راهنمای مقابله با چالش های امنیت سایبری اتوماسیون صنعتی
دریافت دید در محیط های پیچیده OT
محیط معمولی ICS از سیستمهای ناهمگن متشکل از فناوریهای شبکهای مختلف، مانند اترنت TCP/IP، cellular، LAN، کنترل سریال و ورودی/خروجی از راه دور/هوشمند ساخته شده است. سیستمهای اتوماسیون صنعتی امروزی همچنین از دستگاههای IoT مدیریت نشده برای بهبود کارایی، انجام تعمیرات پیشبینی و صرفهجویی در هزینه استفاده میکنند. این دستگاههای OT و IoT – و ارتباطات بین آنها – نمیتوانند از طریق شبکه سنتی فناوری اطلاعات و ابزارهای امنیت سایبری شناسایی و نظارت شوند.
برای رفع این مشکل، راهحلهای پیشرو امنیت شبکه ICS امروزی، دید IT را در محیطهای OT گسترش میدهند. این راهحلها عموماً به صورت غیر نفوذی مستقر میشوند و دید و شناسایی را در تمام گوشههای شبکههای پیچیده OT ارائه میکنند.
استفاده از یک رویکرد ترکیبی برای شناسایی تهدید ICS
با شکلهای جدید بدافزارهایی که به طور مداوم در حال ظهور هستند، اپراتورهای صنعتی باید یک رویکرد چند وجهی برای تشخیص تهدید در نظر بگیرند – رویکردی که توجه، پاسخگو و فعال باشد. تشخیص تهدید ترکیبی از تشخیص ناهنجاری مبتنی بر رفتار و تشخیص مبتنی بر قوانین برای شناسایی بدافزار در تمام مراحل حمله استفاده میکند. ترکیب هر دو روش برای تشخیص به موقع حمله حیاتی است. در ادامه هر دو روش را به تفصیل بررسی خواهیم کرد.
تشخیص ناهنجاری مبتنی بر رفتار
توانایی یادگیری و نظارت بر رفتار تمام ترافیک در یک شبکه کنترل صنعتی به شما امکان می دهد تا تهدیدات سایبری احتمالی را شناسایی کنید که معمولاً با استفاده از رویکردهای امنیتی سایبری مرسوم مورد توجه قرار نمی گیرند. تجزیه و تحلیل زمینه ای مفید بر اساس همبستگی بسیاری از ناهنجاری ها در یک شبکه چند لایه توزیع شده جغرافیایی، تشخیص ناهنجاری مبتنی بر رفتار را از امنیت شبکه معمولی جدا می کند. اغلب، یک علت اصلی مشترک را می توان به هزاران حادثه سایبری نسبت داد، بنابراین شناسایی مقصر اصلی برای دستیابی به تجزیه و تحلیل سریع قانونی و اصلاح بسیار مهم است.
تجزیه و تحلیل مبتنی بر قوانین
جستجوی پیشگیرانه تهدید که توسط تجزیه و تحلیل مبتنی بر قوانین هدایت می شود، به شما امکان می دهد از بازرسی بسته های عمیق استفاده کنید تا به کشف حملات سایبری بدافزار در شبکه خود کمک کنید و قبل از مراحل آلودگی اولیه، پاسخی را آغاز کنید. این یک جزء کلیدی از رویکرد تشخیص تهدید ترکیبی Nozomi Networks است که از قوانین خارجی (مانند قوانین Yara و قوانین بسته) و قوانین اختصاصی ذاتی جعبه ابزار تجزیه و تحلیل منحصر به فرد و قابل تنظیم Guardian استفاده می کند. هر دو شکل تحلیل مبتنی بر قوانین برای شناسایی تهدیدات بدافزار موثر هستند.