Honeypot-Factory: استفاده از فریب در محیط های ICS/OT
در چند سال گذشته تعدادی گزارش از حملات به سیستم های کنترل صنعتی (ICS) گزارش شده است. با نگاهی دقیق تر، به نظر می رسد که بیشتر حملات از IT سنتی سرچشمه گرفته اند. این قابل انتظار است، زیرا سیستم های تولید معمولاً در این نقطه به شبکه های شرکتی معمولی متصل می شوند.
اگرچه دادههای ما در این مرحله نشان نمیدهند که بسیاری از بازیگران تهدید بهطور خاص سیستمهای صنعتی را هدف قرار میدهند - در واقع، بیشتر شواهد نشان میدهند که رفتار صرفاً فرصتطلبانه وجود دارد - زمانی که پیچیدگی گفت ه محیطهای OT به خطر بیفتد، میتواند نتیجه دهد. . مجرمان از هر فرصتی برای باجگیری از قربانیان در طرحهای اخاذی استفاده میکنند و توقف تولید میتواند خسارات زیادی به بار آورد. به احتمال زیاد فقط موضوع زمان است. پس امنیت سایبری برای فناوری عملیاتی (OT) بسیار مهم است.
فریب یک گزینه موثر برای بهبود قابلیت های تشخیص تهدید و پاسخ است. با این حال، امنیت ICS از چندین جهت با امنیت سنتی فناوری اطلاعات متفاوت است. در حالی که فناوری فریب برای استفاده های دفاعی مانند هانی پات ها پیشرفت کرده است، به دلیل تفاوت های اساسی مانند پروتکل های مورد استفاده هنوز چالش هایی وجود دارد. این مقاله قصد دارد پیشرفت و چالشهای مربوط به انتقال فناوری فریب از فناوری سنتی به امنیت ICS را به تفصیل شرح دهد.
ارزش فریب: پس گرفتن ابتکار عمل
فناوری فریب یک روش دفاع امنیتی فعال است که فعالیت های مخرب را به طور موثر تشخیص می دهد. از یک طرف، این استراتژی محیطی از اطلاعات نادرست و شبیهسازیها را برای گمراه کردن قضاوت دشمن ایجاد میکند، و باعث میشود مهاجمان ناآگاه برای هدر دادن زمان و انرژی خود در دام بیفتند و پیچیدگی و عدم اطمینان نفوذ را افزایش میدهد.
در عین حال، مدافعان میتوانند گزارشهای حمله جامعتری را جمعآوری کنند، اقدامات متقابل را مستقر کنند، منبع مهاجمان را ردیابی کنند و رفتارهای حمله آنها را نظارت کنند. ثبت همه چیز برای تحقیق در مورد تاکتیکها، تکنیکها و رویهها (TTP) که مهاجم استفاده میکند کمک بزرگی به تحلیلگران امنیتی است. تکنیک های فریب می تواند ابتکار عمل را به مدافعان بازگرداند.
با گزارش جامع « Security Navigator 2023 » جدیدترینهای امنیت سایبری را کشف کنید. این گزارش مبتنی بر تحقیق بر اساس 100٪ اطلاعات دست اول از 17 SOC جهانی و 13 CyberSOC دفاع سایبری نارنجی، CERT، آزمایشگاه های اپیدمیولوژی و دیده بان جهانی است و اطلاعات و بینش های ارزشمندی را در مورد چشم انداز تهدید فعلی و آینده ارائه می دهد.
با برخی از برنامه های فریب، به عنوان مثال هانی پات، می توان محیط عملیاتی و پیکربندی را شبیه سازی کرد، پس مهاجم را برای نفوذ به هدف جعلی وسوسه کرد. به این ترتیب، مدافعان میتوانند بارهایی را که مهاجمان رها میکنند، گرفته و اطلاعاتی در مورد میزبان مهاجم یا حتی مرورگر وب توسط جاوا اسکریپت در برنامههای وب به دست آورند. علاوه بر این، شناخت حسابهای رسانههای اجتماعی مهاجم توسط JSONP Hijacking و همچنین مقابله با مهاجم از طریق «فایلهای عسل» امکانپذیر است. میتوان پیشبینی کرد که فناوری فریب در سالهای آینده پختهتر و پرکاربردتر خواهد شد.
اخیراً با توسعه سریع اینترنت صنعتی و تولید هوشمند، ادغام فناوری اطلاعات و تولید صنعتی شتاب گرفته است. اتصال شبکهها و تجهیزات عظیم صنعتی به فناوری IT به طور اجتناب ناپذیری منجر به افزایش خطرات امنیتی در این زمینه خواهد شد.
تولید در معرض خطر
حوادث امنیتی مکرر مانند باجافزار، نقض دادهها و تهدیدهای مداوم پیشرفته به طور جدی بر تولید و عملیات تجاری شرکتهای صنعتی تأثیر میگذارد و امنیت جامعه دیجیتال را تهدید میکند. به طور کلی، این سیستم ها به دلیل معماری ساده خود که از قدرت پردازش و حافظه کم استفاده می کنند، مستعد ضعیف شدن هستند و به راحتی توسط مهاجم مورد سوء استفاده قرار می گیرند. محافظت از ICS در برابر فعالیتهای مخرب چالش برانگیز است زیرا اجزای ICS به دلیل معماری سادهشان بعید است که هیچ بهروزرسانی یا وصلهای دریافت نکنند. نصب عوامل حفاظتی نقطه پایانی نیز معمولا امکان پذیر نیست. با در نظر گرفتن این چالش ها، فریب می تواند بخشی اساسی از رویکرد امنیتی باشد.
Conpot یک هانیپات کم تعامل است که میتواند پروتکلهای IEC104، Modbus، BACnet، HTTP و دیگر پروتکلها را شبیهسازی کند، که به راحتی قابل استقرار و پیکربندی هستند.
XPOT یک هانی پات PLC با تعامل بالا مبتنی بر نرم افزار است که می تواند برنامه ها را اجرا کند. این PLC های سری S7-300 زیمنس را شبیه سازی می کند و به مهاجم اجازه می دهد تا برنامه های PLC را در XPOT کامپایل، تفسیر و بارگذاری کند. XPOT از پروتکل های S7comm و SNMP پشتیبانی می کند و اولین هانی پات PLC با تعامل بالا است. از آنجایی که مبتنی بر نرم افزار است، بسیار مقیاس پذیر است و شبکه های فریب یا حسگر بزرگ را امکان پذیر می کند. XPOT می تواند به یک فرآیند صنعتی شبیه سازی شده متصل شود تا تجربیات دشمنان را جامع کند.
CryPLH یک هانیپات ICS Smart-Grid کم تعامل و مجازی است که دستگاههای Siemens Simatic 300 PLC را شبیهسازی میکند. از Nginx و وب سرورهای miniweb برای شبیه سازی HTTP(S)، یک اسکریپت پایتون برای شبیه سازی مرحله 7 پروتکل ISO-TSAP و یک پیاده سازی SNMP سفارشی استفاده می کند. نویسندگان Honeypot را در محدوده IP دانشگاه مستقر کردند و تلاشهای اسکن، پینگ و ورود به سیستم SSH را مشاهده کردند. مشاهده می شود که توانایی تعامل از شبیه سازی پروتکل ICS به محیط ICS به تدریج در حال افزایش است.
با توسعه فناوری امنیت سایبری، فریب در شرایط مختلف مانند وب، پایگاههای اطلاعاتی، برنامههای موبایل و اینترنت اشیا اعمال شده است. فن آوری فریب در برخی از برنامه های Honeypot ICS در زمینه OT گنجانده شده است. به عنوان مثال، هانیپاتهای ICS مانند Conpot، XPOT و CryPLH میتوانند پروتکلهای Modbus، S7، IEC-104، DNP3 و دیگر پروتکلها را شبیهسازی کنند.
بر این اساس، فناوری فریب مانند برنامه های Honeypot فوق می تواند کارایی پایین سیستم های تشخیص تهدیدات ناشناخته را جبران کند و می تواند نقش مهمی در تضمین ایمنی شبکه های کنترل صنعتی ایفا کند. این برنامهها میتوانند به شناسایی حملات سایبری به سیستمهای کنترل صنعتی کمک کنند و روند کلی ریسک را نشان دهند. آسیبپذیریهای OT واقعی که توسط مهاجمان مورد سوء استفاده قرار میگیرند، میتوانند کشف و به تحلیلگر امنیتی ارسال شوند، پس به اصلاحها و اطلاعات به موقع منجر میشوند. علاوه بر این، ممکن است یک هشدار سریع به عنوان مثال قبل از انتشار باج افزار دریافت کنید و از ضررهای هنگفت و توقف تولید جلوگیری کنید.
چالش ها
با این حال، این یک "گلوله نقره ای" نیست. در مقایسه با فریب پیچیده موجود در امنیت IT سنتی، فریب در ICS هنوز با چالشهایی مواجه است.
اول از همه، انواع متعددی از دستگاه های کنترل صنعتی و همچنین پروتکل ها وجود دارد و بسیاری از پروتکل ها اختصاصی هستند. تقریباً غیرممکن است که یک فناوری فریب را داشته باشید که بتوان آن را برای همه دستگاه های کنترل صنعتی اعمال کرد. پس ، هانیپاتها و سایر برنامهها اغلب نیاز به سفارشیسازی برای شبیهسازی پروتکلهای مختلف دارند که آستانه نسبتاً بالایی برای پیادهسازی در برخی محیطها به ارمغان میآورد.
مشکل دوم این است که هانیپاتهای کنترل صنعتی مجازی خالص هنوز هم قابلیتهای شبیهسازی محدودی دارند و آنها را مستعد شناسایی هکرها میکند. توسعه و کاربرد کنونی هانی پات های ICS صرفا مجازی تنها امکان شبیه سازی اساسی پروتکل های کنترل صنعتی را فراهم می کند، و اکثر آنها منبع باز بوده اند و به سادگی توسط موتورهای جستجو مانند Shodan یا Zoomeye قابل یافتن هستند. جمع آوری داده های حمله کافی و بهبود قابلیت های شبیه سازی هانی پات های ICS هنوز برای محققان امنیتی چالش برانگیز است.
آخرین اما نه کم اهمیت، هانی پات های کنترل صنعتی با تعامل بالا منابع قابل توجهی را مصرف می کنند و هزینه های نگهداری بالایی دارند. ظاهراً هانی پات ها اغلب به معرفی سیستم ها یا تجهیزات فیزیکی برای ساختن یک محیط شبیه سازی واقعی نیاز دارند. با این حال، سیستمها و تجهیزات کنترل صنعتی پرهزینه، استفاده مجدد از آنها سخت و نگهداری چالش برانگیز است. حتی دستگاههای ICS به ظاهر مشابه اغلب از نظر عملکرد، پروتکلها و دستورالعملها بسیار متنوع هستند.
ارزششو داره؟
بر اساس بحث فوق، فناوری فریب برای ICS باید برای ادغام با فناوری جدید در نظر گرفته شود. توانایی شبیه سازی و تعامل با یک محیط شبیه سازی شده، فناوری دفاعی را تقویت می کند. علاوه بر این، گزارش حمله ضبط شده توسط برنامه فریب ارزش زیادی دارد. تجزیه و تحلیل از طریق هوش مصنوعی یا ابزارهای داده بزرگ، به درک عمیقی از هوش میدانی ICS کمک می کند.
به طور خلاصه، فناوری فریب نقش حیاتی در توسعه سریع امنیت شبکه ICS ایفا می کند و هوش و همچنین توانایی دفاع را بهبود می بخشد. با این حال، این فناوری هنوز با چالش هایی مواجه است و نیاز به پیشرفت دارد.
اگر به اطلاعات بیشتری در مورد آنچه که محققان پرمشغله سایبردفنس نارنجی در سال جاری تحقیق کردهاند علاقه دارید، میتوانید به صفحه فرود ناوبر امنیتی اخیراً منتشر شده آنها بروید.
توجه: این قطعه هوشمندانه توسط توماس ژانگ، تحلیلگر امنیتی در Orange Cyberdefense به طرز ماهرانه ای ساخته شده است.
برچسبها
|
ارسال نظر