أطلقت شركة ديجيتال بوند قبل عشر سنوات مشروع بيس كامب البحثي الذي سلط الضوء على التصميم غير الآمن لأجهزة وبروتوكولات التكنولوجيا التشغيلية الرئيسية. وشهدنا منذ ذلك الحين ظهور العديد من البرمجيات الخبيثة المؤثّرة التي استغلت التصميم غير الآمن لتطبيقات التكنولوجيا التشغيلية، مثل Industroyer وTRITON وIndustroyer2 وINCONTROLLER. وتم خلال العقد الماضي الكشف عن عدد متزايد من الثغرات التي تؤثر على العمليات التشغيلية نتيجة تنامي تركيز المجتمع على هذه المشاكل، مع ضرورة بذل جهود إضافية لضمان تأمين هذه الأجهزة والبروتوكولات بالشكل المطلوب.
وتماشياً مع هذه الجهود، وانسجاماً مع عمليات كشف نقاط الضعف التابع لوكالة الأمن السيبراني وأمن البنية التحتية، أطلق فريق فيدير لابس التابع لفورسكاوت اليوم تقريرOT:ICEFALL التكنولوجيا التشغيلية: الخطوة التالية، والذي يسلط الضوء على 56 من نقاط الضعف التي تؤثر على الأجهزة لدى 10 من علامات التكنولوجيا التشغيلية، ليمثّل تقدماً إضافياً نحو الكشف عن الثغرات الأمنية في هذا المجال.
وتندرج نقاط الضعف الواردة في التقريرOT:ICEFALL ضمن أربع فئات رئيسية هي:
- بروتوكولات الهندسة غير الآمنة
- التشفير الضعيف أو أنظمة المصادقة غير الفعالة
- تحديثات البرامج الثابتة غير الآمنة
- تفعيل التعليمات البرمجية عن بعد باستخدام الوظائف الأصلية
أنواع نقاط الضعف الواردة في التقريرOT:ICEFALL
رغم أن التأثيرات تعتمد بشكل كبير على وظائف الأجهزة، يمكن تقسيم نقاط الضعف إلى الفئات التالية:
- تفعيل التعليمات البرمجية عن بعد: تتيح للمهاجمين تفعيل تعليمات برمجية تتحكم بالأجهزة المستهدفة، بما يشمل التأثير على معالجات مختلفة أو عمليات مختلفة ضمن المعالج نفسه، لذا لا تضمن هذه العملية دوماً التحكم الكامل بالأجهزة. وعادة ما يتم الوصول إلى هذه الثغرة عن طريق آليات غير آمنة لتحديث البرمجيات الثابتة أو الخوارزميات مما يسمح للمهاجمين إدخال تعليمات التحكّم.
- حجب الخدمة: تتيح للمهاجمين إلغاء اتصال الجهاز كلياً بالإنترنت أو منع الوصول إلى بعض وظائفه.
- التلاعب بتكوين الملفات/ البرمجيات الثابتة تتيح للمهاجمين إجراء تغييرات جذرية على الأجهزة، مثل إعداداتها أو الملفات المخزَّنة عليها أو برمجياتها الثابتة. وتنتج هذه الهجمات عادة عن غياب عمليات المصادقة/ التصريح المناسبة أو فحوصات السلامة القادرة على منع المهاجمين من التلاعب بالأجهزة.
- كشف بيانات تسجيل الدخول: تمنح المهاجمين إمكانية الوصول إلى بيانات تسجيل الدخول الخاصة بعمليات الأجهزة، وتنتج عادة عن تخزين هذه البيانات أو نقلها بشكل غير آمن.
- تجاوز عمليات المصادقة: تتيح للمهاجمين تجاوز عمليات المصادقة القائمة وتفعيل الوظائف المطلوبة ضمن الأجهزة المستهدفة.
يمثّل استغلال هذه الثغرات في أجهزة التكنولوجيا التشغيلية ذات التصميم غير الآمن النموذج المفضّل للهجمات التي تستهدف أنظمة التحكم الصناعية (مثل برمجيات Industroyer2 وINCONTROLLER). وتعكس نقاط الضعف هذه، إضافة إلى تركيز الهجمات على استغلالها، الحاجة إلى مزايا مراقبة شبكات التكنولوجيا التشغيلية والفحص العميق لحزم البيانات.
وأشارت فورسكاوت أن التقرير OT:ICEFALLالجديد يوفّر استعراضاً كمياً لنقاط الضعف التصميمية القائمة ضمن منظومة التكنولوجيا التشغيلية، عوضاً عن الاعتماد فقط على القوائم الدورية التي تبيّن نقاط الضعف المشتركة الخاصة بالمنتجات الفردية، أو على مجموعة محدودة من الحوادث الفعلية التي عادة ما يتم تجاهلها كونها تنتج عن أخطاء يرتكبها مالكو الأصول أو الجهات البائعة. وتتنوع هذه التحديات من الممارسات غير الآمنة من الناحية التصميمية ضمن المنتجات الحاصلة على الترخيص الأمني، ووصولاً إلى الجهود غير الكافية المبذولة لاستبدال هذه المنتجات. ويهدف التقرير إلى تسليط الضوء على التحديات والتعقيدات الكبيرة التي تواجهها عمليات إدارة مخاطر التكنولوجيا التشغيلية، والتي تنجم عن الطبيعة المعقدة لهذه الأنظمة المملوكة، واعتماد عمليات غير كافية لإدارة نقاط الضعف المرتبطة بها، بالإضافة إلى عدم فعالية التراخيص والشهادات الأمنية الممنوحة لها. ويُذكر من أبرز نتائج التقرير ما يلي:
- وجود عدد كبير من نقاط الضعف التصميمية – يفسح أكثر من ثُلث نقاط الضعف القائمة (38%) المجال أمام هجمات كشف بيانات تسجيل الدخول، تليها هجمات التلاعب بالبرمجيات الثابتة (21%) وتفعيل التعليمات البرمجية عن بعد (14%). وتشمل الأمثلة الرئيسية عن المشكلات الأمنية التصميمية وجود تسع ثغرات متعلقة بالبروتوكولات غير المصادق عليها، بالإضافة إلى وجود العديد من أنظمة المصادقة غير الفعالة، الأمر الذي يعكس اعتماد ضوابط أمنية غير كافية عند تطبيق تلك البروتوكولات.
- الثغرات تظهر عادة في منتجات حاصلة على الترخيص – تملك 74% من عائلات المنتجات الواردة في االتقريرOT:ICEFALlنوعاً من أنواع الترخيص الأمني، ومن الممكن الكشف عن غالبية المشاكل بصورة سريعة نسبياً من خلال إجراء فحص سريع ومتعمق لنقاط الضعف. ويُذكر من العوامل التي تقود إلى هذه المشكلة محدودية نطاق التقييم، والتعريفات الأمنية غير الواضحة، والتركيز على الاختبارات الوظيفية.
- غياب قوائم نقاط الضعف المشتركة تصعّب عمليات إدارة المخاطر – من الضروري بالنسبة لمالكي الأصول معرفة مستويات أمان الأجهزة أو البروتوكولات ليتمكنوا من اتخاذ قرارات مدروسة حول إدارة المخاطر. ولا توجد دائماً قوائم بنقاط ضعف مرتبطة بالثغرات التصميمية، وبالتالي تبقى هذه الثغرات غير واضحة ولا توفر إمكانية معالجتها بالصورة المطلوبة.
- وجود ثغرات أمنية تصميمية في سلاسل التوريد – لا تلتزم جميع الجهات المصنعة عادة بالإبلاغ عن نقاط الضعف الكامنة في التكنولوجيا التشغيلية لسلاسل التوريد، الأمر الذي يصّعب عمليات إدارة المخاطر.
- نقاط الضعف التصميمية غير متماثلة – أظهر تقرير فورسكاوت وجود ثلاثة مسارات رئيسية لثغرة تنفيذ التعليمات البرمجية عن بعد بالاعتماد على الوظائف الأصلية لأجهزة المستوى الأول، والتي تشمل تنزيل الخوارزميات وتحديثات البرمجيات الثابتة وعمليات قراءة/ كتابة الذاكرة. ولا يدعم أي من الأنظمة المشمولة بالدراسة عمليات تسجيل الخوارزميات، وتعتمد غالبيتها (52%) على تجميع الخوارزميات ضمن برمجيات آلية أصلية. كما يتيح 62% من هذه الأنظمة تنزيل البرمجيات الثابتة عن طريق شبكات الإيثرنت، ويعتمد 51% منها فقط آلية مصادقة لهذه العملية.
- إمكانية تطوير برمجيات الهجمات بشكل أسهل من المتوقع – يستغرق تطوير بروتوكول خاص واحد عن طريق الهندسة العكسية بين يوم واحد وأسبوعي عمل، فيما يتطلب تطوير الأنظمة المتطورة ومتعددة البروتوكولات بنفس الطريقة حوالي 5 إلى 6 أشهر من العمل. وبيّن هذا الواقع إمكانية تطوير الهجمات السيبرانية أو البرمجيات الخبيثة التي تستهدف التكنولوجيا التشغيلية عن طريق فريق صغير من المختصين وبتكلفة معقولة.
تحليل التأثير
- المعلومات مفتوحة المصدر: تنتشر المنتجات المتأثرة بالمخاطر الواردة في تقرير OT:ICEFALLالتكنولوجيا التشغيلية: الخطوة التالية في قطاعات مثل النفط والغاز والكيماويات والطاقة النووية وتوليد الكهرباء وتوزيعها والتصنيع ومعالجة المياه وتوزيعها والتعدين وأتمتة المباني. كما كشف التقرير بأن العديد من هذه المنتجات يتم بيعها على أنها آمنة من حيث التصميم أو حاصلة على اعتماد معايير أمان التكنولوجيا التشغيلية.
- حقائق حول شودان يُعد شودان محرك بحث يتيح للمستخدمين البحث عن الأجهزة المتصلة بشبكة الإنترنت. ويصعب تقدير أعداد الأجهزة المتأثرة استناداً على البيانات العامة، لأن هذه الأجهزة لا يمكن الوصول إليها عن طريق الإنترنت. وأصبح أكثر من 5 آلاف جهاز تابع للشركة مكشوفاً على الإنترنت بسبب محرك شودان. ومعظم هذه الأجهزة هي وحدات تحكم من طرازي سايا برجس وأومرون أو أجهزة تعمل ضمن بيئة نظام تشغيل ProConOS.
- سحابة الأجهزة من فورسكاوت. تُعد سحابة الأجهزة من فورسكاوت مخزناً للمعلومات حول أكثر من 18 مليون جهاز تجري مراقبتها عن طريق معدّات شركة فورسكاوت والموجودة ضمن شبكات العملاء. أظهرت سحابة الأجهزة هذه نحو 30 ألف نتيجة حول الأجهزة المعرضة للمخاطر وجاء قطاع التصنيع في مقدمتها، حيث شمل ما يقرب من ثلث الأجهزة. وتلاه قطاعات الرعاية الصحية والتجزئة والمرافق الحكومية، ويعود ذلك بشكل رئيسي إلى وجود وحدات التحكم في أتمتة المباني، بوصفها قطاعات تشتمل على الكثير من المرافق الكبيرة.
ويتطلب ضمان الحماية الشاملة ضد المخاطر الواردة على قائمة التكنولوجيا التشغيلية: الخطوة التالية قيام الموردين بمعالجة هذه المشاكل المحورية من خلال تعديل البرمجيات الثابتة في الأجهزة والبروتوكولات المدعومة ليقوم مالكو الأجهزة بتطبيق هذه التعديلات (التحديثات) في شبكاتهم، وتستغرق هذه العملية في الواقع وقتاً طويلاً. ويمكن إلى جانب مراقبة الشبكة عزل شبكاتOTCEFALL التكنولوجيا التشغيلية / نظام التحكم الصناعي عن شبكات الشركة والإنترنت، وحصر إمكانات اتصالات الشبكة بمحطات العمل الهندسية المصرح لها على وجه التحديد والتركيز على الحد من التأثيرات السلبية حيث أمكن. وتتضمن استراتيجيات الحد من المخاطر؛ تحديد وجرد الأجهزة المعرضة للخطر، وتطبيق لوحات تحكم منفصلة للأقسام واتباع ممارسات أمان الشبكة، وترقّب التحديثات التدريجية التي يصدرها موردو الأجهزة المتأثرة، ووضع خطة إصلاح للأصول المعرضة للخطر، ومراقبة حركة مرور البيانات عبر جميع الشبكات لرصد حزم البيانات الخبيثة التي تحاول الاستفادة من نقاط الضعف المرتبطة بالتصميم. ويتعين حظر حركة مرور البيانات الغريبة أو على الأقل إخطار مشغلي الشبكة بوجودها.
كما تقدم مبادرة شيلدز أب التي أطلقتها وكالة الأمن السيبراني وأمن البنية التحتية مزيداً من تدابير تخفيف المخاطر الموصى بها، والتي تتضمن تعميماً بعنوان حماية أنظمة التحكم الصناعي مع قائمة من الممارسات الموصى بها.