هدف امان ارائه خدمات و محصولات بسیار باکیفیت در حوزه امنیت سایبری فناوریهای عملیات (OT)، ارتباطات و اطلاعات (ICT) با تمرکز ویژه بر روی امنیت سیستم های کنترل و اتوماسیون صنعتی، سیستم های اسکادا و نظارت،DCS ، تلهمتری، دیسپاچینگ و سیستم های حفاظت صنعتی میداند.
آموزش تخصصی تحلیل اهم حوادث سایبری در ایران برگرفته از دستاوردهای تیم تحلیل حوادث امان، توسط واحد آموزش تخصصی امنیت سایبری صنعتی شرکت امان (پیشگامان امن آرمان) در دیماه 1402 برگزار گردید.
جهت آشنایی بیشتر با خدمات تیم تحلیل حوادث امان این کلیپ را مشاهده فرمایید.
در ادامه لیست برخی آموزشها، سمینارها و دورههای امنیت سایبری تقدیم میگردد که برای دریافت پروپوزال هر یک از آنها و اطلاع از جزئیات کمی و کیفی آنها میتوانید با شرکت پیشگامان امن آرمان(امان) تماس حاصل فرمایید. با کلیک بر روی هر عنوان از فهرست ذیل میتوانید نمونه دورههای برگزار شده یا سوابق مرتبط با موضوع ذکر شده را مشاهده نمایید.
در این آموزش که براساس تجارب تخصصی شرکت دانشبنیان امان طراحیشده است تلاش میشود تا ضمن بیان چالشهای امنیتی و تهدیدات امنیتی در سیستم های فناوری اطلاعات شرکتهای صنعتی به روند بروز این تهدیدات در سیستمهای PLC پرداخته شود و راهبردها و راهکارهای مقاومسازی و کاهش مخاطرات امنیتی در این سیستم ها معرفی گردد.
عمدتاً سیستم های کنترل صنعتی PLC محور سنتی بدون درنظرگرفتن ملاحظات امنیتی ساختهشدهاند. دلیل این امر را شاید بتوان اینگونه عنوان کرد که تصور اولیه بر این بوده است که حملهای این سیستم های صنعتی را تهدید نمیکند. اما امروزه به وضوح می دانیم که این برداشت اشتباه بوده است.
از سوی دیگر در حال حاضر سیستم های PLC برای بهبود کارایی خود نیاز به دسترسی به شبکههای صنعتی، غیرصنعتی و حتی اینترنت دارند. این موضوع زمانی اهمیت فزاینده مییابد که به فناوریهای مبتنی بر اسکادای نسل چهارم نیز توجه نماییم. همین مسئله نیاز به تأمین امنیت این سامانهها را در مقابل حملات سایبری برمیانگیزاند.
براساس بررسیهای تیم تخصصی تحلیل حملات سایبری شرکت دانشبنیان پیشگامان امن آرمان(امان) بر روی بالغبر 335 حادثه و حمله سایبری به صنایع دنیا (از سال 1986 تا 2022) شاهد این هستیم که پیکربندی و تنظیمات مناسب امنیتی آنها میتواند عامل تأثیرگذاری در کاهش اینگونه حملات سایبری باشد.
لازم است از زمان خرید تا بهرهبرداری به مقوله امنیت سایبری این سیستم های کنترل صنعتی توجه ویژهای شود. مدیریت مؤثر مسائل امنیت سایبری این سیستمها، نیازمند درک صریح چالشها، تهدیدهای امنیتی و مخاطرات کنونی فضای سایبر-فیزیکی است. لزوماً راهکار جامع امنیتی در طراحی انواع سیستمهای کنترل و صنعتی PLC محور به سهولت قابل پیادهسازی نیست و لازم است چالشهای اجرایی آن نیز با توجه به اکوسیستم امنیت سایبر صنعتی کشور در نظر گرفته شود. در این آموزش که براساس تجارب تخصصی شرکت دانشبنیان امان طراحیشده است تلاش میشود تا ضمن بیان چالشهای امنیتی و تهدیدات امنیت صنعتی PLCها، راهبردها و راهکارهای مقاومسازی و کاهش مخاطرات امنیتی در این سیستم ها معرفی گردد.
این آموزش تخصصی به سفارش یکی از صنعتهای بزرگ کشور و توسط واحد آموزش تخصصی امنیت سایبری صنعتی شرکت پیشگامان امن آرمان(امان) ارائه شد. به دلیل امضای تعهدنامه عدم افشاء اطلاعات از ذکر نام این صنعت خودداری میگردد.
در ادامه لیست برخی آموزشها، سمینارها و دورههای امنیت سایبری تقدیم میگردد که برای دریافت پروپوزال هر یک از آنها و اطلاع از جزئیات کمی و کیفی آنها میتوانید با شرکت پیشگامان امن آرمان(امان) تماس حاصل فرمایید. با کلیک بر روی هر عنوان از فهرست ذیل میتوانید نمونه دورههای برگزار شده یا سوابق مرتبط با موضوع ذکر شده را مشاهده نمایید.
📢 سند توصیه های امنیتی جهت پیشگیری از گسترش حملات سایبری به سیستم های صنعتی بر اساس حمله به صنعت فولاد آماده شد .
🔖هدف این سند، ارائه توصیه های امنیتی ضربالاجلی جهت پیشگیری از گسترش حملات سایبری به سیستم های صنعتی کشور است. لازم به ذکر است که این توصیه ها بر اساس تجارب گذشته و حملات مشابه اخیر به صنایع کشور ارائهشده است.
⛑️در این سند به جزئیات فنی حملهی اخیر و نحوه آلودگی در صنایع فولاد پرداخته نمیشود و صرفاً توصیههای امنیتی جهت پیشگیری بیان خواهد شد. دلیل این امر این است که ارائه جزئیات فنی حمله مذکور در واحدهای صنعتی فولاد کشور به شکل رسمی از سوی مراجع ذی صلاح اطلاع رسانی خواهد شد و شرکت امان به این رویه احترام میگذارد.
🟣 صنایعی که تمایل دارند این سند را دریافت نمایند از طریق ایمیل یا تلفن با امان تماس بگیرند . Info@AmanSec.ir 88581798 (021)
سیستم های کنترل و اتوماسیون صنعتی (DCS، PLC، اسکادا، تلهمتری، دیسپاچینگ، ESD و غیره) ازجمله اهداف آسیبپذیر در مقابل حملات سایبریاند. دلایل متعددی برای این آسیبپذیریهای قابلتوجه میتوان ذکر کرد. افزایش انگیزه مهاجمان و سوق پیدا کردن جنگهای سایبری به سمت زیرساختهای حیاتی صنعتی یکی از این دلایل است.
بهرهگیری روزافزون صنایع از فناوریهای جدید بهویژه در بخش سیستم های حفاظت و کنترل، دلیل دیگر گسترده بودن اهداف قابل تهدید در صنایع است. گستردگی و پیچیدگیهای فنی، جغرافیایی و سازمانی صنایع که معمولاً با عدم یکپارچگی مدیریت امنیت سایبری نیز همراه است موجب میشود بخشهای مختلفی از سیستم ها و تجهیزات این مجموعه ها در معرض تهدید باشد.
بهتازگی سازمانهای NSA، DOE، CISA،FBI [1]در خصوص هک و نفوذ به سیستم های کنترل صنعتی (ICS)، سیستم های اسکادا(SCADA) و PLCهای مرتبط با برندها و پروتکل ذیل هشدار دادهاند:
Schneider Electric programmable logic controllers (PLCs)
OMRON Sysmac NEX PLCs
Open Platform Communications Unified Architecture (OPC UA) servers
در این هشدار تأکید شده است که مهاجمین در این نفوذها توانستهاند دسترسی کاملی به شبکههای صنعتی قربانی پیدا نمایند. یکی از نکات قابلتوجه که در این حملات گزارش دادهشده این است که مهاجمین از ابزارهای توسعه دادهشده خاصمنظورهای استفاده کردهاند تا بتوانند سطح دسترسی و ابعاد حمله را تا عمق سیستم های کنترل صنعتی (که PLCها و DCSها هستند) گسترش دهند. در این حملات مهاجمین از مرحله شناسایی، نفوذ اولیه، گسترش نفوذ و وارد آمدن حملات از این ابزارهای خاصمنظوره استفاده مینمایند که در تجارب بالغبر هشتساله رصد حملات توسط شرکت امان نیز کمتر شاهد آن بودیم.
در این حملات شاهد این بودیم که سیستم های کنترل صنعتی از نوع ایستگاههای مهندسی دارای سیستمهای عامل ویندوز، از اکسپلویتهای آسیبپذیریهای شناختهشده درایورهای مادربردهای ASRock مورد نفوذ قرار گرفتند.
همانطور که در ابتدای این گزارش بیان شد، اخیراً در خصوص هک و نفوذ به شبکهها و تجهیزات کنترل صنعتی Schneider Electric، OMRON و پروتکل OPC UA هشدار جدی دادهشده است. در لیست ذیل جزئیات بیشتری از این داراییهای آسیبپذیر را مشاهده میکنیم:
Schneider Electric MODICON and MODICON Nano PLCs, including (but may not be limited to) TM251, TM241, M258, M238, LMC058, and LMC078;
OMRON Sysmac NJ and NX PLCs, including (but may not be limited to) NEX NX1P2, NX-SL3300, NX-ECC203, NJ501-1300, S8VK, and R88D-1SN10F-ECT
OPC Unified Architecture (OPC UA) servers.
ابزارهای مذکور ماژولار بوده و میتوانند به شکل کاملاً خودکار توسط مهاجمین اجرا شوند. این ابزارها دارای یک کنسول مجازی با یک رابط فرمان شبیه به رابط دستگاههای کنترل و اتوماسیون صنعتی هستند. متأسفانه این ماژولهای خطرناک این امکان را ایجاد مینمایند که حتی مهاجمین با سطح مهارتی پایین، بتوانند قابلیتهای پیشرفته مهاجمان حرفهای را شبیهسازی نمایند و این برای صنایع کشور میتواند بسیار خطرناک باشد.
علاوه بر این، این گروه از مهاجمین از ابزاری استفاده کنند که یک درایور مادربرد آسیبپذیر شناختهشده به نام AsrDrv103.sys را نصب میکنند و از آسیبپذیری با شناسه CVE-2020-15368 موجود در آن برای اجرای بدافزار در سطح هسته ویندوز استفاده میکنند. در ادامه مهاجمین با استفاده از تکنیکهای حرکات جانبی سعی میکنند از راههای آشکار و پنهان میان شبکههای اداری، فاوا و نظایر آن به شبکههای صنعتی نفوذ کنند که لازم است صنایع کشور نسبت به آن آگاه باشند. در ادامه به تفکیک سازنده و پروتکل به این موضوع خواهیم پرداخت.
ابزار موردنظر برای تجهیزات شرکت اشنایدر دارای ماژولیهایی است که امکان ارتباط از طریق پروتکل معمول مدیریتی و مدباس TCP بر روی پورت 502 را فراهم میکند. این ماژولها میتواند این امکان را بدهند که:
مهاجمین یک اسکن سریع جهت شناسایی PLCهای شرکت اشنایدر بر روی شبکه محلی صنعت انجام دهند. این اسکن با ارسال پیامهای مالتی کست[1] UDP با پورت مقصد 27127 انجام میگیرد. لازم به ذکر است اسکن از طریق پروتکل UDP با پورت مقصد 27127 یک اسکن استاندارد است که توسط ایستگاههای کاری مهندسی برای شناسایی عادی PLC ها در شبکههای صنعتی استفاده میشود و ممکن است لزوماً نشاندهنده فعالیتهای مخرب نباشد. این نکته بسیار مهم است که در تنظیم قواعد سیستم های تشخیص نفوذ صنعتی و SIEM به نحوی عمل نماییم که هشدارهای منفی کاذب (به دلیل رفتار طبیعی شبکه) گزارش ندهیم. ما در امان، در حوزه خدمات شناسایی حملات به این نکات کلیدی نهایت توجه را داریم تا در بالاترین سطح کیفی بتوانیم به شرکتها و صنایع کشور ارائه خدمات داشته باشیم.
این ماژولها امکان اجرای حملات جستوجوی رمزهای عبور دستگاههای PLC را با استفاده از پروتکلCODESYS یا سایر پروتکلهای رایج و از طریق پورت 1740 UDP را میسر میکند. همانطور که در دورههای آموزشی تخصصی امنیت صنعتی امان همیشه تذکر میدهیم، چنانچه برای دسترسی به PLCها، DCS و حتی ESD از رمزهای عبور پیشفرض یا ساده استفاده نماییم مهاجمین با استفاده از این ابزارها میتوانند حتی به تجهیزات لایه کنترل محلی مانند PLCها نیز دسترسی پیدا نمایند. در این هشدار تذکر دادهشده است که امکان دارد این ماژولها، سایر تجهیزاتی که از طریق CODESYS ارتباط برقرار میکنند را نیز موردحمله قرار دهند که زنگ خطری است برای برخی صنایع که از این تجهیزات و پروتکل مربوطه استفاده میکنند.
همانطور که در تصور نمادین ذیل مشاهده میکنیم، این ماژولها امکان اجرای حملات ممانعت از خدمات (DoS) بر روی تجهیزات PLC را به نحوی فراهم میکنند که از طریق شبکه امکان دسترسی به کنترلکنندهها و مدیریت فرایند وجود نخواهد داشت.
تصویر نمادین نفوذ به یک DCS
این ماژولها امکان اجرای حملات ممانعت از خدمات(DoS) با ارسال بستههای مرگ[1] علیه تجهیزات PLC را به نحوی فراهم میکند که امکان پیکربندی مجدد و راهاندازی مجدد PLC سلب خواهد شد.
این ماژولها باعث قطع ارتباط کاربران مربوطه و سیستم مهندسی با PLC میشود و مهندسین بهرهبردار یا تعمیر و نگهداری، مجبور خواهند شد مجدد به PLC درخواست تصدیق اصالت دهند. احتمال میرود مهاجمین از این طریق بتوانند نام کاربری و رمزهای عبور PLCها را به دست آورند.
این ماژولها امکان ارسال فرمانهای مختلف از طریق پروتکل مدباس را نیز فراهم میکند و این ویژگی میتواند برای PLCهای غیر از برند اشنایدر نیز کارا باشد که واحدهای متولی امنیت صنایع کشور لازم است در این مورد تدابیری را اتخاذ نمایند.
در جدول ذیل مشخصات فنی تاکتیکها و تکنیکهای این ابزار در مورد برند اشنایدر را بر اساس چارچوب ATT&CK for ICS مشاهده میکنیم.
ابزار موردنظر برای تجهیزات شرکت OMRON دارای ماژولیهایی است با امکانات ذیل:
این ماژولها به مهاجمین این قابلیت را میدهد که از طریق پروتکل FINS اقدام به شناسایی تجهیزات OMRON نمایند.
در شناسایی به کمک این ابزارها امکان دریافت و شناسایی آدرس MAC تجهیزات صنعتی وجود دارد.
این ماژولها به مهاجمین این قابلیت را میدهد که اطلاعات پروتکل HTTP را که سوی تجهیزات صنعتی دریافت میشود را تجزیهوتحلیل نمایند.
این ماژولها به مهاجمین این قابلیت را میدهد که به کمک روش سرشماری[2] به تجهیزات متصل به PLC دسترسی پیدا کنند و همچنین بتوانند از تجهیزات متصل به PLC ، نمونه/داده برداری انجام دهند.
این ماژولها به مهاجمین این قابلیت را میدهد که هر نوع فایل دلخواهی را بر روی PLCها بازیابی یا از PLCها پشتیبانگیری نمایند.
درنهایت، این ماژولها به مهاجمین این قابلیت را میدهد که بر روی این PLCها یک کد مخرب سفارشی را برای اهداف حملات دیگر و برای روز مبادا بارگذاری نمایند که امان در مورد این ویژگیهای به جد هشدار میدهد. این ماژولها امکان غالب تعاملاتی که در بردار حملات، توسط مهاجمین در چارچوب ATT&CK for ICS ارائهشده است را فراهم میکند. تمامی این تکتیکها و تاکتیکها در دورههای آموزشی پیشگامان امنرم آرمان تبیین میشود. در جدول ذیل این تکنیکها و تاکتیکها مشخصشدهاند.
ابزار موردنظر برای تجهیزاتی که پروتکل OPC UAرا پشتیبانی میکنند یا از آن استفاده میکنند دارای ماژولیهایی است با امکانات ذیل:
این ماژولها به مهاجمین این قابلیت را میدهد که سرورهای OPC UA را شناسایی نمایند.
این ماژولها به مهاجمین این قابلیت را میدهد که سرورهای OPC UA را به کمک نامهای کاربری و رمز عبور پیشفرض یا سرقت شده مورد دسترسی قرار دهند.
علاوه بر موارد فوق این ماژولها امکان نوشتن تگها توسط OPC UA را فراهم میکند که به جد قابلیتی با سطح ریسک بالا است و شرکت امان در مورد سوءاستفادههای آتی احتمالی در صنایع کشور (در صورت عدم ارتقاء) هشدار میدهد. لازم به ذکر است که در چند سال اخیر، در مورد قابلیتهای OPC UA و ویژگیهای امنیتی آن در دورههای آموزشی مطالب متعددی را خدمت مخاطبین گرامی امان ارائه کردهایم. باوجوداین قابلیتها، مشابه هر پروتکل دیگری لازم است مقوله بهروزرسانی تجهیزات مرتبط را در دستور کار قرار دهیم.
در جدول ذیل این تکنیکها و تاکتیکها مشخصشدهاند.
بر اساس اطلاعات در دسترسی فعلی امان تاکنون در کشور آلودگی مرتبط با این ابزارهای APT گزارش نشده است. در ادامه برخی راهکارهای کاهش ریسک و مقابله با ابزارهای فوق همراه با تجربیات امان در این حوزه ارائه میشود. لازم به ذکر است که این راهکارها برای تمامی محیطهای صنعتی آزموده نشده است و حتماً توصیه میشود که قبل از پیادهسازی در شبکه صنعتی در شرایط آزمایشگاهی یا محدود مورد آزمایش قرار گیرند.
توصیه معمول در این موارد این است که شبکههای صنعتی (OT) چنانچه ارتباطی با شبکه اداری، فاوا، اینترنت و نظایر آن دارند در سریعترین زمان این ارتباطات قطع یا محدود شود. لازم به ذکر است در بسیاری از صنایع مشاهده میکنیم که تصور به ایزوله بودن کامل شبکه صنعتی وجود دارد اما ارزیابیهای متعدد شاهد آن بودیم که اتصالاتی میان شبکه OT با شبکه IT وجود دارد.
چنانچه در صنعت خود از ضدبدافزار[3]یا سیستم تشخیص نفوذ (IDS) استفاده میکنید (در صورت بهروزرسانی شرکت ارائهدهنده) هرچه سریعتر محصول امنیتی خود را بهروزرسانی نمایید.
· استفاده از تجهیزات جمعآوری لاگهای امنیتی نظیر IDSها و SIEM توصیه میشود. به مدیران شبکههای کنترل صنعتی توصیه میشود که به کمک محصولاتی مانند SIEM کنترل صنعتی و سیستم تشخیص نفوذ صنعتی (IDS) به شکل مستمر کلیه تجهیزات سیستم و ترافیک عبوری را پایش نمایید.
چنانچه در شبکه صنعتی یا تجهیزات مربوطه امکان تصدیق هویت چند عامله یا چندمرحلهای دارید حتماً آن را فعال نمایید.
جهت مطالعه سایر راهکارهای امنیتی و دسترسی به گزارش کامل این ویژه نامه روی این لینک کلیک نمایید.
چنانچه تمایل دارید گزارش حملات، آسیبپذیریها و ویژهنامههایی مشابه این گزارش را دریافت نمایید، اطلاعات تماس بهویژه آدرس ایمیل به همراه معرفی سازمان/صنعت خود را به نشانی info@AmanSec.ir ارسال نمایید تا به شکل رایگان این گزارشها را دریافت نمایید.