امروزه استفاده روزافزون از تجهیزات صنعتی و بهره‌مندی از اینترنت اشیا (IOT) یا شبکه‌های صنعتی، امنیت شبکه اتوماسیون صنعتی (IACS) به یکی از مهم‌ترین و حساس‌ترین جنبه‌های فناوری‌های صنعتی مدرن، تبدیل شده است. در این مقاله راهکارهای امنیت شبگه صنعتی را بررسی می‌کنیم. تا انتها این مقاله با ما همراه باشید.

راهکارهای امنیت شبکه صنعتی

حفظ امنیت شبکه اتوماسیون صنعتی با به‌کارگیری مجموعه‌ای از سیاست‌ها، فناوری‌ها و تدابیر فنی انجام می‌شود. جهت محافظت از زیرساخت‌ها، تجهیزات، داده‌ها و فرآیندهای صنعتی در برابر تهدیدات سایبری یا خطاهای انسانی و حفظ یکپارچگی و محرمانگی اطلاعت پروژه می‌توان از روش‌های متفاوتی استفاده کرد. استانداردهای جهانی شامل الزامات جهت طراحی، توسعه، نصب و نگهداری سیستم‌های صنعتی می‌شود که می‌توان به استاندارد IEC62443 اشاره کرد. همچنین می‌توان از NIST SP 800-82 استفاده کرد که راهنما امنیت سیستم‌های صنعتی است. در ادامه به بررسی اصول برقراری امنیت در اجرا پروژه‌های اتوماسیون صنعتی می‌پردازیم.

تجهیز/ پروتکل

خطرات امنیتی

توصیه امنیتی

PLC

کنترل فرآیند فیزیکی

رمزگذاری دستورات

 محدود کردن دسترسی

SCADA

نظارت و کنترل از راه دور

جداسازی از اینترنت

 ثبت رخدادها

Modbus

متن باز

 بدون رمزنگاری

استفاده از نسخه‌های امن

 محدود کردن دسترسی

OPC DA/UA

انتقال داده بین تجهیزات

ترجیحاً استفاده از OPC UA با TLS

تفکیک شبکه

در صورت استفاده از یک شبکه جهت ارتباط تجهیزات و حمله سایبری به یکی از تجهیزات سیستم، احتمال آلوده شدن تمامی بخش‌های پروژه به شدت بالا می‌رود. با تقسیم شبکه به بخش‌های مجزا از اولین راه‌حل‌‌های حفظ امنیت سیستم صنعتی است که از گسترش نهدیدات جلوگیری می‌کند. در ادامه روش‌های تفکیک شبکه صنعتی را معرفی می‌کنیم.

  • استفاده از VLAN جهت جداسازی شبکه اداری (IT) و شبکه صنعتی (OT)
  • پیاده سازی تکنولوژی DMZ (Demilitarized Zone) برای اینترنت و تجهیزات صنعتی
  • بهره‌مندی از فایروال‌های بین بخشی جهت جداسازی‌ شبکه‌ در بین تجهیزات صنعتی

کنترل دسترسی کاربران

محدودسازی دسترسی افراد غیرمجاز به بخش‌های حیاتی و کنترل دسترسی افراد یک سیستم، بخش زیادی از احتمالات آلوده سازی سیستم را کاهش می‌دهد. از جمله اقدامات کنترل دسترسی افراد، می‌توان به موارد زیر اشاره کرد.

  • بهره‌گیری از روش کنترل دسترسی مبتنی بر نقش (RBAC) که امکان دسترسی افراد به بخش‌های مختلف یک دستگاه را مشخص می‌کند، مانند امکان دسترسی به مانتوریگ، جدا از برنامه‌نویسی PLC است.
  • از احراز هویت چند مرحله‌ای (MFA) در کنسول‌های مدیریتی و سیستم استفاده شود.
  • پیاده سازی امکان تعریف و ثبت ورود و خروج کاربران به شبکه صنعتی را در سیستم انجام شود.

به‌روزرسانی شبکه‌های صنعتی

سیستم عامل‌های صنعتی، فریمور PLCها و نرم‌افزارهای SCADA همواره در حال آپدیت هستند و شرکت‌های سازنده آن‌ها به شناسایی بدافزارها و نقاط آسیب‌پذیر محصولات می‌پردازند. درنتیجه بررسی دوره‌ای آپدیت‌ها و اجرا در محیط آزمایشی سیستم‌ها تاثیر بسزایی در حفظ امنیت پروژه صنعتی دارد.

مانتورینگ و تشخیص نفوذ

سیستم‌های صنعتی به دلیل عملکرد مداوم و شبانه‌روزی تجهیزات، در صورت حمله سایبری و آلوده سازی فرآیندها و تاخیر در شناسایی آن، منجر به خسارات فاجعه بار و جبران ناپذیری می‌شوند.

  • نرم‌افزار SIEM که مدیریت اطلاعات و رویدادهای امنیتی رو برعهده دارد.
  • پیاده سازی IDS/IPS خاص برای پروتکل‌های صنعتی
  • ثبت رخدادها و هشدارها در زمان واقعی

استفاده از فایروال صنعتی

بهره‌مندی از فایروال در پروتکل‌های صنعتی، سبب جلوگیری از ترافیک ناخواسته و یا نفوذ سایبری به شبکه صنعتی می‌شود. با ایجاد لایه‌های کاربردی با پشتیبانی از پروتکل‌های صنعتی مانند مدباس، می‌توان از آسیب‌های احتمالی جلوگیری کرد. همچنین با تعریف قوانین دسترسی بر اساس آدرس IP هر دستگاه می‌توان به حفظ امنیت شبکه کمک کنیم.

بهره‌مندی از پروتکل‌های امن

از موثر‌ترین راهکارهای حفط امنیت شبکه، استفاده از پروتکل‌های ارتباطی همراه با رمزگذاری و اعتبارسنجی است. در پروتکل‌هایی مانند Modbus TCP  یا  OPC DA که فاقد امکان رمزگذاری هستند به راحتی امکان شنود و تغییر تنظیمات را به دیگران می‌دهند. در نتیجه استفاده از OPC UA با رمزنگاری TLS و احراز هویت و حذف یا محدود کردن دسترسی به پروتکل‌های قدیمی در حفظ امنیت شبکه بسیار موثر است.

تحلیلی از امنیت شبکه صنعتی

تهدیدهای امنیتی رایج در شبکه اتوماسیون صنعتی

حفظ شبکه صنعتی در برابر تهدیدات امنیتی مانند نفوذ فیزیکی، نفوذ از طریق USB و نفوذ داخلی بسیار مهم است. پیشگیری نکردن این نوع اقدامات می‌تواند منجر به تخریب تجهیزات صنعتی، خسارت جانی و مالی، فاش اطلاعات محرمانه و … شود. از جمله تهدیدات رایج در برابر شبکه صنعتی می‌توان به موارد زیر اشاره نمود.

  • بدافزارها: بعضی از ویروس‌ها جهت خرابکاری و ایجاد اشکال در تجهیزات صنعتی طراحی می‌شوند و می‌توانند باعث تخریب تجهیزات سخت افزاری، توقف خط تولید یا ایرادات پنهانی شوند.
  • حملات هدفمند (APT): گروهی از افراد با هدف جاسوسی صنعتی و سرقت داده‌ها می‌توانند به مدت طولانی در سیستم نفوذ کنند و بدون شناسایی به سرقت اطلاعات و تغییر مخفیانه فرآیندهای سیستم صنعتی بپردازند.
  • حملات DoS/DDoS: افراد نفوذی، با ارسال درخواست‌های فراوان می‌توانند سیستم‌هایی مانند SCADA و OPC را از کار بیاندازند و باعث توقف تولید یا مدیریت سیستم شوند.
  • حملات زنجیره تامین: هکرها به نرم‌افزارها و تجهیزات صنعتی قبل از ارسال به کارخانه نفوذ می‌کنند و می‌توانند آلودگی گسترده پنهانی را از ابتدا فرآیندها به تجهیزات وارد کنند.

نتیجه‌گیری

امنیت شبکه های اتوماسیون صنعتی یک موضوع چندلایه و حیاتی است که به فناوری، سیاست‌ها، مدیریت و فرهنگ سازمانی بستگی دارد. رعایت این اصول از خرابی تجهیزات، توقف تولید، آسیب به زیرساخت‌ها و حتی خسارات جانی جلوگیری می‌کند. برای کسب اطلاعات بیشتر می‌توانید در دوره شبکه صنعتی شرکت کنید تا اطلاعات فنی خود را در زمینه امنیت و راهکارهای پیشگیری از هک بالا ببرید.