کمیته رکن چهارم – گروه واکنش اضطراری سامانههای کنترل صنعتی سایبری آمریکا که به اختصار ICS-CERT نامیده میشود، پیشنهادهایی را دربارهی اینکه ضدبدافزارها چگونه باید در محیطهای صنعتی بهروزرسانی شوند ارائه داده است، اما روش پیشنهادی کاملا عملی نیست و کارشناسان هشدار میدهند که سازمانها برای حفاظت از سامانههای حیاتی خود نباید تنها به ضدبدافزارها متکی باشند.
گروه ICS-CERT جزئی از مرکز ملی امنیت سایبری و ارتباطاتِ (NCCIC) وزارت امنیت آمریکا (DHS) است که با بهکارگیری سامانههای کنترلی و تسهیل بهاشتراکگذاری اطلاعات با حوادث امینتی مقابله میکند و در تلاش است تا خطرات حملات سایبری را کاهش دهد. در آخرین خبرنامهی نظارتی این گروه توصیههایی دربارهی اینکه سازمانها چگونه باید ضدبدافزارها را در سامانههای صنعتی خود بهروزرسانی کنند، ارائه کرده است.
گروه ICS-CERT گفت: «نرمافزارهای ضدبدافزار زمانی که به درستی نصب شده و بهروزرسانی شوند، بخش مهمی از راهکارهای دفاعی عمقی برای محافظت از سامانهها در برابر بدافزارها را تشکیل میدهند. چنین نرمافزارهایی به طور گستردهای در فناوری اطلاعات و زیرساختهای کنترل صنعتی مورد استفاده قرار میگیرند. در محیطهای کسبوکار فناوری اطلاعات بسیار متداول است که هر کارخواهِ ضدبدافزار را پیکربندی میکنند تا به طور مستقیم بهواسطهی فروشندگان ضدبدافزارها بهروزرسانی شوند؛ با این حال از آنجا که لازم است سامانههای فناوری اطلاعات و کنترل صنعتی توسط DMZ سامانههای کنترل صنعتی تفکیک شوند، سامانههای کنترل صنعتی نیاز دارند که از روشهای بهروزرسانی ضدبدافزار متفاوتی استفاده کنند.»
,
DMZ سامانههای کنترل صنعتی لایهای بین منطقهی سازمانی و شبکهی کنترلی است. DMZ علاوهبر کارگزارهای دسترسی از راه دور و ثبتکنندههای رویدادهای سامانه، میتوانند شامل ضدبدافزار، سرویسهای بهروزرسانی کارگزار ویندوز (WSUS)، و کارگزارهای وصله نیز باشد.
از آنجایی که DMZ سامانههای کنترلی به طور معمول اجازه ندارند که به طور مستقیم به اینترنت متصل شوند، بهروزرسانی این سرویسها در این محیطها نیز نمیتوانند به طور خودکار از طریق کارگزارهای فروشندگان انجام شوند. یک روش برای بهروزرسانی ضدبدافزارها در این سامانهها این است که بهروزرسانیها به صورت دستی بارگیری شده و رونوشتی از آنها در یک درایو قابل جابهجایی قرار داده شوند، و سپس این درایو به دستگاهی که به این بهروزرسانیها نیاز دارد متصل شود.
با این حال این روند آنطور که به نظر میرسد ساده نیست. گروه ICS-CERT به سازمانها توصیه کرد که ابتدا منبع بهروزرسانی منتشرشده را بررسی کنند، و سپس پروندهی بهروزرسانی را در یک میزبان اختصاصی بارگیری کنند. این پرونده باید برای تشخیص بدافزارها مورد پویش قرار بگیرد و روشهای استفادهشده در درهمسازی آن تایید شوند، تا اطمینان حاصل شود که این پرونده یک پروندهی جعلی نیست.
وقتی پروندههای بهروزرسانی کپی شدند، این درایو قابل جابهجایی باید به منظور کشف بدافزار پویش شده و قفل شود (یعنی از نوشته شدن پروندههای دیگر در آن جلوگیری شود). قبل از اینکه این بهروزرسانیها روی یک سامانهی محافظتشده نصب شوند، باید روی یک محیط آزمایشی که تا حد امکان شبیه به دستگاه محافظتشده است، مورد آزمایش قرار گرفته و معتبر شوند.
گروه ICS-CERT گفت: «این روند نسبت به بهروزرسانیهای خودکار زحمت بیشتری دارد، اما زیاد زمانبَر نیست. استفاده از درایو واسط در شبکههای اِیرگپشده متداول است. فرآیندهای بهروزرسانی خودکار که در بیشتر محیطهای فناوری اطلاعات مورد استفاده قرار میگیرند، مناسب هستند اما توصیه نمیشوند.»
کارشناسان میگویند که این روش چندان عملی نیست و ضدبدافزارها به تنهایی کافی نیستند
یک کارشناس امنیت سامانههای کنترل صنعتی در آزمایشگاه کسپرسکی به نام Anton Shipulin اظهار کرد: «هرچند این روش (عمل انتقال پروندهها از یک سامانه به دیگری به وسیلهی یک درایور قابل جابهجایی) برای بهروزرسانی نرمافزارهای حفاظتی در شبکههای ایرگپشده کار میکند، اما در عمل سازمانها در بهروز نگه داشتن سامانههای خود با مشکلاتی مواجه هستند. کسپرسکی اغلب در شبکههای سامانههای کنترل صنعتی که در خلال ارزیابیهای خود آنها را مورد تجزیه و تحلیل قرار میدهد، ضدبدافزارهای قدیمی پیدا میکند.»
این کارشناس توضیح داد: «برای اینکه این فرآیند کارا باشد، باید به صورت منظم انجام شود و نرمافزارهای امنیتی که از نظر فنی پیشرفته هستند به کار گرفته شوند و این امکان وجود داشته باشد که این نرمافزارها از کارگزارهای بهروزرسانی متمرکز گرفته شوند؛ این روش نسبت به زمانی که بهروزرسانیها فقط به یک دستگاه واحد متقل شوند، سریعتر و آسانتر است. همچنین لازم به ذکر است که یک فرآیند واحد باید برای تمام سامانههای عامل و سامانههای کنترلی و بهروزرسانیهای نرم افزار دستگاه ضروری باشد (با توافق تامینکنندگان و فروشندگان سامانههای کنترل صنعتی).»
Rick Kaun، معاون رئیس راهحلها در شرکت امنیت سایبری صنعتی Verve اظهار کرد: «اعمال دستی بهروزرسانیها میتواند بسیار پیچیدهتر از فرآیند توصیفشده توسط گروه ICS-CERT باشد.»
وی توضیح داد: «به عنوان مثال، همهی بهروزرسانیهای ضدبدافزارها یکسان نیستند. اگر شما برای یک عملکرد ضدبدافزار خاصی دارای ضمانت و پشتیبانی یک فروشندهی بهخصوص هستید، شما نمیتوانید که پروندهی ضدبدافزار را بارگیری کنید بلکه باید این پرونده را از فروشندهی آن بگیرید و یا حداقل مطمئین شوید که فروشندهی مربوطه این پرونده را پشتیبانی میکند. علاوهبر این بسیاری از سازمانها ممکن است محصولات خود را از طریق چند فروشندهی مختلف فراهم کنند و هر کدام از این فروشندهها راهحلهای ضدبدافزار متفاوتی را ارائه کنند، بنابراین شما نیاز دارید که این روش را روی بیش از یک مجموعه از پروندهها روی چند سامانهی هدف اِعمال کنید؛ ردیابی و ارائهی گزارش از روند تکمیل این فرآیند یکی از چالشهای پیشرو است.»
Kaun افزود: «اکنون بیایید نرخ انتشار بهروزرسانی برای ضدبدافزارها را مورد بررسی قرار دهیم. اگر پروندههای مربوط به ضدبدافزارها هر ماه یکبار بهروزرسانی شوند، به احتمال زیاد این روند قابل مدیریت است. اگر این پروندهها به صورت هفتگی بهروز شوند، روند بهروزرسانی دستگاهها بیشتر چالش برانگیز میشود. اکنون فرض کنید اگر پروندههای ضدبدافزار به صورت روزانه و یا حتی سریعتر بهروزرسانی شوند چه اتفاقی میافتد؟ موضع شرکت شما در رابطه با سرعت انتشار بهروزرسانی ضدبدافزارها چیست؟ این مسأله بسیار مهم است که طوری تصمیمگیری شود که یک تعادل مناسب بین جدیدترین و بهترین پروندههای بهروزرسانی ضدبدافزارها (حداکثر حفاظت) و دخالت قابل توجه انسان (راحتی/ نیروی انسانی) برقرار باشد.»
این کارشناس گفت: «سازمانهای بسیار کمی وجود دارند که قادرند دقت و نرخ یک برنامهی ضدبدافزار را چنانکه در مقالهی ICS مشخص شده، حفظ کنند. این مقاله به خوبی نوشته شده و توصیههای خوبی در آن ذکر شده است اما در مورد برنامههایی که روز به روز تغییر میکنند بدون توجه به نیروی انسانی و/یا ابزارهای خودکار چندان عملی نیست. »
اکثر کارشناسان معتقدند بهتر است که برای حفاظت از سامانههای کنترل صنعتی از ضدبدافزارها استفاده نشود. در حالیکه سازمانهای صنعتی اغلب نگرانند که نرمافزارهای امنیتی میتوانند تاثیر منفی روی عملیاتهای آنها داشته باشند، راهحلهای جدیدِ مخصوص سامانههای کنترل صنعتی طوری طراحی شدهاند که در کنار ارائهی راهکارهای حفاظتی جامع، کمترین تاثیر را روی این سامانهها داشته باشند. علاوهبر این ضدبدافزارها نمیتوانند به طور مستقیم روی دستگاههای کنترلی مانند PLCها و DCSها نصب شوند. با این حال محصولات جدید صرفنظر از نوع دستگاه هدف، بهطور مداوم روی شبکهها نظارت میکنند.
Patrick McBride، مدیر ارشد بازاریابی در شرکت Claroty اشاره کرد که محصولات امنیتی که برای محیطهای فناوری اطلاعات طراحی شدهاند هرگز نباید در شبکههای فناوری عملیاتی مورد استفاده قرار بگیرند.
دانا تامیر از شرکت Indegy نیز به یک نکتهی جالب دیگر اشاره کرد: «با اینکه ضدبدافزارها تاحدی میتوانند راهکارهای حفاظتی ارائه دهند (مخصوصا در برابر تهدیدات شناختهشده)، ممکن است حتی استفاده از ضدبدافزارهای سنتی نیز در برخی سازمانها ممکن نباشد، زیرا بسیاری از سازمانها در شبکههای ICS خود همچنان به سامانههای قدیمی مانند ویندوز NT و XP متکی هستند، و ممکن است این سامانههای قدیمی توسط فروشندگان ضدبدافزارها پشتیبانی نشوند.»
این مسأله توسط یک مطالعهی CyberX نیز تایید شده است، این مطالعه نشان داد که سه مورد از چهار محیط صنعتی همچنان از سامانههای عامل قدیمی در شبکههای سامانههای کنترل صنعتی خود استفاده میکنند.
Phil Neray، معاون رئیس بخش امنیت سایبری صنعتی در CyberX گفت: «توصیهی گروه ICS-CERT این واقعیت را نادیده میگیرد که بسیاری از محیطهای ICS هیچیک از وصلههای امنیتی ویندوز را نصب نمیکنند و یا به دلیل استفاده از سامانههای عامل پشتبانینشده مانند ویندوز ۲۰۰۰ و XP از هیچ محصول ضدبدافزاری استفاده نمیکنند.»
تامیر همچنین اظهار کرد: «یک سازمان میتواند ضدبدافزارهایی را روی تمام رایانههای مدیریتشده نصب کند، اما اگر از یک راهحل جامع برای نقاط انتهایی مدیریتنشده استفاده نکند، تهدیدها میتوانند از طریق دستگاهها به شبکهی ICS سازمان وارد شوند.»
منبع : news.asis.io
