التكنولوجيا وأخبارها بوابة الإمارات لتكنولوجيا المعلومات والإتصالات
“مانديت” عملنا على انشاء تكنولوجيا التشغيل الوسيطة، من أجل تطوير سيناريوهات هجومية
منهج “مانديانت” لتكوين الفرق الحمراء الأمنة لأنظمة تكنولوجيا التشغيل
يتكون نهج “مانديانت” في أنظمة إنتاج العمليات التشغيلية الحمراء
من مرحلتين: الاختبار النشط على تكنولوجيا المعلومات و/أو أنظمة
تكنولوجيا التشغيل الوسيطة، ونمذجة هجمات مخصصة من أجل
تطوير سيناريوهات هجوم واقعية واحدة أو أكثر. تم تصميم نهجنا
ليعكس دورة حياة الهجوم المستهدف في العمليات التشغيلية –
مع الاختبار النشط خلال المراحل الأولية (التسوية الأولية، وإنشاء
موطئ قدم، وعمليات التصعيد، والاستطلاع الداخلي)، ومجموعة
من جمع البيانات النشطة / السلبية ونمذجة تهديدات مخصصة
لتصميم ممكن المسارات التي سيتبعها المهاجم لإكمال المهمة.
- يتم تشكيل الفرق حمراء للتكنولوجيا التشغيلية في وحدة” مانديانت” إما من منظور مهاجم خارجي يستفيد من اختراقات في تكنولوجيا المعلومات والتي تركز على شبكة (OT)، أو من منظور جهة فاعلة حصلت بالفعل على إمكانية الوصول إلى شبكة (OT) ومستعد لتنفيذ عملية الاختراق.
- نستفيد من مجموعة من الأدوات الأساسية والمرافق المتاحة على نطاق واسع في معظم البيئات المستهدفة للتركيز على الأنظمة الوسيطة لشبكات (OT) وبالتالي الحصول على وصول ذو أهمية لنظام التحكم الصناعي (ICS) المستهدف.
- من خلال هذه العملية، نحافظ على التواصل المستمر مع العملاء لتحديد عتبات السلامة. كما تمكننا أيضاً من المشاركة النشطة مع الجهات المدافعة والتي تساعد المنظمة والمؤسسة من التعرف على التقنيات المستخدمة للحصول على المعلومات ونقاط الضعف المستغلة للتنقل عبر الشبكة المستهدفة.
- بمجرد توقف الاختبار النشط عند عتبة الأمان المتفق عليها، نقوم بتجميع هذه المعلومات وإجراء بحث إضافي حول النظام والعمليات من أجل تطوير سيناريوهات هجوم واقعية ومحددة الأهداف مبنية على خبرتنا في سلوكيات الجهات الفاعلة التي تعتمدها في عملياتها التخريبية.
تاريخياً، اعتبر مالكو أصول التكنولوجيا التشغيلية (OT) بأن تشكيل
الفرق الحمراء لشبكات التكنولوجيا التشغيلية (OT) ونظام التحكم
الصناعي (ICS) أمر محفوف بالمخاطر نظراً لاحتمال حدوث اضطرابات
أو تأثير سلبي على أنظمة الإنتاج. في حين أن هذه العقلية ظلت
إلى حد كبير دون تغيير لسنوات، فإن خبرة وحدة “مانديانت” (Mandiant)
في هذا المجال تشير إلى أن وجهات النظر هذه تتغير، نحن نقدم
قيمة متزايدة للعملاء من خلال تجميع شبكات إنتاج التكنولوجيا التشغيلية
الخاصة بهم بأمان.
من المحتمل أن تكون هذه الرغبة المتزايدة في انشاء فريق أحمر
متخصص بالتكنولوجيا التشغيلية (OT) مدفوعة بعدة عوامل، بما في
ذلك العدد المتزايد من التهديدات لأنظمة التكنولوجيا التشغيلية ووضوحها،
والاعتماد المتزايد لأجهزة وبرامج تكنولوجيا المعلومات في شبكات
التكنولوجيا التشغيلية، وزيادة قدرة الفرق الأمنية لهذه الأنظمة.
في هذا السياق، اعتبرنا أنه من المناسب مشاركة بعض التفاصيل
حول نهج “مانديانت” للفرق الحمراء المتعلقة بأنظمة التكنولوجيا
التشغيلية مستندةً إلى سنوات من الخبرة في دعم العملاء لتعلم
التهديدات الملموسة في بيئات الإنتاج الخاصة بهم.
استغرقت وحدة “مانديانت” ست ساعات فقط من أجل الحصول
على تحكم إداري بخوادم ربط المعدات وتضمينها (OLE) للجهة المستهدفة
من أجل التحكم في العمليات (OPC) والعملاء في بيئة نظام التحكم
الموزع (DCS) للجهة المستهدفة. ثم استخدمنا هذا الوصول لجمع
المعلومات وتطوير سيناريو هجوم يحاكي المسار الذي يمكن أن يسلكه
ممثل التهديد للاستعداد للعملية المادية ومهاجمتها (نسلط الضوء على
أن الفريق الأحمر لم يعتمد على نقاط الضعف في DCS، ولكن بدلاً
من
ذلك اعتمد على كلمات المرور الضعيفة في البيئة المستهدفة).
يمكن تحديد نطاق الفرق الحمراء لأنظمة التكنولوجيا التشغيلية من
“مانديانت” بطرق مختلفة اعتماداً على البيئة المستهدفة وأهداف
المؤسسة وتطور برنامج الأمن السيبراني التي تمتلكه الشركة.
فعلى سبيل المثال، قد تختبر بعض المؤسسات والشركات بنية
الشبكة بالكامل، في حين يفضل البعض الآخر أخذ أمثلة وعينات
فقط من هجوم على جزء من النظام أو استهداف عملية واحدة. هذا
النوع من الاختبارات وأخذ العينات مفيد للمؤسسات ذات العمليات
الضخمة والمتعددة ومن غير المنطق اختبارها واحدةً تلو الأخرى،
ولكن بدلاً من ذلك يمكنهم التعلم من حالة الاستخدام الفردي التي
تعكس نقاط الضعف والثغرات الخاصة بالجهة المستهدفة. وبالاعتماد
على النطاق، يمكننا تخصيص نتائج الفرق الحمراء حسب ما يلي:
- سيناريوهات الهجوم النموذجية بناءً على الثغرات الأمنية الخاصة بالهدف وتحديد نطاق الهجمات والعواقب المترتبة والناتجة عن استغلال هذه الثغرات من إحدى الجهات الفاعلة.
- نموذج مسارات الهجوم عبر المراحل الأولى من الاستطلاع والحركة الجانبية لتحديد الثغرات أو النقاط في بيئات العمل الأولية والتي من الممكن ان تستغل من قبل الجهات الفاعلة من أجل التحكم بالعمليات التشغيلية.
- تفعيل تقنية ذكاء التهديدات والتي تسمح بنمذجة السيناريوهات بناءً على التكتيكات والتقنيات والإجراءات (TTPs) من الجهات الفاعلة المعروفة، مثل جهات التهديدات المستمرة المتقدمة والمعروفة اختصاراً بـ (APTs).
- اختبار عمليات أو أنظمة محددة يعتبر تعرضها لخطر أو هجوم كبير بالتسبب في تعطيل أنظمة السلامة أو العمليات. ويسلط هذا التحليل الضوء على الثغرات أو نقاط الضعف التي تسمح بتحديد الأساليب اللازمة لتأمين نظام أو أنظمة عالية الخطورة.
تقدم الفرق الحمراء لأنظمة التكنولوجيا التشغيلية قيمة نوعية وفريدة للجهات والفرق المدافعة
يمكن أن يكون الجهود المبذولة من الفرق الحمراء لأنظمة (OT)
مفيداً بشكل فريد للعديد من الجهات المدافعة، حيث إنه يولد قيمة
نوعية تتعلق باحتياجات المنظمات، من خلال تقليل الفجوة بين
عالم “عدم الحظر” للمهاجمين الحقيقيين ومسؤولية “السلامة
أولاً” للفريق الأحمر. حيث من الشائع أن تنتهي ارتباطات العمل
الجماعي التقليدية للفرق الحمراء بعد فترة وجيزة من وصول
المهاجم إلى أنظمة التكنولوجيا التشغيلية لأقسام العمليات
الإنتاجية، في حين أن النهج المختلط، الذي نستخدمه، يمكن
الجهات والفرق المدافعة من رؤية نقاط القوة والضعف المحددة في
قدراتهم التشغيلية للأنظمة الشبكية والتطبيقات الأمنية. فيما يلي
بعض الفوائد الأخرى للعمل الجماعي التي تنفذه الفرق الحمراء
في شبكات إنتاج التكنولوجيا التشغيلية:
- يساعد الفرق المدافعة على فهم وتوقع المسارات المحتملة التي تتبعها الجهات الفاعلة المتمرسة للوصول إلى أهداف محددة. في حين أن استخبارات التهديد السيبراني هي طريقة رائعة أخرى تفيد ببناء هذه المعرفة، فإن الفريق الأحمر يسمح بالحصول على المزيد من البيانات الخاصة بالموقع.
- يستجيب لاحتياجات الفرق المدافعة من أجل حساب التقنيات والبنى المختلفة الموجودة في شبكات التكنولوجيا التشغيلية عبر مختلف الصناعات والعمليات. ونتيجة لذلك، فإنها تمثل القيم المتطرفة التي غالباً لا تغطيها أفضل إرشادات وممارسات الأمان العامة.
- ينتج عنه مخرجات ملموسة وواقعية بناءً على اختبارنا النشط الذي يُظهر ما يمكن أن يحدث بالفعل في الشبكة المستهدفة. غالبًا ما تُظهر نتائج الفريق الأحمر لأنظمة (OT) من “مانديانت” بأن أدوات اختبار الأمان الشائعة كافية للجهات الفاعلة للوصول إلى شبكات العمليات الحرجة.
- ينتج عن ذلك سيناريوهات هجمات بناءً على سلوكيات المهاجم الحقيقية ومعرفة محددة بالهدف. في حين أن السيناريوهات قد تسلط الضوء في بعض الأحيان على نقاط الضعف أو الثغرات غير القابلة للتصحيح، حيث تزود الفرق المدافعة بالمعرفة اللازمة لتحديد وسائل التخفيف البديلة لدرء المخاطر في وقت مبكر من دورة الحياة التشغيلية.
- يمكن أن يساعد في تحديد نقاط الضعف الحقيقية والتي من الممكن استغلالها من قبل الجهات الفاعلة في مراحل مختلفة من دورة حياة الهجوم. من خلال هذه المعرفة، يمكن للمدافعين تحديد طرق لإيقاف نشاط التهديد قبل أن يصل إلى أنظمة الإنتاج الحرجة، أو على الأقل خلال المراحل الأولى من التسلل والاختراق.
تطبيق نهجنا في العالم الحقيقي (شركة Big Steam Works)
خلال هذه المشاركة، تم تكليفنا بالوصول إلى أنظمة التحكم
الحرجة وتصميم هجوم مدمر في بيئة يتم فيها تشغيل مراجل
بخارية صناعية بنظام تحكم موزع (DCS). في هذا الوصف، قمنا
بتغير معلومات العميل – بما في ذلك الاسم، الذي نشير إليه باسم
“Big Steam Works” – وغيرنا التفاصيل الحساسة. ولكننا لم نغير
تقنيات الهجوم الشاملة. إن الهدف الرئيسي لشركة Big Steam
Works هو انتاج البخار وتزويده لشركة إنتاج كيميائية قريبة.
حيث كان مجال العمل للفريق الأحمر، التركيز بالكامل على شبكة
إنتاج التكنولوجيا التشغيلية الخاصة بالعميل. حيث لم نجر أي
اختبارات في شبكات تكنولوجيا المعلومات، بل بدلاً من ذلك بدأنا
المشاركة مع الوصول الأولي الممنوح على شكل عنوان
“بروتوكول انترنت” (IP) ثابت في شبكة OT الخاصة بـالشركة. كان
الهدف من المشاركة هو تقديم تحليل مدفوع بالنتائج لاستكشاف
سيناريو يمكن أن يتسبب في تأثير مادي كبير على السلامة
والعمليات. باتباع نهج الفريق الأحمر الخاص بنا، تم تقسيم
المشاركة إلى مرحلتين:
- الاختبار النشط عبر أنظمة تكنولوجيا المعلومات و/أو أنظمة OT الوسيطة
- نمذجة هجمات مخصصة تساعدنا بتوقع المسارات التي قد يتبعها المهاجم لإكمال مهمته.
الآفاق
تدعم الفرق الحمراء لأنظمة (OT) من وحدة “مانديانت” المنظمات
والشركات من خلال الجمع بين التحليل العملي لنقاط الضعف
والثغرات في شبكات تكنولوجيا المعلومات والتشغيل التقني مع
النمذجة المفاهيمية لأهداف المهاجمين والسبل الممكنة للوصول
إلى نتائج محددة. كما أنه يمكّن خبراء الأمن السيبراني من تبني
منظور المهاجم واستكشاف نواقل الهجوم التي ربما لم يتم
تصورها بغض النظر عن قيمتها باعتبارها مكاسب سهلة لتدخلات
العمليات التشغيلية.
يقدم نهجنا سيناريوهات واقعية تستند إلى أدلة فنية على نشاط
التطفل على أنظمة وسيطة OT في الشبكة المختبرة. وبهذه
الطريقة، تم تصميمه لدعم التحليل المدفوع بالنتائج للتهديدات
التي تتعرض لها أنظمة وعمليات حرجة محددة. يتيح ذلك
للمؤسسات تحديد سيناريوهات الهجوم التي تتضمن الأصول
الرقمية وتحديد الضمانات التي يمكن أن تساعد على أفضل وجه
في حماية العملية وضمان سلامة منشآتها.
