بهترین لایه‌های امنیتی برای سیستم‌های کنترل قدیمی کدامند؟

چگونه می‌توانید سیستم‌های PLC قدیمی را بدون جایگزینی سخت‌افزار گران‌قیمت تقویت کنید؟

سیستم‌های کنترل صنعتی همچنان قلب تپنده محیط‌های تولید مدرن هستند. بسیاری از کارخانه‌ها همچنان با PLCهای قدیمی که فاقد ویژگی‌های امنیتی مدرن هستند، فعالیت می‌کنند. این کنترل‌کننده‌های فرسوده اغلب خطوط تولید حیاتی را مدیریت می‌کنند که جایگزینی آن‌ها از نظر مالی پرهزینه و از نظر عملیاتی مختل‌کننده است. واقعیت امیدوارکننده؟ شما می‌توانید استراتژی‌های دفاع چندلایه جامع را بدون تعویض حتی یک کنترل‌کننده به کار ببرید. این روش، تداوم عملیاتی را حفظ کرده و در عین حال تهدیدات سایبری در حال تحول که زیرساخت‌های اتوماسیون صنعتی را هدف قرار می‌دهند، کاهش می‌دهد.

ارزیابی چشم‌انداز ریسک در تولید معاصر

PLCهای قدیمی اولویت را به قابلیت اطمینان عملیاتی می‌دادند و امنیت را در نظر نمی‌گرفتند. آن‌ها معمولاً فاقد رمزنگاری، احراز هویت کاربر یا کنترل‌های دسترسی پایه هستند. در نتیجه، هدف‌های جذابی برای بازیگران تهدید به شمار می‌روند. تحقیقات اخیر صنعتی نشان می‌دهد که تقریباً ۶۵٪ از سایت‌های تولیدی از سیستم‌های کنترلی استفاده می‌کنند که بیش از دوازده سال در خدمت بوده‌اند. این دارایی‌های قدیمی به شبکه‌های IT مدرن متصل هستند و آسیب‌پذیری‌های امنیتی قابل توجهی ایجاد می‌کنند. بنابراین، شناخت این آسیب‌پذیری اولین گام به سوی حفاظت مؤثر است.

تقسیم‌بندی شبکه: ایجاد مرزهای دفاعی برای محیط‌های DCS

قوی‌ترین رویکرد، جدا کردن تجهیزات قدیمی از زیرساخت‌های شرکتی گسترده‌تر است. می‌توانید از فایروال‌های صنعتی برای ایجاد مناطق غیرنظامی بین شبکه‌های فناوری اطلاعات و فناوری عملیاتی استفاده کنید. به عنوان مثال، یک کارخانه خودروسازی در بایرن پس از اجرای تقسیم‌بندی سختگیرانه شبکه، ۷۶٪ کاهش در حوادث دسترسی غیرمجاز را تجربه کرد. این استراتژی تضمین می‌کند که حتی اگر سیستم‌های شرکتی دچار نفوذ شوند، عملیات کف تولید محافظت شده و به صورت عملکردی جدا باقی بمانند.

استقرار بازرسی عمیق بسته‌ها برای پروتکل‌های صنعتی

فایروال‌های معمولی IT نمی‌توانند استانداردهای ارتباطی صنعتی مانند Modbus TCP یا EtherNet/IP را تفسیر کنند. سیستم‌های پیشگیری از نفوذ صنعتی تخصصی، ترافیک را در سطح پروتکل بررسی می‌کنند. این راه‌حل‌ها دستورات غیرعادی را که ممکن است نشان‌دهنده نیت مخرب باشند، شناسایی می‌کنند. یک کارخانه فرآوری مواد غذایی در میدوست بیش از ۱۸۰۰ تلاش مشکوک برای دستکاری پروتکل را در سه‌ماهه اول استقرار خود مسدود کرد. در نتیجه، آن‌ها از توقف احتمالی تولید بدون تغییر در پیکربندی‌های موجود PLC جلوگیری کردند.

فهرست سفید برنامه‌ها برای حفاظت از محیط زمان اجرا

نرم‌افزارهای آنتی‌ویروس سنتی به دلیل محدودیت‌های پردازشی اغلب در سخت‌افزارهای قدیمی به خوبی عمل نمی‌کنند. فهرست سفید برنامه‌ها یک استراتژی جایگزین سبک‌وزن ارائه می‌دهد. این تکنیک فقط اجازه اجرای نرم‌افزارهای از پیش تأیید شده را روی ایستگاه‌های کاری صنعتی می‌دهد. یک کارخانه شیمیایی در ساحل خلیج فارس فهرست سفید را در ۱۷۵ رابط اپراتور پیاده‌سازی کرد. آن‌ها در طول چهار سال هیچ گونه آلودگی به بدافزار را تجربه نکردند و در عین حال عملکرد کامل سیستم را حفظ کردند.

ایمن‌سازی دسترسی از راه دور برای فعالیت‌های پشتیبانی فروشنده

تأمین‌کنندگان تجهیزات معمولاً برای عیب‌یابی و به‌روزرسانی‌های فرم‌ویر به اتصال از راه دور نیاز دارند. با این حال، اتصالات بدون محافظت مسیرهای مستقیمی برای ورود غیرمجاز ایجاد می‌کنند. پیاده‌سازی سرورهای پرش با احراز هویت چندعاملی امکان دسترسی ایمن فروشنده را فراهم می‌کند. یک شرکت آب‌رسانی اروپایی پس از استقرار راه‌حل‌های دسترسی از راه دور مدیریت‌شده، بردارهای تهدید خارجی را ۹۴٪ کاهش داد. علاوه بر این، آن‌ها سوابق کامل ممیزی تمام فعالیت‌های فروشنده را برای رعایت مقررات حفظ کردند.

نظارت مستمر و شناسایی ناهنجاری‌های رفتاری

دیدپذیری برای شناسایی تهدیدات پیش از تبدیل شدن به حادثه ضروری است. ابزارهای نظارت غیرفعال ترافیک شبکه را بدون تأثیر بر عملکرد ضبط می‌کنند. این سیستم‌ها خطوط پایه عملیاتی را ایجاد کرده و پرسنل را از انحرافات مطلع می‌سازند. به عنوان مثال، یک کارخانه خمیر کاغذ در شمال غربی اقیانوس آرام در عرض چند دقیقه پس از مشاهده توالی‌های دستوری غیرعادی، یک رابط اپراتور به خطر افتاده را شناسایی کرد. این شناسایی سریع از وقوع خرابی فاجعه‌بار در کنترل‌های مخزن هضم‌کننده جلوگیری کرد.

کاربرد عملی: تأسیسات تولید برق جنوب شرقی

یک نیروگاه که کنترل‌کننده‌های Modicon 984 از اواخر دهه ۱۹۸۰ را به کار می‌برد، با نظارت فزاینده امنیت سایبری از سوی ناظران قابلیت اطمینان مواجه شد. برآوردهای نوسازی کامل سخت‌افزار بیش از ۳.۱ میلیون دلار با ۲۲ ماه قطعی‌های متناوب پیش‌بینی شده بود. در عوض، آن‌ها استراتژی دفاع جامعی شامل دروازه‌های یک‌طرفه برای انتقال داده یک‌طرفه، فهرست سفید برنامه‌ها روی ایستگاه‌های کاری مهندسی و فایروال‌های آگاه به پروتکل را اجرا کردند. کل سرمایه‌گذاری به ۲۴۵,۰۰۰ دلار رسید و پیاده‌سازی در دوره‌های نگهداری برنامه‌ریزی شده به پایان رسید. این راه‌حل تمام الزامات نظارتی را برآورده کرد و در طول پیاده‌سازی ۱۰۰٪ در دسترس بودن عملیاتی را حفظ کرد.

تحلیل روند صنعت: ظهور استراتژی‌های وصله‌سازی مجازی

تعداد زیادی از تولیدکنندگان به‌روزرسانی‌های امنیتی برای تجهیزات کنترل قدیمی را متوقف کرده‌اند. این وضعیت مدیران کارخانه را مجبور به دنبال کردن روش‌های جایگزین حفاظت می‌کند. وصله‌سازی مجازی از طریق سیستم‌های پیشگیری از نفوذ به عنوان رویکردی ترجیحی ظهور کرده است. این راه‌حل‌ها ترافیک را بررسی کرده و بهره‌برداری‌های هدفمند آسیب‌پذیری‌های شناخته شده را مسدود می‌کنند. یک تولیدکننده دارویی در نیوجرسی با استفاده از این تکنیک در بازرسی اخیر FDA، از ۶۳ PLC بدون پشتیبانی محافظت کرد. این استراتژی چهار سال اضافی برای برنامه‌ریزی سرمایه و مهاجرت سیستم به آن‌ها داد.

توصیه‌های عملی برای پیاده‌سازی

با یک فهرست کامل دارایی‌ها شروع کنید قبل از انتخاب کنترل‌های امنیتی. همه سیستم‌های قدیمی به سطوح یکسانی از حفاظت نیاز ندارند. اولویت‌بندی را بر اساس اهمیت تولید و میزان اتصال به شبکه انجام دهید. در جلسات برنامه‌ریزی، هم متخصصان امنیت IT و هم مهندسان OT را درگیر کنید. تخصص ترکیبی آن‌ها تضمین می‌کند که راه‌حل‌ها نیازهای فنی را بدون ایجاد اختلال در عملیات برآورده کنند. با استقرار آزمایشی در خطوط غیر بحرانی شروع کرده و سپس به مناطق اصلی تولید گسترش دهید.