نستخدمُ الذكاء الاصطناعي في ترجمات الموقع، ومع أننا نسعى جاهدين لبلوغ الدقة قد لا تكون هذه الترجمات دقيقةً بنسبة 100% دائمًا. تفهّمك لهذا الأمر هو موضع تقدير لدينا.
المنزل/
المدونة
/
الإبحار في مشهد الأمن السيبراني لأنظمة التحكم الصناعي ونظم الرقابة الصناعية...
التنقل في مشهد الأمن السيبراني لشبكات ICS و OT: رؤى حلول
ب
OPSWAT
شارك هذا المنشور
مقدمة
في عالم الأمن السيبراني المتطور باستمرار، تمثل شبكات أنظمة Industrial (ICS) والتكنولوجيا التشغيلية (OT) مجالًا مهمًا للقلق. فهذه الأنظمة ليست فقط حيوية لاستمرارية العمليات التجارية، بل هي أيضًا مكونات أساسية للبنية التحتية الحيوية لأي دولة. يقوم فريق MetaDefender (المعروف سابقًا باسم Filescan Sandbox) OPSWAT بمراقبة مخاطر ICS/OT بجدية، وقد لاحظ أنشطة مستمرة وذات تأثير محتمل كبير.
المشهد الحالي للتهديدات
أظهرت الأنماط الحديثة في تهديدات الأمن السيبراني اتجاها مقلقا للهجمات: بدأت المجموعات التي ترعاها الدولة في التخصص في أنظمة التحكم الصناعي مثل Sandworm (روسيا) و Volt Typhoon (الصين) ، في حين يدرك مجرمو الإنترنت شدة التأثير على الأنظمة الصناعية. تدرك قوات الأمن في جميع المجالات أهمية هذه التهديدات لجميع قطاعات الصناعة ، مما أدى إلى إصدار تقارير وحملات مشتركة تهدف إلى تعزيز أمن ICS.
القضايا والتوصيات المستمرة
واحدة من التوصيات طويلة الأمد للتخفيف من هذه المخاطر هي الحد من تعرض النظام. ومع ذلك ، لا يزال انتشار الأنظمة المكشوفة يمثل مشكلة مقلقة في مشهد الأمن السيبراني. ومع انتشار تقنيات الاستطلاع والاستغلال على نطاق أوسع، يلوح خطر الهجمات الانتهازية في الأفق بشكل أكبر، مما يسمح لجهات التهديد ذات المستوى المنخفض من التطور بالتأثير على الأنظمة الحيوية. سلط تقرير صدر في سبتمبر الضوء على اتجاه ينذر بالخطر: OT/ تجاوزت حوادث الأمن السيبراني ICS في السنوات الثلاث الماضية إجمالي المبلغ عنها من 1991 إلى 2000. وتؤكد هذه الإحصائية وحدها التحديات المتصاعدة التي يواجهها المسؤولون عن أمن هذه البيئات.
الدفاع ضد التهديد
الأطر والتحديثات
وإدراكا للحاجة إلى الاهتمام المتخصص، وضعت شركة MITRE مصفوفة ATT &CK خاصة ب ICS، لتوفير لغة مشتركة للاتصال بين القطاعات، ولتمكين القطاعات الممثلة تمثيلا ناقصا من الاستفادة من خرائطها، وتعزيز التواصل الهادف حول المخاطر والتهديدات. يستمر تحديث الجديد نسبيا بدقة ، حيث تم إصدار أحدث إصدار الشهر الماضي فقط.
الترابط بين IT و OT
فريق OPSWAT MetaDefender مع مواكبة هذه التحديثات، يؤكد على الصلة الجوهرية بين تكنولوجيا المعلومات وتكنولوجيا التشغيل، حيث أن أصول تكنولوجيا المعلومات موجودة في جميع مستويات نموذج بوردو، وليس فقط في القمة.
تؤدي اختراق أنظمة تكنولوجيا المعلومات إلى اختراق أنظمة التشغيل التشغيلي. يهتم المشاركون في الاستطلاع بشكل أساسي بحوادث أنظمة التحكم الصناعية التي تنطوي على تهديدات برمجيات خبيثة أو مهاجمين يخترقون شبكة تكنولوجيا المعلومات الخاصة بالشركة، وقد تعرضوا لمثل هذه الحوادث بالفعل. غالبًا ما تتيح هذه الاختراقات الوصول إلى بيئة أنظمة التحكم الصناعية/أنظمة التشغيل التشغيلي والتحكم فيها. احتلت الاختراقات في أنظمة تكنولوجيا المعلومات التي تؤدي إلى دخول التهديدات إلى شبكات أنظمة التشغيل التشغيلي/أنظمة التحكم الصناعية المرتبة الأولى، تليها اختراقات محطات العمل الهندسية الخدمات الخارجية عن بُعد.
سانز 2023 ICS /OT تقرير الأمن السيبراني
رعايه OPSWAT
القاسم المشترك: الملفات الضارة
في جميع أنواع الهجمات الإلكترونية المرتبطة بأنظمة التحكم الصناعية (ICS)، يعد وجود الملفات الضارة عاملاً ثابتًا، بغض النظر عن وسيلة الدخول، سواء كانت أنظمة تكنولوجيا المعلومات أو أنظمة التشغيل الصناعية. وهنا يأتي دور حلول MetaDefender . أدوات تصميم هذه أدوات لفحص الملفات التي تعبر الحدود المحددة لشبكة المؤسسة، وهي مصممة خصيصًا لتناسب سياقات مختلفة من أجل تحقيق الأداء الأمثل، بما في ذلك البيئات المعزولة.
تجمع Adaptive SandboxOPSWAT بين مجموعات مختلفة من مؤشرات التهديدات باستخدام محللات داخلية ومحللات أخرى معروفة على نطاق واسع مثل قواعد Yara. اعتمدت كل من الهجمات المشار إليها سابقًا من Volt Typhoon و Sandworm بشكل كبير على ثنائيات Living-Off-the-Land (LOLBINS) التي ينفذ MetaDefender العديد من المؤشرات لها. ومع ذلك، فإن الهجوم الأول يمثل مثالًا جيدًا على الجمع بين المؤشرات نظرًا لتوفر العينات. الحمولة الأولى التي تم الإبلاغ عنها هي برنامج نصي دفعي يحتوي على أمر Powershell مشفر بـ base64 والذي يطلق مؤشرين مهمين لهذه الحالة، من بين أمور أخرى.
أصل المؤشر الموضح سابقا هو مضاهاة البرنامج النصي ، حيث يمكن أيضا ملاحظة المؤشرات الأخرى ذات الصلة. تظهر لقطة الشاشة التالية مؤشرا مختلفا بدرجة خطورة أعلى، يتم تشغيله من محتوى base64 الذي تم فك تشفيره في البرنامج النصي. بالإضافة إلى ذلك ، يتم تعيين كلا العنصرين المحددين وفقا لذلك باستخدام تقنيات MITRE ATT &CK المقابلة.
بالإضافة إلى ذلك، تضمن هذا الهجوم نفسه استخدام عينات Fast Reverse Proxy التي، على الرغم من كونها معبأة بواسطة UPX، تمكن MetaDefender من فك تعبئتها، مما سمح للعديد من المؤشرات الإضافية بمطابقة الملف المستخرج وتحديد التهديد.
الشكل 3 عينة FRP لإعصار فولت غير معبأة رابط التقرير
الشكل 4 يارا تحدد العينة غير المعبأة على أنها FRP رابط التقرير
استنتاج
مع تطور مشهد التهديدات، يجب أن تتطور دفاعاتنا أيضًا. يظل التزام OPSWAT بأمن شبكات ICS و OT ثابتًا، ويكرس فريق MetaDefender جهوده لتوفير حلول يتم تحديثها باستمرار حلول هذه التحديات الناشئة. ابق على اطلاع، وكن مستعدًا، وحافظ على أمانك.
