وقتی سیستم‌های OT تهدید می‌شوند

افزایش 140 درصدی حملات سایبری به زیرساخت‌های حیاتی صنعتی

  • توسط نویسنده
  • ۹ ماه پیش
  • ۰

آزاده کیاپور – قبل از همه‌گیری، حملات خرابکارانه سایبری به کارخانه‌های تولیدی وجود نداشت. امروز وضعیت به طرز چشمگیری تغییر کرده است. طبق گزارش اخیر، حملاتی که منجر به عواقب فیزیکی در تولید فرایند، تولید چندبعدی و زیرساخت‌های صنعتی حیاتی شد، بیش از 150 عملیات صنعتی را در سال 2022 شامل می‌شود. علاوه بر این، تعداد کل حملات، نسبت به سال قبل، 2.4 برابر افزایش یافت. با این نرخ رشد، حملات سایبری ممکن است تا حدود 15000 سایت صنعتی را در پنج سال آینده تعطیل کند.

  • تهدید رو به رشد برای سیستم‌های OT

بر اساس گزارش اخیر موسسهWaterfall Security ، در سال 2022، افزایش 140 درصدی حملات سایبری علیه عملیات صنعتی، منجر به بیش از 150 حادثه شد.

این گزارش هشدار می‌دهد: «با این نرخ رشد، انتظار داریم حملات سایبری، 15000 سایت صنعتی را در سال 2027 یعنی در کمتر از پنج سال آینده تعطیل کند.»

بیشتر این حملات به شکل باج‌افزار، رمزگذاری سیستم‌های کامپیوتری مهم و داده‌های ارزشمند در سراسر شبکه‌های فناوری اطلاعات بود. با این حال، این حملات بر فناوری عملیاتی (OT) نیز تاثیر گذاشت. بر اساس گزارش واترفال (Waterfall)، بیشتر حملات باج‌افزار، تنها شبکه IT را مختل می‌کند، نه OT را.

گفتنی است OT دسته‌ای از سیستم‌های محاسباتی و ارتباطی برای مدیریت، نظارت و کنترل عملیات صنعتی با تمرکز روی دستگاه‌ها و فرایندهای فیزیکی مورد استفاده آنهاست. به تعبیر دیگر، فناوری عملیاتی، دارایی‌های فرایند صنعتی و تجهیزات تولیدی – صنعتی را رصد و مدیریت می‌کند.

در این گزارش آمده است: «با این وجود، در تمام حملات باج‌افزاری که ردیابی می‌کنیم، پیامدهای فیزیکی وجود داشت؛ یا به این دلیل که عملیات فیزیکی برای عملیات‌ دقیقه به دقیقه به سیستم‌های IT فلج‌شده تکیه می‌کرد و یا به این دلیل که قربانیان باج‌افزار به قدرت سیستم‌های امنیتی OT خود اعتماد نداشتند و بنابراین عملیات را با احتیاط فراوان تعطیل می‌کردند.»

  • خسارت دنیای واقعی

حملاتی که بر OT تاثیر می‌گذارند، قادرند به عواقب مخرب در دنیای واقعی، فراتر از تاخیرهای صرف سیستم منجر شوند. گزارش واترفال، برخی از رویدادهای قابل توجه را برجسته کرده که عبارتند از:

  • قطعی و خرابی در شرکت‌های شناخته‌شده از جمله 14 کارخانه متعلق به یک برند برتر خودروسازی، 23 کارخانه لاستیک با نام تجاری معروف و قطعی در یک شرکت بزرگ مواد غذایی و شرکت انتشاراتی
  • تاخیر در پرواز ده‌ها هزار مسافر هوایی در چهار حمله جداگانه
  • عملیات فیزیکی در چهار حمله به معدن و فلزات. یکی از حملات، منجر به آتش‌سوزی و آسیب تجهیزات مادی شد.
  • خرابی در بارگیری و تخلیه کانتینرهای بار، سوخت و نفت فله برای تعدادی از بنادر دریایی در سه قاره
  • حملاتی که منجر به ورشکستگی دو سازمان قربانی شد.

به گفته محققان Waterfall، گزارش‌های عمومی حملات سایبری با پیامدهای فیزیکی در صنایع مورد مطالعه، از سال 2020 به طور سالانه، بیش از دو برابر شده است. با سرعت فعلی، تعداد حملات و سایت‌های آسیب‌دیده هر 2.5 سال، با نرخ 10 برابر در حال افزایش است. اگر این روند ادامه یابد، ممکن است از سال 2022 تا 2027، تعداد حملات و سایت‌های تحت‌تاثیر آن، 100 برابر افزایش یابد. این اعداد ممکن است برای برخی اغراق‌آمیز به نظر برسد. با این حال، اگر به انفجار حملات باج‌افزار در چند سال گذشته نگاه کنیم، شاید حتی پیش‌بینی Waterfall  را دست‌کم و حداقلی بدانیم.

  • بررسی انگیزه‌های مهاجم

در حالی که حملات باج‌افزار، به وضوح انگیزه‌های مالی را در هسته خود دارد، حملات به بخش صنعتی نیز هکرها را جذب می‌کند. طبق این گزارش، 17 درصد از حملات سال 2022، هیچ انگیزه قابل شناسایی نداشتند. اکثر حملات، یعنی 74 درصد توسط باج‌افزارها و 9 درصد باقی‌مانده توسط هکرها بوده است. هیچ‌یک از حملات هکرهای 2022 شامل باج‌خواهی نبوده است. در مقابل، گروه‌های هکتیویست با برنامه‌های سیاسی یا ایدئولوژیک انگیزه داشتند. در هر حادثه هکتیویستی، تنها انگیزه، اختلال زیرساخت‌ها یا خدمات حیاتی است.

بیشتر رویدادهای هکتیویستی همراه با درگیری مداوم بین ایران و اسرائیل یا درگیری روسیه و اوکراین بوده است. از مجموع شش حمله هکتیویستی، چهار حادثه باعث اختلال در عملیات حمل‌ونقل (راه‌آهن، حمل‌ونقل عمومی و خدمات تاکسی) شد و یک مورد نیز یک کارخانه فولاد را هدف قرار داد که منجر به آتش‌سوزی و آسیب‌رسانی به تجهیزات شد. آخرین حمله هکری، ایستگاه‌های شارژ خودروهای برقی متعلق به یک شرکت برق را هدف قرار داد.

در سال 2022، تعداد 42 حمله باج‌افزار شناسایی‌شده منجر به عواقب فیزیکی در تولید چندبعدی، صنایع فرایندی و زیرساخت‌های حیاتی صنعتی شد. تعداد کل حملات با تاثیر فیزیکی در سال 2022، تقریبا با کل حملات (47 مورد)، در تمام سال‌های مطالعه قبلی (2010-2021) برابر است. از حملات باج‌افزار شناخته‌شده در سال 2022، حدود 40 درصد این حملات به گروه‌های باج‌افزار شناخته‌شده، از جمله  BlackCat، Conti، Lockbit، Hive، Black Basta، Black Byte، RansomEXX  و LV نسبت داده شد.

  • حملات پیچیده، رایج‌تر است

روند دیگری که در این گزارش، برجسته شده، افزایش پیچیدگی حملات علیه بخش صنعتی است. در گذشته، تنها بازیگران تحت حمایت دولت، بهTTP های پیشرفته دسترسی داشتند. اکنون قابلیت‌های پیشرفته، بیش از هر زمان دیگر در اختیار گروه‌های سایبری قرار گرفته است. در این گزارش سند استراتژی امنیت ملی سایبری ایالات متحده نقل شده است:

زمانی تنها برای تعداد کمی از کشورهای دارای منابع خوب، ابزار لازم در دسترس بود اما ابزارها و خدمات هک توهین‌آمیز، از جمله نرم‌افزارهای جاسوسی تجاری خارجی، اکنون به طور گسترده در دسترس هستند. این ابزارها و خدمات، به کشورهایی که قبلا توانایی آسیب‌رسانی به منافع ایالات متحده در فضای سایبری را نداشتند و امکان تهدید فزاینده از سوی سندیکاهای جنایتکار سازمان‌یافته را نداشتند، قدرت می‌بخشد.

  • هم‌پوشانی IT/OT

طبق این گزارش،TSA  دستورالعمل‌های جدیدی ارائه کرده که به صراحت، به وابستگی‌های متقابل IT/OT  می‌پردازد. در پاسخ به حملهColonial Pipeline ، به نظر می‌رسد امنیت سایبری TSA، در واکنش به آن، دستورهایی را برای صنایع دیگر هدایت می‌کند.

بنا به اعلام Waterfall، دستورالعمل‌های TSA با تعریف اهمیت شبکه و سیستم، با درنظ.ر گرفتن بدترین عواقب آسیب سایبری شروع می‌شود. سپس اقدامات امنیتی خاص در مرز باریک بین IT/OT موردنیاز است.

بدترین سناریوهای سازش در شبکه‌های OT، معمولا فیزیکی هستند (مانند خرابی تولید، آسیب تجهیزات یا بدتر). بدترین نتایج در شبکه‌های IT، معمولا مرتبط با کسب‌وکار است (مانند هزینه های پاک‌سازی، سرقت داده‌های اختصاصی و دعاوی حقوقی مربوط به PII.) رابطه بین IT ، OT و TSA به اقدامات امنیتی بسیار خاص نیاز دارد. طبق گزارش waterfall، این اقدامات خاص عبارتند از:

  • شبکه‌های OT باید با «ظرفیت لازم» به کار خود ادامه دهند؛ حتی وقتی شبکه‌های فناوری اطلاعات در معرض خطرند.
  • مالکان و اپراتورها باید وابستگی‌های OT به خدمات فناوری اطلاعات را حذف کنند. اگر نمی‌توانند، باید وابستگی‌های باقی مانده و اقدامات جبرانی را به TSAOn مستند کنند.
  • مالکان و اپراتورها باید تمام روابط اعتماد دامنه OT به IT را حذف کنند و اگر نمی‌توانند، باید سیاست‌هایی را برای مدیریت خطرات ناشی از این اعتمادهای خطرناک ایجاد کنند.
  • شبکه‌های OT باید طوری طراحی شوند که بتوان آنها را از شبکه‌های فناوری اطلاعات، در طی مراحل واکنش به حادثه جدا کرد.

و در نهایت اینکه تعداد حملات سایبری به زیرساخت‌های تولیدی و حیاتی، به طور تصاعدی در حال افزایش است. از توسعه استراتژی OT و ارزیابی آسیب‌پذیری گرفته تا ساخت و بهینه‌سازی یک OT SOC، زمانی برای تلف کردن وجود ندارد. باید درباره ضرورت امنیت OT، بیشتر بیاموزید. به راستی استراتژی شما چیست؟

  • facebook
  • googleplus
  • twitter
  • linkedin
  • linkedin
قبلی «
بعدی »

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اخبار روز


شبکه های اجتماعی

هفته نامه

پر بازدید ها

پیشنهاد سردبیر

طراحی و اجرا:‌ وب سامانه