MetaDefender Sandbox يقدم الآن تحليلا للتهديدات ورؤية لحماية ICS في البنية التحتية الحيوية
إن معدل تطور البرمجيات الضارة وتقنيات الهجوم، إلى جانب تصاعد التوترات الجيوسياسية العالمية، قد حولت المحادثة في كل من القطاعين العام والخاص حول كيفية حماية البنية التحتية الحيوية من الكتلة الاضطراب السيبراني.
تاريخيا IT وقد تم عزل أنظمة OT / ICS تماما عن بعضها البعض ، ولكن كتحول رقمي يستمر هذان العالمان يندمجان بسرعة.
نتيجة لذلك ، يستخدم مجرمو الإنترنت البرامج الضارة للتسلل على وجه التحديد إلى شبكات OT لاحتجاز الأنظمة التي تعتمد الدول على - مع العلم أن الأهداف لا يمكنها تحمل وقت التوقف الذي غالبا ما يتم رؤيته عندما تضرب برامج الفدية IT جانب من العمل.
الهجمات المتزايدة على ICS تعرض للخطر سلامة وأمن الجمهور الذي يعتمد على البنية التحتية الحيوية ل توفير الاحتياجات الأساسية. لقد رأينا ذلك يحدث مع استهداف الإيرانيين للبنية التحتية النفطية السعودية باستخدام Triton و SandWorm استهداف المرافق الكهربائية الأوكرانية مع Black Energy في عام 2015 و Industroyer في عام 2016.
فهم نقاط الضعف
لفهم كيفية القيام بذلك بشكل أفضل OT تعمل البرامج الضارة ، من المهم أن تفهم أين توجد نقاط الضعف وكيف يتم استغلالهم. في معظم الحالات ، يكون ضمن وحدات تحكم Windows المتداخلة مع هذه الأنظمة ، و تعليمات موجهة نحو أنظمة التشغيل. وتشمل هذه:
- الأجهزة: عملاء واجهات الإنسان والآلة (HMIs) ومؤرخي البيانات وخوادم SCADA ومحطات العمل الهندسية (EWS)
- المنصات (برنامج ICS): جنرال إلكتريك بروفيسي ، هانيويل HMIWeb ، إلخ
- الشبكة: الوصول المباشر إلى الإنترنت إلى بيئة ICS من خلال التعرض للبروتوكولات التشغيلية مثل Siemens S7 و Omron FINS و Ethernet / IP ، بالإضافة إلى الوصول إلى VNC الذي تم تكوينه بشكل خاطئ. هذا يمكن أن يؤدي إلى حركة جانبية مقابل SMB.
إذن لماذا التركيز على هذه السيناريوهات Industrial بعيدًا عن تكنولوجيا المعلومات؟
الجهات الفاعلة في الدولة القومية تحب البرامج الضارة ICS لأنها تتماشى مع أهدافها السياسية المتمثلة في تقويض البنية التحتية ، وعلى نطاق أوسع وخدمات الهجوم الأعمق داخل البيئات الصناعية تسمح لهم بالقيام بذلك. هذه الجهات الفاعلة هي أيضا تلك التي لديها الموارد اللازمة لتنفيذ الهجمات بنجاح على ICS لأنها تحتاج عموما إلى مزيد من التطور والتخطيط أكثر من هجوم برامج الفدية التي يمكن تنفيذها باستخدام مكونات وخدمات "جاهزة".
فهم منهجيات الهجوم
هناك طريقة أفضل لفهم البرامج الضارة وراء هذه الهجمات ومساعدة مؤسسات البنية التحتية الحيوية منع السلوكيات المستقبلية من خلال تعيين جميع السلوكيات إلى إطار عمل MITRE ATT&CK ل ICS و YARA - وهما مصدران رئيسيان يجب أن يكون محترفو الأمن السيبراني على دراية بما يلي:
- إطار عمل MITRE ATT&CK لنظم الرقابة الصناعية: على غرار إطار عمل MITRE ATT&CK لتكنولوجيا المعلومات المعتمد على نطاق واسع، يقوم هذا الإطار بنمذجة سلوكيات الهجمات باستخدام البرمجيات الخبيثة التي تستهدف أنظمة التحكم Industrial . من خلال دمج تخطيط السلوكيات مع إطار عمل MITRE ATT&CK ICS، فإن الأدوات مثل MetaDefender Sandbox يمكن أن تساعد المدافعين في التعرف بسرعة على كيفية محاولة البرمجيات الخبيثة مهاجمة أنظمتهم الاستجابة بفعالية أكبر.
كمثال على ذلك ، قمنا بتحليل الطاقة السوداء في وضع الحماية ، ورأينا رسم خرائط السلوكيات الخاصة ب ICS لإطار العمل:
- YARA للحماية والكشف وتعقب التهديدات: من خلال دمج قواعد Yara ICS وأدوات التحليل ، بما في ذلك OPSWAT Sandbox، يمكنه تحديد سمات البرامج الضارة - الثابتة والديناميكية على حد سواء - التي تتطابق مع البرامج الضارة المعروفة بشكل أكثر فعالية سمات البرامج الضارة ICS. بينما يتم تعديل ملفات البرامج الضارة نفسها بشكل متكرر من قبل الجهات الفاعلة في التهديد للتهرب الكشف ، يحتاج المهاجمون إلى الاستفادة من البنية التحتية والأدوات والتكتيكات والإجراءات الحالية (TTPs) من أجل أن يكونوا فعال. البنية التحتية للمهاجم هي تكلفة كبيرة غارقة يحتاجون إلى إعادة استخدامها ، وبالتالي سبب شيوع TTPs عبر المتغيرات المختلفة من البرامج الضارة. ونتيجة لذلك، يمكن ل TTPs الشائعة في أكثر من عينة واحدة من البرامج الضارة تحديد العائلات والمساعدات في الإسناد.
يوفر أحدث MITRE ATT&CK ل ICS إطار TTP الخاص بالهجمات التي تستهدف التقنيات التشغيلية ، مثل كتثبيط وظائف الاستجابة.
يتطلب اكتشاف البرامج الضارة المراوغة بشكل خاص داخل البنى التحتية الحيوية قدرات تحليل يجب أن تضمين تحليل ثابت وديناميكي شامل ، مع القدرة على وضع علامة على TTPs الخاصة بهجمات ICS ، كما هو موضح مع تحليل الطاقة السوداء أدناه.
الإصدار الأخير من OPSWAT Sandbox يتضمن الإصدار 1.1.7 تعيين IOCs إلى ICS TTPs ، ومع قواعد YARA المتاحة ومستودع MISP الأصلي ل OPSWAT MetaDefender Core، يمكن للمؤسسات حماية نفسها بشكل أفضل من تهديدات البرامج الضارة من خلال OPSWATشامل threat intelligence حل.
