مدرن‌سازی مرکز عملیات امنیت برای محیط‌های OT

مأموریت مرکز عملیات امنیت یا SOC در طول سال‌ها تکامل پیدا کرده است. ساخت مراکز عملیات‌ امنیت قبلاً شامل واردکردن تعداد خیلی زیادی از Feedهای دستگاه‌ها بود. امروز این مرکز بیشتر به داشتن یک پلتفرم Big Data و مدیریت رخداد و اطلاعات امنیت یا SIEM مربوط است که توسط ابزار جریان کاری، خودکارسازی و تجزیه‌و‌تحلیل تکمیل می‌شوند؛ همراه با Feedهای دستگاه که مستقیماً به اهداف کسب‌و‌کار به‌خصوصی مرتبط می‌گردند. SOC باید ساده‌سازی شود زیرا یک استراتژی مدرن، به‌خصوص برای محیط‌های تکنولوژی عملیاتی یا OT حیاتی است.

تکنولوژی‌های عملیاتی یا OT تمام سیستم‌ها، تمام سطوح مدل پوردو و محاسبات مربوطه هستند که برای اجرای محیط‌های صنعتی، اتوماسیون و سیستم‌های کنترل استفاده می‌شوند.

محیط‌های عملیاتی به چه چیزی نیاز دارند؟

در هنگام ساخت یک مرکز عملیات امنیت، اولویت اول تعریف اهداف خاص هر کسب‌و‌کار است. در زمینه‌هایی مثل ایجاد فرایند، شرکت‌ها نگران حفاظت از دستور‌العمل‌های کار خود و کار کردن تجهیزات‌شان هستند.

اما دستورالعمل کار چیست؟ دستورالعمل کار میزان تحمل، دماها و مواد شیمیایی را تعریف می‌کند که کارمندان باید از آن‌ها استفاده کنند و همچنین می‌گوید که چطور باید آن‌ها را اعمال کرد. این قواعد ممکن است شامل زمان‌ها و نسبت‌های به‌خصوصی در فرایندهای تولید باشند. دستورالعمل کار به یک کسب‌وکار این توانایی را می‌دهد که متفاوت بوده و بهتر از رقیبان خود باشد.

اما یک تیم امنیتی چطور از دارایی‌های حیاتی خود حفاظت می‌کند؟ این دقیقاً همان سؤالی است که صنعت باید از خود بپرسد. تیم امنیتی به ما کمک می‌کند که استراتژی خود را برای ساخت یک مرکز عملیات امنیت برای محیط‌های عملیاتی یا OT تعریف کنیم.

تکنولوژی عملیاتی یا OT چه ریسک‌هایی دارد

اکثر صنایعی که محیط‌های تکنولوژی‌ عملیانی دارند، از جمله صنایع نفت و گاز، تولید، توزیع و زیرساخت‌های حیاتی، دهه‌ها است مشغول به کار بوده‌اند. به همین دلیل این تصور وجود دارد که امنیت برای تکنولوژی‌ عملیاتی یا OT از لحاظ تاریخی متفاوت است. ممکن است کارمندان فکر کنند که صنعت آن‌ها تحت تأثیر ریسک‌های امنیت سایبری IT قدیمی نیست. اما ریسک‌ها وجود دارند و حملات بدافزار می‌توانند در محیط‌های عملیاتی گسترش پیدا کنند. برای مثال بدافزار Shamoon عملیات تولیدکنندگان نفت و گاز را مختل کرده و داده‌های شرکت را نابود کرد.

این ریسک‌های امنیتی در تکنولوژی‌های عملیاتی وجود دارند و درصورتی‌که مورد سوءاستفاده قرار بگیرند، می‌توانند تأثیرات بسیار مخربی داشته باشند. عملیات میدانی و در برخی از موارد، عملیات تولیدی شامل تجهیزات سنگین و دستگاه‌های حیاتی هستند. اگر قرار بود که تجهیزات دچار قطعی شده یا از کنترل خارج گردند، نتایج مخربی به بار می‌آمد.

مثلاً بسیار مهم است که از چیزی به نام «وضعیت رقابتی» پیشگیری گردد. بیایید فرض کنیم که چرخه‌ی عادی یک پمپ یا راکتور هسته‌ای حدود ۶۰ بار در دقیقه است. سپس ناگهان بدافزاری معرفی می‌شود که آن چرخه را به ۱۰۰۰ بار در دقیقه افزایش می‌دهد. اگر این فرایند حدود پنج دقیقه ادامه پیدا کند، همه‌چیز داغ می‌شود و ممکن است ذوب‌شدن یا انفجار رخ دهد.

مانیتورینگ تکنولوژی‌های عملیاتی در یک SOC مدرن

پس از مشخص کردن اهداف کسب‌و‌کار و ساخت موارد کاربرد SIEM حول آن اهداف، قدم بعدی ایجاد یک SOC کارآمد این است که بدانیم چه دستگاه‌هایی در محیط تکنولوژی‌ عملیاتی یا OT ما وجود دارد. یکی از دلایل کندبودن استفاده از مانیتورینگ امنیت سایبری برای تکنولوژی‌ عملیاتی تا سال‌های اخیر، عدم وجود راه‌های زیاد برای درک مواردی است که روی شبکه‌ی تکنولوژی‌ عملیاتی وجود دارد. امروزه ما راهکارهای مانیتورینگ متفاوتی را برای تکنولوژی‌ عملیاتی، اینترنت اشیا و اینترنت اشیای پزشکی داریم که می‌توانند تمام دستگاه‌های روی شبکه، نسخه‌ی نرم‌افزاری کنونی هر دستگاه و حتی نسخه‌ی نرم‌افزاری که دستگاه باید روی آن باشد را به شما بگوید.

در مرحله بعد باید راهی جهت مانیتور کردن دستگاه‌های تکنولوژی‌ عملیاتی برای تغییرات یا حملات به‌صورت Real-Time داشته باشیم. سپس باید داده‌ها را به مرکز عملیات امنیت متصل نماییم. برخی از گروه‌ها می‌خواهند یک مرکز عملیات امنیت مخصوص را برای تکنولوژی‌ عملیاتی بسازند، اما واقعیت این است که بیشتر مشتریان دوست دارند یک IT/OT SOC تجمیع‌شده داشته باشند. هدف مشتریانی که تازه این مسیر را آغاز کرده‌اند باید این باشد که یک آگاهی ابتدایی بدست آورده و اطمینان حاصل کنند که دستگاه‌ها در سطح مناسبی Patch شده باشند.

نیازهای تیم SOC در یک محیط OT

یکی دیگر از موضوعات متفاوت تکنولوژی‌ عملیاتی در قیاس با انواع دیگر کسب‌و‌کاری که ممکن است نیاز به SOC داشته باشند، افراد است. سازمان‌های تکنولوژی‌ عملیاتی معمولاً یک مأمور امنیت اطلاعات ارشد ندارند. به این دلیل که کارمندان تکنولوژی‌ عملیاتی معمولاً از مسیر شغلی مهندسی برق می‌آیند که در آن روی ماشین‌آلات و فرایندها تمرکز می‌کنند. در مقابل، متخصصان امنیتی معمولاً از حوزه‌های توسعه‌ی نرم‌افزار و علم رایانه می‌آیند و تمرکز آن‌ها روی تهدیدات IT در حال ظهور است. درنتیجه، بخشِ مدیریت گروه‌ها و سازمان‌های تکنولوژی عملیاتی عادت ندارد که یک گروه امنیت از بالا به پایین روی آن‌ها نظارت کند.

یکی دیگر از تفاوت‌های کلیدی در مورد ساخت یک مرکز عملیات امنیت یا SOC، داشتن پرسنلی با سطح مناسبی از تخصص است. تحلیلگر SOC در سطح یک، دو و سه معمولاً آموزش دیده‌اند که وقتی رخدادی را دیدند که دیتابیسی را هدف گرفته‌ است، باید چه کار کنند. تحلیلگران IT می‌دانند که اگر یک Exchange Server قطع شد، باید چه کاری انجام دهند. اما اگر بدافزاری یک پالایشگاه نفت را دچار اختلال کند، نمی‌توانیم به مدیر IT زنگ بزنیم و سرور را ریبوت کنیم.

برای اینکه مطمئن شوید افراد شما برای این شغل مناسب هستند، می‌توانید آموزش‌های لازم را به تحلیلگران امنیتی خود بدهید یا یک تیم تکنولوژی عملیاتی مخصوص بسازید که در اتاق یا ساختمان یکسانی کار کند. تحلیلگران در آن تیم باید ضرورت رسیدگی به یک هشدار شامل تجهیزات سنگین را درک کنند.

برنامه‌های پاسخ به رخداد برای تکنولوژی عملیاتی

یک مرکز عملیات امنیت OT، همچنین به برنامه‌های پاسخ به رخداد بسیار متفاوتی نیاز دارد. به جای تماس گرفتن با تیم‌های تحقیقات پزشکی قانونی و ارتباطات عمومی، باید با مدیر کارخانه و مدیر عملیات میدانی در یک منطقه‌ی به‌خصوص تماس گرفته شود.

این تیم همچنین باید نوع زبان به‌خصوصی را در مورد کار بلد باشد. این نوع گفتار ممکن است بسیار با گفتگوهایی که به آن عادت دارند و در مورد نصب مجدد نرم‌افزار روی لپ‌تاپ است، متفاوت باشد. تأثیر احتمالی روی دستگاه‌های تکنولوژی عملیاتی باید به زبانی بیان شود که مدیر میدانی یا مدیر عملیات میدانی آن را درک کند. این زبان باید شامل واژگانی برای سیستم‌های کنترل صنعتی و سیستم‌های کنترل نظارتی و کسب داده باشند.