مأموریت مرکز عملیات امنیت یا SOC در طول سالها تکامل پیدا کرده است. ساخت مراکز عملیات امنیت قبلاً شامل واردکردن تعداد خیلی زیادی از Feedهای دستگاهها بود. امروز این مرکز بیشتر به داشتن یک پلتفرم Big Data و مدیریت رخداد و اطلاعات امنیت یا SIEM مربوط است که توسط ابزار جریان کاری، خودکارسازی و تجزیهوتحلیل تکمیل میشوند؛ همراه با Feedهای دستگاه که مستقیماً به اهداف کسبوکار بهخصوصی مرتبط میگردند. SOC باید سادهسازی شود زیرا یک استراتژی مدرن، بهخصوص برای محیطهای تکنولوژی عملیاتی یا OT حیاتی است.
تکنولوژیهای عملیاتی یا OT تمام سیستمها، تمام سطوح مدل پوردو و محاسبات مربوطه هستند که برای اجرای محیطهای صنعتی، اتوماسیون و سیستمهای کنترل استفاده میشوند.
محیطهای عملیاتی به چه چیزی نیاز دارند؟
در هنگام ساخت یک مرکز عملیات امنیت، اولویت اول تعریف اهداف خاص هر کسبوکار است. در زمینههایی مثل ایجاد فرایند، شرکتها نگران حفاظت از دستورالعملهای کار خود و کار کردن تجهیزاتشان هستند.
اما دستورالعمل کار چیست؟ دستورالعمل کار میزان تحمل، دماها و مواد شیمیایی را تعریف میکند که کارمندان باید از آنها استفاده کنند و همچنین میگوید که چطور باید آنها را اعمال کرد. این قواعد ممکن است شامل زمانها و نسبتهای بهخصوصی در فرایندهای تولید باشند. دستورالعمل کار به یک کسبوکار این توانایی را میدهد که متفاوت بوده و بهتر از رقیبان خود باشد.
اما یک تیم امنیتی چطور از داراییهای حیاتی خود حفاظت میکند؟ این دقیقاً همان سؤالی است که صنعت باید از خود بپرسد. تیم امنیتی به ما کمک میکند که استراتژی خود را برای ساخت یک مرکز عملیات امنیت برای محیطهای عملیاتی یا OT تعریف کنیم.
تکنولوژی عملیاتی یا OT چه ریسکهایی دارد
اکثر صنایعی که محیطهای تکنولوژی عملیانی دارند، از جمله صنایع نفت و گاز، تولید، توزیع و زیرساختهای حیاتی، دههها است مشغول به کار بودهاند. به همین دلیل این تصور وجود دارد که امنیت برای تکنولوژی عملیاتی یا OT از لحاظ تاریخی متفاوت است. ممکن است کارمندان فکر کنند که صنعت آنها تحت تأثیر ریسکهای امنیت سایبری IT قدیمی نیست. اما ریسکها وجود دارند و حملات بدافزار میتوانند در محیطهای عملیاتی گسترش پیدا کنند. برای مثال بدافزار Shamoon عملیات تولیدکنندگان نفت و گاز را مختل کرده و دادههای شرکت را نابود کرد.
این ریسکهای امنیتی در تکنولوژیهای عملیاتی وجود دارند و درصورتیکه مورد سوءاستفاده قرار بگیرند، میتوانند تأثیرات بسیار مخربی داشته باشند. عملیات میدانی و در برخی از موارد، عملیات تولیدی شامل تجهیزات سنگین و دستگاههای حیاتی هستند. اگر قرار بود که تجهیزات دچار قطعی شده یا از کنترل خارج گردند، نتایج مخربی به بار میآمد.
مثلاً بسیار مهم است که از چیزی به نام «وضعیت رقابتی» پیشگیری گردد. بیایید فرض کنیم که چرخهی عادی یک پمپ یا راکتور هستهای حدود ۶۰ بار در دقیقه است. سپس ناگهان بدافزاری معرفی میشود که آن چرخه را به ۱۰۰۰ بار در دقیقه افزایش میدهد. اگر این فرایند حدود پنج دقیقه ادامه پیدا کند، همهچیز داغ میشود و ممکن است ذوبشدن یا انفجار رخ دهد.
مانیتورینگ تکنولوژیهای عملیاتی در یک SOC مدرن
پس از مشخص کردن اهداف کسبوکار و ساخت موارد کاربرد SIEM حول آن اهداف، قدم بعدی ایجاد یک SOC کارآمد این است که بدانیم چه دستگاههایی در محیط تکنولوژی عملیاتی یا OT ما وجود دارد. یکی از دلایل کندبودن استفاده از مانیتورینگ امنیت سایبری برای تکنولوژی عملیاتی تا سالهای اخیر، عدم وجود راههای زیاد برای درک مواردی است که روی شبکهی تکنولوژی عملیاتی وجود دارد. امروزه ما راهکارهای مانیتورینگ متفاوتی را برای تکنولوژی عملیاتی، اینترنت اشیا و اینترنت اشیای پزشکی داریم که میتوانند تمام دستگاههای روی شبکه، نسخهی نرمافزاری کنونی هر دستگاه و حتی نسخهی نرمافزاری که دستگاه باید روی آن باشد را به شما بگوید.
در مرحله بعد باید راهی جهت مانیتور کردن دستگاههای تکنولوژی عملیاتی برای تغییرات یا حملات بهصورت Real-Time داشته باشیم. سپس باید دادهها را به مرکز عملیات امنیت متصل نماییم. برخی از گروهها میخواهند یک مرکز عملیات امنیت مخصوص را برای تکنولوژی عملیاتی بسازند، اما واقعیت این است که بیشتر مشتریان دوست دارند یک IT/OT SOC تجمیعشده داشته باشند. هدف مشتریانی که تازه این مسیر را آغاز کردهاند باید این باشد که یک آگاهی ابتدایی بدست آورده و اطمینان حاصل کنند که دستگاهها در سطح مناسبی Patch شده باشند.
نیازهای تیم SOC در یک محیط OT
یکی دیگر از موضوعات متفاوت تکنولوژی عملیاتی در قیاس با انواع دیگر کسبوکاری که ممکن است نیاز به SOC داشته باشند، افراد است. سازمانهای تکنولوژی عملیاتی معمولاً یک مأمور امنیت اطلاعات ارشد ندارند. به این دلیل که کارمندان تکنولوژی عملیاتی معمولاً از مسیر شغلی مهندسی برق میآیند که در آن روی ماشینآلات و فرایندها تمرکز میکنند. در مقابل، متخصصان امنیتی معمولاً از حوزههای توسعهی نرمافزار و علم رایانه میآیند و تمرکز آنها روی تهدیدات IT در حال ظهور است. درنتیجه، بخشِ مدیریت گروهها و سازمانهای تکنولوژی عملیاتی عادت ندارد که یک گروه امنیت از بالا به پایین روی آنها نظارت کند.
یکی دیگر از تفاوتهای کلیدی در مورد ساخت یک مرکز عملیات امنیت یا SOC، داشتن پرسنلی با سطح مناسبی از تخصص است. تحلیلگر SOC در سطح یک، دو و سه معمولاً آموزش دیدهاند که وقتی رخدادی را دیدند که دیتابیسی را هدف گرفته است، باید چه کار کنند. تحلیلگران IT میدانند که اگر یک Exchange Server قطع شد، باید چه کاری انجام دهند. اما اگر بدافزاری یک پالایشگاه نفت را دچار اختلال کند، نمیتوانیم به مدیر IT زنگ بزنیم و سرور را ریبوت کنیم.
برای اینکه مطمئن شوید افراد شما برای این شغل مناسب هستند، میتوانید آموزشهای لازم را به تحلیلگران امنیتی خود بدهید یا یک تیم تکنولوژی عملیاتی مخصوص بسازید که در اتاق یا ساختمان یکسانی کار کند. تحلیلگران در آن تیم باید ضرورت رسیدگی به یک هشدار شامل تجهیزات سنگین را درک کنند.
برنامههای پاسخ به رخداد برای تکنولوژی عملیاتی
یک مرکز عملیات امنیت OT، همچنین به برنامههای پاسخ به رخداد بسیار متفاوتی نیاز دارد. به جای تماس گرفتن با تیمهای تحقیقات پزشکی قانونی و ارتباطات عمومی، باید با مدیر کارخانه و مدیر عملیات میدانی در یک منطقهی بهخصوص تماس گرفته شود.
این تیم همچنین باید نوع زبان بهخصوصی را در مورد کار بلد باشد. این نوع گفتار ممکن است بسیار با گفتگوهایی که به آن عادت دارند و در مورد نصب مجدد نرمافزار روی لپتاپ است، متفاوت باشد. تأثیر احتمالی روی دستگاههای تکنولوژی عملیاتی باید به زبانی بیان شود که مدیر میدانی یا مدیر عملیات میدانی آن را درک کند. این زبان باید شامل واژگانی برای سیستمهای کنترل صنعتی و سیستمهای کنترل نظارتی و کسب داده باشند.