز آنها را وصله کرد.

در بخش طراحی و امن‌سازی با توجه به آسیب‌پذیری‌ها، نقوط ضعف، پیکربندی نادرست و ... که در سه بخش قبل یعنی بازرسی پیرامونی، ارزیابی سیاست‌های امنیتی و تست نفوذ کشف شد، طراحی صورت می‌گیرد و امن‌سازی و پیکربندی صحیح در دستور کار قرار خواهد گرفت. این بخش شامل امن‌سازی معماری و سخت‌افزارها (Device Hardening) و نرم‌افزار‌ها نیز می‌باشد. بعد از طراحی صحیح شبکه در راستای پیاده‌سازی مباحث Segmentation و Isolation از تجهیزات پیشگیری از نفوذ مانند دیوارآتش، سیستم جلوگیری از نفوذ (IPS) و سایر تجهیزات مربوطه استفاده می‌شود. البته این تجهزات در بخش سایبری کاربرد دارند.

در بخش سوم یا همان تشخیص، با استفاده از تجهیزات تشخیصی مانند سنسور تشخیص نفوذ سیستم‌های صنعتی شامل: سیستم تشخیص نفوذ شبکه‌های صنعتی، سیستم تشخیص نفوذ میزبان‌های صنعتی و مدیر سنسورها می‌توان تمامی موارد طی شده تا به این مرحله را پیگیری نمود تا اشکالات و نقایص بر جا مانده مغفول نماند. بعد از استقرار تجهیزات تشخیصی، SIEM در بخش شبکه سایبری زیرساخت قرار می‌گیرد و در ادامه فرآیند استقرار و تحویل و آموزش آن در این بخش تکمیل می‌گردد.

در بخش چهارم و با توجه به نیاز مرکز عملیات امنیت که در برخی از مواقع نیاز به بررسی دقیق‌تر رخداد‌ها دارد و همچنین رخداد‌هایی که نیاز به پاسخگویی‌های موقت و دائمی دارد فاز پاسخ‌گویی به رخداد‌های صنعتی/سایبری طراحی و مستقر می‌گردد در ادامه نیز این طرح با استفاده از اسناد و استاندارد‌های مدیریت رخداد‌ها و تهدیدات سایبری/صنعتی استمرار کسب و کار و همچنین بازیابی پس از بحران را تضمین خواهد کرد.

کد: 50013242

زمان انتشار: چهارشنبه 8 آذر 1396 08:30 ب.ظ

تعداد نمایش: 244

ورود به سامانه


نام کاربری
گذر واژه
کد امنیتی

شبکه های اجتماعی

ما را در شبکه های اجتماعی دنبال کنید