مترجم: ابراهیم حیوری
بسیاری از سازمانهای صنعتی ساختمانهایی مخصوص برای ساخت محصولاتی مثل انواع وسایل نقلیه، تجهیزات پزشکی، مواد شیمیایی، لوازم برقی و مانند آن دارند.
حرکت جدیدی که میان این گونه سازمانها شروع شده، تمایل به پیادهسازی و توسعه شبکههای کامپیوتری در بخش تولید است. با انجام این کار، تجار، مهندسان، سرکارگرها و دیگر کارکنان فعال بخش تولید، دسترسی راحتتری به اطلاعات و برنامههای ضروری (بهخصوص ابزارهای بخش تولید) خواهند داشت. در ضمن، پیادهسازی شبکههای اختصاصی در محیطهای صنعتی امکان اتصال و برقراری ارتباط با تجهیزات و دستگاههای کنترل فرآیند آیپیمحور و در نتیجه نظارت و کنترل از راه دور آنها را هم آسانتر میکند.
هدف از طراحی شبکههای کامپیوتری صنعتی قدیمی، مثل سامانههای کنترل سرپرستی و جمعآوری اطلاعات (SCADA) یا سیستمهای کنترل فرآیند، مدیریت و کنترل تجهیزات صنعتی و افزایش میزان پایداری آنها است. البته چنین شبکههایی از توانایی مقابله با تهدیدهای امنیتیای که منشا آنها شبکههای داخلی یا خارجی است برخوردار نیستند. انتخاب یک راهکار امنیتی هدفمند برای شبکه که بهخوبی جوابگوی نیازمندهای خاص محیطهای صنعتی باشد، نقش مهمی در یکپارچهسازی مناسب سیستمهای جدید مبتنی بر آیپی با سیستمهای صنعتی قدیمی دارد. دمای متغیر، گرد و غبار، ارتعاشات و مانند آن نمونهای از شرایط دشوار فیزیکی چنین محیطهایی است. از این رو تجهیزات امنیتی مورد استفاده باید دارای قدرت کافی بوده، در برابر نوسانات ولتاژ مقاوم داشته، نصبشان هم بهنسبت آسان باشد.
رعایت احتیاط هنگام استقرار یک محیط کامپیوتری در ساختمانهای صنعتی از اهمیت ویژهای برخوردار است؛ در غیر این صورت، امکان توقف یا اشکال در عملیات صنعتی وجود داشته و ضرر پیادهسازی چنین سیستمی بیش از نفع آن خواهد بود. از این رو مشخص کردن ویژگیهای مشترک یک راهکار امنیتی مناسب که نیازمندهای منحصربهفرد محیطهای صنعتی را بهخوبی مرتفع کند کاملا ضروری است. در ادامه به بررسی چالشهای امنیت شبکه در محیطهای صنعتی و ویژگیهای یک راهکار امنیتی مناسب برای آنها خواهیم پرداخت.
انواع شبکهها در محیطهای صنعتی
در محیطهای صنعتی از دو سناریو برای پیادهسازی شبکهها استفاده میشود.
در مدل اول، ساختمان صنعتی بخشی از یک مجموعه بزرگتر و دارای مکانهایی برای فروش، توزیع، مهندسی کالا و انجام کارهای اداری است. در این مدل، دفاتر کار معمولا از یک شبکه کامپیوتری شامل اینترنت یا اتصالات WAN استفاده میکنند.
در مدل دوم، یک ساختمان صنعتی واحد تمام دفاتر کاری را در خود جای میدهد. در نتیجه زیرساخت شبکه کامپیوتری مورد استفاده بسیار کوچک و یکپارچه است؛ خبری از زیرشبکهها نیست و شاهد یک اتصال اینترنت یا WAN، چند ایستگاه کاری و یک شبکه داخلی هستیم.
چالش در مکانهای تولید صنعتی
دو مورد مهمی که سازمانها هنگام پیادهسازی محیطهای شبکهشده صنعتی باید مد نظر داشته باشند عبارتند از: پایداری صد درصد و محافظت در برابر تهدیدهای داخلی و خارجی. دستیابی به این دو هدف منوط به استفاده از راهکارهای امنیتی قدرتمند و مقرونبهصرفهای است که امکانات مدیریتی مناسبی هم داشته باشند.
پایداری و امنیت: در اکثر ساختمانهای تولیدی مهمترین مساله بعد از فراهم کردن محیط کار بیخطر برای کارکنان، تولید محصول است. محصول بیشتر یعنی منفعت بیشتر و هنگامی که صحبت از استمرار فرآیند تولید به میان میآید، دیگر فعالیتها در حاشیه قرار میگیرند. عدم توقف چرخه تولید برای سازمانهای صنعتی و تولیدکنندگان، از اهمیت بسیاری ویژهای برخوردار است. البته شاید افزایش تولید برای قسمتی مثل بخش کنترل ترافیک تولید مساله چندان مهمی نباشد، اما در دسترس بودن صد درصد این قسمت همچنان مسالهای کلیدی است.
در یک ساختمان صنعتی هزینه قابل توجهی صرف پایداری تجهیزات خصوصا در حوزه سیستمهای کامپیوتری میشود. قدرت شبکه و امنیت آن دو عامل کلیدی برای حصول اطمینان از پایداری شبکههای حساس سازمانی هستند. ابزارهای بهکاررفته در این گونه شبکهها نه تنها باید قادر به تحمل شرایط سخت محیطهای صنعتی باشند، بلکه از حملات سایبری که یکپارچگی و موجودیت آنها را به خطر میاندازد هم باید محافظت شوند.
متاسفانه کار ایزولهسازی موثر و محافظت از تهدیدهای شبکه به خاطر وجود عوامل زیر تا حدودی دشوار است:
• وجود تجهیزات آیپیمحور (IP-based): سیستمهای صنعتی مثل SCADA از پروتکلهای ارتباطی اختصاصی استفاده میکنند که امنیت آنها بر پایه اصل «امنیت از راه ابهام» استوار است. این سیستمها مجبور به رقابت با استاندارد باز آیپی هستند که این روزها فوقالعاده محبوب است.
• افزایش میزان پدیداری (Exposure): نیاز به کنترل و اطلاع پیوسته از وضعیت تجهیزات صنعتی از طریق اتصالات شبکه گسترده، امکان دسترسی غیرمجاز خرابکاران به چنین محیطهایی را افزایش میدهد.
• تجهیزات فرسوده: بسیاری از سیستمهای صنعتی قدیمی بوده، سیستمهای عامل منسوخ شدهای روی آنها نصب است که هیچ گونه نرمافزار یا وصله امنیتی برای بهروزرسانیشان عرضه نمیشود.
• لحاظ نشدن امنیت هنگام طراحی: مساله امنیت به ندرت در طراحی پایه سیستمهای خودکارسازی و کنترل صنعتی لحاظ میشود.
علاوه بر چالشهای فوق، راهکارهای امنیتی باید قدرت مبارزه با این تهدیدها امنیتی را هم داشته باشند:
• افزایش تهدیدهای همهجانبه: صرف نظر از اشتیاق شخصی یا انگیزه مالی، هکرها پیوسته تهدیدهای جدیدی را خلق میکنند و سرعتشان در تولید بدافزارها و روشهای حمله هم در سالهای اخیر افزایش بسیار زیادی داشته است. ضمنا مدتزمان اعلام نقاط آسیبپذیر از سوی شرکتهای امنیتی و شروع استفاده از آنها توسط خرابکاران دنیای مجازی هم کاهش چشمگیری داشته است.
• افزایش تهدیدهای پیچیده: امروزه تهدیدهای سایبری به خاطر ترکیب روشهای نفوذ و اغفال کاربران، پیچیدگی خاصی پیدا کرده است و هکرهای خلاق بدافزارهای خود را مجهز به چندین سازوکار نفوذ، افزایش فشار بار پردازشی و روشهای مختلف خودتکثیری مینمایند. این امر ریشه در کاهش توجه هکرها به آسیبپذیریهای لایه شبکه و متمرکز شدن روی شیوههای نفوذ به سرویسها، برنامهها و دادهها است.
• اتصال به اینترنت: استفاده سازمانهای صنعتی از محصولات سیار مثل لپتاپها، دستیارهای دیجیتال شخصی (PDA)، اتصالات بیسیم و شبکههای گسترده و مانند آن رشد چشمگیری داشته است. این امر آنها را در معرض خطرات امنیتی بیشتری قرار داده است. ضمن این که پیوسته شیوههای جدیدی برای عبور تهدیدها از میدان امنیتی قدیمی شبکهها توسط خرابکاران کشف میشود.
• صرفهجویی در هزینه و مدیریت: دومین اصل مهم در سازمانهای صنعتی بعد از تولید محصول، کاهش هزینهها است. مساله کاهش هزینهها در حوزه تامین امنیت از اهمیت خاصی برخوردار است؛ چرا که مدیران بخش امنیت و فناوری اطلاعات سازمانها حقوق بسیار بالایی دریافت میکنند. از این رو استخدام یک مدیر امنیت برای هر کدام از ساختمانهای یک سازمان صنعتی، فشار مالی مضاعفی به همراه خواهد داشت. این مساله در شرکتهایی که ساختمان تولید متعددی دارند از اهمیت ویژهای برخوردار است.
ضمنا مدیریت متمرکز نقش مهمی در کاهش هزینهها دارد چرا که امکان هماهنگی بهتر و پیکربندی راحتتر ابزارها را میسر کرده و از دوباره کاری هم جلوگیری میکند.
نیازهای اساسی یک راهکار امنیتی در محیطهای تولید صنعتی
تمهیدات مورد نیاز برای افزایش ضریب امنیت محیطهای شبکه ساختمانهای صنعتی، فراتر از چیزی است که تصور میکنید. از آن جایی که شبکههای متعددی مستقیما در محیطهای کاری صنعتی مستقر میشوند، پیادهسازی یک راهکار امنیتی قدرتمند و بادوام که مدیریت آسان داشته، هزینه چندانی به سازمان تحمیل نکرده، در شرایط سخت صنعتی هم پایدار باشد، کار بسیار دشواری است. بنابراین سازمانها باید به دنبال راهکارهای مناسبی باشند که جوابگوی چالشهای فوق بوده، مرتفعکننده دیگر مشکلات امنیتی هم باشند. برای انتخاب و پیادهسازی درست بهتر است نگاه دقیقتری به ویژگیهای راهکار امنیتی مناسب محیطهای صنعتی داشته باشیم.
پایداری قطعی: به خاطر ویژگی خاص محیطهای صنعتی، ابزارهای سختافزاری امنیتی باید طراحی فیزیکی قدرتمندی داشته باشند. ویژگیهای مثل مقاومت در برابر گرد و غبار، دمای زیاد هوا، رطوبت، ارتعاش و مانند آن باید با هم ترکیب شوند تا دوام فیزیکی تجهیزات راهکارهای امنیتی تضمین شود.
امنیت یکپارچه: وجود تهدیدهای گسترده امنیتی و حساسیت فرآیندهای تولید محصول و همچنین شبکههای حساس توزیعشده، اهمیت انتخاب یک راهکار جامع امنیتی را دو چندان میکند. از آن جایی که برای تامین امنیت نیاز به استفاده از عملکردهای مختلف امنیتی است، انتخاب بهترین نمونه این ابزارها هم فوقالعاده مهم است. یکی دیگر از مسایل حساس، غیرفعال شدن تجهیزات کارخانهها در مواقعی است که ابزارهای امنیتی مشغول فرآیند اسکن و دفاع هستند. به عبارتی دیگر هنگامی که ابزارهای امنیتی در حال بررسی بار ترافیکی و بررسی عناصر خطرناکی مثل بدافزارها یا کارهای مشکوک هستند، تجیهزات کارخانه نباید از کار بیافتند. با توجه به مسایل فوق وجود ویژگیهای امنیتی زیر کاملا ضروری است:
دیوار آتش چندلایه با قابلیت بازبینی وضعیت: امکان کنترل لایه شبکه یا لایه انتقال برای جلوگیری از حملات کافی نیست. آگاهی از وضعیت پروتکلها و همچنین لایه کاربرد، از ویژگیهای ضروری دیوارهای آتش مدرن امروزی هستند.
حفاظت در برابر حملات آشکار: دیوارهای آتش از لیستهای سفید استفاده میکنند که بسیار قدرتمند بوده و امکان عبور حجم کمی از ترافیک را میدهند. با این حال، دیوارهای آتش پیشرفتهتر که دارای ویژگی فیلترینگ ورودی هم هستند (و عمدتا به سیستمهای کشف و پیشگیری از نفوذ موسومند) اجازه عبور ترافیک بیشتر را فراهم کرده ولی همچنان عناصر مخرب را دفع میکنند.
فیلترینگ پیشرفته محتوا: فیلترینگ مبتنی بر گذرگاه ضدویروس، ضدبدافزار و ضدهرزنامه در ساختمانهای صنعتی که به اینترنت متصلند، اجباری است. فیلترینگ نه تنها امکان گسترش کرمهای کامپیوتری را فراهم میکند بلکه از نشت اطلاعات حساس و محرمانه هم جلوگیری خواهد کرد.
شبکهسازی شخصی مجازی: قابلیت مدیریت از راه دور امن، دیدهوری شبکهها و همچنین جلوگیری از دسترسی غیرمجاز (چه خرابکاران و چه کنجکاوان) به سیستم از ویژگیهای مهم راهکارهای امنیتی استاندارد است.
مدیریت موثر و کارآمد: اگر راهکار انتخابی فاقد مدیریت مناسب باشد، امکان داشتن امنیتی گسترده و یکپارچه میسر نخواهد شد. بدون مدیریت یکپارچه، پیچیدگی کار و آشفتگیهای پیکربندی منجر به بروز شکافهایی در حوزه دفاع از سازمان شده و تجهیزات حساس در امر تولید ضروری را در معرض تهدیدهای امنیتی مختلفی قرار میدهد.
دیدهوری و اشکالزدایی بیدرنگ: یک ابزار امنیتی مناسب باید قابلیت پشتیبانی گروهی و تکی تجهیزات کارخانه را داشته باشد و از راههای مختلف (ایمیل، پیامک و کنسول مرکزی) اعلانهای امنیتی را به کارکنان اعلام کند.
گزارشگیری جامع: وجود قابلیت گزارشدهی یکپارچه در ابزارهای امنیتی یکی دیگر از ویژگیهای مهم است.
رابطهای مدیریت محلی و دوردست: امکان مدیریت کامل ابزار امنیتی امری کاملا ضروری است؛ چه به صورت محلی و چه از راه دور. وجود رابطهای مدیریت خارج از محدوده برای امکان مدیریت ابزار در زمان قطع اتصال اصلی از طریق سیستم مدیریت هم ضرورت کامل دارد.
راهکار مدیریتی یکپارچه: مشتریانی که از محصولات امنیتی یک شرکت در بخش تولید یا شبکه سازمان استفاده میکنند، صرف نظر از مدیریت از محلی یا دوردست، نباید از ابزارهای مدیریتی متفاوتی که خاص هر مجموعه ابزار هستند استفاده کنند.
بهروزرسانیهای نرمافزار و امضاهای دیجیتال: معماریهای محصولات امنیتی برای بهروزرسانیهای نرمافزار نباید نیازمند جایگزینی سختافزار باشند. ضمن این که امکان انتخاب بهروزرسانیهای خودکار اختیاری توسط مسئول شبکه هم باید فراهم باشد.
سازگاری عمومی: یکی دیگر از ملاحظات مهم مساله سازگاری است. راهکار امنیتی مناسب ساختمانهای صنعتی نباید نیازمند تغییر زیرساخت موجود باشد، بلکه باید با محیط فیزیکی و پیکربندی شبکههای قدیمی سازگار باشد.
خلاصه
بسیاری از شرکتهای دارای خطوط تولید و مونتاژ، به دلایل گوناگون در حال توسعه شبکههای کامپیوتری در بخش تولید هستند. صرف نظر از قوی یا ضعیف بودن معماری چنین شبکههایی، سازمانها در معرض تهدیدهای متنوع مثل ویروسها، کرمها و حملات DDoS قرار دارند؛ از این رو پیادهسازی بهترین راهبردهای دفاعی امری حیاتی است. فراموش نکنید که هنگام انتخاب یک راهکار امنیتی باید مواردی مثل صرفهجویی در هزینهها، طراحی فیزیکی و مقاومت در برابر شرایط سخت محیطهای صنعتی و مانند آن را به خاطر داشته باشید.
| < قبلی | بعدی > |
|---|