خطاب به SCADA در اتاق – شماره 4 2023

4. نرم افزار.

پاسخ کوتاه این است که بله، این سیستم ها در معرض تهدید هستند و به طور فعال مورد حمله قرار می گیرند. در چند سال گذشته حملات بزرگی وجود داشته است که نشان دهنده این موضوع است. نمونه بارز حمله شرکت فولاد خوزستان است که قبلا ذکر شد، که از سیستم های ICS به عنوان بخشی از زنجیره حمله خود استفاده می کرد. این به طرز چشمگیری شبیه به حمله سال 2014 علیه یک شرکت فولاد آلمانی ناشناس است که سیستم های ICS را نیز هدف قرار داده بود. هر دو نمونه منجر به آسیب فیزیکی به تاسیسات شد. برخی از گروه‌ها حملات سنتی‌تری مانند باج‌افزار را انتخاب می‌کنند، همانطور که در حمله استعماری Pipeline در سال 2021 رخ داد. تولید 12 درصد از کمپین‌های باج‌افزاری را که در سال 2022 از گزارش تهدیدات 2023 مرکز تحقیقات پیشرفته Trellix گزارش شده بود، تشکیل می‌داد. ما همچنین دریافتیم که کالاها و خدمات صنعتی 32 درصد از “نشت”های ناشی از اخاذی باج افزار را تشکیل می دهند. (www.securitysa.com/*trellix2).

5. دیگر.

از آنجایی که راه حل های مختلفی در داخل فضا وجود دارد، نتایج را در پنج دسته اصلی سازماندهی کردیم:

سیستم های مدیریت و مانیتورینگ دستگاه باید اولویت بعدی باشد. اگر اینها دستگاه های هدفمند و بدون مدیریت مرکزی قوی باشند، ممکن است کارها نسبتاً دشوار شود. برای هر کسی که این سیستم‌ها را اجرا می‌کند، در صورت امکان، به‌روز نگه داشتن آن‌ها و در پشتیبانی فروشنده بسیار مهم است. این ممکن است برای سیستم های ICS دشوار یا غیرممکن باشد، اگر آنها با نوعی روش به روز رسانی کاربر همراه نباشند – در این صورت اسناد هر فروشنده می تواند اطلاعات بیشتری را ارائه دهد.

ارزیابی چشم انداز تهدید فعلی

آیا صنعت و فضای تولید در معرض خطر است؟

بنابراین، چه چیزی می توانید از این یافته ها بگیرید؟ اول از همه، راه‌حل‌های مبتنی بر نرم‌افزار، میوه‌ای کم ارزش برای کشف آسیب‌پذیری هستند. خوشبختانه، به روز نگه داشتن آنها از نظر نسخه و وصله نیز آسان تر است. در صورت امکان اطمینان حاصل کنید که کسب و کار از وصله خودکار استفاده می کند.

1. ارتباطات.

یک سوال منطقی این است که چرا مسائل احراز هویت در یافته های ما بسیار رایج است؟ پاسخ به این سوال دشوار است اما ما معتقدیم دو عامل اصلی وجود دارد. ساده ترین عامل عدم اولویت برای امنیت و/یا آموزش در میان توسعه دهندگان این دستگاه ها است. توسعه دهندگان وظیفه دارند دستگاه ها را برای برقراری ارتباط با یکدیگر، مدیریت ماشین آلات یا سایر وظایف صنعتی وادار کنند. اگر امنیت به درستی اولویت بندی نشود، حتی اقدامات امنیتی ساده را نیز می توان نادیده گرفت. عامل دیگر این است که ما شاهد مشکلات احراز هویت بیشتر هستیم زیرا اتفاقاً خط اول دفاع است. هنگامی که این سیستم‌ها از نظر آسیب‌پذیری آزمایش می‌شوند، احراز هویت معمولاً اولین دفاعی است که به چالش کشیده می‌شود و در نتیجه بیشترین کشف را انجام می‌دهد.

2. مدیریت و نظارت دستگاه.

جداسازی و نظارت صحیح شبکه برای ایجاد محافظت در حالی که تیم های امنیتی در حال بررسی چگونگی به روز رسانی و وصله صحیح این سیستم ها هستند، مهم است. مطمئناً تمرکز روی بردارهای حمله سنتی مانند آسیب پذیری های سیستم عامل و وب سرور آسان تر است. اما این یافته ها روشن می کند که نادیده گرفتن تأثیر بالقوه راه حل های خاص دامنه مانند SCADA و ICS یک گزینه نیست. این مهم است که تیم‌های امنیتی با فروشندگان و شرکای خود کار کنند تا اطمینان حاصل کنند که هر دستگاه به طور ایمن پیاده‌سازی می‌شود و فرآیند وصله‌سازی به روشی پایدار برای کسب‌وکار آنها کار می‌کند.

منبع: https://www.securitysa.com/19487R

3. مدیریت تسهیلات.

ما ابتدا از NVD برای عملکرد جستجوی ساده آن استفاده کردیم. برای اطمینان از اینکه ما فقط اطلاعات مربوط به صنعت و تولید را داریم، نتایج خود را فیلتر کردیم تا فقط نمونه‌هایی از SCADA و سپس ICS را شامل شود.

نوشته چارلز مک فارلند، ترلیکس.

اما با کمال تعجب، وسعت انواع آسیب پذیری بسیار زیاد بود. ما این دسته‌ها را بر اساس شمارش ضعف مشترک (CWE) قرار داده‌ایم، اما موارد مشابه را برای اختصار گروه‌بندی کرده‌ایم. خیلی ها را نمی توان به راحتی با هم گروه بندی کرد. وسعت باقیمانده در واقع آنقدر زیاد است که دومین دسته بزرگ آسیب‌پذیری، خواندن خارج از محدوده، تنها 8 درصد از جمعیت را به خود اختصاص داده است. بزرگترین، با 34٪، احراز هویت بود. این موارد شامل عدم احراز هویت، ذخیره متن شفاف رمزهای عبور، مجوزهای نامناسب، اعتبارنامه های کدگذاری سخت و مسائل مشابه بود. ما مشکلات مشابهی را در مورد آسیب‌پذیری‌های احراز هویت در فضاهای دیگر مانند صنعت پزشکی دیده‌ایم. انواع مختلف آسیب‌پذیری اغلب به گروه‌های کوچک‌تر یک یا دوتایی که هر کدام کمتر از 1 درصد را نشان می‌دهند، تقسیم می‌شوند. به همین دلیل است که دسته دیگر با 45٪ از کل جمعیت بسیار بزرگ است.

نتیجه گیری ناامن

دو منبع عالی از اطلاعات آسیب‌پذیری وجود دارد که تیم از آنها به عنوان منابع اولیه استفاده می‌کند:

• مشاوره CS از CISA (https://www.cisa.gov).

مدیریت و نظارت دستگاه به طور قابل توجهی در 23 درصد از CVE های فاش شده عقب تر است. اکثر این راه حل های مدیریت دستگاه هستند، با 15 CVE که از یک فروشنده منفرد افشا شده است. CVE های باقی مانده در بین مدیریت دستگاه های مختلف مانند روبات های صنعتی، PLC ها و دستگاه های کارخانه خودرو پراکنده هستند. یکی از دلایل بالقوه بسیاری از CVE های فاش شده در این دسته این است که راه حل های مدیریت و نظارت دستگاه به طور ذاتی با سایر دستگاه ها ارتباط برقرار می کنند. بهره برداری از ارتباطات منجر به حرکت جانبی می شود و آنها را به یک هدف با اولویت بالاتر تبدیل می کند.

نتایج

این فیلتر فقط یک فیلتر تطبیق متن است، بنابراین تیم سپس به صورت دستی هر نتیجه را بررسی کرد تا فقط نتایج مورد نظر باقی بماند. CISA Advisories ارزش مشابهی دارد، البته بیشتر طراحی شده است. باز هم، همه سیستم‌های ICS معمولاً در صنعت و فضای تولید یافت نمی‌شوند، بنابراین ما به‌طور دستی هر توصیه‌ای را برای حفظ نتایج مرتبط بررسی کردیم. همپوشانی زیادی بین NVD و CISA Advisories وجود دارد. موارد تکراری حذف شدند و آسیب پذیری های مورد بررسی قرار گرفتند.

دسته بعدی که با 20 درصد از CVEهای افشا شده فاصله زیادی داشت، مدیریت تسهیلات بود که به دلیل نبود گروه بندی بهتر، «مدیریت کارخانه» را نیز شامل می شد. بزرگترین زیرمجموعه نماینده، کنترل دسترسی با 11 CVE است، در حالی که اتوماسیون کارخانه فقط شامل پنج CVE است. سایر زیرمجموعه های سنتی تر شامل مدیریت HVAC، مدیریت انرژی، کنترل دسترسی و مدیریت از راه دور است. مدیریت تسهیلات در سال‌های اخیر مورد توجه محققان قرار گرفته است، از جمله Trellix با تحقیقات کنترل دسترسی ما در سال 2022 (www.securitysa.com/*trellix1).

توانایی آنها در ایجاد اختلال در تولید فولاد تنها نیمی از داستان است. توجه داشته باشید که این حمله تا حدی از طریق به خطر انداختن یک سیستم ICS فعال شد، سیستم هایی که به راحتی در ارزیابی تهدید معمولی نادیده گرفته می شوند. اکثر سیستم‌عامل‌ها دارای چرخه‌های وصله‌سازی معمولی مانند «Patch Tuesday» هستند و بسیاری از بسته‌های نرم‌افزاری اصلی مکانیسم‌های وصله آسان یا خودکار دارند. از سوی دیگر، ICS معمولاً مانند نرم‌افزارهای دسک‌تاپ جلو و مرکز نیستند، بلکه در جایی در داخل تأسیسات نصب می‌شوند – به‌روزرسانی و وصله منظم آن‌ها را بسیار مشکل‌تر می‌کند. این حمله تنها یک مثال است که نشان می دهد چگونه تأثیر نادیده گرفتن چنین سیستم های ICS می تواند فاجعه بار باشد.

رده ارتباطات شامل دستگاه هایی می شود که برای برقراری ارتباط به طور هدفمند ساخته شده اند و CVE های افشا شده در 13٪ از کل قرار دارند. اینها تقریباً منحصراً روترها هستند. استثناهای معدود رله ها و چارچوب ارتباطی بی سیم هستند. CVEهای چارچوب ارتباطی بی سیم همچنین دارای کد اثبات مفهومی عمومی هستند که در میان سایر CVE ها نادر بود. در واقع، ما فقط سه اثبات مفهوم دیگر را در میان دیگران کشف کردیم. ما انتظار داشتیم نمایندگی بیشتری از این دسته داشته باشیم زیرا دستگاه های شبکه تمایل زیادی به بررسی دقیق هم از سوی محققان و هم از مجرمان سایبری دارند. جالب است که ببینیم آیا باقی مانده سال نیز نتایج مشابهی خواهد داشت یا خیر.

چنین حملاتی می تواند پیامدهای گسترده ای داشته باشد، همانطور که در حمله شرکت فولاد خوزستان در ژوئن 2022 مشاهده شد. شرکت فولاد خوزستان و دو تولیدکننده دیگر هدف قرار گرفتند تا تولید فولاد را مختل کنند و خدمات را در سراسر ایران فلج کنند. مهاجمانی که اعتبار این حمله را به عهده گرفتند، گونجشک درنده یا گنجشک درنده هستند. آنها این کار را با تشکیل سیستم کنترل صنعتی (ICS) Siemens PCS7 Process Control System انجام دادند که با دستکاری چگالی گاز هیدروژن باعث یکپارچگی ساختاری و آتش سوزی های عظیم می شد.

• پایگاه داده آسیب پذیری ملی (NVD، https://nvd.nist.gov/).

به طور کلی، با 38٪، دسته نرم افزار بیشترین درصد CVE های افشا شده را به خود اختصاص می دهد. این CVE ها به طور خاص از راه حل های مبتنی بر نرم افزار تشکیل شده اند که خود را به دسته های دیگر نمی خورند. رایج ترین فناوری در این دسته، نرم افزار ردیابی دارایی است که برای مدیریت کالاها، تجهیزات و/یا پرسنل در سراسر تاسیسات استفاده می شود.

فضاهای صنعتی و تولیدی برای اقتصاد جهانی حیاتی هستند. آنها کالاها و خدماتی را که ما هر روز به آنها تکیه می کنیم، تولید می کنند، از غذا و پوشاک گرفته تا خودرو و لوازم الکترونیکی. اختلال در این فضا می تواند اثرات گسترده ای داشته باشد همانطور که توسط اثرات اخیر COVID بر زنجیره تامین ثابت شده است. مانند سایر بخش‌ها، آنها برای اهداف پولی یا مخرب مورد هدف مجرمان سایبری قرار می‌گیرند. با این حال، تعداد کمی از فضاهای دیگر مانند صنایع صنعتی و تولیدی، به وسعت دستگاه های ساخته شده و سفارشی لازم برای کارکردن نیاز دارند. این دستگاه‌های منحصربه‌فرد یک خطر غیرمعمول ایجاد می‌کنند که باید برای محافظت کامل در برابر حملات دریافتی ارزیابی و درک شود.

HMI یا Human-Machine Interface نیز در میان مشارکت‌کنندگان برتر است که نشان‌دهنده نرم‌افزاری است که برای انسان برای تعامل با یک دستگاه یا طراحی چنین رابط‌های کاربری استفاده می‌شود. از دیدگاه تحقیقاتی، درک اینکه چرا راه حل های نرم افزاری بیشترین CVE های افشا شده را دارند، آسان است. معمولاً درک و تعامل با آنها برای مهاجم آسان‌تر است – که باعث می‌شود آنها به اهداف ساده‌تری برای مجرمان سایبری تبدیل شوند.

دسته دیگر، متشکل از راه‌حل‌های عمومی SCADA برای خدماتی مانند موقعیت‌های جغرافیایی یا تله‌متری که به راحتی در دسته دیگری قرار نمی‌گیرند، تنها 6 درصد از CVE‌های افشا شده را تشکیل می‌دهند.

به منظور درک خطرات منحصر به فرد صنعت و تولید، تیم ما 120 آسیب پذیری مختلف افشا شده عمومی را در کنترل نظارت و جمع آوری داده ها (SCADA) یا فضای ICS انتخاب کرد. ما به طور خاص به مواردی که از ابتدای سال 2023 فاش شده بودند نگاه کردیم و به ما امکان داد که تمرکز خود را بر روی سیستم‌های فعلی که در حال تولید یا برنامه‌ریزی برای اجرا هستند محدود کنیم. برخی از سیستم‌ها ممکن است در واقع قدیمی‌تر باشند، اما به طور کلی این رویکرد تأثیر مورد نظر را داشت.

نسخه چاپگر پسند

خطاب به SCADA در اتاق

شماره 4 2023 صنعتی (صنعتی)، امنیت سایبری