الأبجدية SOC OT. لماذا لا تحمي SOC الكلاسيكي نظام التحكم في العملية

لا يخفى على أحد أن التجربة الرئيسية والخبرة في موضوع SOC في روسيا (ومن حيث المبدأ في العالم) تركز بشكل أساسي على قضايا التحكم وأمن شبكات الشركات. يمكن ملاحظة ذلك من الإصدارات والتقارير في المؤتمرات والموائد المستديرة وما إلى ذلك. ولكن مع تطور التهديدات (لن نتذكر وجع Stuxnet المحدد ، ولكن ، مع ذلك ، لن نتجاوز شركة Black / Gray Energy و Industroyer و Triton) والمتطلبات التنظيمية لقانون "بشأن أمن البنية التحتية للمعلومات الحرجة في الاتحاد الروسي" ، مسألة الحاجة إلى تغطية اهتمام شركة نفط الجنوب وقدس الأقداس لجميع الشركات الصناعية هو شرائح ICS. لقد اتخذنا أول نهج دقيق لهذه القشرة منذ حوالي عام ونصف ( 1 ، 2). منذ ذلك الحين ، كان هناك المزيد من الخبرة والبحث ، وشعرنا بالقوة لإطلاق دورة كاملة من المواد المخصصة لقضايا SOC OT. لنبدأ بكيفية اختلاف تقنيات وعمليات شركة SOC ، التي اعتدنا عليها منذ فترة طويلة ، عن SOC الصناعية (سوف يتعلق الأمر بقضايا الموظفين كالمعتاد). إذا لم تكن غير مبال بالموضوع ، من فضلك ، تحت القط.







لكي يكون التحليل موضوعيًا ، نصلح أولاً أننا نقارن SOC OT بهيكل مركز المراقبة ، والذي يتم تنفيذه في JSOC للطاقة الشمسية.







من بين أشياء أخرى ، سيسمح لنا بمناقشة هذه الاختلافات في سياق مهام مركز GosSOPKA ، المسؤول أيضًا عن القطاعات الصناعية.



يمكن العثور على تفاصيل حول كل مستوى من مستويات النموذج في مقالات سابقة حول مخزون البنية التحتية ، والرصد ، واستخبارات التهديدات ( 1 ، 2 ) ، ومراقبة الأمن ، والموظفين والعمليات.... في المادة الحالية ، سنركز على الكتلة المركزية لمراقبة الأمان (ستكون ميزات عمليات الاستجابة والتحقيق في نظام التحكم الآلي في العملية في مقالات أخرى).

يبدأ المسرح بشماعات ، وتبدأ SOC بالمراقبة

يبدو أنه في مجال مراقبة الأحداث والارتباط واكتشاف الحوادث ، كل شيء محدد ومعروف بالفعل. وحتى سد الفجوة الجوية لجمع الأحداث الأمنية هو موضوع مجرب وصحيح إلى حد ما . ولكن ، مع ذلك ، هناك بعض الفروق الدقيقة التي تستحق الاهتمام بالتأكيد.



بنية SOC العامة... على الرغم من الحل الذي يبدو بسيطًا مع وجود فجوة هوائية ، فإن وضع الشركات الفيدرالية الكبيرة ذات المرافق الموزعة (وهذا ينطبق بشكل خاص على صناعة الطاقة) معقد نوعًا ما. يتم قياس عدد الكائنات بالآلاف ، وغالبًا ما لا يكون من الممكن حتى وضع خادم مجموعة أحداث عليها ، فكل كائن مضغوط تمامًا ، ولكنه يمكن أن يولد أحداثًا مهمة في أمن المعلومات. علاوة على الموقف الموصوف ، غالبًا ما يتم فرض مشكلة قنوات الاتصال ، بحيث تكون ضيقة جدًا بحيث يبدأ على الأقل بعض الحمل الكبير على نقل الأحداث إلى "المركز" في التدخل في تشغيل التطبيقات الرئيسية.



لذلك ، فإن كيفية تحليل مكونات SIEM بشكل صحيح حسب المواقع هو سؤال خطير للغاية. سنعود إليها في إحدى موادنا الإضافية ، منذ ذلك الحينحقول هذه المذكرات صغيرة جدًا بحيث لا يمكن احتوائها لأن مقالة واحدة من المعلومات ستكون أكثر من اللازم.



استخدام حالة التخصص والتوصيف . حتى بدون التطرق إلى موضوع السيناريوهات المتخصصة تمامًا والتي لا صلة لها إلا بقطاع ICS ، تجدر الإشارة إلى أنه حتى الحوادث القياسية في ICS لها معنى وأهمية مختلفة تمامًا. لقد اعتدنا جميعًا على استخدام أدوات الإدارة عن بُعد على شبكة الشركة لفترة طويلة. ولكن من الواضح أن مدى خطورة مثل هذه الحادثة ، وكذلك ، من حيث المبدأ ، الاتصال الناجح بالإنترنت في شبكة تكنولوجية مغلقة ، هائلة. الأمر نفسه ينطبق على تثبيت خدمة نظام جديدة في محطة عمل تكنولوجية ، وحقيقة اكتشاف البرامج الضارة التي تتطلب تحقيقًا إلزاميًا ، إلخ.



يتم إدخال قيود كبيرة على استخدام حالة الاستخدام من خلال القيود المفروضة على تنفيذ أنظمة أمن المعلومات (عادةً ، لا تكون القطاعات التكنولوجية غنية جدًا بها) ، واستخدام الإصدارات القديمة من أنظمة التشغيل (وينظر التقنيون إلى تثبيت Sysmon بريبة).



ومع ذلك ، يمكن تطبيق حجم كبير جدًا من حالة الاستخدام لبيئة الشركة بنجاح على قطاع ICS وتوفير مستوى عالٍ بدرجة كافية من التحكم الشامل في البنية التحتية.



حسنًا ، من الصعب أن تمر بقدس الأقداس - أنظمة SCADA... إذا كانت جميع المقاطع متشابهة قليلاً على الأقل على مستوى نظام أمن المعلومات وأنظمة التشغيل وتدفقات الشبكة ، فإن الاختلافات الرئيسية تظهر عند التحرك بشكل أعمق. فيما يتعلق بشبكات وقطاعات الشركات ، يحلم الجميع بمراقبة الأعمال واتصال تطبيقات الأعمال. وهذه العملية ، على الرغم من تعقيدها (تتغير السجلات ولا تريد التظاهر بأنها CEF ، لا يمكن الحصول على المعلومات العادية إلا من قاعدة البيانات ، لكن المسؤولين يقسمون ويشكون من التباطؤ) ، ولكن يتم تنفيذها بشكل عام. في القطاع التكنولوجي ، عند توصيل أنظمة المستوى العلوي والمتوسط ​​، يتم رفع هذه المشكلات إلى المطلق فيما يتعلق بأهمية المساحة للتوقف التكنولوجي. من أجل اتخاذ الخطوات الأولى لتوصيل المصدر ، تحتاج إلى:

1. قم بتجميع المنصة وتحقق من نجاح استقبال الأحداث
2. رسم حل معماري عام بكافة التفاصيل الفنية
3. اتفق مع البائع في غضون بضعة أشهر
4. تحقق مرة أخرى من منصة العميل مع مضاهاة الحمل القتالي
5. بعناية شديدة (كما في النكتة حول القنافذ) لتنفيذ الحل في الإنتاج

الحزن والشوق والعمليات التجارية. وهذا على الرغم من حقيقة أن معدات APCS ، كقاعدة عامة ، تتميز بتسجيل واسع وكامل ومفهوم وعالي الجودة بدرجة كافية.



ولكن ، لحسن الحظ (أو عن طريق الصدفة) ، عادة ما يمكن تنفيذ نهج مختلف في قطاعات ICS. معظم البروتوكولات فيها لا تعني تشفير أو إخفاء المعلومات المرسلة. لذلك ، فإن أحد الأساليب الأكثر شيوعًا لمراقبة أوامر التحكم وتحليلها هو تنفيذ أنظمة الكشف عن التسلل الصناعي أو جدران الحماية الصناعية التي تسمح لك بالعمل باستخدام نسخة أو بروتوكولات فعلية لحركة مرور الشبكة والتحليل وأوامر التحكم مع التسجيل اللاحق. بعضها ، من بين أشياء أخرى ، لديه محرك ارتباط أساسي مدمج بالداخل (ينقذنا من رعب التطبيع وتصنيف الأحداث وتنميطها) ، لكنها في الوقت نفسه ليست بديلاً كاملاً لنظام SIEM.

, ,

المضي قدما. يبدو أن قضايا الجرد في شبكة ICS يجب أن تكون الأقل إيلامًا. الشبكة ثابتة تمامًا ، والمعدات معزولة عن الأجزاء المشتركة ، وإجراء تغييرات على البنية يتطلب مشروع عمل كامل. حكاية خرافية عن شبكات الشركات - "فقط أصلح النموذج وأدخله في CMDB." ولكن ، كالعادة ، هناك فارق بسيط: بالنسبة لقطاع ICS ، يعد ظهور أي معدات جديدة أحد العلامات المهمة للغاية لوقوع حادث أو هجوم ، ويجب تحديده دون فشل. ومع كل هذا ، فإن الأساليب التقليدية للمخزون (أساليب تجنيب تشغيل ماسحات الثغرات الأمنية) تسبب الحساسية الشديدة بين التقنيين ، وحتى بين أفراد الأمن في نظام التحكم الآلي في العمليات. ليس من غير المألوف في شبكة الشركة أن حتى Inventory Scan في وضع غير ناجح في وقت غير ناجح يمكن أن "يضع" بعض التطبيقات المحددة.بطبيعة الحال ، لا أحد مستعد لتحمل مثل هذه المخاطر في نظام التحكم الآلي في العمليات.



لذلك ، فإن أداة الجرد الرئيسية في APCS (بالإضافة إلى التحكم اليدوي) هي أنظمة تحليل حركة مرور الشبكة المذكورة سابقًا وأنظمة الكشف عن التسلل الصناعي. تبدأ كل عقدة جديدة تظهر في الشبكة في التواصل مع جيرانها. تسمح كل من طرق وبروتوكولات الاتصال وخصائص الحزم وحقول الخدمة ليس فقط برؤية "الجار" الجديد بسرعة ، ولكن أيضًا لتحديده بوضوح.



في المقابل ، فإن عملية تحديد وإدارة الثغرات أكثر تحفظًا. كقاعدة عامة ، يتم تحديث البنية التحتية وتصحيحها بشكل غير منتظم وبطريقة مضبوطة للغاية ؛ يتم إصلاح قائمة البرامج التطبيقية والمعدات التكنولوجية. لذلك ، لتحديد قائمة وحالة الثغرات الأمنية الحالية في مقطع ICS ، عادة ما يكون كافياً لتحديد إصدار البرنامج الرئيسي والتحقق من نشرات الشركات المصنعة. ونتيجة لذلك ، فإننا نتحرك بعيدًا عن وضع الفحص القوي والتحقق من البرامج إلى أساليب تدقيق الإصدار الفني واليدوي وتحليلات خبير من الصناعة.



يتم بناء عملية تحليل أو تحديد التهديدات بطريقة مماثلة. كقاعدة عامة ، يتم تحديث نموذج ثابت لمرة واحدة إما بناءً على حقيقة إعادة بناء أساسية للبنية التحتية (إضافة عقد جديدة ، وتحديث إصدار البرامج الثابتة للمعدات الهامة ، وما إلى ذلك) ، أو عند الكشف عن ثغرة أمنية جديدة ذات صلة بالبنية التحتية و / أو موجه هجوم جديد. ومع ذلك ، معهم أيضًا ، ليس كل شيء بهذه البساطة.

OT Threat Intelligence أم شبكات منعزلة تحلم بمؤشرات التسوية؟

هل يمكن أن تكون المعلومات المتعلقة بالتهديدات الجديدة ونواقل الهجوم عديمة الفائدة؟ أود أن أجيب على الفور بـ "لا" ، ولكن دعونا نحاول معًا فهم قابلية تطبيق بيانات TI الكلاسيكية في مقطع OT الناضج.



عادةً ما تكون TIs موجزات (تدفقات بيانات) أو IoCs (مؤشرات تسوية لتحديد برامج ضارة أو أدوات قرصنة معينة). تحتوي على الخصائص التالية:

• (IP-, URL, ), upload «» , . , , . , , «» .
• (MD5- , , / ..), / / . , . , , , , whitelisting, , . – «» . TI .

نتيجةً لذلك ، بالنسبة للهجمات التي تستهدف نظام التحكم عن بعد ، فإن المعلومات حول TTP ، وتكتيكات وأساليب المهاجمين ، وهي نادرة للغاية في سوق TI ، تكتسب وزناً أكبر بكثير ، مما سيسمح بتكييف آليات وأساليب الدفاع بشكل مناسب لرصد وتحديد التهديدات في هذا القطاع.



تجبرنا هذه الفروق الدقيقة والعديد من الفروق الدقيقة الأخرى على اتخاذ نهج جاد ومدروس للغاية في عملية بناء مثل SOC أو اختيار مقاول ، وكذلك التفكير بجدية في استراتيجية تشكيل OT SOC. إذا كان يتقاطع مع SOC IT أو يعمل بشكل منفصل عنه ، فهل من الممكن أن يتم حل نوع من الإثراء المتبادل والتعاون في العمليات والفرق والمهام. في مقالتنا التالية ، سنحاول تسليط الضوء على الأساليب المختلفة للفرق الدولية تجاه هذه المشكلة. كن آمنا في جميع جوانب بنيتك التحتية وحياتك.