راهکارهای امنیتی حیاتی در حفاظت از شبکه های صنعتی

در سالهای اخیر با توجه به گزارش‌های رسیده از حملات سایبری به شبکه‌های صنعتی در جهان و ایران از جمله واحدهای صنعتی حساس مانند واحدهای نیروگاهی و صنایع نفت، گاز و پتروشیمی، باید بیش از پیش به مسئله حفاظت شبکه‌های صنعتی و بطور ویژه شبکه‌های کنترل فرآیند و اتوماسیون صنعتی توجه داشته باشیم.

این مهم، علاوه بر دانش فنی بالا، نیاز به توجه به نکات اساسی و مهمی دارد تا سیستم حفاظتی شبکه صنعتی در یک واحد صنعتی بتواند اطمینان کامل را برای سطوح مختلف کاربران شبکه به وجود آورد. در این مقاله تلاش شده است توجه شما را به چند نکته اساسی برای پیاده سازی سیستم حفاظت شبکه‌های صنعتی جلب کنیم.

حفاظت شبکه بدون شک برای شبکه‌های صنعتی امروزی ضروری است. عدم موفقیت در محدود کردن دسترسی می‌تواند فاجعه آمیز باشد. امکان دسترسی به شبکه شما توسط افراد آموزش ندیده ممکن است باعث ایجاد تنظیمات اشتباه و بد دستگاه‌های شبکه‌ای شود. دسترسی به پورتها و درگاه‌‎های ناامن می‌تواند باعث به وجود آمدن تصادفی حلقه‌های شبکه شود. در زیر چند نکته امنیتی وجود دارند که بهتر است در هنگام ایجاد شبکه خود آنها را در ذهن داشته باشید:

زمان بازیابی و فعالیت از مهمترین اولویت‌های بخش کارخانه است. حتما سیستم‌های امنیتی را به شکلی تنظیم کنید که برای افراد در بخش برنامه‌ریزی که با این دستگاهها سر و کار دارند آشنا و قابل درک باشد. برای مثال، یک سیستم امنیتی ایجاد نکنید که اگر یک اپراتور وحشت زده در یک شرایط بحرانی یک رمز عبور اشتباه وارد کرد، تجهیزات را خاموش کند.

VLANها را تقسیم کنید

ابزار و عوامل بخش تولید خود را با استفاده از CLANهای مختلف، از بخشهای مدیریتی (کامپیوترهای دفتر، قفلهای درب پذیرش و …) مجزا کنید. گاهی تبدیل شبکه تولید به سه بخش بسیار مفید است (PLCها، کاربران HMI و سرورها). چون این تقسیم باعث کاهش ترافیک می‌شود در مواقعی که نیاز نیست.

دسترسی به واسط مدیریت سوییچ‌های شبکه نیز قابل کنترل شدن است. از یک لیست IP قابل دسترسی برای محدود کردن دسترسی مدیریتی به دستگاه‌های شبکه خود استفاده کنید. این لیست تنها اجازه برقرار شدن ارتباطاتی را می‌دهد که از طریق آدرسهای IP از پیش انتخاب شده درخواست شوند.

برای پیشگیری بیشتر دسترسی به واسط مدیریتی، یک VLAN مدیریتی مجزا می‌تواند برای این هدف ایجاد شود. به هر حال، بسیاری از شبکه‌های صنعتی در یک VLAN و با یک طرح IP مستقیم عمل می‌کنند. ایجاد VLANهای مجزا می‌تواند باعث ایجاد پیچیدگی بیشتری در یک سیستم متوسط شوند، اما لیست IP قابل دسترسی گاهی می‌تواند حفاظت مناسب را به همراه سادگی مطلوب فراهم کند.

از سوییچ های شبکه مدیریتی استفاده کنید

شبکه خود را با سوییچهای مدیریت شده طراحی کنید، این سوییچها جریان داده‌ها را کنترل کرده و بار شبکه را کاهش می‌دهند. این دستگاهها شامل یک واسط مدیریتی است که یک کنترل عالی برای عملکرد سیستم فراهم می‌آورند، همچنین دسترسی به شبکه را نیز محدود می‌کنند.

سوییچهای مدیریت نشده هیچ نوع کنترلی فراهم نمی‌کنند و به هر دستگاهی اجازه می‌دهند به شبکه متصل شود. سوییچهای مدیریت شده همچنین به طراح شبکه اجازه می‌دهند که همه پورتهای استفاده نشده را غیر فعال کند. این امر از دسترسی دستگاه‌های غیر مجاز به شبکه جلوگیری می‌کند. پورتها می‌توانند یا غیر فعال شوند و یا برای استفاده از یک سرور RADIUS مرکزی تنظیم شوند که می‌تواند دسترسی به آنها را از طریق ۸۰۲.۱x کنترل کند. این امر به تنظیمات بیشتری نیاز دارد، اما اجازه می‌دهد همه دستگاههای شبکه به جای مدیریت نامها و رمز های عبور کاربران بر روی سوییچهای مجزا، یک پایگاه داده کاربری مجزا که به صورت مرکزی مدیریت می‌شود داشته باشند.

حتما رمز عبور پیش فرض admin را برای سوییچها تغییر دهید. این رمز معمولا به صورت پیش فرض قرار می گیرد و متاسفانه بسیاری از افراد آن را تغییر نمی‌دهند! باید گفت که این عدم تغییر رمز پیش فرض یک مشکل بزرگ است و حتما باید همیشه آن را تغییر دهید.

بررسی کنید تا حلقه های شبکه بین هاب سوییچ ها ایجاد نشده باشد

بسیاری از شبکه‌های صنعتی با مسیرهای افزونگی ریداندنسی Redundancy در سیستم خود طراحی شده‌اند و از همان ابتدا یک مکانیزم پیشگیری از افزونگی/حلقه به کار می‌برند. این امر نیز یکی از ویژگیهای سوییچ مدیریت شده است. بدون پروتکلهای پیشگیری از حلقه، همه پورتها می‌توانند با یک کابل اترنت پشت به پشت هم در یک سوییچ به هم متصل شوند و یک طوفان ارسال داده فراهم کنند. این طوفان می‌تواند سوییچ و همچنین شبکه را از کار بیندازد.

پیگیری و برطرف کردن این نوع مشکلها در یک شبکه بسیار مشکل است. پروتکلهای پیشگیری از حلقه شامل متغیرهای درخت پوشا می باشند (مانند درخت پوشای سریع). برای کاربردهای صنعتی این پروتکلها بسیار کند هستند، اما راه حل‌های بهینه سازی شده‌ای مانند TurboChain و پیشگیری از ایجاد طوفان ارسال داده (BSP) می‌توانند زمان پاسخگویی میلی ثانیه‌ای در جلوگیری از ایجاد حلقه‌ها در شبکه داشته باشند. این ویژگیها می‌توانند برای جلوگیری از عدم پذیرش خطرناک خروجی خدمات و همچنین جلوگیری از حلقه بازگشتی تصادفی کابل اترنت مورد استفاده قرار گیرند.

به دنبال افزونگی REDUNDANCY و FAILE SAFE شدن باشید

داشتن تجهیزاتی که ایجاد اختلال در آنها ساده باشد، کار یک حمله کننده سایبری را تسهیل می‌کند. همه اجزای شبکه از جمله کابل کشی، بخشها و تجهیزات فعال، باید از نظر صنعتی تقویت و مستحکم شوند، عکس العمل سریع داشته باشند و به خاطر محیطهای شلوغی که در تاسیسات صنعتی به وجود می‌آیند، باید دارای زمان متوسط بالایی بین شکستها (MTBF) باشند.

اجزای فعال در یک شبکه صنعتی، مانند سوییچها و مسیریاب‌ها، باید از تکنولوژی‌های افزونگی صنعتی و سطح افزونگی (ریداندنسی) مورد نیاز برای نیازهای حفاظتی شما پشتیبانی کنند. این امر باعث می‌شود عملیات‌ سیستم شما ادامه یابد، حتی اگر مشکلات و خرابی‌هایی در شبکه به وجود آیند.

از یک سیستم فایروال برای هشدار به موقع فعالیت های مشکوک در شبکه استفاده کنید

یکپارچه سازی امنیت با سیستم‌های کنترل صنعتی برای پشتیبانی و کنترل اتفاقات امنیتی در یک شبکه حیاتی است. استفاده از نرم افزارهای فایروال و هشدار دهنده امنیت شبکه، تشخیص فعالیت‌های غیرمعمول در شبکه را تسهیل می‌کند.

تشخیص فعالیت‌های غیرمعمول زمینه‌ای است که در دنیای مکانیزه سازی صنعتی، معمولا به صورت ضعیف انجام می‌شود. افراد بخش برنامه نویسی باید در صورتی که یک اپراتور از راه دور فقط خواندنی سعی کند یک PLC را برنامه‌نویسی کند، سریعا آگاه شوند. بررسی اتفاق توسط تیم IT در روز بعد از وقوع ممکن است خیلی دیر باشد.

فایروال را به گونه ای تنظیم کنید تا ارتباطات سالم شبکه صنعتی به اشتباه مختل نشوند

فایروال‌ها باید برای ایمن سازی پروتکلهای تحت شبکه‌های صنعتی اترنت (Ethernet) مانند پروتکلهای ارتباط دیتای تحت سازمان اسکادا (SCADA) یا شبکه‌های فیلدباس مانند پروفی‌ باس (ProfiBus) مانند شبکه مدباس (Modbus) و OPC بهینه‌سازی شوند (نه برای ترافیک ایمیل یا وب، که جایی در سیستم برنامه نویسی ندارند).

محصولاتی که ترافیک ایمیل و وب را مورد بررسی قرار می‌دهند، هزینه و پیچیدگی بیشتری به راه حل امنیتی اضافه می‌کنند. سیستم امنیتی خود را به گونه‌ای طراحی کنید که محدوده‌های نیروی بسیار وسیعی را کنترل کند، چون بخش برنامه‌نویسی گاهی نیروهای مخرب زیادی دارد.