لعدة سنوات، اعتقد العديد من المشغلين الصناعيين أن الفصل الهوائي كان كافياً للحفاظ على سلامة الأنظمة الحرجة. وفقاً للمنطق السائد، إذا كانت الشبكة مفصولة ماديًا، فلن يتمكن المهاجمون من الوصول إليها. كانت هذه الفكرة فعالة عندما كانت الجهات الخبيثة أقل صبراً، وسلاسل التوريد أكثر بساطة، وكانت الوصولات البعيدة نادرة.

قبل أن ننتقل إلى الأمام، لا تنس التحقق من منشور مدونتنا السابق "حنظلة: تشريح لأخطر الجهات التهديدية الإيرانية" هنا.

البيئات الصناعية الحديثة أكثر ارتباطًا من أي وقت مضى. يستخدم المهندسون الوسائط المحمولة، وأجهزة الكمبيوتر المحمولة للصيانة، وصناديق القفز للموردين، والأدوات اللاسلكية، وأجهزة القياس عن بعد، ومسارات الوصول المؤقتة التي يمكن أن تجسر الفجوة المزعومة بصمت. في الوقت نفسه، تواجه القطاعات المنظمة توقعات أقوى حول المرونة، والرصد، والعمليات الآمنة. لهذا السبب تهم المحادثة حول الأنظمة الحساسة المعزولة جواً ومعايير NERC CIP-015. إنها ليست مجرد قضية امتثال. إنها تحذير أن نماذج أمان SCADA التقليدية تم تصميمها لمنطقة تهديد مختلفة.

 في بيئة شبيهة بالـSCIF، أو أي مساحة عملياتية محكومة بإحكام، يجب أن يتجاوز الأمن التفكير المحيط. تحتاج إلى رؤية ما يدخل البيئة، وما يتحرك داخلها، ومدى سرعتك في اكتشاف السلوك غير الطبيعي. وهنا تكمن القصور في العديد من برامج SCADA القديمة.

أسطورة الـSCIF المعزول المنيع جواً

في مجتمع الاستخبارات، الـSCIF هو غرفة شديدة الأمان مصممة لمنع المراقبة الإلكترونية وتسريب البيانات. في العالم الصناعي، حاول مهندسو التكنولوجيا التشغيلية بناء SCIFs الخاصة بهم: غرف التحكم المعزولة ماديًا التي تضم نظم SCADA (الإشراف على التحكم واكتساب البيانات) الأساسية.

كانت النظرية بسيطة: إذا لم تكن هناك شبكة متصلة ماديًا أو لاسلكيًا بالعالم الخارجي، فإن الجهات التهديدية الخارجية لا يمكنها الوصول إليها.

ومع ذلك، فإن "100٪ العزل الجوي" هو أسطورة خطيرة في بيئات التشغيل اليوم. إليكم سبب تعرض الـ SCIF الصناعي للاختراق بشكل مستمر:

• شبكة Sneakernet (الأجهزة USB): أشهر هجمة ICS في التاريخ، Stuxnet، تجاوزت العزل الهوائي عبر أجهزة USB المصابة. يقوم مهندسو الصيانة والمقاولون بشكل روتيني بتوصيل أجهزة عابرة بـ HMIs المعزولة لتشغيل التشخيصات أو تثبيت التحديثات.

• جهاز كمبيوتر الصيانة الخاص بالمورد: يصل فني من جهة ثالثة إلى الموقع، ويقوم بتوصيل جهاز الكمبيوتر المحمول الخاص به بالمتحكم المنطقي القابل للبرمجة "المعزول" لديك، ويدخل دون علمه البرمجيات الخبيثة التي التقطوها على شبكة Wi-Fi الفندق في الليلة السابقة.

• تكنولوجيا الظل واتصالات غير مصرح بها: غالبًا ما يقوم المشغلون، المحبطون من عزل، بإنشاء حلول غير مصرح بها. جهاز مودم خلوي متصل بمحطة عمل لجلب دليل يدوي من الإنترنت يدمر العزل على الفور.

• الأصول العابرة: الأجهزة التي تتحرك داخل وخارج المحيط الآمن - مثل أدوات المعايرة أو أجهزة التشخيص - تعمل كحاملات مثالية للحمولات الضارة.

وفقًا لتقرير لعام 2024 من معهد SANS حول أمن OT/ICS الإلكتروني، تم اختراق أكثر من 40٪ من بيئات ICS المخترقة أساساً عبر وسائط قابلة للإزالة أو أجهزة عابرة (معهد SANS، 2024). بمجرد أن يتجاوز التهديد المحيط المادي، يصبح أمان SCADA التقليدي أعمى.

دخول NERC CIP-015: التحول إلى رؤية داخلية

لعدة سنوات، أكدت معايير حماية البنية التحتية الحيوية التابعة لشركة NERC (North American Electric Reliability Corporation) بشكل كبير على حماية المحيط. تأمين المحيط الأمني الإلكتروني (ESP)، إدارة الجدران النارية، والتحكم في الوصول.

NERC CIP-015 يغير اللعبة. يتم نشره حاليًا لمعالجة الثغرات في المعايير السابقة، يركز NERC CIP-015 على مراقبة أمان الشبكة الداخلية (INSM) لأنظمة الطاقة الكهربائية (BES) ذات التأثير العالي والمتوسط.

ماذا يعني هذا لمسؤولي الأمن ورؤساء المصانع؟ يعني أن الحكومة تشير رسميًا إلى أن الاعتماد فقط على محيط عصي على الاختراق هو إهمال. يجب أن تفترض أن المحيط قد تم اختراقه بالفعل.

ما تطالب به NERC CIP-015:

1. الرؤية داخل الشبكة: يجب عليك نشر أجهزة الاستشعار وأدوات المراقبة داخل بيئة OT الخاصة بك، وليس فقط عند الحدود.

2. كشف الشذوذ: تحتاج إلى القدرة على اكتشاف حركة مرور الشبكة غير الطبيعية، والتحرك الجانبي غير المتوقع، وتنفيذ الأوامر غير المصرح بها بين PLCs، RTUs، وHMIs.

3. الاستجابة السريعة للحوادث: عند اكتشاف تهديد داخلي، يجب أن تكون لديك الاتصالات المطلوبة لعزل التهديد والاستجابة قبل وقوع ضرر مادي.

يفهم المشرعون أن حذف الأنظمة الحساسة المعزولة جواً وNERC CIP-015 يمثلان عصرين مختلفين من الأمان. الأول هو بقايا الماضي؛ الثاني هو المخطط للمستقبل.

لماذا يفشل أمن SCADA التقليدي

إذا كنت مدير مصنع يعتمد على تكديس أمني قديم، فأنت تعمل مع نقاط عمياء خطيرة. تم تصميم أمن SCADA التقليدي لعصر لم يعد موجودًا. إليكم لماذا يفشل ضد الخصوم الحديثين والمعقدين.

1. قشرة صلبة، مركز ناعم

العمارة الأمنية التقليدية تشبه البيضة: قشرة خارجية صلبة (جدران النار، VPNs) مع مركز سائل وغير مدافع تمامًا. بمجرد أن يتجاوز المهاجمون جدار الحماية عبر بريد إلكتروني للتصيد أو بيانات اعتماد VPN مكتسبة، لديهم الحرية الكاملة للتنقل عبر شبكة SCADA المستوية. نادراً ما تكون هناك جدران نارية داخلية أو ضوابط وصول تفصل بين مضخات معالجة المياه والسيطرة على أنظمة التحكم الحراري التدفئة والتهوية وتكييف الهواء.

2. نقص في الوعي بالبروتوكولات

الأدوات الأمنية المعتادة لا تتحدث لغة أرض المصنع. قد يتعرف جدار حماية IT على حركة مرور HTTP أو SSH، لكنه لا يعرف كيف يفسر Modbus، DNP3، أو CIP (البروتوكول الصناعي المشترك). إذا أرسل المهاجم أمر Modbus صياغةً بشكل مثالي لتدوير توربين إلى ما هو بعد حدوده المادية، فإنه يسمح لجدار الحماية القائمة لتكنولوجيا المعلومات بمروره، معتقدًا أنه حركة عمل شرعية.

3. الدفاعات الساكنة ضد التهديدات الديناميكية

يعتمد أمان SCADA القديم بشكل كبير على مضادات الفيروسات القائمة على التوقيع. هذا الأمر يعمل للبرامج الشريرة المعروفة لتكنولوجيا المعلومات ولكنه يفشل بشكل مذهل ضد الثغرات الجديدة أو تقنيات "العيش من الموارد المتاحة" حيث يستخدم المهاجمون الأدوات الأصلية، الشرعية (مثل PowerShell أو النصوص الإدارية الأصلية) لإحداث الضرر.

4. تصادم تلاقي IT/OT

بينما تدفع المنظمات نحو التحول الرقمي، فإن التحديات للأمن الصناعي لأجهزة إنترنت الأشياء تظهر. يتم توصيل المستشعرات الذكية بوحدات التحكم القابلة للبرمجة القديمة لإرسال البيانات إلى منصات التحليلات السحابية. يخلق هذا التلاقي نواقل هجوم ضخمة لم تكن أجهزة أمان SCADA التقليدية المصممة لرصدها أو حمايتها.

تشريح الهجوم على ICS الحديث

لفهم الدفاع عن البنية التحتية الحيوية بشكل حقيقي، يجب أن ننظر إلى كيفية تفكيك الجهات التهديدية للأمان التقليدي. إن دورة الهجوم على ICS الحديثة نادرًا ما تشبه هجوم الفدية السريعة في تكنولوجيا المعلومات. إنها بطيئة، ومنهجية، وهادئة بشكل مرعب.

1. الاختراق الأولي: المهاجم يتجاوز "العزل الجوي". يمكن أن يكون ذلك عبر بوابة الوصول البعيد المخترقة التي يستخدمها المورد، أو حملة الصيد بالرمح المستهدفة ضد مهندس، أو جهاز USB الخبيث.

2. التواجد واستطلاع المعلومات: المهاجم يثبت وجوده، غالبًا على محطة عمل مهندس. يجلس بهدوء لأسابيع أو شهور. يدرس شاشات HMI، يقرأ كتيبات العمليات، ويخريطة الشبكة. الأمان التقليدي يفوت كل هذا لأن المهاجم لا يولد حركة مرور كبيرة.

3. الحركة الجانبية: المهاجم ينتقل من نقطة الدخول إلى أعماق شبكة OT، بحثًا عن وحدات التحكم القابلة للبرمجة الأساسية التي تعمل بالسلامة (SIS).

4. تغيير العرض: لشراء الوقت أثناء الهجوم الفعلي، قد يجمد الخصم شاشات HMI. بينما يرى المشغلون في غرفة التحكم درجات حرارة وضغوط طبيعية، يتم دفع الآلات بشكل سري إلى حد الخطر الكارثي.

5. التنفيذ: المهاجم يغير المنطق في وحدات التحكم، مما يتسبب في أضرار مادية، وانقطاعات الكهرباء، أو كوارث بيئية.

لأن الأمان التقليدي يراقب الباب الأمامي فقط، تحدث الخطوات 2 إلى 5 غير مكتشفة بالكامل. هذه هي البقعة العمياء التي يهدف NERC CIP-015 إلى إضاءتها.

تحليل الوقاية خطوة بخطوة لمديري المصانع وCISOs

أنت تعرف التهديدات، وتعرف أن القوانين أصبحت أكثر صرامة. كيف تغير من استراتيجية العزل الجوي الهشة إلى نموذج حماية الشبكات ICS القوي والمتوافق؟

اتبع هذه التكتيكات القابلة للتنفيذ خطوة بخطوة لتأمين عملياتك.

الخطوة 1: تنفيذ اكتشاف الأصول الشامل

لا يمكنك حماية ما لا تراه. الخطوة الأولى في أي برنامج أمن OT هي تحقيق رؤية 100٪.

• الإجراء: استخدام أدوات الفحص السلبي التي ترسم خريطة لشبكتك OT بالكامل دون تعطيل المعدات الحساسة القديمة.

• الهدف: إنشاء مخزون في الوقت الحقيقي لكل PLC ، وHMI ، والمستشعر ، والجهاز العابر في شبكتك، بما في ذلك إصدارات البرامج الثابتة الخاصة بهم والثغرات المعروفة.

الخطوة 2: إنشاء مراقبة أمان الشبكة الداخلية (INSM)

للاستجابة لمتطلبات NERC CIP-015 والتقاط التهديدات الداخلية، يجب مراقبة حركة المرور بين أجهزتك الصناعية.

• الإجراء: نشر مستشعرات فحص الحزم العميق (DPI) الصناعية في المفاتيح الأساسية داخل شبكة OT.

• الهدف: تحديد معيار لحركة المرور التشغيلية الطبيعية. إذا بدأت وحدة تحكم PLC فجأة في إرسال أوامر برمجة إلى وحدة تحكم PLC أخرى - وهو سلوك غير عادي - يتلقى فريق الأمان لديك إنذاراً فورياً.

الخطوة 3: تقسيم شبكتك (نهج عدم الثقة)

استبدال الشبكة "المستوية" بمناطق مقسمة.

• الإجراء: تنفيذ نموذج Purdue بصرامة. استخدام جدران الحماية الصناعية لإنشاء تقسيمات صغيرة بين العمليات التشغيلية المختلفة.

• الهدف: إذا أصيب كمبيوتر محمول لمقاول بخط إنتاج التعبئة، يضمن تقسيم الشبكة أن لا تتمكن البرمجيات الخبيثة من التنقل الجانبي إلى وحدات التحكم الكيميائية في المزج.

الخطوة 4: تأمين الوصول البعيد

نظرًا لأن انقطاعات العزل الجوي أصبحت قديمة، يجب تقوية الوصول البعيد بشدة.

• الإجراء: إلزام المصادقة متعددة العوامل (MFA) لجميع الوصولات البعيدة. تمرير جميع الاتصالات المورد من خلال قفزة أمنة ويجري مراقبتها أو حل إدارة الوصول المتميز (PAM) المخصص.

• الهدف: التأكد من أنه حتى إذا تمت سرقة بيانات اعتماد المورد، لا يمكن للمهاجم الوصول بحرية إلى شبكة OT.

الخطوة 5: الصيد المستمر للتهديدات وتحليلات السلوك

التجاوز عن الدفاعات القائمة على التوقيع

• الإجراء: تنفيذ تحليلات السلوك التي تفهم عملياتك المادية الخاصة.

• الهدف: اكتشاف الانحرافات الدقيقة عن المعيار. إذا كانت الصمام يفتح 10٪ أسرع مما كان على مر التاريخ ، يجب أن يشير نظامك إليه كاحتمال وجود خلل في الأداء السبراني الفيزيائي.

كيف تقوم Shieldworkz بتأمين عملياتك

في Shieldworkz، ندرك العبء الثقيل الملقى على مسؤولي المصانع وCISOs. أنت مكلف بالحفاظ على البنية التحتية القديمة تعمل بسلاسة أثناء الدفاع ضد الجهات التهديدية المدعومة من الدولة والتكيف مع تفويضات معقدة مثل NERC CIP-015.

نحن نجسر الفجوات بين IT وOT، ونوفر حلول أمان أصلية للتشغيل الصناعي تحترم طبيعة عمليات المصنع الحساسة.

لماذا تختار الشراكة مع Shieldworkz؟

• ترجمة البروتوكولات الأصلية في OT: لا نقوم فقط برؤية الحزم؛ نحن نفهم أكثر من 150 بروتوكول صناعي خاص. نحن نعرف الفرق بين طلب قراءة روتيني وتحميل برمجيات خبيثة.

• الامتثال السلس لمتطلبات CIP-015: بنينا هيكلية مراقبة أمان الشبكة الداخلية (INSM) لدينا خصيصًا للامتثال وتجاوز المعايير التنظيمية الناشئة، مما يوفر رؤية داخلية عميقة يطلبها المراجعون.

• مراقبة سلبية بدون تأثير: ننشر بشكل كامل خارج النطاق. تراقب حلولنا شبكتك دون إضافة تأخير أو تعريض أهم وحدات التحكم القابلة للبرمجة لديك لأوقات التوقف.

• لوحة معلومات موحدة تجمع بين IT وOT: نوفر لرئيس الأمن لوحة زجاج واحدة، تربط التهديدات عبر كل من شبكة المؤسسة IT والبيئات الصناعية لديك.

نحن لا نبيع البرمجيات فقط؛ بل نوفر الشراكة الاستراتيجية اللازمة لتصلب البنية التحتية الحرجة لديك ضد حقائق مشهد التهديد المعاصر.

الخاتمة

عصر الاعتماد على الأنظمة الحساسة المعزولة جواً لحماية نظم التحكم الصناعية قد انتهى. مع تقارب بيئات IT وOT، تحلل المحيط، مما يجعل أمان SCADA التقليدي غير كاف بشكل خطير. التفويضات التنظيمية مثل NERC CIP-015 تصدر التنبيه: يتطلب الأمان الحقيقي رؤية داخلية عميقة ومستمرة واستراتيجيات دفاعية استباقية.

لم تعد تستطيع تحمل افتراض أن شبكتك معزولة. من خلال تبني أفضل ممارسات أمن التكنولوجيا التشغيلية—الرؤية الأصولية, تقسيم الشبكة، ورصد أمان الشبكة الداخلية القوي—يمكنك حماية عملياتك المادية، ضمان الامتثال التنظيمي، وحماية الأرواح البشرية.

لا تنتظر اختراق داخلي لتدرك أن عزل الهواء كان وهمًا. هل أنت جاهز لتحدیث أمان ICS؟

قراءة إضافية

تقرير قابل للتحميل عن حادثة ستيكر الإلكترونية
قائمة فحص تقييم المخاطر OT/ICS المستندة إلى IEC 62443 لقطاع تصنيع الأغذية والمشروبات
قائمة تقييم وتحديد بائع حل مسح الوسائط القابلة للنقل