هدف امان ارائه خدمات و محصولات بسیار باکیفیت در حوزه امنیت سایبری فناوریهای عملیات (OT)، ارتباطات و اطلاعات (ICT) با تمرکز ویژه بر روی امنیت سیستم های کنترل و اتوماسیون صنعتی، سیستم های اسکادا و نظارت،DCS ، تلهمتری، دیسپاچینگ و سیستم های حفاظت صنعتی میداند.
آموزش تخصصی تحلیل اهم حوادث سایبری در ایران برگرفته از دستاوردهای تیم تحلیل حوادث امان، توسط واحد آموزش تخصصی امنیت سایبری صنعتی شرکت امان (پیشگامان امن آرمان) در دیماه 1402 برگزار گردید.
جهت آشنایی بیشتر با خدمات تیم تحلیل حوادث امان این کلیپ را مشاهده فرمایید.
در ادامه لیست برخی آموزشها، سمینارها و دورههای امنیت سایبری تقدیم میگردد که برای دریافت پروپوزال هر یک از آنها و اطلاع از جزئیات کمی و کیفی آنها میتوانید با شرکت پیشگامان امن آرمان(امان) تماس حاصل فرمایید. با کلیک بر روی هر عنوان از فهرست ذیل میتوانید نمونه دورههای برگزار شده یا سوابق مرتبط با موضوع ذکر شده را مشاهده نمایید.
📢 سند توصیه های امنیتی جهت پیشگیری از گسترش حملات سایبری به سیستم های صنعتی بر اساس حمله به صنعت فولاد آماده شد .
🔖هدف این سند، ارائه توصیه های امنیتی ضربالاجلی جهت پیشگیری از گسترش حملات سایبری به سیستم های صنعتی کشور است. لازم به ذکر است که این توصیه ها بر اساس تجارب گذشته و حملات مشابه اخیر به صنایع کشور ارائهشده است.
⛑️در این سند به جزئیات فنی حملهی اخیر و نحوه آلودگی در صنایع فولاد پرداخته نمیشود و صرفاً توصیههای امنیتی جهت پیشگیری بیان خواهد شد. دلیل این امر این است که ارائه جزئیات فنی حمله مذکور در واحدهای صنعتی فولاد کشور به شکل رسمی از سوی مراجع ذی صلاح اطلاع رسانی خواهد شد و شرکت امان به این رویه احترام میگذارد.
🟣 صنایعی که تمایل دارند این سند را دریافت نمایند از طریق ایمیل یا تلفن با امان تماس بگیرند . Info@AmanSec.ir 88581798 (021)
سیستم های کنترل و اتوماسیون صنعتی (DCS، PLC، اسکادا، تلهمتری، دیسپاچینگ، ESD و غیره) ازجمله اهداف آسیبپذیر در مقابل حملات سایبریاند. دلایل متعددی برای این آسیبپذیریهای قابلتوجه میتوان ذکر کرد. افزایش انگیزه مهاجمان و سوق پیدا کردن جنگهای سایبری به سمت زیرساختهای حیاتی صنعتی یکی از این دلایل است.
بهرهگیری روزافزون صنایع از فناوریهای جدید بهویژه در بخش سیستم های حفاظت و کنترل، دلیل دیگر گسترده بودن اهداف قابل تهدید در صنایع است. گستردگی و پیچیدگیهای فنی، جغرافیایی و سازمانی صنایع که معمولاً با عدم یکپارچگی مدیریت امنیت سایبری نیز همراه است موجب میشود بخشهای مختلفی از سیستم ها و تجهیزات این مجموعه ها در معرض تهدید باشد.
بهتازگی سازمانهای NSA، DOE، CISA،FBI [1]در خصوص هک و نفوذ به سیستم های کنترل صنعتی (ICS)، سیستم های اسکادا(SCADA) و PLCهای مرتبط با برندها و پروتکل ذیل هشدار دادهاند:
Schneider Electric programmable logic controllers (PLCs)
OMRON Sysmac NEX PLCs
Open Platform Communications Unified Architecture (OPC UA) servers
در این هشدار تأکید شده است که مهاجمین در این نفوذها توانستهاند دسترسی کاملی به شبکههای صنعتی قربانی پیدا نمایند. یکی از نکات قابلتوجه که در این حملات گزارش دادهشده این است که مهاجمین از ابزارهای توسعه دادهشده خاصمنظورهای استفاده کردهاند تا بتوانند سطح دسترسی و ابعاد حمله را تا عمق سیستم های کنترل صنعتی (که PLCها و DCSها هستند) گسترش دهند. در این حملات مهاجمین از مرحله شناسایی، نفوذ اولیه، گسترش نفوذ و وارد آمدن حملات از این ابزارهای خاصمنظوره استفاده مینمایند که در تجارب بالغبر هشتساله رصد حملات توسط شرکت امان نیز کمتر شاهد آن بودیم.
در این حملات شاهد این بودیم که سیستم های کنترل صنعتی از نوع ایستگاههای مهندسی دارای سیستمهای عامل ویندوز، از اکسپلویتهای آسیبپذیریهای شناختهشده درایورهای مادربردهای ASRock مورد نفوذ قرار گرفتند.
همانطور که در ابتدای این گزارش بیان شد، اخیراً در خصوص هک و نفوذ به شبکهها و تجهیزات کنترل صنعتی Schneider Electric، OMRON و پروتکل OPC UA هشدار جدی دادهشده است. در لیست ذیل جزئیات بیشتری از این داراییهای آسیبپذیر را مشاهده میکنیم:
Schneider Electric MODICON and MODICON Nano PLCs, including (but may not be limited to) TM251, TM241, M258, M238, LMC058, and LMC078;
OMRON Sysmac NJ and NX PLCs, including (but may not be limited to) NEX NX1P2, NX-SL3300, NX-ECC203, NJ501-1300, S8VK, and R88D-1SN10F-ECT
OPC Unified Architecture (OPC UA) servers.
ابزارهای مذکور ماژولار بوده و میتوانند به شکل کاملاً خودکار توسط مهاجمین اجرا شوند. این ابزارها دارای یک کنسول مجازی با یک رابط فرمان شبیه به رابط دستگاههای کنترل و اتوماسیون صنعتی هستند. متأسفانه این ماژولهای خطرناک این امکان را ایجاد مینمایند که حتی مهاجمین با سطح مهارتی پایین، بتوانند قابلیتهای پیشرفته مهاجمان حرفهای را شبیهسازی نمایند و این برای صنایع کشور میتواند بسیار خطرناک باشد.
علاوه بر این، این گروه از مهاجمین از ابزاری استفاده کنند که یک درایور مادربرد آسیبپذیر شناختهشده به نام AsrDrv103.sys را نصب میکنند و از آسیبپذیری با شناسه CVE-2020-15368 موجود در آن برای اجرای بدافزار در سطح هسته ویندوز استفاده میکنند. در ادامه مهاجمین با استفاده از تکنیکهای حرکات جانبی سعی میکنند از راههای آشکار و پنهان میان شبکههای اداری، فاوا و نظایر آن به شبکههای صنعتی نفوذ کنند که لازم است صنایع کشور نسبت به آن آگاه باشند. در ادامه به تفکیک سازنده و پروتکل به این موضوع خواهیم پرداخت.
ابزار موردنظر برای تجهیزات شرکت اشنایدر دارای ماژولیهایی است که امکان ارتباط از طریق پروتکل معمول مدیریتی و مدباس TCP بر روی پورت 502 را فراهم میکند. این ماژولها میتواند این امکان را بدهند که:
مهاجمین یک اسکن سریع جهت شناسایی PLCهای شرکت اشنایدر بر روی شبکه محلی صنعت انجام دهند. این اسکن با ارسال پیامهای مالتی کست[1] UDP با پورت مقصد 27127 انجام میگیرد. لازم به ذکر است اسکن از طریق پروتکل UDP با پورت مقصد 27127 یک اسکن استاندارد است که توسط ایستگاههای کاری مهندسی برای شناسایی عادی PLC ها در شبکههای صنعتی استفاده میشود و ممکن است لزوماً نشاندهنده فعالیتهای مخرب نباشد. این نکته بسیار مهم است که در تنظیم قواعد سیستم های تشخیص نفوذ صنعتی و SIEM به نحوی عمل نماییم که هشدارهای منفی کاذب (به دلیل رفتار طبیعی شبکه) گزارش ندهیم. ما در امان، در حوزه خدمات شناسایی حملات به این نکات کلیدی نهایت توجه را داریم تا در بالاترین سطح کیفی بتوانیم به شرکتها و صنایع کشور ارائه خدمات داشته باشیم.
این ماژولها امکان اجرای حملات جستوجوی رمزهای عبور دستگاههای PLC را با استفاده از پروتکلCODESYS یا سایر پروتکلهای رایج و از طریق پورت 1740 UDP را میسر میکند. همانطور که در دورههای آموزشی تخصصی امنیت صنعتی امان همیشه تذکر میدهیم، چنانچه برای دسترسی به PLCها، DCS و حتی ESD از رمزهای عبور پیشفرض یا ساده استفاده نماییم مهاجمین با استفاده از این ابزارها میتوانند حتی به تجهیزات لایه کنترل محلی مانند PLCها نیز دسترسی پیدا نمایند. در این هشدار تذکر دادهشده است که امکان دارد این ماژولها، سایر تجهیزاتی که از طریق CODESYS ارتباط برقرار میکنند را نیز موردحمله قرار دهند که زنگ خطری است برای برخی صنایع که از این تجهیزات و پروتکل مربوطه استفاده میکنند.
همانطور که در تصور نمادین ذیل مشاهده میکنیم، این ماژولها امکان اجرای حملات ممانعت از خدمات (DoS) بر روی تجهیزات PLC را به نحوی فراهم میکنند که از طریق شبکه امکان دسترسی به کنترلکنندهها و مدیریت فرایند وجود نخواهد داشت.
تصویر نمادین نفوذ به یک DCS
این ماژولها امکان اجرای حملات ممانعت از خدمات(DoS) با ارسال بستههای مرگ[1] علیه تجهیزات PLC را به نحوی فراهم میکند که امکان پیکربندی مجدد و راهاندازی مجدد PLC سلب خواهد شد.
این ماژولها باعث قطع ارتباط کاربران مربوطه و سیستم مهندسی با PLC میشود و مهندسین بهرهبردار یا تعمیر و نگهداری، مجبور خواهند شد مجدد به PLC درخواست تصدیق اصالت دهند. احتمال میرود مهاجمین از این طریق بتوانند نام کاربری و رمزهای عبور PLCها را به دست آورند.
این ماژولها امکان ارسال فرمانهای مختلف از طریق پروتکل مدباس را نیز فراهم میکند و این ویژگی میتواند برای PLCهای غیر از برند اشنایدر نیز کارا باشد که واحدهای متولی امنیت صنایع کشور لازم است در این مورد تدابیری را اتخاذ نمایند.
در جدول ذیل مشخصات فنی تاکتیکها و تکنیکهای این ابزار در مورد برند اشنایدر را بر اساس چارچوب ATT&CK for ICS مشاهده میکنیم.
ابزار موردنظر برای تجهیزات شرکت OMRON دارای ماژولیهایی است با امکانات ذیل:
این ماژولها به مهاجمین این قابلیت را میدهد که از طریق پروتکل FINS اقدام به شناسایی تجهیزات OMRON نمایند.
در شناسایی به کمک این ابزارها امکان دریافت و شناسایی آدرس MAC تجهیزات صنعتی وجود دارد.
این ماژولها به مهاجمین این قابلیت را میدهد که اطلاعات پروتکل HTTP را که سوی تجهیزات صنعتی دریافت میشود را تجزیهوتحلیل نمایند.
این ماژولها به مهاجمین این قابلیت را میدهد که به کمک روش سرشماری[2] به تجهیزات متصل به PLC دسترسی پیدا کنند و همچنین بتوانند از تجهیزات متصل به PLC ، نمونه/داده برداری انجام دهند.
این ماژولها به مهاجمین این قابلیت را میدهد که هر نوع فایل دلخواهی را بر روی PLCها بازیابی یا از PLCها پشتیبانگیری نمایند.
درنهایت، این ماژولها به مهاجمین این قابلیت را میدهد که بر روی این PLCها یک کد مخرب سفارشی را برای اهداف حملات دیگر و برای روز مبادا بارگذاری نمایند که امان در مورد این ویژگیهای به جد هشدار میدهد. این ماژولها امکان غالب تعاملاتی که در بردار حملات، توسط مهاجمین در چارچوب ATT&CK for ICS ارائهشده است را فراهم میکند. تمامی این تکتیکها و تاکتیکها در دورههای آموزشی پیشگامان امنرم آرمان تبیین میشود. در جدول ذیل این تکنیکها و تاکتیکها مشخصشدهاند.
ابزار موردنظر برای تجهیزاتی که پروتکل OPC UAرا پشتیبانی میکنند یا از آن استفاده میکنند دارای ماژولیهایی است با امکانات ذیل:
این ماژولها به مهاجمین این قابلیت را میدهد که سرورهای OPC UA را شناسایی نمایند.
این ماژولها به مهاجمین این قابلیت را میدهد که سرورهای OPC UA را به کمک نامهای کاربری و رمز عبور پیشفرض یا سرقت شده مورد دسترسی قرار دهند.
علاوه بر موارد فوق این ماژولها امکان نوشتن تگها توسط OPC UA را فراهم میکند که به جد قابلیتی با سطح ریسک بالا است و شرکت امان در مورد سوءاستفادههای آتی احتمالی در صنایع کشور (در صورت عدم ارتقاء) هشدار میدهد. لازم به ذکر است که در چند سال اخیر، در مورد قابلیتهای OPC UA و ویژگیهای امنیتی آن در دورههای آموزشی مطالب متعددی را خدمت مخاطبین گرامی امان ارائه کردهایم. باوجوداین قابلیتها، مشابه هر پروتکل دیگری لازم است مقوله بهروزرسانی تجهیزات مرتبط را در دستور کار قرار دهیم.
در جدول ذیل این تکنیکها و تاکتیکها مشخصشدهاند.
بر اساس اطلاعات در دسترسی فعلی امان تاکنون در کشور آلودگی مرتبط با این ابزارهای APT گزارش نشده است. در ادامه برخی راهکارهای کاهش ریسک و مقابله با ابزارهای فوق همراه با تجربیات امان در این حوزه ارائه میشود. لازم به ذکر است که این راهکارها برای تمامی محیطهای صنعتی آزموده نشده است و حتماً توصیه میشود که قبل از پیادهسازی در شبکه صنعتی در شرایط آزمایشگاهی یا محدود مورد آزمایش قرار گیرند.
توصیه معمول در این موارد این است که شبکههای صنعتی (OT) چنانچه ارتباطی با شبکه اداری، فاوا، اینترنت و نظایر آن دارند در سریعترین زمان این ارتباطات قطع یا محدود شود. لازم به ذکر است در بسیاری از صنایع مشاهده میکنیم که تصور به ایزوله بودن کامل شبکه صنعتی وجود دارد اما ارزیابیهای متعدد شاهد آن بودیم که اتصالاتی میان شبکه OT با شبکه IT وجود دارد.
چنانچه در صنعت خود از ضدبدافزار[3]یا سیستم تشخیص نفوذ (IDS) استفاده میکنید (در صورت بهروزرسانی شرکت ارائهدهنده) هرچه سریعتر محصول امنیتی خود را بهروزرسانی نمایید.
· استفاده از تجهیزات جمعآوری لاگهای امنیتی نظیر IDSها و SIEM توصیه میشود. به مدیران شبکههای کنترل صنعتی توصیه میشود که به کمک محصولاتی مانند SIEM کنترل صنعتی و سیستم تشخیص نفوذ صنعتی (IDS) به شکل مستمر کلیه تجهیزات سیستم و ترافیک عبوری را پایش نمایید.
چنانچه در شبکه صنعتی یا تجهیزات مربوطه امکان تصدیق هویت چند عامله یا چندمرحلهای دارید حتماً آن را فعال نمایید.
جهت مطالعه سایر راهکارهای امنیتی و دسترسی به گزارش کامل این ویژه نامه روی این لینک کلیک نمایید.
چنانچه تمایل دارید گزارش حملات، آسیبپذیریها و ویژهنامههایی مشابه این گزارش را دریافت نمایید، اطلاعات تماس بهویژه آدرس ایمیل به همراه معرفی سازمان/صنعت خود را به نشانی info@AmanSec.ir ارسال نمایید تا به شکل رایگان این گزارشها را دریافت نمایید.
به گزارش واحد آگاهی بخشی امنیت صنعتی امان، امروز پنجشنبه، دو شهر بزرگ تایوان و یکی از صنایع تولیدی مهم تایوان با قطع برق مواجه شدند. بیش از پنج میلیون خانوار تحت تأثیر این خاموشی قرار گرفتند. این خاموشی در تایپه، پایتخت تایوان، و کائوسیونگ، دومین شهر بزرگ تایوان رخ داد. شرکت برق تایوان در بیانیهای کوتاه عنوان کرد که سیستم شبکه برق جنوبی این کشور با نقصی مواجه شده است که باعث خاموشی در جنوب تایوان شده است. به گفته این شرکت، این نقص در نیروگاه Hsinta کائوسیونگ، بزرگترین نیروگاه برق در جنوب تایوان رخداده است. مرکز تولید پردازنده آیفون در تاینان، در جنوب تایوان است که در پی این حمله دچار خاموشی شده است. با توجه به تحلیل حملات سایبری گذشته به زیرساختهای برق در تایوان که توسط شرکت امان انجام گرفت است و مناقشات اخیر میان چین و تایوان احتمال وجود منشأ سایبری در این خاموشی در حال بررسی است. متخصصین امان در حال حاضر نمیتوانند در مورد وجود منشأ سایبری در این اختلال و خاموشی حاصل از آن اظهارنظر نمایند اما بهزودی (در صورت کسب اطلاعات بیشتر ) نتایج بررسیها را در سایت و صفحات امان در شبکههای اجتماعی منتشر خواهیم کرد.
به روزرسانی:
دولت تایوان خطای انسانی در عملیات تعمیر سالیانه یکی از ژنراتورهای نیروگاه سینتا را عامل وقوع این حادثه اعلام کرده است.
درس آموختههای حوادث صنعتی و سایبری از صنایع دنیا به شکل مبسوط در آموزشهای تخصصی امنیت صنعتی امان ارائه میشود.
ما در امان همراه مطمئن سازمانها، صنایع، شرکتهای مادر تخصصی و غیره هستیم تا با ارائه خدمات مشاوره و امنسازی مبتنی براستانداردها مورد تائید مراجع ذیصلاح و با اتکا به تجربه عملیاتی و آزمایش در محیطهای امن، از زمان طراحی تا پیادهسازی و بهرهبرداری سیستمهای کنترل صنعتی، اسکادا، تلهمتری، دیسپاچینگ و نظایر آنها کمک نماییم تا صنایع و سازمانهایی داشته باشیم که طرحهای امنیتی آنها پشتوانه دقیق و اصولی داشته باشد و از انجام کارهای سلیقهای و غیراصولی خودداری نماییم.
با امان همراه باشید تا از اخبار تخصصی و دستاوردهای جدید حوزه امنیت سیستمهای کنترل و اتوماسیون صنعتی آگاه شوید.
به گزارش واحد تخصصی آگاهی بخشی سایبر صنعتی شرکت پیشگامان امن آرمان(امان)، اخیرا شرکت زیمنس آسیبپذیریهای جدیدی را در محصولات WinCC و PCS 7 گزارش داده است. این آسیب پذیری نمره بالای 9.9 را دارد و میتواند از راه دور اکسپلویت شود. این آسیبپذیری بر روی محصولات SIMATIC SCADA HMI که در ادامه آورده شده است، تأثیر میگذارد:
SIMATIC PCS 7 v8.2 and earlier: All versions
SIMATIC PCS 7 v9.0: All versions
SIMATIC PCS 7 v9.1: All versions
SIMATIC WinCC v7.4 and earlier: All versions
SIMATIC WinCC v7.5: All versions prior to v7.5 SP2 Update 5
SIMATIC WinCC v15 and earlier: All versions
SIMATIC WinCC v16: All versions
SIMATIC WinCC v17: All versions
زیمنس بهروزرسانیهایی را برای چندین محصول آسیبدیده منتشر کرده و بهروزرسانی به آخرین نسخهها را توصیه میکند و همچنین در حال آماده سازی، به روز رسانیهای بیشتر است و اقدامات متقابل خاصی را برای محصولاتی که به روز رسانی نشده یا هنوز در دسترس نیستند توصیه میکند. زیمنس راهحلها و راهکارهای کاهشدهنده خاصی را که کاربران میتوانند برای کاهش مخاطره اعمال کنند، شناسایی کرده است که برای اطلاعات بیشتر و تخصصی روی این لینک کلیک نمایید. ما در امان همراه شما هستیم تا بتوانیم با کمترین تبعات منفی بهروزرسانی امن سیستمهای کنترل و اتوماسیون صنعتی را انجام دهیم.
با امان همراه باشید تا از اخبار تخصصی بهروز حوزه امنیت سیستمهای کنترل و اتوماسیون صنعتی آگاه باشید.
رسالت امان در آگاهیبخشی این است که بتوانیم از این گونه مخاطرات در صنایع کشور پیشگیری نماییم.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، روز سهشنبه 4 آبان تمام کشور درگیر یک اختلال در سامانه هوشمند سوخت شدند. مراجعهکنندگان به جایگاههای سوخت با پیامهایی از قبیل «حمله سایبری» و شماره تلفن ۶۴۴۱۱ بر روی صفحه دیجیتال پمپها مواجه میشدند. این موضوع واکنشهای گوناگونی در میان مردم و کارشناسان امنیت سایبری داشت که همواره نگرانی و دغدغههای خود را بیان میکنند. (جهت دانلود فایل pdf این مصاحبه اینجا کلیک نمایید)
متأسفانه کشور عزیزمان ایران از سال 1389-1388 به شکل جدی و علنی درگیر جنگهای سایبری از سوی کشورهای متخاصم شده است و در این سالها تجارب متعدد مواجهه با حملات سایبر-فیزیکی را در سازمانها و صنایع متعدد کشور داشتهایم.
روند این حملات در این سالها ادامه داشته و هر ساله شاهد حوادث متعددی در صنایع و سازمانها هستیم که در بسیاری از موارد با وجود زحمات مدیران و کارشناسان مربوطه، منشأ سایبری برای آنها شناسایی نمیشود. بر اساس بررسیهای کارشناسی و با استناد به بیانیههای مراجع ذیصلاح کشور، بسیاری از این حوادث منشأ سایبری ندارند. بااینوجود همانطور که برای ریشهیابی و تحلیل سقوط هواپیما جعبه سیاه در آن تعبیه شده، یکی از پیشنیازهای زیرساختی در سازمانها و صنایع، پیادهسازی و بهرهگیری از تجهیزات و رویههای ثبت، تحلیل و پایش رویدادهای امنیتی و عملکردی است تا بتوانیم در زمان وقوع حوادث و حملات سایبری یا سایبر-فیزیکی، فرایندهای جرمیابی سایبری (Forensic) را به شکل علمی و عملی انجام دهیم. متأسفانه علیرغم تلاشها و زحمات مسئولین محترم و کارشناسان زحمتکش، آنگونه که باید در زمینهی پیادهسازی مناسب و جامع این پیشنیازها موفق نبودهایم و لازم است با همت مضاعف این نقاط ضعف را تبدیل به نقطه قوت نماییم.
در حوزه امنیت سایبری هیچگاه نباید مغرور شویم
بر اساس تحلیلهای تخصصی حملات سایبری که ما در شرکت پیشگامان امنآرمان (امان) انجام میدهیم به این نتیجه رسیدیم که متأسفانه به دلیل تشدید مناقشات در منطقه، از بیستم اردیبهشت 1399، روند جنگهای سایبری علیه کشور وارد مرحله جدیدی شده است. از سال گذشته تاکنون این روند به شکل روزافزونی در حال افزایش است و همواره شاهد تلاشهای متعدد مهاجمین و نفوذگران برای ورود به شبکههای سازمانی و صنایع کشور هستیم. هدف برخی از این تلاشها دسترسی به اطلاعات دارای طبقهبندی سازمانها است و در مواردی دیگر متأسفانه شاهد تخریب یا خرابکاری سایبری در سامانهها هستیم.
در مورد حمله سایبری سهشنبه 4 آبان که منجر به اختلال در سامانه هوشمند سوخت شد لازم میدانم در ابتدا به این نکته اشاره کنیم که قطعاً تلاشهای متعددی برای ارتقاء امنیت سایبر-فیزیکی شرکت ملی پخش فرآوردههای نفتی ایران و زیرمجموعههای آن انجام گرفته است اما آنچه به نظر میرسد وجود ضعف در بخشهایی از فرایندهای امنسازی است. قطعاً میدانیم که امنیت همچون زنجیری است که حتی اگر یکی از حلقههای آن ضعیف باشد، آن زنجیر بهسادگی ازهمگسیخته خواهد شد. در مورد حمله مذکور، میدانیم که سامانههای هوشمند سوخت بنزین و دیزل یک شبکه بسیار وسیع و گسترده در سطح کشور است که تجهیزات متعدد و متنوعی را از جایگاههای سوخت تا مراکز داده و ستاد شرکت ملی پخش فرآوردههای نفتی ایران دارد. این سامانهها مدیریت، کنترل و نظارت بالغ بر چهار هزار جایگاه سوخت که شامل 58 هزار نازل است را بر عهده دارند. همچنین این شبکه گسترده ارتباطات تنگاتنگی با مراکز تلفن جایگاههای سوخت، مناطق پخش، دفاتر خدمات کارت و مرکز مدیریت کارت دارد.
از سوی دیگر این شبکه ارتباطات دیگری را با سازمانهای دیگر نظیر بانکها و سامانه پلیس دارد. وجود این تجهیزات متنوع و متعدد و گستردگی جغرافیایی آن باعث میشود که اگر راهکارهای علمی، اصولی و عملی برای امنسازی اینگونه شبکهها طراحی، پیادهسازی و پایش نشود قطعاً با توجه به وضعیت بحرانی جنگهای سایبری در منطقه و جهان شاهد تکرار اینگونه حملات خواهیم بود. یکی از چالشهای مقوله امنسازی این نمونه شبکهها و سازمانها وجود تجهیزات خاصمنظوره نظیر دستگاههای کارتخوان سوخت، سامانههای ميترينگ و تجهیزات دیگر مرتبط در جایگاههای سوخت است. در این نمونه شبکهها قطعاً باید بر اساس راهبردهای امنیتی نظیر دفاع در عمق، امنسازی لایهای بخشهای مختلف شبکه نظیر کارتهای سوخت، جایگاههای سوخت، مخازن، Poolerها، مراکز منطقهای و پخش، مراکز پشتیان و مراکز داده در نظر گرفته شود.
متأسفانه علیرغم زحمات بسیاری که مسئولین و متولیان امر در مقوله امنسازی سایبری اغلب سازمانها و صنایع کشور کشیدهاند، شاهد این هستیم که در برخی موارد فرایند امنسازی به شکل غیراصولی، غیرمنسجم و به شکل سلیقهای اجرا است. لازم به ذکر است که در آغاز، پروژه سامانه هوشمند سوخت با قدرت شروع شد و حمایتهای مناسبی از آن صورت گرفت اما بهمرور همانند پروژههای متعددی در کشور از این حمایتها کاسته شد و همین امر موجب کاهش توان امنیتی این شبکه شد.
میدانیم امنیت یک دانش است و طراحی تا اجرای فرایندهای آن نیاز به دانش فنی و تخصص دارد. از سویی دیگر باید همیشه در کنار حفظ و توسعه کسبوکار، امنیت آن را ارتقاء داد و بهروز نگه داشت چرا که بهعنوانمثال، سامانهای که ده سال پیش امن بوده است با توسعه فناوری و از رده خارج شدن برخی تجهیزات لزوماً دیگر امن نخواهد بود.
یکی از ابزارهای این دانش استانداردهای معتبر و الزامات امنیتی بالادستی است که توسط مراجع ذیصلاح توصیه یا ارائه میشوند. این استانداردها و بهروشها به ما کمک میکنند تا بتوانیم در قالب انجام فرایندهای مدیریت ریسک و ارزیابی امنیتی، مبتنی بر دانش روز دنیا طرحهای امنیتی را ارائه نماییم و بر اساس تجارب سازنده بینالمللی و داخلی راهکاری مناسب و مورد تائید نهادهای امنیتی کشور را اجرایی نماییم. یکی از اصول اولیه امنسازی اصولی سامانهها و شبکه انجام فرایندهای کمی و غیرسلیقهای است بهنحویکه بتوانیم امنیت را اندازهگیری نماییم و میزان موفقیت خود را در تحقق اهداف امنیت محاسبه نماییم. اگر قادر به اندازهگیری امنیت نباشیم قادر به بهبود آن نیز نخواهیم بود.
در امنیت باید کمّیسازی را جدی بگیریم
متأسفانه در حمله مذکور شاهد این بودیم که تمام اطلاعات 58 هزار نازل جایگاههای سوخت که شامل 44 هزار نازل بنزینی و 14 هزار نازل دیزلی بود توسط مهاجمین از بین رفتند. به تعبیری دیگر در جایگاههای سوخت اطلاعات رایانههای صنعتی و کارتخوانهای سوخت بهطور کامل، همزمان و هماهنگ و بر اساس یک سناریو از پیش تعیینشده حذف شدند. همین مقوله باعث اختلال سراسری در 4 هزار جایگاه سوخت در سراسر کشور شد و ارتباط جایگاههای سوخت با مراکز داده سامانه هوشمند سوخت قطع شد. در کنار این حمله گسترده، همزمان شاهد حملات سایبری جانبی دیگری به تابلوهای شهری بودیم.
این نوع حملات گسترده و چندجانبه برای اولین بار در دنیا نیست که اتفاق میافتد و نمونههای متعددی در خارج از کشور توسط تیم تخصصی تحلیل حملات سایبری شرکت پیشگامان امنآرمان (امان)، شناسایی، مورد بررسی و موشکافی قرار گرفته است. اگرچه اظهارنظر در مورد بردارهای حمله به سامانههای هوشمند سوخت و نقاط ورود مهاجمین به شبکه در حال حاضر ممکن نیست و نیاز است تا بررسیهای گروههای تخصصی فنی تکمیل گردد اما قاعدتاً تمامی سناریوهای نفوذ و اختلال در حال بررسی و تحلیل میباشد و نتایج آن توسط مراجع ذیصلاح کشور در صورت صلاحدید منتشر خواهد شد. با این وجود شاهد این هستیم که مهاجمین کاملاً با برنامه اقدام به طرحریزی و اجرای این حمله نمودند و اشراف اطلاعاتی مناسبی از زیرساختهای مورد نفوذ داشتند.
اظهارنظر در مورد منشأ حملات سایبری کار سادهای نیست
بر اساس تجارب ما در حملات مشابه، در این سبک از حملات، مهاجمین تلاش میکنند ضمن آسیب زدن به سامانههای هدف، جهت گسترش تبعات حمله و افزایش خسارات، به نحوی عمل نمایند که فرایند مقابله با بحران و بازیابی بعد از حادثه با کندی روبهرو شود. در این حمله شاهد این بودیم که میزان تخریب و نحوهی پاک کردن اطلاعات و اختلال در شبکه به نحوی بود که نیاز شد برای بازیابی جایگاهها و ارائه خدمت به مردم در حوزه سوخترسانی، کارشناسان شرکت ملی پخش فرآوردههای نفتی به تکبهتک جایگاههای سوخت مراجعه حضوری نمایند و هر نازل و رایانه صنعتی را با اختصاص زمان قابلتوجه به شکل محلی مجدد برنامهریزی نمایند، همین امر باعث شد که فرایند بازیابی حمله بهسرعت امکانپذیر نباشد و اختلال در شبکه نیز مزید بر علت شود.
این نوع اختلال که یک سازمان را با این مشکل روبهرو میکند که لازم باشد کارشناسان خود را در ابعاد وسیع جغرافیایی بهتمامی نقاط موردحمله اعزام نمایند تا بتوانند فرایند بازیابی را به شکل دستی و محلی انجام دهند در حملات سایبری دیگر نیز خاموشی سراسری غرب اوکراین در سال 2015 (در حوزه توزیع و فوق توزیع برق) دیده شده بود. اگرچه در حمله اخیر، مسئولین امر در بازیابی سامانههای مورد حمله، نمره عالی نمیگیرند اما قطعا تلاشهای ارزشمند شبانهروزی آنها باعث شد که به نسبت وسعت گسترده سامانههای مورد حمله، در زمان خوبی فرایند ارائه سرویس از سرگرفته شود و جایگاههای سوخت به تدریج به روال عادی بازگردند. میتوانیم از این تجارت و حملات گذشته درس بگیریم و با همکاری با متخصصین امر، رویههای پیشگیری از حملات، مقابله با حملات و اقدامات بازیابی پس از حادثه را به شکل مناسب پیادهسازی نماییم تا در این زمانها کمتر غافلگیر شویم. طرحهای تابآوری سایبری یا تداوم کسب و کار برهمین اساس تدوین میشوند و کمک مینمایند تا در بدترین حالت فرضی که مهاجمین بیشترین خسارات را وارد مینمایند نیز بتوان به فرایند کسب و کار سازمان تداوم بخشید.
همانطور که بیان شد در یک سال گذشته شاهد حملات متعددی به سازمانها و صنایع کشور بودیم و به نظر میرسد علیرغم زحمات مسئولین مربوطه آنگونه که باید مقوله امنیت سایبری در سازمانهای و صنایع کشور جدی گرفته نشده است. یکی از چالشهای دیگر ما در کشور این است که برخی پروژههای با حمایت خوبی شروع میشوند و مسائل امنیتی در ابتدای امر دیده میشود اما بهمرور، از توجه به امنیت کاسته میشود، این مهم فراموش میشود یا توسعه متوازن در همه بخشها به فراموشی سپرده میشود. ما معتقدیم که حل بحرانهای مرتبط با حملات سایبری به زیرساختهای حیاتی و حساس نظیر شرکت پخش فرآوردههای نفتی با راهکارهای علمی، اصولی و عملی، همراه با اتحاد و همدلی همه بازیگران فعال در امنیت سایبری کشور ممکن است و در این موارد صرفاً به دنبال مقصر گشتن راهگشا نخواهد بود.
استانداردها، بهروشها، تجارب ملی و بینالمللی میتوانند راهگشا باشد تا در قالب انجام فرایندهای مدیریت ریسک و ارزیابی امنیتی، مبتنی بر دانش روز دنیا طرحهای امنیتی را ارائه نماییم و بر اساس تجارب سازنده راهکاری مناسب و مورد تائید نهادهای امنیتی کشور را اجرایی نماییم. البته که وحدت رویه بین نهادهای امنیتی و مشخص بودن نهاد مرجع در هر حوزه، از ضرورتهایی است که علیرغم تلاشهای فراوان، متأسفانه به شکل مطلوب در کشور اجرایی نشده است. متأسفانه در پی این حمله شاهد بروز علنی اختلافات بین برخی مسئولین محترم و نهادیهای بالادستی بودیم که در فضای عمومی تأثیر مثبتی ندارد و راهگشا نیست. به نظر ضروری است طی یک توافق ملی تنها یک نهاد حاکمیتی اجازه اظهار نظر در خصوص حادثه سایبری و جزئیات آن داشته باشد تا افکار عمومی دچار ابهام و سردرگمی نشود.
اگرچه در حمله اخیر، مسئولین امر در بازیابی سامانههای مورد حمله، نمره عالی نمیگیرند اما قطعا تلاشهای ارزشمند شبانهروزی آنها باعث شد که به نسبت وسعت گسترده سامانههای مورد حمله، در زمان خوبی فرایند ارائه سرویس از سرگرفته شود و جایگاههای سوخت به تدریج به روال عادی بازگردند. بر خود واجب میدانم که به این نکته نیز اشاره کنم که در این نمونه حملات، چنانچه به مردم و سرمایههای مردمی آسیب رسیده است لازم است مسئولین مربوطه ضمن پذیرش کاستیها از مردم فهیم ایران عذرخواهی نمایند؛ بهطور خاص در این حمله شاهد این بودیم که مقام محترم ذیربط، از مردم عذرخواهی نمودند. امیدواریم این رفتار پسندیده بهعنوان یک اقدام ارزشمند در نظر گرفته شود و فرهنگ عذرخواهی، بیشازپیش، به یک فرهنگ سازمانی در کشور تبدیل شود و همیشه به درک عمیق و دقت نظر مردم عزیزمان که سرمایه اصلی کشور هستند احترام بگذاریم. در نهایت لازم میدانیم توصیه نماییم که در حوزه راهکارهای بازیابی شبکه و سامانهها، نهایت دقت و اصول فنی امنیتی را در بالاترین سطح ممکن در نظر بگیریم تا مشابه تجارب برخی حملات در دنیا، مجدد این شبکه مورد حمله سایبری قرار نگیرد. همچنین سایر سازمانها و صنایع کشور بهویژه در حوزه برق، آب، گاز و غیره نیز (علیرغم همه اقدامات ارزشمندی که تاکنون داشتهاند) لازم است بیشازپیش به مقوله امنیت سایبری توجه نمایند تا به سرمایههای ملی و مردمی کمتر آسیب رسد.
(جهت دانلود فایل pdf این مصاحبه اینجا کلیک نمایید)