بخش‌بندی شبکه و دستگاه باید بخشی از رویکرد امنیتی دفاعی در عمق برای همه محیط‌های سیستم کنترل صنعتی حیاتی (ICS) باشد. صادقانه بگویم، این بهترین روش امنیت فیزیکی است که طی قرن ها آموخته شده است، و بهترین رویه امنیت فناوری اطلاعات است که در چند دهه گذشته آموخته شده است. این یک  وضعیت امنیتی بسیار قوی تر  از یک دفاع ساده فقط محیطی ارائه می دهد. با حفاظت فقط محیطی، هنگامی که حریف دسترسی پیدا می کند، هیچ چیز مانع از عبور بدون چالش از شبکه نمی شود. بخش‌بندی و ریزبخش‌بندی دسترسی بی‌رویه را در محیط‌های IT متوقف می‌کند و باید همین کار را در محیط‌های ICS انجام دهد.

در واقع، اکثر عملیات صنعتی، مانند نفت و گاز، برق، تاسیسات، دریانوردی و تولید، از قبل از تقسیم بندی ساده بین شبکه های فناوری اطلاعات شرکت و شبکه های ICS یا فناوری عملیاتی (OT) استفاده می کنند. اما برای بیشتر، این همان جایی است که تقسیم بندی آنها متوقف می شود. چرا؟

تقسیم بندی در شبکه های ICS می تواند چالش برانگیز و پرهزینه باشد. این نیاز به  دانش عمیق  از شبکه ICS و دستگاه‌ها دارد - اغلب صدها در این محیط‌ها. و بسته به نحوه انجام آن، پیاده سازی در شبکه های ICS می تواند زمان و تلاش قابل توجهی داشته باشد و ممکن است مستلزم خرابی شبکه باشد که هزینه قابل توجهی را برای سازمان ها تحمیل می کند.

علاوه بر این، بسیاری از سازمان ها فاقد تخصص و هماهنگی لازم برای انجام این پروژه ها هستند. متخصصان فناوری اطلاعات به طور سنتی بخش‌بندی شبکه را با استفاده از ابزارهای فناوری اطلاعات پیاده‌سازی می‌کنند، اما شبکه‌های ICS توسط پرسنل عملیاتی مدیریت می‌شوند که معمولاً سطح یکسانی از تجربه یا آموزش امنیت سایبری ندارند. بدون هماهنگی نزدیک، تقسیم بندی در شبکه ICS امکان پذیر نیست.

محیط های ICS   نسبت به محیط های IT نیاز به تجهیزات متفاوتی دارند. این محیط‌های ICS به تجهیزاتی نیاز دارند که برای مقاومت در برابر محیط‌های خشن طراحی شده باشند، که تجهیزات سنتی IT شما را رد می‌کند.

اما تقسیم بندی قطعاً قابل دستیابی است، و به همین دلیل است که عملیات صنعتی باید به  روش OT تقسیم بندی شود .

آنچه امروز می بینیم: تقسیم بندی در عملیات صنعتی

فرض کنید من یک شرکت دارم، و شرکت سه فرآیند دارد که آنها اجرا می کنند. سه سیستم کنترل مختلف وجود دارد که سه عملیات مجزا را انجام می دهند. فرآیند A دارای PLC، سیستم ایمنی و RTU است. فرآیند B دارای PLC، سیستم ایمنی و RTU است. فرآیند C دارای همان دارایی است. این فرآیندها شبکه ICS آنها را تشکیل می دهند.

شکل 1: یک شبکه ICS مسطح معمولی

به طور معمول، یک فایروال در سطح کارخانه وجود دارد. اکنون، فایروال می تواند برای کل کارخانه یا فقط برای شبکه ICS باشد. هر دو مورد در عمل رخ می دهد. اما بیایید بگوییم که مشتری در امنیت سایبری خود کمی پیشرفته‌تر است و در سطح کارخانه فرآیند خود دارای فایروال است. در انتهای هر فایروال، برای این مثال، یک سوئیچ وجود دارد. فایروال قوانین را اجرا می کند و سوئیچ اجازه می دهد تا چندین اتصال وارد و خارج شوند.

به طور معمول، شرکت ها دارایی های ICS خود را با اتصال هر یک به سوئیچ سیم کشی می کنند. و در حالت ایده آل، هر چیزی که بخواهد از طریق فایروال وارد شود متوقف می شود.

خطرات امنیتی با تقسیم بندی امروزی در عملیات صنعتی

این نوع راه اندازی یک شبکه مسطح است. دارایی ها روی هم چیده شده اند، اما به معنای واقعی کلمه، همه آنها از یک سوئیچ آویزان هستند. و هنگامی که شبکه را به این روش راه اندازی می کنید، آدرس IP هر دستگاه در همان زیر شبکه خواهد بود.

چند مشکل در این سطح ساده از تقسیم بندی در عملیات صنعتی وجود دارد. اول، فرآیند A، فرآیند B، و فرآیند C به هم مرتبط هستند. حمله به یکی می تواند به راحتی به دیگری منتقل شود. بنابراین، حمله به فرآیند اول، قابلیت اطمینان فرآیندهای دوم و سوم را نیز تهدید می‌کند و  تأثیرات عملیاتی مهم‌تری را در هر حادثه ایجاد می‌کند  تا زمانی که شبکه تقسیم‌بندی شود.

دوم، یک متخصص یا مدیر امنیت سایبری نمی‌تواند خط‌مشی فایروال را برای فرآیند A متفاوت از فرآیند B تعریف کند. به دلیل فایروال واحد، یک خط‌مشی وجود دارد. برخی از گزینه ها برای پرداختن به یک موضوع سیاست وجود دارد. با این حال، در عمل، اتخاذ چندین سیاست در یک فایروال واحد دشوار است. نکته اصلی - هیچ کس این کار را نمی کند. سیاست‌های مختلفی برای شبکه معمولاً وجود ندارد.

در نهایت، دیوار آتش در سطح کارخانه معمولاً  دارایی تحت مالکیت فناوری اطلاعات و مدیریت آن است  . و فایروال اغلب طوری تنظیم می شود که به پورت 80 اجازه خروج از شبکه را بدهد، که URL شما برای رفتن به هر وب سایتی است. اگر کاربری در محیط ICS به سایتی رفته و سهواً نرم افزارهای مخرب را دانلود کند، علامت گذاری نمی شود زیرا این یک اقدام مجاز است. اگر شخصی لپ تاپ خود را به شبکه ICS وصل کند یا به صورت بی سیم وصل شود، آن کاربر می تواند به سایت های فراتر از فایروال دسترسی داشته باشد. این رویکرد مخاطره آمیز است و شبکه های ICS را به طور غیرقابل قبولی آسیب پذیر می کند.

رویکرد فناوری اطلاعات به بخش‌بندی شبکه ICS

بنابراین، چگونه شبکه ها در عملیات فرآیندهای صنعتی باید بخش بندی شوند؟ پاسخ IT این است که بخش ها را با افزایش های کوچکتر پیاده سازی کنید. فرآیند A یک فایروال به طور خاص برای استفاده خود دریافت می کند، فرآیند B فایروال خود را دریافت می کند، و همچنین فرآیند C. سپس، هر فایروال دارای یک سوئیچ است، و هر سوئیچ به دارایی های آن فرآیند خاص متصل می شود. در پایان، فرآیند A دارای یک فایروال و سوئیچ برای PLC، سیستم ایمنی و RTU فرآیند A است.

شکل 2: رویکرد فناوری اطلاعات به بخش بندی شبکه ICS

به طور معمول، این راه‌اندازی فایروال‌ها را برای انجام «natting» قرار می‌دهد. Natting یا ترجمه آدرس شبکه، به این معنی است که هر فایروال می‌تواند دامنه آدرس IP متفاوتی را برای هر گروه پردازشی فراهم کند. با این تنظیمات، عملیات می‌تواند یک خط‌مشی فایروال جداگانه برای هر فرآیند ایجاد کند. سپس، یک فایروال و سوئیچ نیز در سطح کارخانه وجود دارد. بنابراین، در پایان، دو لایه یا دو فایروال وجود دارد - یکی در اطراف کل شبکه ICS، و دیگری در اطراف هر فرآیند. تقسیم بندی فناوری اطلاعات معمولی از این رویکرد پیروی می کند.

خطرات امنیتی با رویکرد فناوری اطلاعات به بخش بندی ICS

از نظر عملی، اگر عملیاتی بخواهد رویکرد فناوری اطلاعات را برای تقسیم بندی اتخاذ کند، گران تمام خواهد شد. اولین مرحله پیکربندی مجدد هر دستگاه در شبکه OT است. ممکن است مجبور شوید آدرس IP صدها دستگاه را تغییر دهید. این یک کابوس است. برای عملیات صنعتی، این معمولاً مستلزم خرابی و تلاش قابل توجه است. کارمندان باید شبکه های OT را نمودار کنند و از نمودارهای لوله کشی و ابزار دقیق  (P&ID) استفاده کنند - که معمولاً باید تأیید یا به روز شوند. دشوار، پیچیده و زمان بر است. اما تقسیم بندی امنیت بیشتری دارد، درست است؟

علاوه بر راه اندازی اولیه، رویکرد فناوری اطلاعات به بخش بندی ICS باید در طول زمان حفظ شود تا موثر باشد. در عمل، اغلب این فایروال ها  به هیچ وجه به عنوان فایروال استفاده نمی شوند . همه قوانین خاموش هستند زیرا هیچ کس نمی تواند آنها را به روز نگه دارد. بنابراین، تنظیم و حفظ قوانین فایروال چالش بزرگ دیگری برای تیم های عملیات صنعتی و عملیات است.

در نهایت، این رویکرد فناوری اطلاعات برای بخش‌بندی همیشه با عملیات صنعتی سازگار نیست. برای مثال، اگر رابط انسان و ماشین شما (HMI) خارج از فایروال قرار گیرد، چه اتفاقی می‌افتد؟ سپس حفره هایی دارید که از HMI به هر فرآیند به عقب و جلو می روند. یا اگر عملیات نصب فایروال بالایی نداشته باشد، یک HMI محلی دارید.

رویکرد فناوری اطلاعات به بخش‌بندی ICS می‌تواند سودمند باشد و با فایروال‌هایی که به درستی مدیریت می‌شوند کار می‌کند. اما در عمل، به ویژه برای عملیات متمرکز بر حفظ کنترل، در دسترس بودن و قابلیت اطمینان، سخت ترین بخش ارسال مجدد و برچسب گذاری مجدد همه دارایی ها و سپس حفظ آنها در طول زمان است.

یک رویکرد هدفمند ICS برای تقسیم بندی

بنابراین، عملیات صنعتی برای بخش بندی شبکه های ICS خود چه کاری می توانند انجام دهند؟ پاسخ: یک رویکرد تقسیم‌بندی ICS ساخته‌شده با تجهیزات امنیتی صنعتی مناسب، شبیه به رویکرد تقسیم‌بندی فناوری اطلاعات، اما برای تیم‌های عملیاتی بسیار واقعی‌تر، اجرا کنید.

بیایید به شبکه معمولی ICS خود برگردیم و بگوییم که این سه فرآیند سه دارایی حیاتی در این شبکه هستند. بدون ارسال مجدد یا معماری مجدد چیزی، می‌توان به جای فایروال فناوری اطلاعات، یک دستگاه امنیتی ICS بی‌سیم اضافه کرد.

شکل 3: یک رویکرد هدفمند برای تقسیم بندی شبکه ICS

این ابزار امنیتی مناسب برای ICS می‌تواند شبکه ICS را نظارت کند، تمام ترافیک غیرمجاز را حذف کند، در مورد ترافیک غیرعادی هشدار دهد و به ترافیک مجاز اجازه عبور دهد. این رویکرد به اپراتورها کنترل بیشتری در هر یک از این نقاط تقسیم بندی ICS می دهد. به عنوان مثال، اگر فرآیند A یک HMI محلی داشته باشد، اپراتور می تواند آن را به گونه ای تنظیم کند که HMI فقط بتواند با PLC، سیستم ایمنی و RTU فرآیند A صحبت کند. علاوه بر این، با دستگاه امنیتی ICS، یک اپراتور می تواند به وضوح ترافیک مجاز بین HMI و PLC، سیستم ایمنی و RTU را تعریف و تأیید کند. با استفاده از این رویکرد تقسیم بندی ICS هدفمند، هیچ نیازی به تنظیم مجدد یا ارسال مجدد دستگاه ها یا اختصاص آدرس های IP جدید وجود ندارد.

مدل تقسیم‌بندی شبکه ICS ارائه‌شده تنها سه فرآیند دارد، اما عملیات صنعتی واقعی می‌تواند صدها یا چند دستگاه داشته باشد که فرآیندهای مختلف را کنترل می‌کنند. با این رویکرد، کل شبکه ICS در پشت فایروال فناوری اطلاعات قرار دارد، اما پس از آن شما  چندین لایه  از لوازم امنیتی اختصاصی ICS در شبکه ICS دارید. اپراتورها می توانند ترافیک هر فرآیند گسسته، هر سیستم ایمنی و هر RTU را نظارت و کنترل کنند.

اکنون، همه چیز در شبکه ICS و فرآیندهای حیاتی به طور منطقی قفل شده اند. فقط آنچه به صراحت مجاز است مجاز است - ترافیک مجاز برای اتصال به دنیای خارج حتی کنترل می شود. از همان لوازم امنیتی ICS می توان برای محدود کردن دسترسی از راه دور برای فروشندگان و اشخاص ثالث تنها در صورت لزوم استفاده کرد.

به طور خلاصه، این رویکرد برای تقسیم‌بندی ICS بر روی شبکه‌های مسطح موجود کار می‌کند (اگرچه لازم نیست)، کنترل عملیاتی و امنیت بسیار بیشتری را ارائه می‌دهد و از نظر منابع مالی، نیروی کار، و زمان از کار افتادگی بالقوه بسیار کمتر از روش سنتی تقسیم‌بندی فناوری اطلاعات هزینه دارد.

پیاده سازی مدل های اعتماد صفر برای عملیات صنعتی

اعتماد صفر در ICS چیست؟ اعتماد صفر در یک محیط ICS یک اصل برای  حفظ دسترسی دقیق و کنترل‌های ارتباطی  با حصول اطمینان از اینکه فقط کاربران و دستگاه‌های تأیید شده ایمن به هر فرآیند یا دستگاهی در شبکه دسترسی دارند، است. حتی ارتباطات داخلی نیز به طور پیش فرض قابل اعتماد نیستند.

بزرگترین مشکل به طور سنتی با مدل اعتماد صفر پیچیدگی است، اما امنیت همیشه یک فرآیند است، نه یک کار تنظیم و فراموش کردن.

با رویکرد هدفمند تقسیم بندی ICS که در بالا توضیح داده شد، عملیات، اپراتورها و تیم های امنیت سایبری می توانند شروع به ساده سازی این پیچیدگی کنند. با وسایل امنیتی ICS، دستگاه‌ها و ارتباطات شبکه ICS را می‌توان نقشه‌برداری کرد، دسترسی کاربر را کنترل کرد، تمام ارتباطات را در زمان واقعی نظارت کرد و کنترل‌های اعتماد صفر را می‌توان پیاده‌سازی کرد، در نتیجه تمام دسترسی‌های غیرمجاز را محدود کرد. این رویکرد به اپراتورهای ICS مسیری برای دستیابی به  امنیت سایبری پیشرفته  بدون معماری مجدد کل شبکه ICS می دهد.