لماذا يعد معيار NERC CIP-015-1 لأمن الشبكة الداخلية ضروريًا للدفاع عن أنظمة التحكم الصناعي
بريوكث ك ف
لماذا NERC CIP-015-1 لأمن الشبكة الداخلية تعتبر ضرورة للدفاع عن أنظمة التحكم الصناعي ICS
يتطور مشهد التهديدات بالنسبة لنظام الطاقة الكهربائية الشامل في أمريكا الشمالية (BES) مع ظهور مزيج جديد من التهديدات والمخاطر. حيث يقوم الخصوم بشكل متزايد بتجاوز الدفاعات الحدودية التقليدية للتحرك بشكل جانبي داخل الشبكات الحرجة، مما يجعل التهديدات الآن أكثر قوة وإزعاجًا من أي وقت مضى. بالإضافة إلى الإزعاج، فإن إمكانية احتفاظ الجهات المهددة بوصولها إلى الشبكات المرتبطة بالشبكة تمثل تهديدًا طويل الأمد يحتاج إلى معالجة سريعة وفعالة.
وقد استجابت مؤسسة القوانين الكهربائية الأمريكية الشمالية (NERC) لمثل هذه التحديات من خلال إطلاق معيار جديد محوري: CIP-015-1 – مراقبة أمان الشبكات الداخلية (INSM). هذا المعيار الجديد ليس مجرد مربع امتثال ولكن يمثل تحولًا جوهريًا في تأمين أنظمة التحكم الصناعي (ICS) من خلال الدعوة إلى رؤية عميقة ومستدامة عبر منطقة الثقة.
لا تنسى مراجعة منشور مدونتنا السابق حول "كيفية تحقيق نتائج أمان حقيقية لتكنولوجيا التشغيل من خلال تقييم المخاطر مع IEC 62443" هنا.
ما بعد الحدود: فهم هدف CIP-015-1
تقليديًا، ركزت معايير NERC CIP بشكل كبير على تأمين محيط الأمن الإلكتروني (ESP). كان هذا أساسًا عبارة عن امتداد لإجراءات الأمان المادية بناءً على التحكم في الوصول. كانت الفكرة السائدة هي أن جميع التهديدات تأتي من خارج المحيط وإذا كانت الأسوار قوية فلن يتمكن أي شيء من الدخول.
بينما كانت متوافقة بشكل واسع مع طيف التهديدات السائد في ذلك الوقت، هذا ما ترك نقطة عمياء: ماذا يحدث بمجرد اختراق المهاجم للدفاع الأول ويدير التسلل إلى الداخل؟ يمكن للمهاجم الذي تمكن من الدخول إلى الشبكة أن يتحرك بشكل جانبي (المعروف باسم حركة "شرق وغرب") ليقوم بتسوية التكنولوجيا التشغيلية الحرجة (OT) الأصول. يمكن للمهاجم أيضًا الدخول بمساعدة من حليف داخل الشبكة.
الهدف الأساسي من CIP-015-1 هو تعزيز احتمال اكتشاف النشاط الشبكي غير المألوف أو الغير مرخص به داخل ESP، مما يسهل الاستجابة السريعة والدقيقة والتعافي من الهجمات.
لماذا المراقبة الداخلية مهمة:
اكتشاف الحركة الجانبية: يستخدم المهاجمون عادةً أوراق اعتماد صالحة (مُؤشر عليها) مع البروتوكولات العادية للتنقل داخل الشبكة، متجاوزين الدفاعات الحدودية المبنية على التوقيع. تم تصميم INSM لكشف هذه السلوكيات الغير مألوفة في وقت مبكر من دورة حياة الهجوم.
الكشف المبكر عن الهجمات: كلما تم اكتشاف الاختراق الداخلي بشكل أسرع، قل الضرر الذي يمكن أن يلحقه الخصم بوظائف حرجة. يمكن الكشف المبكر داخل دورة حياة الهجوم بفضل INSM.
الحصول على بيانات لعلوم الطب الشرعي: تعد جمع وتنظيم واحتفاظ بيانات الشبكة الداخلية أمرًا ضروريًا لفهم نطاق ووسيلة ومدى الهجوم، مما يحسن بشكل كبير استجابة الحوادث وتحليل الأدلة الجنائية. كما أنه ضروري من منظور الإبلاغ عن الامتثال كذلك.
المتطلبات القابلة للتنفيذ: ماذا يمكن للكيانات أن تفعل؟
يتطلب CIP-015-1 عملية قوية وموثقة لمراقبة أمن الشبكات الداخلية لأنظمة BES Cyber ذات التأثير العالي (بوجود أو بدون اتصال خارجي قابل للتوجيه) وأنظمة BES Cyber ذات التأثير المتوسط مع اتصال خارجي قابل للتوجيه.
يمكن تقسيم المتطلبات إلى ثلاثة مجالات رئيسية:
مراقبة أمن الشبكة (المطلب 1)
هذا هو جوهر المعيار الذي يتطلب نهج استباقي قائم على المخاطر للمراقبة.
R1.1: تنفيذ شبكات تغذية البيانات: يجب على الكيانات استخدام العقلانية المبنية على المخاطر لتحديد وتنفيذ شبكات تغذية البيانات التي تراقب بشكل فعال نشاط الشبكة، بما في ذلك الاتصالات والأجهزة والبروتوكولات. هذا يعني أن يتم وضع المستشعرات بشكل استراتيجي للحصول على المقدار المناسب من الرؤية في حركة وترددات OT الحرجة.
R1.2: كشف النشاط الغير مألوف: تنفيذ واحدة أو أكثر من الطرق للكشف عن نشاط الشبكة الغير مألوف باستخدام شبكات تغذية البيانات المجموعة. يتطلب ذلك تحديد سلوك الشبكة "العادي" - فهم ما يجب أن تبدو عليه بيئة OT الخاصة بك، للكشف بفعالية عن الانحرافات.
R1.3: تقييم النشاط الغير مألوف: تحديد طرق لتقييم النشاط الغير مألوف المكتشف لتحديد الاستجابة أو الإجراء الإضافي اللازم، مما يضمن التصعيد المناسب عند تحديد تهديد حقيقي.
الاحتفاظ بالبيانات (المطلب 2)
R2: الاحتفاظ ببيانات INSM: يجب عليك تحديد وتنفيذ عمليات لالاحتفاظ ببيانات INSM المرتبطة بالنشاط الشبكي الغير مألوف لمدة كافية لإكمال عملية التقييم (R1.3). يضمن هذا ألا تضيع الأدلة الحيوية قبل انتهاء التحقيق.
حماية البيانات (المطلب 3)
R3: حماية بيانات INSM: يجب أن تكون هناك عمليات لحماية بيانات INSM (المجموعة والمحتفظ بها) من الحذف أو التعديل غير المصرح به. البيانات نفسها تعتبر أصولًا حيوية للأمان والامتثال ويجب حمايتها من العبث.
الخطوات الرئيسية الموصى بها لتحقيق الامتثال وتعزيز الدفاع
يعد الامتثال لـ CIP-015-1 فرصة لرفع وضع الأمان لمنظمتك بشكل كبير. فيما يلي خطوات قابلة للتنفيذ للانتقال من الامتثال إلى الصمود الحقيقي:
الخطوة | نصيحة قابلة للتنفيذ | فائدة الأمان |
تحديد النطاق بالكامل | قم بتحديد جميع أنظمة BES Cyber ذات التأثير العالي والمتوسط داخل محيط الأمن الإلكتروني (ESP) بوضوح. | يضمن عدم تفويت أي أصول حرجة. |
استكشاف عميق لبروتوكولات OT | استثمر في أدوات INSM مثل Shieldworkz التي تفهم ويمكنها فحص بروتوكولات OT المحددة بعمق (مثل Modbus، DNP3). | تمكن من تحديد الأساسيات بدقة وكشف التهديدات باستخدام الاتصالات الأصلية لـ OT. |
وضع المستشعرات بناءً على المخاطر | لا تراقب كل شيء بالتساوي. استخدم تقييم المخاطر الخاص بك لتحديد أهم مسارات حركة "شرق وغرب" لنشر المستشعرات. | يحقق أقصى قدر من الرؤية حيث من المرجح أن يتحرك المهاجم. |
تحديد الأساسيات وضبطها | اقض وقتًا كبيرًا في تحديد أساس واضح للسلوك "العادي". ضبط طرق الكشف لتقليل الإنذارات الكاذبة. | يقلل من تعب الإنذار ويضمن تركيز فرق الأمان على التهديدات الحقيقية. |
دمج مركز العمليات الأمنية (SOC) | دمج إنذارات وبيانات نظام INSM الخاص بك في مركز العمليات الأمنية (SOC) مع كتب التشغيل للتصعيد والاستجابة المحددة مسبقًا بشكل واضح. | يضمن استجابة فعالة ومنسقة وسريعة للحوادث. |
النظر إلى الأمام نحو CIP-015-2
من المهم أن نلاحظ أن NERC قد تم توجيهه بالفعل من قبل FERC لتطوير تعديلات لاحقة (ربما CIP-015-2) لتوسيع نطاق مراقبة INSM. من المتوقع أن يمتد المعيار التالي في هذه السلسلة للأنظمة التي تقيم خارج ESP، تحديدًا أنظمة التحكم في الوصول الإلكتروني أو أنظمة مراقبة الدخول (EACMS) وأنظمة التحكم في الوصول المادي (PACS).
يجب على المرافق أن تأخذ بعين الاعتبار هذا التوسع المستقبلي في التخطيط الآن، حيث أن الهدف هو نهج شامل للمراقبة الداخلية يغطي جميع نقاط الدخول والوصول إلى البيئة المترابطة بالشبكة CIP.
من خلال تنفيذ وإدارة برنامج INSM قوي تحت NERC CIP-015-1، لا تلبي المرافق الكهربائية مجرد متطلبات تنظيمية، بل إنها تبني طبقة حرجة لا غنى عنها من الدفاع الضروري لحماية استقرار وموثوقية نظام الطاقة الكهربائية الشامل.
لمعرفة المزيد عن NERC CIP-015-1، تحدث إلى خبير CIP في NERC.
احصل على تحديثات أسبوعية
الموارد والأخبار
قد تود أيضًا
From click to crisis: How Nova Scotia Power got breached
Team Shieldworkz
تفكيك دفتر مقاومة هندالة
برايوكت كيه في
تطبيق إطار عمل NIST CSF 2.0 ليتوافق مع IEC 62443: إطار عملي لأمن عمليات التكنولوجيا الصناعية
فريق شيلدوركز
نشر ضوابط الأمن IEC 62443 في أنظمة التحكم الصناعية المتكاملة: دليل التنفيذ العملي
برايوكت كيه في
معالجة تحديات تنفيذ NIS2
فريق شيلدوركز
المناطق الآمنة المعزولة جوياً ومعايير NERC CIP-015: لماذا تقصر تقنيات أمان SCADA التقليدية
فريق شيلدوركز
