إذا كنت تعمل في مجال الأمن، فأنت تعرف جيدًا أن الرؤية أمر لا غنى عنه.
ويتماشى ذلك مع "الضوابط الحاسمة الثالثة لنظم التحكم الصناعية (ICS) – الرؤية والمراقبة الشبكية" الصادرة عن SANS، ومعايير NIST CSF وISA/IEC 62443، التي تحدد بوضوح متطلبات الرؤية.
ومع ذلك، فإن دمج الرؤية الشبكية بأمان في بيئات التكنولوجيا التشغيلية (OT) وأنظمة التحكم الصناعية (ICS) لجميع الفرق التي تحتاج إليها يمثل تحديًا:
- تحتاج فرق أمن تكنولوجيا المعلومات وتكنولوجيا التشغيل إلى السجلات لمراقبة الأحداث.
- يحتاج القائمون على الاستجابة للحوادث إلى البيانات لاتخاذ قرارات مستنيرة أثناء الهجمات.
- يحتاج محللو الجرائم الإلكترونية إلى البيانات لفهم كيفية وقوع هجوم في بيئة التكنولوجيا التشغيلية (OT) والتسلسل الزمني للأحداث.
- حتى فرق الامتثال تحتاج إلى سجلات لإثبات بذل العناية الواجبة.
لا يتعلق الأمر بـ«كيفية» توفير وصول OT لهذه الفرق؛ بل يتعلق بتوفير هذا الوصول دون ترك الباب مفتوحًا عن غير قصد أمام المهاجمين.
وهناNetWall دور OPSWAT MetaDefender NetWall .
بدلاً من السماح لكل من هذه الفرق بالوصول إلى بيئة التكنولوجيا التشغيلية (OT)،يعمل "ديود البيانات أحادي الاتجاه" من MetaDefender NetWall على نقل السجلات من بيئة التكنولوجيا التشغيلية (OT) إلى بيئة تكنولوجيا المعلومات (IT)، مما يتيح للفرق الاطلاع على ما يجري دون فتح الباب أمام التهديدات.
من يحتاج إلى سجلات OT (ولماذا لا يمكنهم مجرد «تسجيل الدخول»؟)
تتضمن أطر العمل مثل "الضوابط الحاسمة الثالثة لنظم التحكم الصناعية" (SANS 3rd Critical Controls for ICS) وإطار عمل NIST CSF وإطار عمل ISA/IEC 62443 قواعد واضحة تتعلق بالرؤية.
تعد أدوات التحكم في الرؤية أساسية لتحديد الأصول، وكشف نقاط الضعف، ومراقبة التهديدات في الوقت الفعلي، دون تعطيل العمليات الصناعية الحيوية والحساسة.
توجد فرق مختلفة داخل المؤسسة، ولا يمكن بأي حال من الأحوال الاستغناء عن وصولها إلى بيانات التشغيل (OT) في الوقت الفعلي.
محللو مركز عمليات الأمن (SOC)
يتولى محللو SOC مسؤولية مراقبة التنبيهات الأمنية واكتشافها والتحقيق فيها والاستجابة لها.
باختصار، تتمثل مهمتهم في رصد التهديدات قبل أن تتحول إلى كوارث. ولتحقيق ذلك، يحتاجون إلى سجلات OT في الوقت الفعلي للكشف عن عمليات الاختراق أو البرامج الضارة أو حركة المرور غير الطبيعية.
ومع ذلك، إذا تمكن المهاجم من الوصول المباشر إلى بيئة تكنولوجيا المعلومات، فيمكنه الانتقال بسرعة إلى أنظمة التكنولوجيا التشغيلية، مما يشكل خطرًا جسيمًا بحدوث اختراق لتلك الأنظمة.
ولهذا السبب، لا يمكن لفرق SOC الاعتماد على طرق تسجيل الدخول البسيطة للوصول إلى بيانات تكنولوجيا التشغيل (OT) في الوقت الفعلي لأغراض المراقبة.
في حال تعرض نظام SOC للاختراق، يمكن للمهاجم استغلال هذا الاتصال كمدخل إلى بيئة التكنولوجيا التشغيلية.
فرق OT Security
تقوم فرق أمن تكنولوجيا التشغيل (OT) بحماية أنظمة التحكم الصناعية وتكنولوجيا التشغيل (OT) مثل أنظمة SCADA ووحدات التحكم المنطقية القابلة للبرمجة (PLC) وروبوتات التصنيع، التي تتولى إدارة البنية التحتية المادية.
تحتاج هذه الفرق إلى سجلات الأمان من أجل إجراء التحليل الجنائي وكشف الحالات الشاذة.
كما أن منح أنظمة بيئة تكنولوجيا المعلومات التي تستخدم أدوات أمان خاصة بنظم التحكم الصناعية (ICS) والتكنولوجيا التشغيلية (OT) أدوات إلى بيئة التكنولوجيا التشغيلية (OT) ليس فكرة جيدة أيضًا.
وعلى غرار الحالة المتعلقة بمراكز العمليات الأمنية (SOC)، فإن تعرض تلك الأنظمة المعلوماتية للاختراق قد يوفر للمهاجمين مسارًا مباشرًا للوصول إلى عمليات التكنولوجيا التشغيلية (OT).
فرق الاستجابة للحوادث والتحليل الجنائي
في حالة اكتشاف أي خلل أو اختراق، يتم استدعاء فرق الاستجابة للحوادث والتحليل الجنائي للتحقيق في الأمر ومعالجته.
فهم بحاجة إلى سجلات لتحديد الهجمات على أنظمة تكنولوجيا التشغيل واحتوائها والقضاء عليها، مما يوفر سبيلاً للوقاية من تكرار الحوادث.
ومع ذلك، عادةً ما يتم الاستعانة بهذه الفرق بعد تأكيد حدوث اختراق، عندما تكون المخاطر في ذروتها.
في حال تعرض أدوات الاستجابة أدوات بيانات الاعتماد للاختراق، فإن مسار تسجيل الدخول إلى نظام التشغيل التشغيلي (OT) سيزود المهاجمين بكل ما يحتاجون إليه بالضبط.
لذلك، يجب ألا تتمتع فرق الاستجابة للحوادث وفرق التحقيق الجنائي بإمكانية الوصول المباشر إلى بيئة التكنولوجيا التشغيلية (OT) عن طريق تسجيل الدخول.
فرق الامتثال والتدقيق
إذا لم تكن هناك سجلات، فهذا يعني عدم استيفاء معايير الامتثال.
تحتاج فرق الامتثال والتدقيق إلى تخزين السجلات على المدى الطويل وتتبع موثوق للأحداث من أجل تلبية المتطلبات التنظيمية ومتطلبات إعداد التقارير.
ومع ذلك، فإن منح المدققين حق الوصول المباشر إلى بيئة نظام التشغيل ليس ضروريًا ولا مستصوبًا.
يُعد تزويدهم بالسجلات والتقارير المطلوبة من الخارج خيارًا أكثر أمانًا وأفضل تحكمًا، بدلاً من فتح مسار وصول مباشر إلى أنظمة التكنولوجيا التشغيلية.
لماذا نستخدم صمام البيانات؟ لأن الوصول الداخلي يمثل كابوسًا
في هذه المرحلة، من الواضح أن السماح لأنظمة المؤسسات بالاستعلام عن سجلات تكنولوجيا التشغيل (OT) مباشرةً ينطوي على مخاطر أمنية كبيرة.
كل ما يحتاجه المهاجم هو اتصال غير آمن لكي:
- الانتقال من تكنولوجيا المعلومات إلى تكنولوجيا التشغيل.
- استخراج البيانات الحساسة من بيئات تكنولوجيا التشغيل (OT) وأنظمة التحكم الصناعية (ICS)، بما في ذلك معلومات أنظمة التحكم مثل ماركات وطرازات أجهزة التحكم المنطقية القابلة للبرمجة (PLC) وقيم العمليات وغيرها.
- التلاعب بالسجلات لإخفاء آثارهم.
يقضي MetaDefender Netwall على هذه المخاطر من خلال فرض تدفق البيانات أحادي الاتجاه على مستوى الأجهزة.
يتم إرسال السجلات، لكن لا يتم استلام أي شيء في المقابل.
تحصل فرقنا على البيانات التي تحتاجها، بينما تظل شبكات التشغيل (OT) محمية وآمنة.
طريقة العمل
تقوم نسخة Splunk الخاصة ببيئة التكنولوجيا التشغيلية (OT) بجمع سجلات الأمان من جميع أنحاء بيئة التكنولوجيا التشغيلية.
- تتضمن المجموعة سجلات جدار الحماية ونظام كشف التسلل/نظام منع التطفل ، وسجلات أحداث Windows، وحتى أحداث PLC.
بدلاً من السماح لمستخدمي المؤسسات أو أنظمتها بالوصول إلى شبكات التشغيل (OT)، تقوم OPSWAT NetWall بنقل السجلاتNetWall إلى الخارج من مجمع بيانات Splunk الخاص بشبكات التشغيل (OT).
ثم تتلقى نسخة من تلك الأحداث من Splunk إلى Splunk على مثيل Splunk الخاص بالمؤسسة.
وبذلك، تحصل فرق الأمن والامتثال على الرؤية التي تحتاجها، دون إنشاء مسارات وصول واردة قد تعرض بيئة التكنولوجيا التشغيلية للمخاطر.
خاتمة: أمان دون أي تنازلات
إذا طلبت فرق الأمن في مؤسستك سجلات تكنولوجيا التشغيل (OT)، فلا ترفض طلبهم برفض قاطع.
يمكنك منحهم الصلاحيات التي يحتاجونها، ولكن ليس بطريقة تعرض البيئة بأكملها للخطر.
يوفر "ديود البيانات"Netwall OPSWAT لهم الرؤية التي يحتاجونها مع الحفاظ علىأمانشبكات التكنولوجيا التشغيلية (OT).
في حالة عدم وجود وصول وارد، لا يوجد خطر التعرض للاختراق.
NetWall OPSWAT NetWall وصول البيانات الصحيحة إلى الجهات المعنية بالطريقة الصحيحة.
ليس عليك الاختيار بين الرؤية والسلامة.
باستخدام صمام ثنائي البيانات، يمكنك الحصول على كليهما.
تواصل معنا واكتشف كيفNetWall OPSWAT NetWall إنتاجية فرق الأمن لديك، ويضمن سلامة وأمن بيئة التكنولوجيا التشغيلية (OT) الخاصة بك.
