تعداد فزاینده ای از آسیب پذیری ها زیرساخت های مهم ملی (CNI) ما را در معرض حملات سایبری شرکت کنندگان در معرض تهدید انگیزه های ژئوپلیتیکی یا شرکتی برای جاسوسی قرار می دهد تا باعث ایجاد اختلال ، آسیب اقتصادی یا آسیب رساندن به سلامتی و سلامت شهروندان شود.
این آسیب پذیری ها در سیستم های کنترل صنعتی (ICS) یافت می شوند که برای عملکرد CNI بسیار مهم هستند. اگر شرکت کنندگان در تهدید بر روی هر یک از این سیستم ها کنترل داشته باشند ، می توانند نحوه عملکرد خود را تغییر دهند یا به طور کلی جلوی کار آنها را بگیرند که می تواند عواقب گسترده ای داشته باشد.
برای جلوگیری از به کارگیری ESC ها توسط افرادی که درگیر تهدیدات هستند ، سازمان های صنایع اصلی مانند انرژی ، تولید و داروسازی باید بدانند که این آسیب پذیری ها چیست و برای کاهش آنها باید تدابیری اندیشیده شود.
درباره نویسنده
امیر پرمینگر معاون پژوهشی کلاروتی است
افزایش آسیب پذیری ها
مطالعه اخیر ما نشان داد که تعداد آسیب پذیری های امنیتی ICS منتشر شده توسط پایگاه ملی آسیب پذیری (NVD) و در توصیه های آسیب پذیری گزارش شده توسط تیم ICS-CERT به صورت سالانه افزایش یافته است.
ما دریافتیم که تعداد توصیه های ICS-CERT منتشر شده در نیمه اول سال 2020 تقریباً یک سوم بیشتر از مدت مشابه در سال 2019 است ، در حالی که 365 آسیب پذیری گزارش شده توسط NVD در سال 2020 ، نسبت به سال گذشته 10.3٪ افزایش یافته است.
برای صنایع خاص ، این افزایش حتی بیشتر بود. به عنوان مثال ، بخش آب و فاضلاب شاهد افزایش 122.1 درصدی در آسیب پذیری ICS-CERT بود ، تولید مهم 87.3٪ افزایش یافت ، در حالی که در بخش انرژی 58.9٪ بود.
چنین رشدی به دلایل مختلفی از جمله این واقعیت است که ICS اکنون بیش از هر زمان دیگری به اینترنت متصل است ، اما به روزرسانی آن با جدیدترین اصلاحات می تواند مشکل ساز شود. همچنین توجه به این نکته مهم است که این رشد تا حدی به دلیل آگاهی بیشتر از این آسیب پذیری ها و محققان و ارائه دهندگان است که شناسایی و از بین بردن آنها را تا حد ممکن به اولویت می رسانند.
افزایش اتصال
به طور سنتی ، تجهیزات ICS و شبکه های فناوری عملیاتی (OT) که در آنها کار می کنند توسط شبکه های IT کاملاً بسته شده (یا در هوا حل می شوند) ، و این امر تقریباً غیرممکن است که شرکت کنندگان در تهدید آنها را از راه دور هدایت کنند. با این حال ، در پی بهره وری بیشتر از طریق فناوری های اتوماسیون ، مشاغل به طور فزاینده ای زیرساخت های OT خود را با شبکه های IT خود ادغام می کنند.
از آنجا که این اتفاق بیشتر و بیشتر اتفاق می افتد ، مسئولیت مدیریت امنیت شبکه OT به طور فزاینده ای بر عهده تیم های امنیتی IT است ، بسیاری از آنها به اشتباه معتقدند که آنها می توانند به سادگی پروتکل های امنیتی IT را که می دانند در شبکه OT اعمال کنند. . با این حال ، این مورد وجود ندارد ، زیرا زمان uptime نسبت به محافظت از داده در شبکه های OT دارای اولویت است ، به این معنی که انجام فعالیت های استاندارد امنیتی IT ، مانند وصله های نرم افزاری و نگهداری آن دشوار است. با این حال ، و تفاوتهای آشکار دیگر بین IT و OT ، سازمانها هنوز با برنامه های تلفیقی IT / OT پیشرفت می کنند ، در حالی که عاقلانه تر نیستند.
عملیات از راه دور
مطالعه ما نشان داد که بیش از 70٪ از آسیب پذیری های منتشر شده توسط NVD می تواند از راه دور مورد سو استفاده قرار گیرد ، برجسته می شود که شبکه های OT با شکاف هوا اکنون بسیار نادر هستند. به عنوان مثال ، یکی از راههای بسته شدن شکاف هوا از طریق ایستگاههای کاری مهندسی (EWS) است که در صورت لزوم به هر دو شبکه OT و IT متصل می شوند. چنین ارتباطی آنها را به یک هدف جذاب برای شرکت کنندگان در تهدید تبدیل می کند ، زیرا به محض اینکه به شبکه IT نفوذ کرده باشند ، سپس می توانند از EWS برای انتقال به شبکه OT استفاده کنند. شرکت کنندگان تهدید پس از دستیابی به کنترل ، به مناطق دیگر OT ، از جمله کنترل کننده های منطقی قابل برنامه ریزی (PLC) دسترسی دارند که به آنها امکان می دهد فرایندهای فیزیکی را دستکاری کنند.
این مطالعه همچنین نشان داد که محصولات EWS بیش از نیمی از آسیب پذیری های کشف شده را در بر دارد ، در حالی که PLC ها یک چهارم را به خود اختصاص داده اند. با استفاده از این آسیب پذیری ها ، شرکت کنندگان در تهدید می توانند اقداماتی مانند اجرای کد از راه دور (RCE) را انجام دهند ، که به آنها امکان می دهد از راه دور دستورات را برای ایجاد ثبات و انجام حرکت پهلو ارسال کنند. RCE تقریباً با نیمی از آسیب پذیری های شناسایی شده (49٪) ، به دنبال آن توانایی خواندن داده ها از برنامه ها (41٪) ، دلیل انکار خدمات (DoS) (39٪) و مکانیسم های محافظت بای پس (37٪) وجود دارد.
شناسایی آسیب پذیری ها
اگرچه به نظر غیراصولی است ، اما به اشتراک گذاشتن آسیب پذیری های شناسایی شده با جامعه ICS برای جلوگیری از ذینفعان ضروری است. این نه تنها ارائه دهندگان و محققان را قادر می سازد روش های جدیدی برای کاهش این خطرات پیدا کنند ، بلکه به دیگران با استفاده از همان سیستم ها هشدار می دهد که باید اقدامی انجام دهند تا توانایی شرکت کنندگان در تهدید را برای استفاده از این آسیب پذیری ها محدود کنند.
برخی ممکن است تمایلی برای به اشتراک گذاشتن دانش خود نداشته باشند ، زیرا معتقدند که این امر می تواند آنها را برای افرادی که در معرض تهدید قرار دارند هدف قرار دهد ، اما توجه به این نکته مهم است که اگر تأمین کننده تحت تأثیر تعداد زیادی آسیب پذیری قرار گیرد ، این لزوما به معنای این نیست که که او از وضعیت محافظتی ضعیفی برخوردار است. در عوض ، به احتمال زیاد این بدان معناست که این شرکت منابعی را برای آزمایش محصولات خود اختصاص می دهد تا فعالانه این آسیب پذیری ها را شناسایی کرده و برای رفع آنها تلاش کند.
برای کمک به صنعت گسترده تر ، سازمان های CNI باید سیستمی را برای جمع آوری خودکار اطلاعات آسیب پذیری های شناسایی شده و مقایسه آنها با ICS خود ایجاد کنند. با این حال ، این تنها در صورتی می تواند مثر باشد که همه ارائه دهندگان در معرض آسیب پذیری های خود باشند و مایل به اشتراک گذاری آنها باشند.
حفاظت از ICS همیشه آسان نیست
ICS ذاتاً یک سیستم پیچیده چند وجهی است و هیچ راه حل ساده ای برای کاهش همه آسیب پذیری های موجود وجود ندارد. در عوض ، یک رویکرد چند لایه لازم است.
همانطور که مطالعه ما نشان داد ، CNI و صنایع تولیدی کلیدی باید برای محافظت از اتصالات دسترسی از راه دور اقدام کنند. این مسئله اکنون بیش از هر زمان دیگری مهم است ، زیرا بسیاری از کارگران به دلیل محدودیت های قفل های COVID-19 مجبورند سیستم ها را از راه دور کنترل کنند.
مجوزهای دسترسی دقیق باید ارائه شود که به کارگران اجازه می دهد فقط از توابع دقیق لازم برای انجام کار خود استفاده کنند تا از این طریق شرکت کنندگان تهدید از پریدن از یک دستگاه به دستگاه دیگر به راحتی در اطراف شبکه حرکت نکنند. با کنترل این مجوزهای احراز هویت چند عاملی (MFA) ، سازمان ها می توانند از هکرهایی که برای شکستن رمزهای عبور و دسترسی به شبکه از تکنیک هایی مانند نیروی بی رحمانه استفاده می کنند ، جلوگیری کنند. وزارت امور خارجه همچنین به کاهش برخی از خطرات ناشی از مهندسی اجتماعی کمک می کند ، که در آن شرکت کنندگان در تهدید با استفاده از ایمیل ها و وب سایت های جعلی کارمندان را مجبور به افشای اطلاعات ورود به سیستم می کنند. برای کاهش بیشتر خطر تهدیدهای مبتنی بر مهندسی اجتماعی ، کارمندان همچنین باید آموزش ببینند که چگونه ایمیل های مخرب را تشخیص دهند و در صورت انجام چه کاری باید انجام دهند.
علاوه بر این ، همکاری بین تیم های امنیتی IT و OT برای ایمن نگه داشتن کل محیط ICS حیاتی است. به این ترتیب می توان کلیه آسیب پذیری های شبکه IT را مورد بررسی قرار داد تا مشخص شود آیا تأثیری بر OT دارند و بالعکس. چنین قابلیتی فقط از طریق مشاهده واحد شبکه های OT و IT و همچنین از طریق متخصصانی که تفاوت های ظریف بین آنها را درک می کنند می تواند مثر باشد.
از آنجا که پیوند بین OT و IT به دلیل نیاز به کارایی بیشتر به طور اجتناب ناپذیری افزایش می یابد ، آسیب پذیری های احتمالی لازم برای کاهش نیز افزایش می یابد. بنابراین ، اکنون بیش از هر زمان دیگری برای تیم های امنیتی که در CNI کار می کنند ، مهم است که اقدامات لازم را انجام دهند که به آنها امکان می دهد هرگونه تهدید ، چه در شبکه IT یا OT رخ دهد ، به سرعت و به طور موثر شناسایی و پاسخ دهند.
منبع: subtitle-news.ir
آخرین دیدگاهها