افزایش آسیب پذیری های فناوری عملیات

به گزارش کارگروه امنیت سایبربان، به نقل از « securitybrief»؛ آسیب پذیری های فناوری عملیاتی (OT) به سرعت در حال گسترش است. این گونه حفره های امنیتی نسبت به نمونه های موجود در فناوری اطلاعات سخت تر شناسایی و بازسازی می شوند.

پیچیدگی و تاثیرگذاری حملات سایبری صنعتی، همچون حمله های بدافزاری «Industroyer» یا «CrashOverride» در سال 2016 و Triton با نام دیگر «Trisis» در سال 2017 نشان می دهد که شناسایی و رفع آسیب پذیری های فناوری عملیاتی  بیشتر از هر زمان دیگری از اهمیت برخوردار است.

با اینکه حملات بر سیستم های فناوری عملیاتی  به سرعت  تشدید می شود، بسیاری از سازمان های  صنعتی، اقدامات های امنیت سایبری خود را به جای نقاط پایانی تولید محور، روی فناوری اطلاعات متمرکز کرده اند.

آن ها همچنین به فرایند مدیریت آسیب پذیری دستی تکیه می کنند و تجهیزات صنعتی خود را در معرض خطرهای غیرقابل قبول قرار می دهند.

رویکرد های فناوری اطلاعات محور امنیت سایبری، برتامین امنیت نقاط پایانی سطح 2 (Perdue model) -ایستگاه های کاری اوپراتورها، سرورها، روترها و سوییچ ها- تمرکز می کند؛ زیرا ارزیابی آنها بسیارآسان تراز کنترل کننده ها وابزارآلات هوشمند است.

با این حال ،تمرکز روی نقاط پایانی سطح 2، فقط یک دید سطحی ارائه می کند؛ زیرا آنها فقط 20  درصد از نقاط پایانی موجود در شبکه های کنترل فرآیند را تشکیل می دهند.

سیستم های سطح 1 و 0 اغلب بدون ارزیابی باقی می مانند. آن ها 80 درصد از دارایی های سایبری را در تجهیزات صنعتی تشکیل می دهند. این دارایی ها شامل  سیستم های کنترل توزیع ((DCS، کنترل کننده های قابل برنامه ریزی ((PLC، سیستم های ابزار دقیق ایمنی ((SiS،کنترل توربین، ابزار دقیق هوشمند و سنسورهایی هستند که مستقیما به  تجهیزات فرآیند متصل می شوند.

نقاط پایانی سطح 1 و 0 بیشترین اهمیت را در تجهیزات صنعتی دارند؛ زیرا آنها مسئول ارائه ی تولید امن و مفید هستند. با این حال، معماری های اختصاصی و عدم وجود پروتکل های استاندارد در محیط های کنترل فرایند چند منظوره، باعث می شود کشف دارایی، ارزیابی آسیب پذیری و کاهش خطر مشکل باشد. این مسئله سیستم فناوری عملیاتی را درمعرض نقص های غیرمنتظره در سامانه های پایه قرار میدهد.

آسیب پذیری ها افزایش می یابند

تعداد توصیه های آسیب پذیری که توسط «ICS-CERT» منتشر شده است، از سال 2010 تا کنون یک هزار و 35  درصد افزایش یافته اند.

 بسیاری از این آسیب پذیری هایی در سال های اخیر وجود داشته اند، به علت افزایش آگاهی ازخطر امنیت سایبری سیستم های کنترل صنعتی (ICS) ، اکنون آشکار شده اند.

ارزیابی آسیب پذیری فناوری عملیاتی اغلب به صورت دستی صورت می گیرد. این کار توسط پیمانکاران خارجی در برهه های زمانی  چند سال یکبار، صورت می گیرد. ارزیابی ها به دلیل تغییر کردن سیستم به سرعت منسوخ می شوند. آسیب پذیری های موجود بهبود می یابند و حفره های امنیتی جدید ظاهر می گردند.

برای حفظ ارز، متخصصان امنیت سایبری فناوری عملیات، ICS-CERT و وبسایت های فروش خودکارسازی عملیات را برای توصیه های جدید آسیب پذیری، مورد مطالعه قرار دادند. سپس ایمیل هایی به صاحبان دارایی ها فرستادند تا تعیین کنند که سیستمشان در معرض خطر است یا خیر. واگر هست، برنامه های بازسازی چیست.

ارائه ی پاسخ درست و به موقع، بسیار نادر است. اکثر سازمان ها درمعرض خطر فعلی خود باقی می مانند. اصلاحات و به روزرسانی های فروشنده اغلب برای ماه ها یا سالها مورد استفاده قرار نمی گیرند.

آنچه نیاز به آن احساس می شود، دید و مدیریت بهتر آسیب پذیری فناوری عملیات است. انواع مختلف از برندهای سیستم های خودکارسازی و مدل های موجود در تاسیسات صنعتی، به یک رویکرد کارآمد و استاندارد برای تشخیص آسیب پذیری یاد شده و رفع  مداوم آن نیاز دارند. محیط های صنعتی، نیاز به فهرستی جامع و مداوم از همه ی سطوح 1، 2 و 0 دارند. این فهرست شامل اطلاعات دقیق در مورد تنظیمات سیستم فعلی، نسخه های سفت افزار (Framware)، سیستم های عامل و برنامه های کاربردی می شود.

بهترین روش ها برای حفاظت از فناوری عملیاتی

مدیریت تغییر موثر: زمانی که مهندسان کنترل فرایند اجزای جدید را نصب، ارتقا یا تعمیر می کنند، وضعیت امنیتی دارایی ها متحول می شود. کارکنان سایبری باید یک روش خودکار را برای شناسایی تغییرات و کشف سریع هر آسیب پذیری جدید داشته باشند.

همیشه به دنبال آسیب پذیری ها باشید: فقط رویکردهای خودکار برای ارزیابی آسیب پذیری های فناوری عملیاتی می تواند با زمینه های تهدید آن که به سرعت در حال رشد است، همگام باشد. بنابراین تهدیدات ایمنی و اعتبار تولید به سرعت شناسایی می شوند. ارزیابی سطوح 1، 2 و 0 باید زمانی که آسیب پذیری های جدید منتشر می شوند، انجام شود. سامانه های جدید در بستر شبکه های کنترل فرآیدن (PCN) قرار می گیرند یا سیستم های موجود بروزرسانی می شوند.

تعدیل یا بازسازی مجدد را اولویت بندی کنید: کارکنان امنیت سایبری باید به طور موثر  براساس پتانسیل تاثیرات، اصلاح آسیب پذیری یا کاهش آن را اولویت بندی کنند. بسیاری از سازمان ها از بانک اطلاعاتی آسیب پذیری ملی (NVD)، سیستم امتیازدهی آسیب پذیری عام(CVSS)، استفاده می کنند تا پتانسیل تاثیراتی که یک حفره امنیتی می تواند داشته  باشد را اندازه گیری کنند. امتیازات سیتسم یاد شده، اطلاعات مهمی درمورد بهره برداری آسان آسیب پذیری، پتانسیل تاثیر آن و این که آیا بدافزار شناخته شده ای این نقص را مورد حمله قرار است یا خیر، فراهم می کند.

عوامل دیگری همچون محل دارایی ها و حساسیت برای پردازش ایمنی و اعتبار نیز باید در هنگام اولویت بندی اقدامات بازسازی، مورد توجه قرار گیرند.

پیگیری مداوم آسیب پذیری: بازسازی آسیب پذیری های مشخص شده و کاهش گردش کار، از گزارش و پیگیری مداوم فعالیت ها، اطمینان حاصل می کند.  مشاهده ی آخرین داده ها در داشبورد و دیدگاه های روند، اطلاعاتی را در اختیار صاحبان دارایی ها و کارمندان امنیتی فناوری عملیات و فناوری اطلاعات قرار می دهد تا بازسازی آسیب پذیری ها را علمی و در  مورد مدیریت ریسک سایبری تصمیم گیری کنند.

در صدر آسیب پذیری های فناوری عملیات و خطر ها باشید: تسهیلات صنعتی باید تشخیص دهد که  مدیریت آسیب پذیری یک یک فرآیند مداوم و بی پایان با تمرکز روی کاهش خطر است. نه ارزیابی هرچند مدت یکبار. برنامه ی مدیریت آسیب پذیری فناوری عملیاتی، کاملا درباره ی کاهش خطرات امنیتی سایبری به طور  مداوم درتمامی محیط ها است.

 همانطور که آسیب پذیری های جدید افشا شده و تنظیمات سیستم تغییر می کند، سیستم های فناوری عملیاتی که قبلا ایمن شده بودند، ناامن می شوند. سازمان هایی که به طور مداوم مدیریت این نوع آسیب پذیری را در تمام سطوح 1، 2 و 0 نقاط پایانی اعمال می کنند، بهترین موقعیت را برای جلوگیری از خطر آسیب پذیری های موجود مشاهده نشده دارند و به تولید امن و قابل اطمینان می پردازند.