الأمن السيبراني الصناعي: تاريخ حالة هجوم تريتون TRITON – أخطر البرامج الضارة في العالم
ومع خضوع أكبر المجمعات الصناعية في العالم لجهود الرقمنة، ومع اندماج إنترنت الأشياء الصناعي (IIoT) في عمليات الإشراف والإدارة والتشغيل والإنتاج، يرتفع أيضا عدد التهديدات المحتملة لهذه الطريقة الجديدة في العمل. لقد كتبنا عن بعض الأسباب لزيادة أمنك السيبراني في مقالتنا السابقة.
أصبح تقييم مخاطر الهجمات السيبرانية على نظام التحكم الصناعي الخاص بك والتنبؤ به أكثر صعوبة ، حيث تتطور تصميمات البرامج الضارة التي تستهدفه كل يوم ، لتصبح أكثر تطورا وأكثر خبثا. وبالنظر إلى تعقيد العمليات في معظم البنى التحتية الحيوية اليوم، فإن تحديات الأمن السيبراني متعددة، وتتطلب مراقبة مفصلة ويقظة لسلامة الأجهزة المستخدمة وأمن البرمجيات التي تساعد عملية الإنتاج.
منذ عقد مضى، كان عدد هجمات الأمن السيبراني على المنشآت الصناعية ومواقع البنية التحتية الحيوية المماثلة يرتفع باطراد، مع أنواع مختلفة من البرامج الضارة التي تستهدف بشكل رئيسي شبكات نظام التحكم الصناعي (ICS) في جميع أنحاء العالم. وكان أول حادث كبير موثق من هذا القبيل في عام 2010، عندما استهدفت ستوكسنت وحدات التحكم المنطقية القابلة للبرمجة (PLCs) لموقع تخصيب اليورانيوم ومقره في إيران، والتلاعب باحتمال حدوث حالة طوارئ ذات أبعاد نووية.
وعلى غرار هذه المحاولة سيئة السمعة للاستيلاء على أنظمة التحكم الإشرافي والحصول على البيانات (SCADA) للبرنامج النووي الإيراني، كان هجوم شمعون على شركة هيدروكربونية في الشرق الأوسط في عام 2012. بالإضافة إلى ذلك ، بدءا من عام 2015 ، تم تسجيل حالات متعددة من هجمات Industroyer ، مع هدف واحد محدد – أنظمة توليد الكهرباء الموجودة في أوكرانيا ، بهدف قطع التيار الكهربائي عن مناطق حضرية بأكملها ، أو التحميل الزائد على شبكة المحطة أو التأثير على خزانات الطاقة الكهربائية في جميع أنحاء العالم. ومن خلال فهم مستوى المخاطر التي تشكلها هذه الأسلحة السيبرانية على الشركات الكبيرة وجميع موظفيها والسكان على نطاق أوسع بشكل عام، فإن حاجة الصناعة الكبرى إلى إتقان مراقبة وحماية أنظمتها الأمنية التي تتم مراقبتها عن كثب بالفعل تتزايد.
إضافة جديدة نسبيا إلى الشبكة الحالية من البرامج الضارة التي تستهدف البنية التحتية الأساسية لبعض أكبر عمال المناجم والموردين للموارد الطبيعية في العالم هي Triton (المعروف أيضا باسم TRISIS أو Hatman). انتشرت أخبار Triton لأول مرة في عام 2017 ، عندما تم اكتشاف البرامج الضارة في أنظمة مصنع للبتروكيماويات في الشرق الأوسط.
مع الغرض من إعادة برمجة وإساءة استخدام ضوابط نظام Triconex Safety Instrumented System (SIS) في المصنع ، كان لهذا الهجوم بالذات القدرة على التسبب في تأثير بيئي كبير على العالم البحري ، وحتى خسارة محتملة في الأرواح البشرية بسبب احتمال الانفجار.
عادت تريتون، التي سميت بالتناوب أكثر البرامج الضارة دموية وخطورة في العالم، إلى الظهور مرة أخرى في عام 2019، مستهدفة إطارات شبكات التكنولوجيا الصناعية الأخرى.
كيف تعمل تريتون؟
وكما تفعل جميع الفيروسات المماثلة، تهدف Triton إلى تعريض أنظمة السلامة الخاصة بأجهزة التكنولوجيا الصناعية للخطر، مما يؤثر بشكل مباشر على الأمن التشغيلي للماكينة من خلال التسلل إلى البرنامج الذي يتحكم فيها. كشفت دراسة حديثة أجراها الشريك الرئيسي لشركة ATS ، Cisco Systems ومختبر أمان إنترنت الأشياء الخاص بها ، عن تفاصيل إجراء هجوم البرامج الضارة.
بعد الوصول إلى شبكة تكنولوجيا المعلومات الداخلية لمصنع بترو رابغ ، ذهب تريتون إلى أبعد من ذلك للتسلل إلى شبكة التكنولوجيا التشغيلية (OT) ، مما يعرض محطة هندسية داخل نظام السلامة للخطر. من هذه المحطة ، تم إطلاق قطارة (ثلاثية .exe) ، والتي تم إجراؤها عن طريق الهندسة العكسية لبروتوكول السلامة الحالي – TriStation. تستخدم أنظمة أدوات السلامة ، مثل Triconex ، لمراقبة قيم العملية والمعلمات من أجل تقييم جميع المخاطر المحتملة ضمن خطة التشغيل الصناعية. بمجرد أن يكون هناك أكثر من خطأ هامشي في العملية التشغيلية ، فإن الغرض من SIS هو تنشيط أنظمة الإنذار واستعادة السيطرة على إجراءات الإنتاج ، مما يؤدي أساسا إلى إنشاء السلامة بأي وسيلة ضرورية ، مما يعني ، في كثير من الأحيان ، التوقف المؤقت عن التصنيع ، مما يؤدي إلى خسارة كبيرة في الوقت ورأس المال. ومع ذلك ، بدون أنظمة السلامة هذه وبروتوكولات الطوارئ الخاصة بها ، فإن احتمال حدوث مخاطر بيئية أو مالية أو مخاطر سلامة الموظفين أمر كبير.
كان الهدف من قطارة Triton ، التي تسللت إلى SIS ، هو تسليم ملفات الباب الخلفي الضارة إلى وحدة التحكم المنطقية القابلة للبرمجة (PLC) في المصنع. كان من شأن القيام بذلك أن يمنح المهاجمين السيطرة الكاملة على النظام ، الذي كانوا يعتزمون التلاعب به لأجهزتهم الخاصة. لحسن الحظ ، بسبب خطأ في المناولة ، أغلق نظام تشغيل السلامة في المصنع وتوقف الإنتاج ، مما حال دون إطلاق الغاز والانفجار مع عواقب وخيمة محتملة. ما جعل هذا الهجوم مزعجا بشكل خاص هو حقيقة أنه مر دون أن يلاحظه أحد من قبل مهندسي غرفة التحكم ، فقط ليتم اكتشافه من قبل فريق من محققي شنايدر إلكتريك – بعد عدة أشهر.
خطط الحماية
طور أولئك الذين يعملون على الخطوط الأمامية لمكافحة البرامج الضارة مثل Triton العديد من أنظمة الطرق للكشف عن هذه الهجمات ومواجهتها بكفاءة. وكما تظهر الطبيعة المعقدة بشكل متزايد للبرمجيات الخبيثة التي تستهدف المواقع الصناعية، يجب توسيع نطاق الأمن السيبراني ليشمل جميع مستويات التشغيل.
ويتم ذلك من خلال تطبيق بروتوكولات السلامة المختلفة على جميع مجالات الرصد والإدارة والتشغيل والإنتاج، بما في ذلك، على سبيل المثال:
- الإشراف على ICS
- تطبيق الأمن السيبراني على البنية التحتية للعمليات التشغيلية
- تجزئة الشبكة.
الإشراف على ICS
تتضمن المراقبة الدقيقة لنظام التحكم الصناعي للموقع الصناعي العديد من العمليات المختلفة. بدءا من جرد الأصول، تتمثل الخطوة التالية من الإجراء الأمني في المراقبة اليقظة لشبكات التحكم والبيانات في الوقت الفعلي، مع الاعتماد على فرق استخبارات التهديدات ذات الخبرة للمساعدة في إنشاء بنى تحتية آمنة وإجراء عمليات تدقيق روتينية لبروتوكولات السلامة. يتم تنفيذ هذا الجانب من الأمن السيبراني على نطاق واسع وشامل ، مما يؤدي إلى حماية مستمرة وموثوقة للعمليات الصناعية.
تطبيق الأمن السيبراني على البنية التحتية للتكنولوجيا التشغيلية OT
بالإضافة إلى ذلك ، بعد إجراء جرد لجميع أصول أجهزة الشركة ، يتضمن تأمين البنية التحتية أيضا اتباع أنماط الاتصال على أساس يومي ، بالإضافة إلى مراقبة طوبولوجيا الشبكة من أجل مراقبة تدفق وهيكل عملية الإنتاج بشكل أفضل.
تجزئة الشبكة
جانب آخر مهم من الحماية ضد التهديدات السيبرانية هو تقسيم الشبكة. يوصي الخبراء بسياسات تجزئة تتماشى مع مناطق وقنوات IEC62443 ، والتي ، في حالة حدوث هجوم ، في حين أن منطقة واحدة قد تتعرض وتتأثر ، تحمي كامل الكمبيوتر المركزي الصناعي.
وعند النظر في أمن الموقع الصناعي بأكمله ، من حيث كل من تهديدات تكنولوجيا المعلومات التي تمت مناقشتها وأنواع مختلفة من مخاطر السلامة ، يجب أن تصبح تقنيات الكشف عن التهديدات شاملة. وتشمل هذه التقنيات تحليل البروتوكول، والكشف عن التسلل، والتحليل السلوكي، وذكاء تهديدات OT من أجل الكشف عن نقاط الضعف في الأصول. هذه العمليات هي أيضا من الخدمة في تجميع وتصنيف البيانات اللازمة ، وخاصة تقارير الحوادث ، والتي لها أهمية كبيرة عند الاضطرار إلى إجراء فحوصات السلامة بشكل روتيني والإبلاغ عنها من أجل تلبية لوائح السلامة الموحدة في مجال الصناعة الخاص بك.
الدروس المستفادة
في حين أن دمج شبكات تكنولوجيا المعلومات والسحابة والتحكم الصناعي (ICS) في الثورة الصناعية الرابعة (الصناعة 4.0) كان يدفع الصناعة بجرأة إلى الأمام في العقود الأخيرة ، فإن اتجاه رقمنة سلاسل القيمة الرأسية والأفقية قد فرض أيضا تحديات غير مسبوقة للأمن السيبراني الصناعي.
تتضمن حماية الشبكات الداخلية زيادة مراقبة جميع العمليات الآلية ، وخاصة تلك التي تنطوي على أنظمة فيزيائية سيبرانية (CPS) و IIoT ، إلى جانب نقل البيانات والحوسبة السحابية.
من خلال الإشراف الكافي والخاضع لرقابة مشددة على الإجراءات الصناعية ، سواء تكنولوجيا المعلومات أو التكنولوجيا التشغيلية ، لا تحمي الصناعة نفسها فحسب ، بل تحمي مستهلكيها والجمهور الأوسع.
تعمل ATS في مجال تكنولوجيا المعلومات والاتصالات منذ 18 عاما وتشمل خبرتنا تكامل النظام والصيانة والدعم ، إلى جانب الاستشارات والاستشارات. لمزيد من المعلومات حول خدمات الأمن السيبراني المتقدمة التي نقدمها ، انقر فوق الصورة أدناه.
