المنافذ المكشوفة لـ ICS/SCADA: التهديد الصامت الذي يتربص بالبنية التحتية الصناعية التي تواجه الجمهور
فريق شيلدوركز
لقد تغير المشهد الصناعي بشكل جذري. اختفت الأيام التي كانت فيها شبكات التكنولوجيا التشغيلية (OT) منفصلة تمامًا عن العالم الخارجي. لقد أدت الرغبة في المراقبة عن بعد والصيانة التنبؤية والكفاءة المستندة إلى البيانات إلى كسر الفجوة التقليدية. ولكن في الاندفاع لربط الأرضيات السنية بالسحابة، بقيت ثغرة ضخمة وصامتة مفتوحة على مصراعيها.
قبل أن نمضي قدمًا، لا تنسَ الاطلاع على منشورنا السابق حول الطريقة التي يعمل بها الفاعلون الإيرانيون دون الاتصال، هنا.
عندما تكون منافذ SCADA المكشوفة المتصلة بالإنترنت، فإنك تترك الباب الأمامي للبنية التحتية الحرجة الخاصة بك غير محميًا ومفتوحًا على مصراعيه ودون حراسة.
بالنسبة لمديري المصانع والمهندسين في مجال التكنولوجيا التشغيلية (OT) ورؤساء الأمن الرقمي (CISOs)، لم تكن المخاطر أعلى من ذلك. قد يؤدي خادم ويب تالف في بيئة تكنولوجيا المعلومات (IT) إلى فقدان البيانات أو غرامة امتثال. ومع ذلك، قد يؤدي نظام التحكم المنطقي القابل للبرمجة (PLC) أو نظام الإشراف والتحكم في البيانات (SCADA) الذي تم اختراقه إلى تلف مادي كارثي، وتوقف تشغيلي طويل، ومخاطر جسيمة على سلامة الموظفين.
يحلل هذا الدليل الشامل الأخطار الخفية للأنظمة الصناعية المعرضة للإنترنت (ICS). سنستكشف السبب الذي تجعل البروتوكولات القديمة عرضة للخطر بشكل فريد، وكيف يحدد المهاجمون هذه المنافذ المفتوحة، والاستراتيجيات والإطارات القابلة للتنفيذ التي تحتاجها لتأمين بيئتك.
تشريح منفذ SCADA المكشوف
لفهم التهديد، يجب أن نفهم أولًا كيفية تواصل الأنظمة الصناعية وكيف ينتهي بها المطاف معروضة على الإنترنت العام.
ما هو منفذ SCADA؟
في شبكات الحاسوب، المنفذ هو نقطة نهاية افتراضية حيث تبدأ وتنتهي الاتصالات الشبكية. يتم تصنيف المنافذ بالأرقام وترتبط ببروتوكولات أو خدمات محددة. فكر في عنوان IP كعنوان شارع للمبنى، والمنفذ كرقم شقة معين داخل ذلك المبنى.
في عالم تكنولوجيا المعلومات، المنافذ 80 و443 معيارية لحركة مرور الويب. في عالم التكنولوجيا التشغيلية، تستخدم أنظمة SCADA ووحدات التحكم المنطقي القابلة للبرمجة (PLCs) منافذ صناعية متخصصة للتواصل مع محطات العمل الهندسية وواجهات الآلة البشرية (HMIs) وأجهزة الحقل الأخرى.
كيف تصبح مكشوفة؟
قد تتساءل: لماذا يقوم أي مهندس كفء بتوصيل PLC حرج مباش... مكشوفة عمداً. إنها غالبًا ناتجة عن ملاءمة، بنية قديمة، أو تكوين خاطئ ببساطة. تشمل الأسباب الشائعة:
الوصول إلى البائعين الخارجيين: غالبًا ما يتطلب مصنعو المعدات الوصول عن بُعد لاستكشاف الأخطاء وإصلاحها أو صيانة الآلات التي يبيعونها. لتسهيل ذلك بسرعة، يقوم مشغلو المصانع في بعض الأحيان بتمرير منفذ مباشرة عبر الجدار الناري إلى البائع، متجاوزين بروتوكولات الوصول عن بعد الآمنة.
قدرات العمل عن بعد: أجبرت التحول نحو العمل عن بعد العديد من المنشآت الصناعية على توفير وصول المهندسين إلى أنظمة مصنع الإنتاج من منازلهم بسرعة. في السباق للحفاظ على زمن التشغيل، تم إنشاء اتصالات مباشرة غير آمنة.
الأجهزة المقيدة وغير المدارة: عند تبني المنشآت مستشعرات ذكية جديدة وأجهزة تقنية إنترنت الأشياء الصناعية لزيادة الكفاءة، غالبًا ما تأتي هذه الأدوات بإعدادات افتراضية تصل تلقائيًا إلى الخوادم السحابية، مما يفتح المنافذ الواردة ويهدد أمن تقنية إنترنت الأشياء الصناعية.
تكوينات خاطئة للجدران النارية: مع مرور الوقت، تصبح قواعد الجدار الناري معقدة ومكتظة. قد يكون من أحد الأسباب التي تم إنشائها خلال فترة اختبار مؤقتة قبل خمس سنوات لم يتم إلغاءها أبدًا، مما يؤدي إلى تعرض منفذ SCADA بصمت.
لماذا البروتوكولات "غير الآمنة بالتصميم" هي الخطر الحقيقي
المسألة الأساسية في تعريض الأصول الصناعية للإنترنت ليست فقط أن المنفذ مفتوح؛ بل هي طبيعة الحركة التي تمر عبر ذلك المنفذ.
تم بناء بروتوكولات تكنولوجيا المعلومات الحديثة مع الأخذ في الاعتبار الأمان- فهي تتطلب التحقق من الهوية، تستخدم التشفير، وتتحقق من هوية المستخدمين. أما البروتوكولات الصناعية، من الن...were designed to have security focuses. المؤلف
لأن هذه البروتوكولات تفتقر إلى الضوابط الأمنية الجوهرية، فإننا نشير إليها على أنها غير آمنة بالتصميم. إذا وجد المهاجم منفذًا مكشوفًا يشغل أحد هذه البروتوكولات، فإنهم لا يحتاجون إلى اختراق النظام؛ بل يحتاجون فقط إلى مطالبة النظام بتنفيذ شيء ما، وسينفذ النظام الطلب دون تردد.
مخاطر Modbus TCP (منفذ 502)
تم تطويره في الأصل في عام 1979 للاتصالات التسلسلية، ولا يزال Modbus الجد الأبرز للبروتوكولات الصناعية. اليوم، يسمح Modbus TCP/IP لهذا البروتوكول القديم بالعمل على شبكات إيثرنت الحديثة، باستخدام منفذ 502 عادةً.
Modbus شائع بشكل لا يصدق بسبب فتحه وبساطته ودعمه من قبل كل بائع أتمتة تقريبًا. ومع ذلك، فإن بساطته هي أيضًا عيب القاتل عند تعرضه للإنترنت.
لا يوجد تحقق: Modbus لا يطلب اسم مستخدم أو كلمة مرور. إذا تلقى جهاز أمر Modbus بشكل صحيح عبر منفذ 502، فإنه ينفذ الأمر دون استفسار عن هوية المرسل.
اتصال نص واضح: تتم إرسال كل حركة مرور Modbus في نص عادي، غير مشفر. يمكن لأي شخص يعترض حركة الشبكة القراءة تمامًا ما تفعله وحدات التحكم المنطقية القابلة للبرمجة (PLCs) وما هي الأوامر التي يتم إرسالها.
غياب ضوابط الوصول: لا يقوم Modbus بتقييد مستويات الوصول. يمكن للمستخدم المتصل عبر منفذ 502 الحصول على نفس الصلاحيات الإدارية لقراءة أو كتابة البيانات إلى وحدة التحكم المنطقية القابلة للبرمجة (PLC) تمامًا مثل المهندس الرئيسي الذي يقف مباشرة أمام الجهاز.
تكتيك تنفيذي: قم بمراجعة سجلات جدارك الناري الفاصل فورًا لأي حركة مرور واردة موجهة إلى منفذ 502. إذا وجد، قم بكتلها وتحقيق بشأن عنوان IP الوجهة الداخلية لتحديد الأصول المكشوفة.
الخطر على أتمتة المباني عبر BACnet (منفذ 47808)
بينما يسيطر Modbus على أرضية المصنع، يسيطر BACnet (شبكات أتمتة والتحكم في المباني) على إدارة المنشآت. إنه العصب الأساسي للمباني الذكية الحديثة، التي تتحكم في أنظمة التدفئة والتهوية والتكييف والإضاءة والمصاعد والتحكم في الوصول البدني. يعمل BACnet على منفذ 47808 عادةً.
تمامًا مثل Modbus، لم يكن BACnet مصممًا للبيئة العدائية للإنترنت العامة.
الوصول غير المقيد: تفتقر تنفيذات BACnet القديمة إلى التشفير والتحقق المتين.
تعطيل العمليات: إذا كان مستشفى أو مركز بيانات أو مصنع أدوية تعرض منفذ 47808، يمكن للجهات الفاعلة السيئة التلاعب بالتحكم البيئي.
العواقب الفعلية: عن طريق التلاعب بBACnet، يمكن للمهاجم زيادة سخونة غرفة الخادم، تجميد بنية السباكة الحيوية، أو التلاعب بأنظمة التهوية في منطقة كيماوية خطرة.
مشهد التهديد: كيف يستغل المهاجمون الأصول المكشوفة
قد تعتقد أن منشأتك صغيرة أو أن صناعتك متخصصة، وبالتالي سيكون لديك الأمن من الهيمنة. هذه فكرة خاطئة خطرة. في عالم أمن تقنية إنترنت الأشياء الصناعية، مات الأمن من خلال الغموض.
محركات البحث الخاصة بالمتسللين
توجد أدوات خاصة بفهرسة الأجهزة المتصلة بالإنترنت. تقوم محركات البحث هذه باستمرار بإرسال عناوين IP بحثًا عن المنافذ المفتوحة، والتقاط "لافتات" الأجهزة الرقمية التي ترسلها الأجهزة استجابةً.
عندما يقوم الفاحص بإرسال إشارة لعناوين IP على منفذ 502، ستستجيب وحدة تحكم منطقية قابلة للبرمجة مكشوفة بفخر مع اسم البائع وإصدار البرامج الثابتة ونوع الجهاز. يقوم المهاجمون ببساطة بتسجيل الدخول إلى محركات البحث هذه واستعلام المصطلحات. في غضون ثوانٍ، يتم تقديمهم بقائمة عالمية من مئات الآلاف من الأصول الصناعية المكشوفة منها المواجهة للإنترنت.
مشغلو برامج الفدية يستهدفون التكنولوجيا التشغيلية
تاريخيا، ركزت مجموعات برامج الفدية على تشفير شبكات تكنولوجيا المعلومات (IT) الخاصة بالشركات فقط. اليوم، يدركون أن مهاجمة بيئة التكنولوجيا التشغيلية تسبب أقصى قدر من الألم، مما يجبر الضحايا على دفع فديات أعلى بشكل أسرع.
عندما يجد مشغلو برامج الفدية منفذًا SCADA مكشوفًا، يستخدمونه كنقطة وصول أولية. من وحدة تحكم منطقية قابلة للبرمجة (PLC) معينة، يمكنهم التنقل على جانب الارضية السنية، ومقاطعة واجهات الإنسان والآلة (HMIs)، وقفل محطات العمل الهندسية، وإيقاف الإنتاج تمامًا.
تهديدات من مستوى الدولة والدفاع عن البنية التحتية الحرجة
بالنسبة للتهديدات المستمرة المتقدمة (APTs) المدعومة من الدولة، تعتبر المنافذ المكشوفة لـ SCADA كنوزًا. نادرًا ما يكون هدفهم الكسب المالي؛ بل التجسس، التمهيد لصراع مستقبلي، أو إثارة الاضطرابات الاجتماعية.
في عالم دفاع البنى التحتية الحرجة، يعتبر حماية شبكات الكهرباء ومحطات معالجة المياه وأنابيب النفط أمرًا بالغ الأهمية. تقوم مجموعات APT بمسح الأصول المكشوفة في هذه القطاعات بنشاط. بمجرد العثور على منفذ مفتوح، يقومون بتثبيت قدم ثابتة عميقة داخل شبكة التكنولوجيا التشغيلية (OT)، في انتظار الأوامر لتنفيذ البرمجيات الخبيثة المصممة لتلف المعدات فعليًا أو إيقاف الخدمات العامة الأساسية.
مواءمة الدفاعات مع الأطر الصناعية
إن تأمين بيئتك لا يتعلق بالتخمين حول ما يجب إصلاحه بعد أن تكون لديك إستراتيجية يجب أن تتماشى مع الأطر الأمنية للتكنولوجيا التشغيلية (OT) المعترف بها عالميًا.
IEC 62443: المعيار العالمي لأمان الأتمتة الصناعية
ISA/IEC 62443 هو المعيار النهائي لأنظمة الأتمتة والتحكم الصناعية. عند معالجة المنافذ المكشوفة، يجب التركيز على IEC 62443-3-2 (تقييم المخاطر النظامي والأمني) و IEC 62443-3-3 (متطلبات أمان الأنظمة).
تطبيق قابل للتنفيذ: استخدم IEC 62443 لتحديد "المناطق" (مجموعات من الأصول ذات متطلبات الأمان المشابهة) و"الطرق" (المسارات التواصلية بين المناطق). إذا كان الجهاز SCADA والإنترنت في مناطق مختلفة، فيجب على الطريق بينهما أن يكون محكمًا بإدارته أو إغلاقه بالكامل.
إطار عمل نيس (NIST) للأمن السيبراني 2.0
إطار عمل نيس (NIST CSF) قابل للتطبيق عالميًا على كل من تكنولوجيا المعلومات (IT) والتكنولوجيا التشغيلية (OT). يتمحور حول الوظائف الأساسية: التعرف، الحماية، الكشف، الرد، والتعافي.
تطبيق قابل للتنفيذ: تحت وظيفة "التعرف" (ID.AM)، يجب تحديد المنافذ المكشوفة كخط أساس إلزامي. تحت "الحماية" (PR.AC)، يجب التأكد من أن الوصول عن بُعد لأصول التكنولوجيا التشغيلية (OT) يتطلب إدارة هوية صارمة والتحقق من الهوية- يمنع صراحةً التوجيه المباشر للمنافذ.
نيس NIST SP 800-82: دليل لأمن أنظمة التحكم الصناعية (ICS)
مصمم خصيصًا للتكنولوجيا التشغيلية (OT)، يوفر منشور نيس الخاص 800-82 توجيهًا فنيًا تفصيليًا حول أمان أنظمة SCADA.
تطبيق قابل للتنفيذ: تنص المادة 5.1 بوضوح على تقييد الوصول المنطقي إلى شبكة التكنولوجيا التشغيلية (ICS). تنصح بإلغاء جميع المنافذ والخدمات غير المستخدمة على أجهزة ICS ونشر الجدران النارية التي تتحقق من وضع الحالة التي تم ضبطها للحد من حركة المرور المصرح بها الواردة الخاصة بالبروتوكولات الصناعية.
ملحوظة: الامتثال لهذه الأطر يساعد أيضًا في تلبية التفويضات التنظيمية الصارمة مثل توجيه الاتحاد الأوروبي NIS2 ومعايير حماية البنية التحتية الحرجة من قبل مؤسسة موثوقية كفاءة الطاقة في أمريكا الشمالية (NERC CIP).
خطوة بخطوة لمنع التهديدات: تأمين سطح هجومك
الخبر السار هو أن تأمين بيئتك ضد هذه التهديدات ممكن بشكل كامل. باستخدام نهج مدروس يقوم على الدفاع العميق، يمكنك إغلاق هذه المنافذ المكشوفة واستعادة السيطرة على بنيتك التحتية.
إليك الدليل القاطع لحماية أرضية مصنعك، مليء بالمهام القابلة للتنفيذ.
المرحلة الأولى: اكتشاف الأصول وإدارة سطح الهجوم (الأساس)
لا يمكنك حماية ما لا تعرف بوجوده. الخطوة الأولى المطلقة في الدفاع عن بيئتك الصناعية هي الحصول على رؤية كاملة وغير مفلترة لكل جهاز وبروتوكول واتصال على شبكتك.
مهمة قابلة للتنفيذ 1: نشر المراقبة السلبية. في بيئات التكنولوجيا التشغيلية الحساسة، يمكن أن تتسبب الأداة النشطة المخصصة لتكنولوجيا المعلومات (IT) مثل Nmap في تعطيل وحدات التحكم المنطقية القابلة للبرمجة القديمة. بدلاً من ذلك، قم بتكوين منفذ معرف أو نقطة وصول اختبارية (TAP) على مفاتيحك الصناعية الأساسية. وجه هذه الحركة المزدوجة إلى أداة التفتيش المتعمق للحزمة (DPI) الخاصة بالتكنولوجيا التشغيلية لترسم الأجهزة والبروتوكولات بشكل سلبي دون حقن حركة مرور.
مهمة قابلة للتنفيذ 2: إجراء إدارة سطح الهجوم الخارجي (EASM). استخدم أدوات EASM لمسح نطاقات IP العامة الخاصة بك من الخارج إلى الداخل. ابحث تحديداً عن لافتات تشير إلى المنافذ 502 (Modbus)، 47808 (BACnet)، 20000 (DNP3)، أو 44818 (EtherNet/IP).
مهمة قابلة للتنفيذ 3: تقاطع جرد تكنولوجيا المعلومات/التكنولوجيا التشغيلية. قم بمقارنة قواعد الجدار الناري الخاصة بك مع أصولك المكتشفة. إذا كان هناك أصل مدرج باعتباره "داخل مصنع الإنتاج" ولكنه يحتوي على قاعدة ترجمة منفذ نشطة على الجدار الناري الحدودي، قم بالتحقيق وإغلاقها فورًا.
المرحلة 2: تقسيم الشبكة ونموذج بورود
بمجرد أن تعرف ما هي الأصول التي لديك، يجب عليك عزلها. لا ينبغي أبدًا أن يكون أرضية المصنع متصلة بشكل مسطح بشبكة تكنولوجيا المعلومات الخاصة بالشركات، وينبغي عدم التواصل المباشر مع الإنترنت بشكل قطعي.
المعيار الذهبي لبنية الشبكات الصناعية هو بورد إنتربرايز ريفرينس أركتكتشر (PERA).
مهمة قابلة للتنفيذ 1: بناء المنطقة منزوعة السلاح الصناعية (IDMZ). قم بإنشاء IDMZ باستخدام بنية جدار ناري ذات طابقين. القاعدة الذهبية: لا ينبغي أن تتدفق حركة مرور مباشرة بين شبكة الشركات (الطبقة 4) وأنظمة التحكم (الطبقة 1/2).
مهمة قابلة للتنفيذ 2: تنفيذ خوادم الوكلاء. إذا كان يجب نقل البيانات من التكنولوجيا التشغيلية إلى السحابة (مثل صيانة التنبؤ التايبلي تلبيليسارات)، فإنه لا ينبغي أن يذهب مباشرة. أرسل البيانات إلى خادم وكيل أو مؤرخ يقع في IDMZ، والذي يقوم بعد ذلك بنقلها إلى الخارج.
مهمة قابلة للتنفيذ 3: فرض قواعد الرفض الكلي لحركة المرور الواردة. قم بتكوين جدرانك النارية الحدية والحدود IT/OT بقواعد "الرفض الكلي" الافتراضية لحركة المرور الواردة. فقط افتح قنوات محددة، موثقة، وموافق عليها بشكل مسبق.
المرحلة 3: تنفيذ الوصول الآمن عن بعد
لا يزال يحتاج البائعين والمهندسين عن بُعد إلى الوصول إلى أرضية المصنع، ولكن لا يمكنك الاعتماد على توجيه المنافذ المباشر أو أدوات غير مدارة مثل TeamViewer أو RDP.
مهمة قابلة للتنفيذ 1: إنهاء الاتصالات المباشرة بالبائعين. قم بتحديد وإنهاء جميع شبكات VPN أو قواعد توجيه المنافذ التي تم تكوينها للبائعين الأفراد من المعدات.
مهمة قابلة للتنفيذ 2: نشر الوصول الآمن عن بعد الخاص بالتكنولوجيا التشغيلية (SRA) المصمم خصيصًا. قم بتنفيذ بوابة SRA مركزية ضمن IDMZ الخاص بك. يجب أن يمر جميع الوصول عن بُعد عبر هذه النقطة المركزية الثقيلة التشفير.
مهمة قابلة للتنفيذ 3: فرض المصادقة المتعددة العوامل (MFA) والوصول الصفر ثقة (ZTNA).
الكلمات مرور وحدها عديمة الفائدة. فرض المصادقة متعددة العوامل الصارمة (MFA) لأي مستخدم يحاول الوصول إلى بيئة التكنولوجيا التشغيلية (OT). تنفيذ سياسات الوصول الصفر ثقة (ZTNA)- يمنح البائعين "الوصول الأدنى" فعليًا، مما يعني
احصل على تحديثات أسبوعية
الموارد والأخبار
قد تود أيضًا
From click to crisis: How Nova Scotia Power got breached
Team Shieldworkz
تفكيك دفتر مقاومة هندالة
برايوكت كيه في
تطبيق إطار عمل NIST CSF 2.0 ليتوافق مع IEC 62443: إطار عملي لأمن عمليات التكنولوجيا الصناعية
فريق شيلدوركز
نشر ضوابط الأمن IEC 62443 في أنظمة التحكم الصناعية المتكاملة: دليل التنفيذ العملي
برايوكت كيه في
معالجة تحديات تنفيذ NIS2
فريق شيلدوركز
المناطق الآمنة المعزولة جوياً ومعايير NERC CIP-015: لماذا تقصر تقنيات أمان SCADA التقليدية
فريق شيلدوركز
