امنیت شبکه صنعتی

امنیت شبکه صنعتی

امن­ سازی شبکه­ های زیرساخت حیاتی برای شبکه ­های هوشمند برق، اسکادا، و سایر سیستم­های کنترل صنعتی

پیشگفتار

یکی از مبهم ترین حوزه­ های امنیت اطلاعات، امنیت سیستم صنعتی است. هیچ حوزه­ی دیگری از امنیت اطلاعات شامل این همه ابهام و پیچیدگی نمی­باشد. اطلاعات موجود آنلاین و در عین حال حجیم، صرفا متخصصان امنیت اطلاعات و متخصصان سیستم­های صنعتی را به اشتباه می­اندازد که به نوبه­ خود ممکن است (در صورت عدم رعایت استانداردهای امنیتی) نه تنها منجر به اشتباهات پرهزینه گردد، بلکه نتایج مرگ آفرینی نیز به همراه داشته باشد.

چیزی که مبهم بودن حوزه امنیت اطلاعات را افزایش می دهد این است که سهم آن در حوزه­ امنیت صنعتی به شدت بالاست. از دست دادن اطلاعات محرمانه­ تجاری و اداری ممکن است کسب و کار را از بین ببرد، در حالی که از دست دادن کنترل تولید برق ممکن است نه تنها جان یک فرد، بلکه جان هزاران نفر را به خطر بیندازد.

و سرانجام با این کتاب که در زمینه­ امنیت شبکه­ سیستم­ صنعتی به­درستی پژوهش شده است، این ابهامات حل و فصل خواهد شد.

این کتاب دارای چند قسمت ویژه بود که مورد علاقه­ من واقع شد. من دوست داشتم که این کتاب مبحث “جزییات یک فاصله­ی هوایی” را بیشتر باز می کرد و به آن می پراخت. این در حالی است که امروزه در عصر بی‌سیم، فاصله­‌ی هوایی چیزی نیست که قبلا بوده و نباید “امنیت مطلق” فرض شود. همچنین دوست داشتم که ایمنی در برابر امنیت نیز پوشش داده شود: مهندسین صنعتی باید بیشتر درباره­ اولی یعنی ایمنی بدانند، در حالی که همکاران من در شرکت InfoSec باید بیشتر در مورد دومی یعنی امنیت بدانند. سیستم­های صنعتی یکپارچه مدرن قطعا به هر دو نیازمندند. و در نهایت، دوست داشتم تمرکز کتاب بر روی ریسک و پیامد باشد و نه صرفا به دنبال آیین ­نامه ­ها و مقررات حداقلی.

هم مهندسان امنیت و هم مهندسان صنعتی که در حال حاضر دو گروه جدا از هم فرض می‎شوند، از این کتاب بهره خواهند برد. و خوشبختانه، کتاب و بحث امنیت شبکه صنعتی وحدت لازم میان دو گروه را ایجاد می­کند، لذا به ما در بنا کردن یک سیستم­­ کسب وکار و سیستم­ صنعتی امن­تر کمک می‌کند.

دکتر آنتون آ. چوواکین

شرکت Security Warrior Consulting

فهرست مطالب امنیت شبکه صنعتی

فصل اول/ مقدمه

نگاه کلی کتاب و نکات کلیدی یادگیری

مخاطبین کتاب

نمودارها و شکل‌ها

نحوه فصل بندی کتاب

فصل 2: درباره شبکه‌های صنعتی

فصل 3: پیش درآمدی بر امنیت شبکه صنعتی

فصل 4: پروتکل‌های شبکه‌های صنعتی

فصل 5: نحوه عملکرد شبکه‌های صنعتی

فصل 6: ارزیابی آسیب‌پذیری و ریسک

فصل 7: پیاده‎سازی حصارهای امن

فصل 8: استثناءیابی، کشف امور غیرعادی، و تهدیدیابی

فصل 9: پایش حصارها

فصل 10: استانداردها و آیین‌نامه‌ها

فصل 11: اشکالات و خطاهای متداول

نتیجه‌گیری و جمع‌بندی

فصل دوم/ درباره شبکه‌های صنعتی

شبکه‌های صنعتی و زیرساخت حیاتی

زیرساخت حیاتی

تاسیسات مصرفی

تاسیسات هسته‌ای

برق انبوه سراسری

تاسیسات شیمیایی

شبکه‌های صنعتی حیاتی و غیرحیاتی

استانداردها و سازمان‌های ذیربط.

HSDP-7

نشریه‌های ویژه NIST (سری 800)

NERC CIP

کمیته نظارتی هسته‌ای

قانون مدیریت امنیت اطلاعات فدرال

استانداردهای ضدتروریستی تاسیسات شیمیایی

ISA-99

ISO 27002

توصیه‌های متداول امنیت صنعتی

شناسایی سیستم‌های حیاتی

بخش‌بندی شبکه/جداسازی سیستم‌ها

دفاع در عمق

کنترل دسترسی

به کارگیری واژه‌نامه در این کتاب

شبکه‌ها، مسیرپذیر و مسیرناپذیر

تجهیزات، تجهیزات حیاتی، تجهیزات سایبری، و تجهیزات سایبری حیاتی

حصارها

یادداشت

محیط‌های امنیتی الکترونیک یا ESPها

یادداشتی بر امنیت بدون محیط

چکیده.

فصل سوم/ مقدمه‌ای بر امنیت شبکه صنعتی

اهمیت امن سازی شبکه های صنعتی

اثر حوادث شبکه صنعتی

کنترل های ایمنی

پیامدهای یک حادثه سایبری موفقیت آمیز

نمونه‌هایی از حوادث شبکه صنعتی

کالبدشکافی استاکسنت

استاکسنت چه می‌کن

درس آموخته‌ها

APT و جنگ سایبری

تهدید مستمر پیشرفته (APT)

روش‌های متداول APT

جنگ سایبری

روندهای نوظهور در APT و جنگ سایبری

آسیب پذیری‌های در حال رشد: کدهای مخرب مربوط به محصولات Adobe

شبکه‌های ضداجتماعی: یک زمین بازی تازه برای بدافزارها

جانورهای به اصطلاح زیرزمینی جهش یافته آدم خوار، یعنی همان بدافزارهای پنهان خاموش مخرب

تهدیدها و حملات پیش رو

دفاع در برابر APT

پاسخ دهی به APT

چکیده.

فصل چهارم/ پروتکل‌‌های شبکه صنعتی

نگاه کلی به پروتکل‎های شبکه صنعتی

مُدباس

چه کاری انجام می‎دهد

چگونه کار می‎کند

انواع

مدباس RTU و مدباس اَسکی

مدباس TCP

مدباس پلاس یا مدباس +

کجا به کار می‎رود.

دغدغه های امنیتی

توصیه‎های امنیتی

ICCP/TASE.2

چه کاری انجام می‎دهد

چگونه کار می‎کند

کجا به کار می‎رود

دغدغه‎های امنیتی

بهبودهای امنیتی بر روی مدباس

توصیه‎های امنیتی

DNP3

چه کار می‎کند

چگونه کار می‎کند

DNP3 امن

کجا به کار می‎رود

دغدغه‎های امنیتی

توصیه‎های امنیتی

OLE برای کنترل فرایند

چه کاری انجام می‎دهد

چگونه کار می‎کند

OPC-UA و OPC-XI

کجا به کار می‎رود

دغدغه‎های امنیتی

توصیه‎های امنیتی

سایر پروتکل‎های شبکه صنعتی

Ethernet/IP

دغدغه‎های امنیتی.

توصیه‎های امنیتی

پروفیباس

مسائل امنیتی

توصیه‎های امنیتی

EtherCAT

مسائل امنیتی

توصیه‎های امنیتی

Ethernet Powerlink

مسائل امنیتی

توصیه‎های امنیتی

SERCOS III

مسائل امنیتی

توصیه‎های امنیتی

AMI و شبکه هوشمند.

مسائل امنیتی

توصیه‎های امنیتی

چکیده

فصل پنجم/ شبکه‌های صنعتی چگونه کار می‌کنند

تجهیزات سیستم کنترل

IEDها

RTUها

PLCها

منطق نردبانی

HMIها

ایستگاه‎های کاری کامپیوتری مختص نظارت

داده‎نگارها

یادداشت

کنسول‎ها و داشبوردهای اطلاعات کسب‎وکار

سایر تجهیزات

معماری‎های شبکه

توپولوژی‎های به‎کاررفته

ملاحظات توپولوژی خاص

عملیات بهره‎برداری از سیستم کنترل

حلقه‎های کنترلی

فرایندهای کنترل

حلقه‎های بازخورد

مدیریت اطلاعات کسب ‎و کار

مدیریت فرایند کنترلی

عملیات شبکه هوشمند

چکیده

فصل ششم/ آسیب‌پذیری و ارزیابی ریسک

فنون پایه هک‎کردن

فرایند حمله

بازشناسی

اسکن‎کردن

آمارگیری

اخلال، رخنه و کمین‎کردن

هدف‎گیری یک شبکه صنعتی

بازشناسی صنعتی

اسکن‎کردن شبکه‎های صنعتی

آمارگیری شبکه‎های صنعتی

اخلال و نفوذ در شبکه‎های صنعتی

تهدیدگران

دسترسی به شبکه‎های صنعتی

شبکه شرکتی

اسکادای غیرنظامی

سیستم کنترل

آسیب‎پذیری‎های متداول

دیواره‎های آتش با پیکربندی ضعیف

پورت‎ها و سرویس‎های غیرضروری

درهای مخفی نرم‎افزارهای کاربردی

کنترل‎های  تجهیزات

دسترسی وای-فای (بی‎سیم)

دسترسی راه‎دور، VPNها و اپ موبایل

دسترسی عیب‎یابی/دسترسی با شماره‎گیری/دسترسی میدانی

شبکه هوشمند

تخمین و برآورد آسیب‎پذیری‎ها

چرا ارزیابی آسیب‎پذیری مهم است

ارزیابی آسیب‎پذیری در شبکه‎های صنعتی

اسکن آسیب‎پذیری برای تضمین پیکربندی

اسکن‎های VA کجا انجام شود؟

ابزار ارزیابی امنیت سایبری

مدیریت آسیب‎پذیری

مدیریت وصله

مدیریت پیکربندی

حذف و قرنطینه‎کردن تجهیز

چکیده

فصل هفتم/ پیاده‌سازی حصارهای امن

شناسایی گروه‎های کاری

قابلیت اتصال شبکه

حلقه‎های کنترلی

کنترل‎های نظارتی

فرایندهای کنترلی

ذخیره‎سازی داده‎های کنترل

ارتباطات معامله‎گری

دسترسی راه‎دور

کاربرها و نقش‎های آن‌ها

پروتکل‎ها

بحرانیت

استفاده از گروه‎های کاری جهت شناسایی حصارها

پیاده‎سازی حصارها

شناسایی بخش‎های محیطی حصار

تغییرات شبکه

حصارها و به‎کارگیری سیاست امنیتی

حصارها و پیکربندی تجهیز امنیتی

امن‎سازی بخش‎های پیرامونی حصار

انتخاب  تجهیزات امنیتی پیرامونی

پیاده‎سازی  تجهیزات امنیتی محیطی

خط‎مشی‎های پیکربندی دیواره آتش

خط‎مشی‎های پیکربندی IDS/IPS

قواعد توصیه‎شده IDS/IPS

کشف نفوذ مبتنی بر امور غیرعادی

پایش پروتکل و لایه کاربرد در شبکه‎های صنعتی

دیودهای داده و گذرگاه‎های یک‎طرفه

امن‎سازی بخش‎های داخلی حصار

انتخاب سیستم‎های امنیت داخلی

دیواره‎های آتش میزبان

IDS میزبان

ضدویروس

مجازسازی (فهرست سفید) نرم‎افزار کاربردی

کنترل‎هایی از بیرون

چکیده

فصل هشتم/ استثناءیابی، کشف امور غیرعادی و تهدیدیابی

گزارش‎دهی موارد استثنائی

کشف رفتارهای غیرعادی

مبنای اندازه‎گیری

کشف امور غیرعادی

تحلیل معیارهای IT در برابر معیارهای OT

ابزار کشف امور غیرعادی

مُجازسازی رفتاری

فهرست‎های مجاز کاربر

فهرست‎های مجاز دارایی

مجازسازی رفتار نرم‎افزارهای کاربردی

مثال‎هایی از فهرست‎های مجاز مفید.

فهرست‎های هوشمند

کشف تهدید

همبستگی رویداد.

غنی‎سازی داده‎ها

نرمال‎سازی

همبستگی میان‎منبعی

همبسته رده‎بندی‎شده

همبسته‎سازی میان سیستم‎های IT و OT

فصل نهم/ پایش حصارها

تخمین این که چه چیزی پایش شود

رویدادهای امنیتی

دارایی‎ها

پیکربندی‎ها

نرم‎افزارهای کاربردی

شبکه‎ها

هویت‎ها و احرازهویت کاربر

محتوای اضافی

رفتار

پایش موفق حصارها

گردآوری  لاگ

پایش مستقیم

پایش با حدس و گمان

ابزار گردآوری و مدیریت اطلاعات (سیستم‎های مدیریت  لاگ، SIEMها)

Syslog Aggregation و Log Search

Log Management Systems

SIEMها

داده‎نگارها

پایش در سرتاسر مرزهای امن

مدیریت اطلاعات

استعلام‎ها

گزارشات.

هشدارها

تحقیق و پاسخ به حادثه

ذخیره‎سازی و نگهداری  لاگ

مسئولیت‎پذیری (عدم سلب مسئولیت)

نگهداری/ذخیره‎سازی داده‎ها

موجودیت داده ها

چکیده

فصل دهم/ استانداردها و آیین‌نامه‌ها

استانداردها و آیین‎نامه‎های متداول

NERC CIP

CFATS

ISO/IEC 27002:2005

آیین‎نامه NRC 5.71

استاندارد NIST SP 800-82

متناظرکردن امنیت شبکه صنعتی با انطباق

کنترل‎های امنیتی محیطی

کنترل‎های امنیتی میزبان

کنترل‎های پایش امنیت

متناظرکردن کنترل‎های انطباق با توابع امنیت شبکه

معیارهای متداول و استانداردهای FIPS

معیار متداول یا CC

FIPS 140-2

چکیده

فصل یازدهم/ دام‌ها و خطاهای متداول

اعتماد به نفس کاذب

ارزیابی‎های آسیب‎پذیری در برابر حمله‎های روز صفر

امنیت واقعی در برابر دستورکار و آگاهی

افسانه فاصله هوایی

پیکربندی‎های غلط.

حساب کاربری‎ها و گذرواژه‎های پیش‎فرض و تکراری

نبود امنیت و پایش خروجی

لغو اجرایی

محیط رونکو

انطباق در برابر امنیت

خوراک ممیزی

بازه زمانی انطباق یک هفته‎ای

تفکر محدود به پروژه

کنترل‎های امنیتی به‎طور ناکافی برآوردشده

چکیده

ضمیمه الف/ منابع پروتکل

سازمان مودباس

گروه کاربران DNP3

بنیاد OPC

CIP/ODVA

ضمیمه ب/ چهارچوب حقوقی

NERC

NRC

عنوان 10 CFR 73.54

RG 5.71

DHS

CFATS

RBPSها

ISA

ISO/IEC

ضمیمه ج

NIST SP 800