تأمين البنية التحتية الحيوية من مجموعات تهديدات APT خلال الأحداث الجيوسياسية
برايوكت كيه في
⚠ تحذير من تهديد متزايد التوترات الجيوسياسية ترتبط مباشرة بزيادة ملحوظة في نشاط الاستطلاع والوضع المسبق ضد قطاعات الطاقة والمياه والنقل والاتصالات. تعامل مع هذا السيناريو كموقف غير تدريبي. |
مشهد التهديد
لنكن مباشرون. عندما تتصاعد التوترات الجيوسياسية، يشتعل نزاع إقليمي، تُفرض عقوبات، تنهار القنوات الدبلوماسية، عادةً أول شيء تفعله وحدات الدولة الإلكترونية هو عدم إطلاق الصواريخ. بل يقومون بتفعيل الزرع المسبق بصمت داخل شبكات التكنولوجيا التشغيلية (OT) للبنية الأساسية الحرجة للخصوم. هذا هو بشكل عام العقيدة الجديدة للفن الحرفي القسري.
الخصوم الذين نهتم بهم ليسوا مجرمين انتهازيين بأي شكل من الأشكال. إنهم مثابرون وصبورون وملتزمون بالمهمة. ثلاثة مجموعات تهديد تهيمن على مشهد الهجوم على التكنولوجيا التشغيلية:
APT 44 المعروف أيضًا بـ Sandworm (روسيا - وحدة GRU 74455)
مسؤول عن هجمات شبكة الطاقة الأوكرانية في 2015 و2016 والهجوم على شبكة بولندا في 20205، كانت هذه المجموعة وراء الهجمات الإلكترونية الوحيدة التي تم تأكيدها علنًا وتسببت في انقطاعات واسعة للكهرباء في المناطق المدنية. قاموا بنشر Industroyer/CRASHOVERRIDE، وهي منصة برمجيات ضارة معيارية تتحدث بروتوكولات صناعية بشكل طبيعي: IEC 104، IEC 61850، GOOSE، وModbus. في عام 2022، استهدف Industroyer2 محطات فرعية ذات جهد عالي في أوكرانيا، مما يوضح الاستثمار المستمر في الحمولة الأصلية للتكنولوجيا التشغيلية وكذلك الاهتمام المستمر في التعطيل النشط للبنية التحتية الحيوية الأوكرانية. طريقتهم: اصطياد شبكة تكنولوجيا المعلومات، التحول إلى DMZ الخاص بالتكنولوجيا التشغيلية، تعداد بيئة العمليات، والوضع المسبق للتعطيل، عادة ما يتم تحفيز هذا فقط عندما يتم تفويضه سياسيًا خلال نوافذ زمنية محددة ترتبط بالأحداث الجيوسياسية.
Volt Typhoon (تابعة للصين - MSS)
تم الإبلاغ عنها لأول مرة في عام 2023، وتم التأكد من أنها قد وضعت مسبقًا داخل البنية الأساسية الحيوية للولايات المتحدة عبر مرافق المياه والطاقة والاتصالات. من المعروف أنها تستمر لسنوات دون تفعيل الكشف. نهجها هو 'العيش من الموارد المتاحة' (LotL) بشكل متعمد: استخدام أدوات التكنولوجيا التشغيلية والتكنولوجيا المعلوماتية الأصلية، وتجنب البرمجيات الضارة المخصصة، والاندماج مع حركة الصيانة الشرعية. الهدف في معظم الحالات ليس التعطيل الفوري. إنه الوصول الاستراتيجي. تنتظر هذه المجموعة بصبر تفعيل الحمولة إذا تصاعدت التوترات بين الصين وتايوان إلى صراع كينتيكي. أكد CISA في عام 2024 أن Volt Typhoon قد حافظ على الوصول المستمر لمدة تصل إلى خمس سنوات في بعض الأهداف.
مجموعات تابعة لحرس الثورة الإسلامية الإيراني (إيران)
استهدف CyberAv3ngers أجهزة التحكم المنطقية القابلة للبرمجة من Unitronics في أنظمة المياه الأمريكية في أواخر عام 2023. هذه المجموعة انتهازية وصاخبة وتهدف إلى التأثير النفسي بدلًا من تعطيل فعلي. ومع ذلك، أظهرت مجموعات مرتبطة بحرس الثورة الإسلامية قدرات تكنولوجيا تشغيلية أكثر تقدمًا في الشرق الأوسط (الهجمات على أرامكو السعودية وبنية التحتية المائية الإسرائيلية). تتوفر المزيد من التفاصيل حول هذه المجموعات هنا.
اختبار الواقع المجموعات المتقدمة المستديمة التي تستهدف التكنولوجيا التشغيلية لا تحتاج إلى تعطيل أنظمتك فور دخولها. هدفها الأساسي خلال التوترات الجيوسياسية في وقت السلام هو الوصول، الاستمرارية، والاستطلاع. قدرة التدمير محفوظة لاحقاً. هذا يعني أنك ربما لن ترى تنبيهات درامية أو شاشات وامضة. لن تعرف حتى تقوم بالبحث الفعال عنها. |
النظام الفريد للتكنولوجيا التشغيلية
هذا ليس مقدمة بلاغية. إذا كنت قادما من خلفية أمن تكنولوجيا المعلومات وطلب منك 'توسيع تغطية الأمن' إلى المصنع لديك، فيجب عليك استيعاب هذا قبل القيام بأي شيء آخر.
ثلاثية أهداف الحماية مقلوبة
في أمن تكنولوجيا المعلومات، تأتي السرية أولاً. في التكنولوجيا التشغيلية، تعتبر التوافرية أولويتنا العظمى. إن فشل نظام الأدوات المجهزة بالسلامة (SIS) نتيجة لتحديث أمان مبالغ فيه قد يسبب حالة طارئة فيزيائية. النزاهة مهمة جداً - فالقيم العملية الفاسدة أو المنطق السلمي قد يسبب تدمير المعدات أو أسوأ. بينما السرية مهمة، فهي تأتي في المرتبة الثالثة.
دورات التصحيح تقاس بالسنين وليس الأيام
قد يكون جهاز التحكم المنطقي القابل للبرمجة Siemens S7 الذي يتحكم في التوربين الخاص بك يعمل على برنامج ثابت من عام 2009. قد يكون البائع قد أوقف المنتج. قد يتطلب وقت التوقف للإصلاح نافذة صيانة مخططة مقدمًا بستة أشهر. هذا ليس إهمالًا - إنه واقع عملي. يجب تصميم الضوابط الأمنية حول هذه التقييد، وليس للتمرد عليها.
البروتوكولات الخاصة منتشرة في كل مكان
Modbus، DNP3، IEC 61850، PROFINET، EtherNet/IP، BACnet، OPC-UA. تم تصميم هذه البروتوكولات لأجل الموثوقية والتصميم المحدد، وليس الأمن. العديد منها يفتقد تمامًا للتوثيق. المراقبة السلبية دون فهم هذه البروتوكولات تكون عمياء. يجب أن تقوم أدوات الأمان الخاصة بك بفك رموز حمولة البروتوكولات الصناعية، وليس مجرد رؤية المصافحات TCP.
نموذج بيردو له تأثيرات في العالم الحقيقي
يحدد مرجع مؤسسة بيردو للعمارة المؤسسية (PERA) تغطية المستوى 0 (الأجهزة الميدانية)، المستوى 1 (أجهزة التحكم المنطقية/وحدات التحكم عن بعد التلقائي)، المستوى 2 (نظام التحكم الإشرافي واكتساب البيانات/أنظمة التحكم الموزعة)، المستوى 3 (عمليات الموقع)، وDMZ المسؤول عن تكنولوجيا المعلومات والتكنولوجيا التشغيلية استراتيجية التقسيم، تدفقات البيانات، ومسارات الهجوم الخاصة بك. كل مجموعة متقدمة مستديمة نجحت في اختراق التكنولوجيا التشغيلية قد قامت بذلك عبر الانتقال من المستوى 4/5 (تكنولوجيا المعلومات المؤسسية) إلى الأسفل من خلال الحدود المنطقية غير محكمة
الفارق الحاسم أدوات الأمان التي تعمل بشكل مثالي في بيئات تكنولوجيا المعلومات مثل وكلاء EDR، والمساسحات الشبكية العدوانية، وتوزيع الترقيات تلقائيًا قد تسبب اضطرابًا في العملية أو انهيار الأنظمة في بيئات التكنولوجيا التشغيلية. المسح النشط لشبكة الإيثرنت الصناعية تم توثيقه لتعطيل وحدات التحكم المنطقية القابلة للبرمجة. كل شيء هنا يتطلب نهجاً خاصاً بالتكنولوجيا التشغيلية. |
أجراءات الدفاع عن التكنولوجيا التشغيلية
تجزئة الشبكة وفرض المنطقة
السيطرة الأكثر تأثيرًا التي يمكنك تنفيذها هي التقسيم الصارم المفروض بين تكنولوجيا المعلومات والتكنولوجيا التشغيلية. ليس التقسيم المنطقي. فرض مادي أو تشفير (يُفضل كلاهما).
→ نشر DMZ الخاص بالتكنولوجيا التشغيلية قوية بين المستوى 3 والمستوى 4. يجب أن تمر جميع تدفقات البيانات عبر هذا DMZ. لا توجد مسارات مباشرة من التكنولوجيا المعلوماتية إلى التكنولوجيا التشغيلية.
→ فرض قواعد الجدار الناري الصارمة في DMZ. افتراض عدم السماح. حدد فقط الاتصالات المطلوبة بناءً على العملية. يجب أن يفرض الجدار الناري الواعي بالبروتوكول أن تحمل حركة Modbus فقط رموز الوظائف المتوقعة - حجب وتنبيه على رمز الوظيفة غير المصرح به 5 (كتابة ملف واحد).
→ القضاء على مسارات الوصول عن بعد التي تتجاوز DMZ. يجب أن يتم حساب جميع شبكة VPN، وجلسة سطح المكتب البعيد، أو الخادم القفز إلى التكنولوجيا التشغيلية، وتقويتها باستخدام التحقق المتعدد العوامل وتسجيلها. قم بإزالة أي منها لا يوجد لها تبرير عملي.
→ التجزئة الدقيقة داخل المناطق التشغيلية حيثما كان من الممكن عمليًا. يجب أن لا يكون خرق الشبكة المسؤولة عن التحكم في معالجة المياه العادمة قابلاً للوصول من وحدة التحكم بالجرعات الكيميائي.
→ يجب أن يتم صياغة التقسيمات وفقًا لـ IEC 62443.
الجرد والوضوح للأصول
لا يمكنك حماية الأصول التقنية التشغيلية غير الظاهرة. في معظم البيئات التقنية التشغيلية، يكون الجرد الدقيق الحالي للأصول هو الحلقة المفقودة الفعلية وليس الأدوات التي تتبعها.
→ نشر اكتشاف الأصول السلبية باستخدام أدوات مثل Shieldworkz. تقوم المراقبة السلبية بقراءة الحركة الشبكية الموجودة - لا تولد حركة الفحص التي قد تزعزع وحدات التحكم المنطقية القابلة للبرمجة.
→ بناء سجل أصول حي للتكنولوجيا التشغيلية شاملاً: نوع الأصول، البائع، إصدار البرنامج الثابت، بروتوكولات الاتصال، الأنظمة المتصلة، الموقع الفعلي، وتصنيف الأصول حسب الأهمية. مراجعة ربع سنوية على الأقل.
→ تتبع الأصول التي وصلت إلى نهاية العمر الافتراضية بشكل صريح. لا يمكن تصحيحها وتحتاج إلى ضوابط تعويضية: العزل المادي، المراقبة الإضافية، أو الأولوية للاستبدال.
→ رسم تبعيات العملية للأصول. فهم وحدات التحكم المنطقية القابلة للبرمجة من المستوى 1 التي تتواصل مع المؤرخ من المستوى 2 يسمح لك بوضع خط أساس 'العادي' - المقدمة للكشف عن الفوضى.
تقوية الوصول عن بعد
الوصول عن بعد إلى التكنولوجيا التشغيلية - سواء لأغراض الصيانة، الهندسة، أو العمليات - هو أكثر مسار الوصول الأولي الذي يتم استغلاله شيوعًا.
→ اطلب التحقق المتعدد العوامل لجميع الوصول عن بعد بدون استثناء. يُفضل استخدام الرموز الصلبة أو المصادقة المعتمدة على الشهادات. لا يكفي استخدام كلمة المرور المؤقتة المرسلة برسائل نصية ضد الجهات الفاعلة من الدول التي تملك قدرات لاستبدال شرائح SIM.
→ تنفيذ أجهزة عمل الوصول المعتمد (PAWs) للوصول عن بعد إلى التكنولوجيا التشغيلية - آلات مخصصة، مقفلة، بدون تصفح الإنترنت، تُستخدم حصريًا للاتصالات التكنولوجية التشغيلية.
→ استخدم الخوادم القفز / المضيفات الموحدة داخل DMZ الخاص بتكنولوجيا التشغيلية. يجب أن تنتهي جميع الجلسات عن بعد عند المضيف الموحد، وليس مباشرة عند الجهاز الهدف. سجل جميع الجلسات لأغراض الأدلة.
→ تنفيذ تقديم الوصول في الوقت المناسب (JIT) للوصول عن بعد للموردين. يجب أن تكون بيانات الاعتماد محدودة الزمن، محددة للجهاز المعين، وتلغى تلقائيًا عند انتهاء الجلسة.
→ مراجعة وإلغاء جميع بيانات الوصول عن بعد الغير مفعل. تقوم المجموعات المتقدمة المستديمة بتكرار العثور على حسابات VPN للبائع المنسية التي تم إنشاؤها خلال سنوات التأسيس السابقة وإعادة تفعيلها.
تقوية النهاية المحطة للوحدات العمل للتكنولوجيا التشغيلية
→ القائمة البيضاء للتطبيقات هي الضوابط النهائية الأكثر فعالية في بيئات التكنولوجيا التشغيلية.
→ تعطيل منافذ USB جسديًا أو عبر السياسة على جميع وحدات العمل في التكنولوجيا التشغيلية. كانت وسيلة العدوى الأولى لفيروس Stuxnet هي وحدة التخزين USB. يبقى هذا السطح الهجومي غير مقدر.
→ إزالة الاتصال بالإنترنت من وحدات العمل الهندسية للتكنولوجيا التشغيلية. محطة العمل للتكنولوجيا التشغيلية ليست للاستخدام العام.
إدارة الهندسة وتغيير الأمان
→ تنفيذ التحقق من التجزئة على جميع التحميلات الثابتة للمنطق وبرامج التحكم عن بعد التلقائية. قبل أن يقوم أي محطة عمل بدفع تحديث منطق لجهاز تحكم منطقي قابل للبرمجة، تحقق من البرنامج الثنائي مقابل تجزئة صالحة معروفة والمخزنة في نظام إدارة التغيير الخاص بك.
→ فرض عملية إدارة تغيير موقع مستقل لجميع التغييرات في إعدادات التكنولوجيا التشغيلية. لا تغييرات غير مصرح بها لنقاط الضبط، المنطق السلبي، أو تكوينات الشبكة خارج نافذة التغيير المعتمدة.
→ الحفاظ على النسخ الاحتياطية غير المتصلة بالإنترنت ومحمية جويًا لجميع برامج التحكم المنطقية القابلة للبرمجة، تكوينات واجهة المستخدم البشرية، قواعد البيانات التاريخية، وتوثيق طوبولوجيا الشبكة. تخزينها على وسائل لا يمكن إعادة كتابتها في موقع محدد آمن جسديًا.
→ تأمين سلسلة توريد أجهزة الكمبيوتر المحمولة الهندسية. يجب ألا يتصل مهندسو البائع الذين يصلون إلى الموقع مباشرة إلى الشبكة التشغيلية - تزويدهم بمضيف للانتقال من خلال الشبكة المحددة.
استجابة للاندفاع الجيوسياسي: إجراءات التعزيز أثناء التوتر النشط
عندما تتصاعد المؤشرات الجيوسياسية، قم بتنفيذ موقف التعزيز المحدد مسبقًا. لا تنتظر مؤشر فني محدد.
فوري (0–48 ساعة): إبلاغ فريق أمان التكنولوجيا التشغيلية وقادة القيادة. تحقق من جميع ضوابط تقسيم تكنولوجيا المعلومات / التكنولوجيا التشغيلية. تعليق الوصول عن بعد الغير ضروري. تدوير جميع بيانات الوصول عن بعد. تنبيه فريق مراقبة التكنولوجيا التشغيلية لزيادة معدل المراقبة.
قصير المدى (48–168 ساعة): بدء البحث عن التهديد عبر التحليل الأساسي للشبكة التشغيلية. مراجعة جميع قواعد الجدار الناري في DMZ. تدقيق جميع الجلسات عن بعد النشطة وحسابات المستخدمين. إبلاغ فرق العمليات بالمواقع عن مؤشرات التهديد ذات الصلة.
مطول (1–4 أسابيع): إجراء تمرين محاكاة على الطاولة. تحقق من النسخ الاحتياطية غير المتصلة بالإنترنت. التعاون مع ISAC القطاعي لمشاركة معلومات التهديد. إبلاغ إدارة عمليات المصنع بالإجراءات اليدوية الآمنة في حالة حدوث اختراق.
الاكتشاف والاستجابة
المراقبة الشبكية السلبية هي أداة الكشف الرئيسية
نشر أجهزة الاستشعار على منافذ SPAN في نقاط الشبكة الحرجة: DMZ الخاص بالتكنولوجيا التشغيلية / تكنولوجيا المعلومات، حدود المستوى 2 إلى المستوى 1، وداخل شبكات خلايا العمليات الحرجة. منصات مثل Shieldworkz تقيس حركة البروتوكولات الصناعية وتوفر تحليل السلوك، والكشف عن العيوب في البروتوكولات، ومطابقة طريقتهم المعروفة للمهددين.
ما يبدو عليه سلوك مجموعة التهديد المستدامة في الشبكات التشغيلية
→ حركة الاستطلاع: عمليات مسح بروتوكول ARP، بروتوكولات ICMP الغير معتادة، أو حزم بروتوكولات التعداد من محطة عمل تتواصل عادة مع خادم SCADA واحد فقط.
→ نشاط بروتوكول هندسي غير معتاد: طلب قراءة Modbus إلى وحدة تحكم منطقي قابلة للبرمجة من عنوان IP لم يتواصل معها من قبل. بث تحديد الكل PROFINET DCP صدر من مصدر غير متوقع.
→ توقيت خارج السيرة: جهاز يتواصل كل 10 ثوانٍ بشكل مفاجئ يتواصل كل ثانيتين - مؤشر ممكن على الاستقصاء بواسطة زرع.
→ تنزيلات منطق غير مصرح بها: وحدة تحكم منطقي قابلة للبرمجة تتلقى كتابة تكوين خارج نافذة الصيانة المجدولة. تعامل معها كحادثة حتى يتم إثبات العكس.
→ مؤشرات الحركة الجانبية: محاولات تسجيل دخول ناجحة من محطة عمل إلى مضيفين لا تصل إليهم عادةً. يجب البحث خاصة عن الحركة الجانبية SMB خلال الشبكة التشغيلية.
الاستجابة للحوادث الخاصة بالتكنولوجيا التشغيلية
→ مسبقاً تحديد 'حدود العزل' مع قيادة العمليات قبل حدوث هذه الحوادث. أين يمكن اخراج الأنظمة؟ ما هو fallback اليدوي؟ توثيق ذلك والتدريب عليه.
→ لا يتم تلقائيًا وضع الأجهزة التشغيلية في الحجر الصحي. تقييم الأثر العملي أولاً. في بعض الحالات، الحفاظ على نظام مخترق ولكنه تشغيلي أثناء نشر مراقبة إضافية هو القرار الصحيح.
→ الحفاظ على الأدلة الجنائية دون عرقلة العمليات. التقاط صور الذاكرة، التقاط حزم الشبكة، وتسجيل الأحداث قبل اتخاذ إجراءات التصحيح إن كان ذلك ممكنًا عمليًا.
→ الاحتماع مع CIRT الخاص بـ CISA فوراً. في حالات الحوادث على مستوى الأمة ضد البنية التحتية الحرجة، تتوفر الموارد الفيدرالية - والإخطار الفوري غالباً ما يكون متطلباً تنظيمياً.
خطر سلسلة التوريد
تتضمن عدد كبير من حوادث الأمن التشغيلية التكنولوجية متجهًا من الطرف الثالث بما في ذلك البائعين، الشركات المتكاملة، أو مقدمي الدعم عن بعد. تعرف مجموعات التهديد المستديمة المتقدمة ذلك. بدلاً من مهاجمة مرفق محمي مباشرة، يقومون بتهديد البائع البرمجيات الخاص بالSCADA، شركة الهندسة، أو منصة الدعم عن بعد المستخدمة من قبل هدفهم.
→ الاحتفاظ بقائمة حالية ومدققة لجميع البائعين الذين لديهم وصول عن بعد إلى الأنظمة التشغيلية. يجب أن تكون هذه القائمة مملوكة لفريق الأمن التشغيلية، وليس الشراء. مراجعة ربعية.
→ طلب من البائعين الإفصاح عن سلسلة توريد البرمجيات الخاصة بهم. يجب تتبع المكونات مفتوحة المصدر في البرمجيات الصناعية عبر فاتورة المواد البرمجية (SBOM).
→ إجراء استطلاعات الأمان وعمليات التدقيق الدورية للبائعين الحرجين للتكنولوجيا التشغيلية - خاصةً منهم مع الوصول عن بعد المستمر.
→ مراقبة اختراق البائعين. الاشتراك في تغذية معلومات التهديد التي تتبع حالات الاختراق الخاصة بالبائعين. إذا تم اختراق بنية تحديث البائع البرمجيات الخاصة بالمورجين، يجب أن تعرف قبل دفع هذا التحديث إلى المصنع.
مثال عن الحالة — SolarWinds أدت هجوم سلسلة التوريد في عام 2020 عبر SolarWinds إلى اختراق 18000 منظمة بما في ذلك كيانات البنية التحتية الحرجة من خلال تحديث برمجي مزيف. يبقى الاتجاه — آلية التحديث البرمجية الموثوقة — سطح هجومي ذو أولوية عالية للمهاجمين الدوليين. |
الامتثال التنظيمي
الامتثال ليس أمانًا — لكن الأطر التنظيمية تقدم أساسًا مفيدًا وهيكل تدقيق. معرفة الأطر التي تنطبق على قطاعك وبناء برنامج الأمان الخاص بك عليها — ليس بدلاً من الأمان الحقيقي، ولكن بجانبه.
الأطر الرئيسية
NERC CIP (الطاقة): CIP-002 (تصنيف الأصول)، CIP-005 (المحيط الأمني الإلكتروني)، CIP-007 (إدارة أمن النظام)، CIP-010 (إدارة التكوين)، CIP-013 (إدارة مخاطر سلسلة التوريد).
NIST SP 800-82 Rev 3 (ICS): توجهات الأمان الخاصة بنظام التحكم الصناعي لجميع القطاعات. يتماشى مع إطار NIST للأمن السيبراني ويوفر خرائط التحكم المعتمدة لICS.
IEC 62443 (الأمن السيبراني الصناعي): يحدد مستويات الأمان (SL0–SL4) لكل منطقة. يغطي 62443-3-3 متطلبات أمان النظام. معترف به دوليًا مع مسار شهادة للبائع.
CISA CPGs (عبر القطاع): أهداف أداء الأمن السيبراني (2022). توجيهات Shield Up الخاصة بالقطاع خلال الظروف المهددة المرتفعة. ذكاء التهديد التشغيلي مجاناً عبر برنامج مشاركة المؤشرات التلقائية (AIS).
الإجراءات الامتثالية خلال الأزمة الجيوسياسية
→ مراجعة موقف الامتثال الحالي لـ NERC CIP أو المعادل القطاعي. تحديد أي نتائج مفتوحة أو استثناءات يمكن استغلالها. إغلاق أو تعويضها قبل الأزمة — وليس خلالها.
→ الاشتراك في ومتابعة استهلاك إشعارات الطوارئ من CISA وتوجيهات Shield Up. خلال التصعيد، اعتبر هذه إلزامية.
→ توثيق انحرافات التحكم لديك مع الضوابط التعويضية. يفهم المراقبون أن بعض الأنظمة التشغيلية لا يمكن تصحيحها. وثق الخطر والضوابط التعويضية المنفذة بشكل استباقي.
→ تنسيق مع ISAC القطاعي الخاص بك. تقدم E-ISAC (الطاقة)، WaterISAC، والمعادلات القطاعية معلومات تهديد في الوقت المناسب. إذا كنت لست عضوًا، قم بإصلاح ذلك اليوم.
مؤشرات الأداء الرئيسية لإدارة الوضع الأمني أثناء الأزمة الجيوسياسية
تم تصميم مؤشرات الأداء الرئيسية للأبعاد التشغيلية تحديدًا في بيئات التكنولوجيا التشغيلية تحت الظروف المهددة المرتفعة. كل منها قابل للقياس، ذو معنى عملي، ويرتبط بالضوابط الموضحة أعلاه. مراجعة المؤشرات المصنفة كحالة حرجة أسبوعيًا خلال الأزمة الجيوسياسية، جميع المؤشرات شهريًا في الوضع الطبيعي.
مؤشر الأداء الرئيسي | طريقة القياس | الخطورة | الهدف |
تغطية جرد الأصول التشغيلية النسبة المئوية للأصول التشغيلية مع ملف موثق | عدد الأصول المكتشفة مقابل الأصول الموثقة في نظام إدارة الأصول التشغيلية | حرجة | ≥ 95% |
قطاعات الشبكة التشغيلية غير المراقبة القطاعات بدون تغطية مراقبة سلبية | عدد قطاعات الشبكة من المستويات 1/2 بدون أجهزة استشعار NDR | حرجة | 0 |
انتهاكات تقسيم تكنولوجيا المعلومات - التكنولوجيا التشغيلية مسارات قابلة لتوجيه غير مصرح بها بين تكنولوجيا المعلومات والتكنولوجيا التشغيلية | نتائج تدقيق قواعد الجدار الناري؛ تدفقات مرور DMZ غير مخطط لها | حرجة | 0 |
عمر مراجعة قواعد الجدار الناري لـ DMZ الأيام منذ آخر مراجعة مجموعة قواعد DMZ | تاريخ آخر مراجعة رسمية لمجموعة قواعد الجدار الناري مقابل ماتريكس المرور المعتمد | عالية | ≤ 30 يوم |
تغطية التحقق المتعدد العوامل للوصول عن بعد النسبة المئوية لحسابات الوصول عن بعد مع تطبيق التحقق المتعدد العوامل | تدقيق إدارة الهوية والوصول: الحسابات بتطبيق التحقق المتعدد العوامل مقابل مجموع الحسابات عن بعد | حرجة | 100% |
الجلسات النشطة للوصول عن بعد للبائع عدد الجلسات للبائع المعترف بها حاليًا نشطة | سجلات جلسات الخوادم القفز مقابل جدول الصيانة المعتمد | عالية | مطابق للجدول |
بيانات الوصول عن بعد اليتيمة الحسابات الغير مستخدمة (30+ يوم) لا تزال نشطة | تقرير إدارة الهوية والوصول: الحسابات دون تسجيل الدخول لمدة 30 يومًا لا تزال مفعلة | حرجة | 0 |
MTTD — تشغيلية/عالية متوسط الوقت من حدوث الشذوذ إلى تنبيه مركز العمليات الأمنية | منصة NDR مثل Shieldworkz: الوقت إلى التنبيه عند حدوث شذوذ محاكي/حقيقي | عالية | ≤ 1 ساعة |
تغييرات غير مصرح بها لتكوين وحدات التحكم المنطقية القابلة للبرمجة / وحدات التحكم عن بعد التلقائي تغييرات التكوين خارج النوافذ المعتمدة | تنبيهات مراقبة النزاهة / مراقبة نزاهة البيانات للتغيير الغير معتمد | حرجة | 0 غير مُراجعة |
تردد البحث عن التهديد العالي البحث عن التهديدات المكتملة كل شهر (فترة الأزمة) | سجل عمليات البحث: الفرضيات المكتملة ضمن الشبكة التشغيلية | عالية | ≥ 1/شهريًا |
تعرض نقاط الضعف الحرجة أجهزة التشغيلية عالية 9.0+ الغير مخففة | إدارة نقاط الضعف: النتائج الحرجة مقابل حالة التحكم | حرجة | 0 غير مخففة |
عد الأصول التي وصلت إلى نهاية العمر الافتراضي (بدون تعويض) الأصول التي وصلت إلى نهاية عمرها بدون ضوابط تعويضية | علامة السجل للأصول التي وصلت إلى نهاية العمر مقابل توثيق الضوابط التعويضية | عالية | 0 |
حداثة نسخ تكوين التشغيلية الاحتياطية تكوينات الأجهزة / واجهات / أنظمة التشغيلية الاحتياطية في غضون 30 يومًا | تقرير النسخ الاحتياطي مقابل السجل للأصول: النسبة المئوية للنسخ الاحتياطية المؤكدة | حرجة | 100% |
نتيجة اختبار الهدف الزمني للتعافي الوقت الأخير لاختبار هدف الاستعادة لأنظمة التشغيلية الحرجة | محاكاة الطاولة أو التمرين الحي: الوقت من الحادث إلى الاستعادة | عالية | ضمن الهدف المحدد للاسترداد |
إكمال تدريب أمان التشغيل النسبة المئوية للموظفين المدربين على تهديدات التشغيل الحالية | إكمال التدريب LMS: الوحدات الأمنية الخاصة بالتكنولوجيا التشغيلية | متوسطة | ≥ 90% |
تاريخ اختبار خطة الاستجابة للحوادث الأيام منذ آخر محاكاة/تمرين استجابة لحوادث التشغيلية | سجل التمرين: تاريخ آخر محاكات استجابة لحادث تشغيل | عالية | ≤ 90 يوم |
استهلاك المعلومات الاستخبارية من ISAC النسبة المئوية للنصائح من ISAC التي تمت مراجعتها وتقييمها خلال 24 ساعة | سجل النصائح الاستخبارية من ISAC مقابل نظام تتبع المراجعة الداخلية | عالي | 100% خلال 24 ساعة |
وقت استجابة التنبيه من CISA الوقت من نشر التنبيه من CISA إلى الإجراء الداخلي/الإغلاق | تتبع التنبيه: الوقت للإجراء من تاريخ نشر CISA | حرج | ≤ 72 ساعة |
كادينس التقرير خلال الأزمة الجيوسياسية، يتم الإبلاغ عن مؤشرات الأداء المصنفة كحالة حرجة للقادة أسبوعيًّا. بناء لوحة معلومات من صفحة واحدة حمراء/أمبر/خضراء. يحتاج القادة إلى رؤية أربع أشياء: تغطية الرؤية، حالة التحكم بالوصول، قدرة الكشف، وجاهزية الاسترداد. |
هنا هي الحقيقة العملية التي غالبًا ما تضيع في صفحات التقارير التهديدية اللامعة ووثائق الأطر: الفجوة بين الضوابط الموثقة والضوابط المنفذة هي المكان الذي تزدهر فيه مجموعات التهديد المستديمة المتقدمة. الجهات الفاعلة الوطنية التي لديها سنوات من الوصول المسبق لا تدخل بشكل درامي. بل يمشون عبر الأبواب التي لم تُغلق بشكل صحيح أبدًا والتي يمكن أن تكون حسابًا للبائع المنسي، اتصالًا تاريخيًا غير مراقب، أو قاعدة جدار ناري DMZ مضافة خلال حالة طوارئ قبل ثلاث سنوات ولم تُراجع.
الأحداث الجيوسياسية تقلل من وقت استجابتك وتزيل الغموض بشأن التهديد ويمكنك استخدام هذه الوضوح. عندما ترتفع التوترات، لديك الإذن التنظيمي لطرح الأسئلة الصعبة، إغلاق مسارات الوصول التي كانت 'دائماً مؤقتة'، وإعطاء الأولوية للبحث والمراجعات التي لم تصل أبداً إلى أعلى قائمة العمل.
الشبكات التشغيلية التي تحميها تدعم العالم الفيزيائي وهي الطاقة في المنازل، الماء في الأنابيب، الوقود في شبكات التوزيع، الطائرات في الجو، القطارات على المسارات. هذا ليس تجريدًا. احمها كما لو أنها تهم لأن الأمر كذلك.
قراءة إضافية وقوائم التحقق من أمان التشغيل ومؤشرات الأداء الرئيسية
تحدث إلى خبير الأمان التشغيلي من Shieldworkz.
قائمة التحقق من الامتثال لـ NERC CIP-015-1 ومؤشر الأداء الرئيسي
قائمة تحقق الحماية من التهديد الداخلي
توجيه موقف دفاعي للشركات في الشرق الأوسط
احصل على تحديثات أسبوعية
الموارد والأخبار
قد تود أيضًا
شرح NERC CIP-015-2: توسيع INSM لتشمل EACMS و PACS
فريق شيلدوركز
فك رموز الهدوء الاستراتيجي للمجموعات الإلكترونية الإيرانية
فريق شيلدوركز
كيف تؤثر أزمة إيران على الفضاء الإلكتروني
فريق شيلدوركز
التهديدات السيبرانية في الشرق الأوسط: ما الذي تحتاج المنظمات لمعرفته الآن
فريق شيلدوركز
إنشاء برنامج للأمن السيبراني في تكنولوجيا التشغيل باستخدام IEC 62443 و NIST SP 800-82
فريق شيلدوركز
كل شيء عن صندوق أدوات أمان سلسلة التوريد لتقنية المعلومات والاتصالات الجديد في الاتحاد الأوروبي
برايوكت كيه في
