لا تزال المنظمات الصناعية تواجه تهديدات إلكترونية متزايدة من الخصوم – بدءًا من المجموعات المتطورة التي ترعاها الدولة إلى نشطاء القرصنة والمجرمين ذوي الدوافع المالية. لا تستهدف هذه الجهات الفاعلة البيانات أو تطلبها فحسب الفدية، فهي تؤثر على العمليات المادية والخدمات الحيوية. الخطر المشترك في العديد من هذه الحوادث هو الخطر الذي لا يزال يتم الاستهانة به: وهو غير كاف رؤية الأصول.
تعد رؤية الأصول مكونًا أساسيًا لأي التكنولوجيا التشغيلية (OT) استراتيجية أمنية. فهو يوفر الوعي اللازم بالأجهزة الموجودة في شبكتك، وكيفية تكوينها، وكيفية تواصلها. وبدون ذلك، تصبح عمليات تقييم المخاطر واكتشاف التهديدات وحتى الاستجابة الأساسية للحوادث محدودة للغاية.
ومن خلال خبرة دراجوس في العمل مع البنية التحتية الصناعية – النفط والغاز، وشبكات الكهرباء، ومرافق المياه، والتصنيع – ما زلنا نجد أن عددًا كبيرًا من المنظمات تعاني من نقاط عمياء. يفترض الكثيرون أن لديهم أنظمة معزولة بالكامل عن الهواء أو لا تحتوي على أصول مكشوفة على الإنترنت. ولكن بمجرد أن نبدأ بالمراقبة، فإن الواقع يثبت أنه مختلف تمامًا.
عبر المنظمات التي نعمل معها – من مزودي الطاقة إلى مرافق المياه – يعتقد الكثيرون أنهم لا يملكون أي أصول على الإنترنت المفتوح. في الحقيقة، إنها كذلك، وفي كثير من الحالات، لا تتمتع هذه الأصول بالمصادقة وتكون عرضة للاستغلال في نقاط الضعف الموجودة منذ عقود. غالبًا ما يتم إنشاء هذه البيئات مع مراعاة الاستمرارية التشغيلية، وليس الأمان. وهذا ما يجعل الرؤية بالغة الأهمية.
لماذا يمثل OT تحديًا خاصًا؟
تختلف بيئات التكنولوجيا التشغيلية عن تكنولوجيا المعلومات بطرق تجعل أدوات الأمان التقليدية غير فعالة. أنظمة التحكم الصناعية غالبًا ما يتم تشغيله بشكل مستمر، مما يعني أن التوقف عن العمل لعمليات الفحص أو التحديثات ليس خيارًا. تأتي المعدات من مجموعة واسعة من الشركات المصنعة، والعديد منها يستخدم بروتوكولات خاصة غير مدعومة في أنظمة الكشف الحديثة. أضف إلى ذلك طبقة من البنية التحتية القديمة والمراقبة المحدودة، وسيكون لديك موقف حيث غالبًا ما يعمل المدافعون في الظلام.
على عكس تكنولوجيا المعلومات، حيث إدارة التصحيح وحماية نقطة النهاية هي المعيار، وغالبًا ما يتم استبعاد شبكات التكنولوجيا التشغيلية، مما يقلل من الرؤية ويقع في حالة أمنية مشكوك فيها. وهذا يخلق ظروفًا مثالية للجهات الفاعلة في مجال التهديد التي تهتم بشكل متزايد بهذه البيئات.
فالتهديدات حقيقية ومتصاعدة
لم نعد نتحدث عن سيناريوهات افتراضية. وتستهدف مجموعات التهديد التي ترعاها الدول بشكل متزايد قطاعات الكهرباء والنفط والغاز، في حين يركز مشغلو برامج الفدية على التصنيع، حيث يترجم التوقف مباشرة إلى خسارة في الإيرادات.
وفي الآونة الأخيرة، كان هناك أيضًا ارتفاع في عدد الجماعات ذات الدوافع الأيديولوجية. ولا ينشر العديد من هذه الجهات الفاعلة أدوات متقدمة، لكنها لا تزال قادرة على إحداث تأثير. تسببت بعض المجموعات التي نتتبعها في حدوث انقطاعات ببساطة عن طريق تحديد ومهاجمة أصول التكنولوجيا التشغيلية المكشوفة على الإنترنت والتي تحتوي على نقاط ضعف معروفة.
إحدى مجموعات التهديد التي نراقبها، وهي BAUXITE، نجحت في الوصول إلى وحدات التحكم المنطقية القابلة للبرمجة الخاصة بشركة Unitronics واستخدمتها لتوصيل رسائل ذات دوافع سياسية على الشاشة. المنظمات المستهدفة بالبوكسيت والتي تتداخل معها CyberAv3ngersلم تكن بالضرورة شخصيات بارزة أو تعمل في مناطق الصراع، لكن حدث أنهم استخدموا معدات من بائع إسرائيلي. وهذا وحده جعلهم هدفا.
هذا التحول مهم. لا يستهدف الخصوم دائمًا المؤسسات بسبب هويتها، ولكن بسبب ما تستخدمه. وهذا يثير أسئلة جديدة لإدارة الأصول وتخطيط المخاطر. إذا كانت مؤسستك تستخدم بائعين أو تقنيات معينة، فقد يكون ذلك كافيًا لوضعك في مرمى النيران.
لماذا يعتمد الكشف على الرؤية
تعتمد العديد من المنظمات على الدفاعات المحيطة أو تفترض أن الفجوات الهوائية كافية. لكن لا يحتاج المهاجمون دائمًا إلى اختراق جدران الحماية أو خداع المستخدمين للنقر على الروابط. إذا كانت الأصول المعرضة للخطر مرئية على الإنترنت المفتوح، فيمكنها الاتصال بها مباشرة.
ولهذا السبب لا تقتصر رؤية الأصول على الامتثال أو المخزون فقط الإدارة، بل هو حاجة أمنية حيوية. فهو يتيح للمدافعين تحديد السلوك الطبيعي وتحديد الحالات الشاذة واكتشاف المراحل المبكرة من الهجوم. وبدون ذلك، يمكن أن تظل التهديدات غير مكتشفة لفترات طويلة. في بعض الحالات، رأينا الجهات الفاعلة في مجال التهديد تقوم بزرع تعليمات برمجية ضارة مباشرة على الأجهزة الصناعية، وتنتظر بهدوء لمحفز قد لا يصل لأسابيع أو أشهر أو لفترة أطول.
لا يمكنك الدفاع عما لا يمكنك رؤيته. وفي بيئات التكنولوجيا التشغيلية، حيث غالبًا ما يكون للمدافعين رؤية أقل من المهاجمين، يصبح ذلك خطرًا جسيمًا.
إن رؤية سلسلة التوريد أمر حيوي بنفس القدر
حتى لو كانت لديك رؤية جيدة داخليًا، فقد تظل مؤسستك معرضة للخطر من خلال سلسلة التوريد. تشمل الأنظمة البيئية التشغيلية التي تدعم البنية التحتية الوطنية الحيوية (CNI) مقدمي الخدمات المُدارة، والمنصات السحابية، وموردي المعدات. أي من هذه يمكن أن تصبح نقاط تسوية.
على سبيل المثال، خلال فترة وجودي في مايكروسوفت، أدركنا أن هناك اثنين فقط من التخصصات الرئيسية CSPق [communication service providers] قدمت الخدمات لنحو 80% من عملاء Azure. ويؤدي هذا المستوى من التركيز إلى مخاطر نظامية، لذا حاولنا معالجتها. أي منظمة لا تتخذ تدابير وقائية كافية أو تستجيب بشكل عادل للتسوية، لا تخاطر بشبكاتها فحسب، بل أيضًا بشبكات شركائها وعملائها وعملاء عملائها. باعتبارك مستهلكًا في سلسلة التوريد، هناك أيضًا مسؤولية تقع على عاتق مؤسستك لمراقبة الموردين لديك وطلب الشفافية منهم، وإلا فقد تكون عرضة لهذا النوع من المخاطر.
هذا هو المكان التشريعات مثل مشروع قانون الأمن السيبراني والمرونة في المملكة المتحدة يصبح مهما. ولكن لكي تكون الأنظمة فعالة، يجب أن تقترن بالدعم. غالبًا ما تفتقر المؤسسات الصغيرة وتلك الموجودة في أسفل سلسلة التوريد إلى الموارد اللازمة لتفسير وتنفيذ الضوابط الأمنية المعقدة. ويجب أن تكون أدوات وأطر الرؤية والإرشادات متاحة للوصول إذا أردنا تحسين المرونة في جميع المجالات.
استباق التهديد
في كثير من الأحيان، لا تستثمر المؤسسات الصناعية بشكل كافٍ في رؤية التكنولوجيا التشغيلية واكتشاف التهديدات إلا بعد وقوع الحادث. سواء كان الأمر يتعلق بإغلاق مصنع، أو خسارة الإيرادات، أو ما هو أسوأ من ذلك، فإن هذه الأحداث تصبح بمثابة حافز للعمل. ولكن بحلول ذلك الوقت، يكون الضرر قد وقع بالفعل.
يجب أن يتغير هذا الموقف التفاعلي. توجد الآن أدوات وتقنيات متاحة تسمح بالمراقبة الآمنة والسلبية لشبكات التكنولوجيا التشغيلية. يحتاج المدافعون إلى كل ميزة يمكنهم الحصول عليها. قد لا تكون رؤية الأصول هي الجانب الأكثر روعة في الأمن السيبراني، ولكنها واحدة من أهم الجوانب.
وبالنظر إلى المستقبل، يجب على المنظمات الصناعية أن تدرك أن حماية العمليات الحيوية تبدأ بفهمها. بدءًا من معرفة ما هو متصل، إلى كيفية تواصله، إلى من قد يرغب في استغلاله، تدعم الرؤية كل طبقات الدفاع الأخرى. وبدونها، نحن نقاتل أعمى.
ماغبي جراهام هو المدير الفني لاستخبارات التهديدات في Dragos.
