الاستقامة لمزيد من الهجمات على الأنظمة الصناعية في عام 2013

أنظمة التحكم تتكون من برامج إشرافية تعمل على محطات عمل أو خوادم مخصصة وأجهزة حاسوبية قابلة للبرمجة تشبه أجهزة الكمبيوتر وتتصل بالعمليات الكهروميكانيكية. تُستخدم هذه الأنظمة لمراقبة ومراقبة مجموعة متنوعة من العمليات في المنشآت الصناعية والمنشآت العسكرية وشبكات الطاقة وأنظمة توزيع المياه وحتى المباني العامة والخاصة.

يستخدم بعضها في البنية التحتية الحيوية - الأنظمة التي يعتمد عليها عدد كبير من السكان الكهرباء ، والمياه النظيفة ، والنقل ، وما إلى ذلك ، فإن تخريبها المحتمل يمكن أن يكون له عواقب بعيدة المدى. غير أن البعض الآخر لا يرتبط إلا بالأعمال التجارية لأصحابها ، ولن يكون لعطلهم تأثير واسع النطاق.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

البرامج الضارة تكشف العيوب

أمن SCADA (الرقابة الإشرافية وحيازة البيانات) وأنواع أخرى من أنظمة التحكم الصناعية كانت موضع نقاش كبير في صناعة أمن تكنولوجيا المعلومات منذ اكتشاف البرمجيات الخبيثة Stuxnet في عام 2010.

كانت Stuxnet أول برنامج خبيث معروف يستهدف على وجه التحديد ويصيب SCADA وقد استخدم بنجاح لتدمير أجهزة الطرد المركزي لتخصيب اليورانيوم في محطة إيران النووية في نطنز.

Stuxnet كان سلاحًا إلكترونيًا متطورًا يُعتقد أنه تم تطويره من قبل دول قومية - يقال إن الولايات المتحدة وإسرائيل - يتمتعان بمطورين مهرة ، وأموال غير محدودة ومعلومات مفصلة حول نقاط ضعف نظام التحكم.

يتطلب الهجوم على أنظمة التحكم في البنية التحتية الحيوية تخطيطًا جديًا وجمع معلومات استخباراتية واستخدام الوصول البديل تم تصميم ds-Stuxnet لتنتشر عبر أجهزة USB لأن أنظمة أجهزة الكمبيوتر Natanz تم عزلها من الإنترنت ، واستغلال نقاط الضعف التي لم تكن معروفة من قبل واستهداف تكوينات SCADA محددة جدًا في الموقع فقط. ومع ذلك ، أصبحت أنظمة التحكم التي ليست جزءًا من البنية التحتية الحيوية أكثر سهولة للهجوم من قِبل مهاجمين أقل مهارة.

ويرجع ذلك إلى أن العديد من هذه الأنظمة متصلة بالإنترنت لتوفير الراحة للإدارة عن بُعد ولأن المعلومات حول نقاط الضعف في ICS البرامج والبروتوكولات والاتصالات يمكن الوصول إليها بسهولة أكثر مما كانت عليه في أيام ما قبل Stuxnet. تم الكشف عن تفاصيل حول العشرات من نقاط الضعف في SCADA و ICS علنا ​​من قبل الباحثين الأمنيين خلال العامين الماضيين ، وغالبا ما تكون مصحوبة برمز استغلال إثبات الفكرة.

"سنرى زيادة في استغلال أجهزة نظام التحكم في الوصول إلى الإنترنت وقال دايل بيترسون ، المدير التنفيذي في شركة ديجيتال بوند ، وهي شركة متخصصة في أبحاث وتقييم الأمن في شركة ICS ، عبر البريد الإلكتروني:

ومع ذلك ، فإن غالبية أجهزة التحكم في نظام الوصول إلى الإنترنت ليست جزءًا من وقال إن معظم الناس سوف ينظرون في البنية التحتية الحيوية. "إنها تمثل أنظمة البلدية الصغيرة ، وبناء أنظمة التشغيل الآلي ، وما إلى ذلك. إنها مهمة جدًا للشركة التي تمتلكها وتديرها ، ولكنها لن تؤثر على عدد كبير من السكان أو الاقتصاد في معظم الأحيان."

المهاجمون الذين يحتمل أن يكونوا مهتمين في استهداف هذه الأنظمة يشمل المتسللين ذات الدوافع السياسية الذين يحاولون الإدلاء ببيان ، والمجموعات المتحررة التي لها مصلحة في لفت الانتباه إلى قضيتهم ، والمجرمين المهتمين بابتزاز الشركات أو حتى المتسللين الذين يمارسونها بطريقة ممتعة أو يفاخرون بها.

يكتشف المخترقون أهدافًا

وكشفت وثيقة تم تسويتها مؤخرًا عن مكتب التحقيقات الفيدرالي في 23 يوليو / تموز أن القراصنة تمكنوا في وقت سابق من هذا العام من الوصول غير المصرح به إلى نظام التدفئة والتهوية وتكييف الهواء (HVAC) الذي يعمل في مبنى مكاتب شركة تكييف الهواء في نيوجيرسي من خلال استغلال ثغرة خلفية في التحكم مربع متصل به - نظام التحكم نياجرا التي أدلى بها Tridium. قامت الشركة المستهدفة بتركيب أنظمة مماثلة للبنوك والشركات الأخرى.

حدث الاختراق بعد مشاركة معلومات حول الثغرة الأمنية في نظام Niagara ICS عبر الإنترنت في كانون الثاني (يناير) من قِبل مخترق يستخدم اللقب "ntisec" (antisec). كانت عملية AntiSec عبارة عن سلسلة من هجمات القرصنة تستهدف وكالات إنفاذ القانون والمؤسسات الحكومية التي نظمها المتسللون المرتبطون بـ LulzSec و Anonymous و مجموعات أخرى من hacktivist

"في 21 و 23 يناير 2012 ، نشر موضوع غير معروف تعليقات على موقع أمريكي معروف ، عنوان "#US #SCADA #IDIOTS" و "#US #SCADA #IDIOTS الجزء الثاني" ، "وقال مكتب التحقيقات الفيدرالي في الوثيقة المسربة.

" انها ليست مسألة ما إذا كانت الهجمات ضد ICS مجدية أم لا لأنها وقال روبن سانتامارتا ، وهو باحث أمني في شركة IOActive للاستشارات الأمنية ، وجد نقاط الضعف في أنظمة SCADA في الماضي ، عبر البريد الإلكتروني. "بمجرد أن يكون الدافع قوياً بما فيه الكفاية ، فسوف نواجه أحداثاً كبيرة. الوضع الجيوسياسي والاجتماعي لا يساعد بالتأكيد ، ليس من السخرية افتراض أن عام 2013 سيكون عاماً مثيراً للاهتمام."

الهجمات المستهدفة ليست هي الشاغل الوحيد. البرامج الضارة SCADA هو أيضا. يعتقد فيتالي كاملوك ، كبير خبراء البرامج الضارة في شركة مكافحة الفيروسات في شركة "كاسبرسكي لاب" ، أنه سيكون هناك بالتأكيد المزيد من البرامج الضارة التي تستهدف أنظمة SCADA في المستقبل.

"عرض Stuxnet لمدى ضعف ICS / SCADA التي فتحت منطقة جديدة تمامًا للبيض و blackhat الباحثون "، وقال عبر البريد الإلكتروني. "سيكون هذا الموضوع في القائمة العليا لعام 2013."

ومع ذلك ، يعتقد بعض الباحثين الأمنيين أن إنشاء مثل هذه البرامج الضارة لا يزال يتجاوز قدرات المهاجمين العاديين.

"إنشاء برامج ضارة ناجحة في مهاجمة ICS وقال توماس كريستنسن كبير ضباط الأمن في شركة سيكونيا للاستخبارات والادارة عبر البريد الالكتروني "ليس تافها وقد يتطلب الكثير من البصيرة والتخطيط." "هذا أيضا يحد بشكل كبير من عدد الأشخاص أو المنظمات القادرين على الخروج من مثل هذا الهجوم."

"نحن لسنا في شك على الرغم من ذلك ، سنرى هجمات ضد ICS" ، وأكد كريستينسن.

"معظم تم تطوير تطبيقات SCADA و DCS [نظام التحكم الموزع] والأجهزة بدون تطوير دورة حياة تطوير الأمان (SDL) - أعتقد أن Microsoft في أواخر التسعينات - لذلك فهي مليئة بأخطاء البرمجة الشائعة التي تؤدي إلى الأخطاء ، نقاط الضعف ، و مآثر ، "بيترسون قال. "ومع ذلك ، فإن PLCs والأجهزة الميدانية الأخرى غير آمنة بالتصميم ولا تتطلب وجود ثغرة في اتخاذ عملية حاسمة أو تغييرها بطريقة خبيثة على غرار Stuxnet."

شركة Peterson ، Digital Bond ، أصدرت العديد من المآثر بالنسبة إلى الثغرات الموجودة في العديد من أجهزة PLC (أجهزة التحكم المنطقية القابلة للبرمجة) - مكونات SCADA - من بائعين متعددين كوحدات قياسية لإطار اختبار اختراق Metasploit ، وهي أداة مفتوحة المصدر يمكن استخدامها من قبل أي شخص تقريبًا. تم القيام بذلك كجزء من مشروع بحثي يدعى Project Basecamp ، والذي كان هدفه إظهار مدى هشاشة وعدم كفاية العديد من PLCs الموجودة.

"القيد الوحيد للعثور على أعداد كبيرة من نقاط الضعف SCADA و DCS هو حصول الباحثين على المعدات "بيترسون قال. "المزيد من المحاولات والنجاح لذلك سيكون هناك زيادة في نقاط الضعف التي سيتم الكشف عنها بأي طريقة يراها الباحث مناسبة."

ما زال يحتاج إلى تصحيحات

وافق سانتامارتا على أنه من السهل على الباحثين العثور على نقاط الضعف في برنامج SCADA اليوم

يوجد حتى سوق لمعلومات ثغرة SCADA. تقوم شركة ReVuln ، وهي شركة أمنية ناشئة تتخذ من مالطا مقرا لها أسسها باحثون أمنيون لويجي أوريماما و Donato Ferrante ، ببيع معلومات حول نقاط ضعف البرامج إلى الوكالات الحكومية والمشترين الآخرين من القطاع الخاص دون إبلاغهم للبائعين المتضررين. أكثر من 40 في المئة من نقاط الضعف في محفظة ReVuln في الوقت الحالي هي SCADA منها.

يبدو أن هذا الاتجاه ينمو لكل من الهجمات والاستثمارات في مجال الأمن SCADA ، وفقا ل Donato Ferrante. "في الواقع ، إذا كنا نعتقد أن العديد من الشركات الكبرى في سوق SCADA تستثمر الكثير من المال لتصلب هذه البنى التحتية ، فهذا يعني أن موضوع SCADA / ICS سيكون وسيظل موضوعًا ساخنًا للسنوات القادمة" ، قال Ferrante عبر البريد الإلكتروني.

ومع ذلك ، فإن تأمين أنظمة SCADA ليس سهلاً مثل تأمين البنى التحتية لتكنولوجيا المعلومات العادية وأنظمة الكمبيوتر. حتى عندما يتم تحرير بقع الأمان لمنتجات SCADA من قبل البائعين ، قد يستغرق أصحاب الأنظمة الضعيفة وقتًا طويلاً جدًا لنشرها.

هناك عدد قليل جدًا من حلول التصحيح التلقائي لنظم SCADA ، قال Luigi Auriemma عبر البريد الإلكتروني. وفي معظم الأحيان ، يحتاج مديرو سكادا إلى تطبيق البقع المناسبة يدويًا ، حسبما قال كاملك. الهدف الرئيسي من أنظمة SCADA هو التشغيل المستمر ، والذي لا يسمح عادةً بعمليات التصحيح أو التحديث الساخن - تثبيت التصحيحات أو التحديثات دون إعادة تشغيل النظام أو البرنامج - كما قال.

بالإضافة إلى ذلك ، تحتاج بقع الأمان SCADA إلى يجب اختبارها بدقة قبل نشرها في بيئات الإنتاج لأن أي سلوك غير متوقع يمكن أن يكون له تأثير كبير على العمليات.

"حتى في الحالات التي توجد فيها بقعة لضعف ، سنجد أنظمة ضعيفة لفترة طويلة" ، قال سانتامارتا.

معظم خبراء الأمن في SCADA يرغبون في إعادة التحكم في أجهزة التحكم الصناعية مثل PLCs مع وضع الأمان في الاعتبار.

"ما هو مطلوب هو PLCs مع تدابير أمنية أساسية وخطة لنشر هذه في البنية التحتية الأكثر أهمية وقال بيترسون: "السيناريو المثالي هو حيث تكون الأجهزة الصناعية آمنة حسب التصميم ، لكن علينا أن نكون واقعيين ، وهذا سيستغرق بعض الوقت". "إن القطاع الصناعي هو عالم منفصل. لا ينبغي لنا أن ننظر إليه بدقة من منظور تكنولوجيا المعلومات لدينا. ومع ذلك ، يدرك الجميع أنه يجب القيام بشيء ما ، بما في ذلك الموردين الصناعيين."

في حالة عدم وجود أمان من قبل وقال سانتامارتا إنه يجب على مالكي ICS اتباع نهج دفاعي عميق لتأمين هذه الأنظمة. "بالنظر إلى وجود بروتوكولات صناعية غير آمنة بشكل افتراضي ، فمن المنطقي إضافة عمليات تخفيف وطبقات مختلفة من الحماية."

"افصل ICS من الإنترنت ، ضعه في جزء شبكة معزول وحدد بدقة / التدقيق قال كاملكن: "يجب على أصحاب البنى التحتية الحيوية أن يدركوا ضرورة وجود شبكات منفصلة أو أوراق اعتماد منفصلة للوصول إلى البنية التحتية الحيوية". "لا يمكن لأي مسؤول إداري عاقل وسليم تسجيل الدخول إلى أي من أنظمته باستخدام بيانات اعتماد إدارية وضمن نفس الجلسة الوصول إلى الإنترنت المعادية وقراءة رسائل البريد الإلكتروني. يجب أن ينطبق هذا أيضًا على ICS ؛ استخدم مجموعة واحدة من بيانات الاعتماد للوصول إلى جلسة ICS وربما الوصول إلى جلسة اتصال الإنترنت الخاصة بك باستخدام إعداد سطح المكتب الظاهري و / أو البعيد. "

مناقشة النظام

كانت الحاجة إلى التنظيم الحكومي من شأنه أن يفرض مشغلي البنية التحتية الحيوية لتأمين أنظمة التحكم الصناعية الخاصة بهم موضوع نقاش ساخن و يتفق العديد من خبراء الأمن في SCADA على أنه قد يكون نقطة انطلاق جيدة. ومع ذلك ، تم إحراز تقدم طفيف حتى الآن نحو تحقيق هذا الهدف.

وقال بيترسون: "إن أكثر الأنظمة الحكومية طموحا ، NERC CIP لقطاع الكهرباء في أمريكا الشمالية ، كان فشلا". "معظمهم يود تنظيم حكومي ناجح ولكن لا يستطيع تحديد ما سيكون عليه."

"أود فقط أن تكون الحكومة صادقة وأن أصرح بصوت عالٍ بأن هذه الأنظمة غير آمنة بالتصميم والمنظمات التي تدير البنية التحتية المهمة SCADA "يجب أن يكون لدى DCS خطة لترقية أو استبدال هذه الأنظمة في غضون سنة إلى ثلاث سنوات" ، يقول Kamluk. وقال إن بعض بائعي SCADA يضحون بالأمن من أجل تحقيق وفورات في تكلفة التطوير دون الأخذ في الاعتبار مخاطر مثل هذه القرارات وتأثيرها المحتمل على حياة البشر.

في وقت سابق من هذا العام ، كشفت شركة "كاسبرسكي لاب" عن خطط لتطوير نظام تشغيل يوفر نظامًا آمنًا من خلال بيئة تصميم لتشغيل SCADA وأنظمة ICS الأخرى. الفكرة وراء نظام التشغيل هي ضمان عدم إمكانية تشغيل أي وظائف غير معلنة عليها ، مما يمنع المهاجمين من تنفيذ تعليمات برمجية ضارة عن طريق استغلال ثغرات أمنية غير مثبتة.

وقال سانتا مارتا في حين أن هذا يبدو وكأنه مشروع مثير للاهتمام، فإنه يبقى أن نرى كيف يمكن للمجتمع SCADA وقطاع الصناعة ستكون ردة فعل لذلك.

"ليس هناك ما يكفي من التفاصيل حول نظام التشغيل الجديد لتقييم معالمه"، وقال فيرانتي. "للقيام أننا سنحتاج إلى الانتظار للحصول على الافراج عن مسؤول. على أي حال فإن المشكلة الرئيسية عند اعتماد نظام التشغيل الجديد هو أنه يجب أن يكون قادرا على تشغيل أنظمة SCADA الحالية دون الحاجة إلى إعادة كتابة التعليمات البرمجية الخاصة بهم."