نستخدمُ الذكاء الاصطناعي في ترجمات الموقع، ومع أننا نسعى جاهدين لبلوغ الدقة قد لا تكون هذه الترجمات دقيقةً بنسبة 100% دائمًا. تفهّمك لهذا الأمر هو موضع تقدير لدينا.
المنزل/
المدونة
/
الإبحار في مشهد الأمن السيبراني لأنظمة التحكم الصناعي ونظم الرقابة الصناعية...
التنقل في مشهد الأمن السيبراني ل ICS و OT الشبكات: الرؤى والحلول
ب
OPSWAT
شارك هذا المنشور
مقدمة
في عالم الأمن السيبراني المتطور باستمرار، تمثل شبكات أنظمة التحكم Industrial (ICS) وشبكات التكنولوجيا التشغيلية (OT) مجالاً هاماً للقلق. هذه الأنظمة ليست حيوية لاستمرارية العمليات التجارية فحسب، بل هي أيضًا جزء لا يتجزأ من البنية التحتية الحيوية للدولة. يعمل فريق MetaDefender Sandbox (المعروف سابقًا باسم Filescan Sandbox) التابعOPSWAT على مراقبة مخاطر أنظمة التحكم الصناعي/التكنولوجيا التشغيلية بجدية ورصد أنشطة مستمرة وذات تأثير كبير محتمل.
المشهد الحالي للتهديدات
أظهرت الأنماط الحديثة في تهديدات الأمن السيبراني اتجاها مقلقا للهجمات: بدأت المجموعات التي ترعاها الدولة في التخصص في أنظمة التحكم الصناعي مثل Sandworm (روسيا) و Volt Typhoon (الصين) ، في حين يدرك مجرمو الإنترنت شدة التأثير على الأنظمة الصناعية. تدرك قوات الأمن في جميع المجالات أهمية هذه التهديدات لجميع قطاعات الصناعة ، مما أدى إلى إصدار تقارير وحملات مشتركة تهدف إلى تعزيز أمن ICS.
القضايا والتوصيات المستمرة
واحدة من التوصيات طويلة الأمد للتخفيف من هذه المخاطر هي الحد من تعرض النظام. ومع ذلك ، لا يزال انتشار الأنظمة المكشوفة يمثل مشكلة مقلقة في مشهد الأمن السيبراني. ومع انتشار تقنيات الاستطلاع والاستغلال على نطاق أوسع، يلوح خطر الهجمات الانتهازية في الأفق بشكل أكبر، مما يسمح لجهات التهديد ذات المستوى المنخفض من التطور بالتأثير على الأنظمة الحيوية. سلط تقرير صدر في سبتمبر الضوء على اتجاه ينذر بالخطر: OT/ تجاوزت حوادث الأمن السيبراني ICS في السنوات الثلاث الماضية إجمالي المبلغ عنها من 1991 إلى 2000. وتؤكد هذه الإحصائية وحدها التحديات المتصاعدة التي يواجهها المسؤولون عن أمن هذه البيئات.
الدفاع ضد التهديد
الأطر والتحديثات
وإدراكا للحاجة إلى الاهتمام المتخصص، وضعت شركة MITRE مصفوفة ATT &CK خاصة ب ICS، لتوفير لغة مشتركة للاتصال بين القطاعات، ولتمكين القطاعات الممثلة تمثيلا ناقصا من الاستفادة من خرائطها، وتعزيز التواصل الهادف حول المخاطر والتهديدات. يستمر تحديث الجديد نسبيا بدقة ، حيث تم إصدار أحدث إصدار الشهر الماضي فقط.
الترابط بين IT و OT
ال OPSWAT MetaDefender Sandbox مع مواكبة هذه التحديثات ، يؤكد على العلاقة الجوهرية بين IT و OT ، منذ ذلك الحين IT الأصول موجودة في جميع مستويات نموذج بوردو ، وليس فقط في القمة.
الخطر IT يؤدي إلى OT المتكونة. يهتم المستجيبون في الغالب بحوادث ICS التي تنطوي على تهديدات البرامج الضارة أو المهاجمين الذين يخترقون IT شبكة الأعمال. غالبا ما تتيح هذه الانتهاكات الوصول والتمحور في بيئة ICS / OT. تنازلات في IT احتلت الأنظمة التي تؤدي إلى تهديدات تدخل شبكات OT / ICS المرتبة الأعلى ، تليها تنازلات محطات العمل الهندسية والخدمات الخارجية عن بعد.
سانز 2023 ICS /OT تقرير الأمن السيبراني
رعايه OPSWAT
القاسم المشترك: الملفات الضارة
عبر طيف الهجمات الإلكترونية المتعلقة ب ICS ، يعد وجود الملفات الضارة عاملا ثابتا ، بغض النظر عن ناقل الدخول - سواء كان ذلك IT أو أنظمة OT. هذا هو المكان الذي تحل فيه حلول مثل MetaDefender Sandbox تعال إلى اللعب. تم تصميم هذه الأدوات لفحص الملفات التي تجتاز المحيط المحدد لشبكة المؤسسة ، والمصممة خصيصا لسياقات مختلفة لتحقيق الأداء الأمثل ، بما في ذلك داخل البيئات ذات الفجوات الهوائية.
OPSWATالتكيف Sandbox يجمع بين مجموعات مختلفة من مؤشرات التهديد باستخدام محللات داخلية وغيرها من المعروفة على نطاق واسع مثل قواعد يارا. اعتمد كلا الهجومين المشار إليهما سابقا من Volt Typhoon و Sandworm بشكل كبير على ملفات ثنائية المعيشة خارج الأرض (LOLBINS) التي MetaDefender Sandbox ينفذ العديد من المؤشرات. ومع ذلك ، فإن الهجوم المبكر يشكل مثالا جيدا على مزيج المؤشرات بسبب توافر العينات. أول حمولة تم الإبلاغ عنها هي برنامج نصي دفعي يحتوي على أمر Powershell مشفر base64 والذي يؤدي إلى تشغيل مؤشرين مثيرين للاهتمام لهذه الحالة ، من بين أمور أخرى.
أصل المؤشر الموضح سابقا هو مضاهاة البرنامج النصي ، حيث يمكن أيضا ملاحظة المؤشرات الأخرى ذات الصلة. تظهر لقطة الشاشة التالية مؤشرا مختلفا بدرجة خطورة أعلى، يتم تشغيله من محتوى base64 الذي تم فك تشفيره في البرنامج النصي. بالإضافة إلى ذلك ، يتم تعيين كلا العنصرين المحددين وفقا لذلك باستخدام تقنيات MITRE ATT &CK المقابلة.
بالإضافة إلى ذلك ، تضمن هذا الهجوم نفسه استخدام عينات الوكيل العكسي السريع والتي ، على الرغم من كونها معبأة في UPX ، MetaDefender Sandbox كان قادرا على فك الضغط مما يسمح لعدة مؤشرات إضافية بالمطابقة على الملف المستخرج وتحديد التهديد.
الشكل 3 عينة FRP لإعصار فولت غير معبأة رابط التقرير
الشكل 4 يارا تحدد العينة غير المعبأة على أنها FRP رابط التقرير
استنتاج
مع تطور مشهد التهديد ، يجب أن تتطور دفاعاتنا أيضا. OPSWATالتزام ICS بأمن ICS و OT لا تزال الشبكات صامدة ، و MetaDefender Sandbox فريق مكرس لتقديم حلول محدثة بنشاط تعالج هذه التحديات الناشئة. ابق على اطلاع ، وابق مستعدا ، وابق آمنا.
