توصیه‌های کارشناسان امنیت درباره چگونگی به‌روزرسانی دستی ضدبدافزارها در سازمان‌ها‎

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

q374

 

کارشناسان هشدار می‌دهند که سازمان‌ها برای حفاظت از سامانه‌های حیاتی خود نباید تنها به ضدبدافزارها متکی باشند.

به گزارش ;كارشناسان دژپاد، گروه واکنش اضطراری سامانه‌های کنترل صنعتی سایبری آمریکا که به اختصار ICS-CERT نامیده‌می‌شود، پیشنهادهایی را درباره‌ چگونگی به‌روزرسانی ضدبدافزارها در محیط‌های صنعتی ارائه داده‌است، اما روش پیشنهادی کاملا عملی نیست و کارشناسان هشدار می‌دهند که سازمان‌ها برای حفاظت از سامانه‌های حیاتی خود نباید تنها به ضدبدافزارها متکی باشند.

گروه ICS-CERT جزیی از مرکز ملی امنیت سایبری و ارتباطات (NCCIC) وزارت امنیت آمریکا (DHS) است که با به‌کارگیری سامانه‌های کنترلی و تسهیل به‌اشتراک‌گذاری اطلاعات با حوادث امینتی مقابله می‌کند و در تلاش است تا خطرات حملات سایبری را کاهش دهد. در آخرین خبرنامه‌ نظارتی این گروه توصیه‌هایی درباره‌ اینکه سازمان‌ها چگونه باید ضدبدافزار‌ها را در سامانه‌های صنعتی خود به‌روزرسانی کنند، ارائه کرده‌است.

گروه ICS-CERT گفت:‌ «نرم‌افزارهای ضدبدافزار زمانی که به‌درستی نصب و به‌روزرسانی شوند، بخش مهمی از راهکارهای دفاعی عمقی برای محافظت از سامانه‌ها در برابر بدافزارها را تشکیل می‌دهند. چنین نرم‌افزارهایی به‌طور گسترده‌ای در فناوری اطلاعات و زیرساخت‌های کنترل صنعتی مورد استفاده قرار می‌گیرند. در محیط‌های کسب‌وکار فناوری اطلاعات بسیار متداول است که هر کارخواهِ ضدبدافزار را پیکربندی می‌کنند تا به‌طور مستقیم به‌واسطه‌ فروشندگان ضدبدافزارها به‌روزرسانی شوند؛ با این حال از آنجا که لازم است سامانه‌های فناوری اطلاعات و کنترل صنعتی توسط DMZ سامانه‌های کنترل صنعتی تفکیک شوند، سامانه‌های کنترل صنعتی نیاز دارند که از روش‌های به‌روزرسانی ضدبدافزار متفاوتی استفاده‌کنند.»

DMZ سامانه‌های کنترل صنعتی لایه‌ای بین منطقه‌ سازمانی و شبکه‌ کنترلی است. DMZ علاوه‌بر کارگزار‌های دسترسی از راه دور و ثبت‌کننده‌های رویدادهای سامانه، می‌توانند شامل ضدبدافزار، سرویس‌های به‌روزرسانی کارگزار ویندوز (WSUS) و کارگزارهای وصله نیز باشد.

از آنجایی که DMZ سامانه‌های کنترلی به‌طور معمول اجازه ندارند که به‌طور مستقیم به اینترنت متصل شوند به‌روزرسانی این سرویس‌ها در این محیط‌ها نیز نمی‌توانند به‌طور خودکار از طریق کارگزارهای فروشندگان انجام شوند. یک روش برای به‌روزرسانی ضدبدافزارها در این سامانه‌ها این است که به‌روزرسانی‌ها به صورت دستی بارگیری شده و رونوشتی از آنها در یک درایو قابل جابه‌جایی قرار داده‌شوند و سپس این درایو به دستگاهی که به این به‌روزرسانی‌ها نیاز دارد متصل شود.

با این حال این روند آن‌طور که به نظر می‌رسد ساده نیست. گروه ICS-CERT به سازمان‌ها توصیه کرد که ابتدا منبع به‌روزرسانی منتشر‌شده را بررسی کنند سپس پرونده‌ به‌روزرسانی را در یک میزبان اختصاصی بارگیری کنند. این پرونده‌ باید برای تشخیص بدافزارها مورد پویش قرار بگیرد و روش‌های استفاده‌شده در درهم‌سازی ‌آن‌ تایید شوند تا اطمینان حاصل شود که این پرونده یک پرونده‌ جعلی نیست.

وقتی پرونده‌‌های به‌روزرسانی کپی شدند، این درایو قابل جابه‌جایی باید به‌منظور کشف بدافزار پویش شده و قفل شود (یعنی از نوشته شدن پرونده‌های دیگر در آن جلوگیری شود). قبل از این‌که این به‌روزرسانی‌ها روی یک سامانه‌ محافظت‌شده نصب شوند باید روی یک محیط آزمایشی که تا حد امکان شبیه به دستگاه محافظت‌شده است مورد آزمایش قرار گرفته و معتبر شوند.

گروه ICS-CERT گفت: «این روند نسبت در به‌روزرسانی‌های خودکار زحمت بیشتری دارد، اما زیاد زمان‌بَر نیست. استفاده از درایو واسط در شبکه‌های اِیرگپ‌شده متداول است. فرایند‌های به‌روزرسانی خودکار که در بیشتر محیط‌های فناوری اطلاعات مورد استفاده قرار می‌گیرند، مناسب هستند، اما توصیه نمی‌شوند.»

کارشناسان می‌گویند که این روش چندان عملی نیست و ضدبدافزارها به تنهایی کافی نیستند.

Anton Shipulin، کارشناس امنیت سامانه‌های کنترل صنعتی در آزمایشگاه کسپرسکی، اظهار کرد: «هرچند این روش (عمل انتقال پرونده‌ها از یک سامانه به دیگری به وسیله‌ی یک درایور قابل جابه‌جایی) برای به‌روزرسانی نرم‌افزارهای حفاظتی در شبکه‌های ایر‌گپ‌شده کار می‌کند، اما در عمل سازمان‌ها در به‌روز نگه داشتن سامانه‌های خود با مشکلاتی مواجه هستند. کسپرسکی اغلب در شبکه‌های سامانه‌های کنترل صنعتی که در خلال ارزیابی‌های خود آن‌ها را مورد تجزیه و تحلیل قرار می‌دهد، ضدبدافزارهای قدیمی پیدا می‌کند.»

این کارشناس توضیح داد: «برای اینکه این فرایند کارا باشد، باید به‌صورت منظم انجام شود و نرم‌افزار‌های امنیتی که از نظر فنی پیشرفته هستند به کار گرفته شوند و این امکان وجود داشته‌باشد که این نرم‌افزار‌ها از کارگزار‌های به‌روزرسانی متمرکز گرفته‌شوند؛ این روش نسبت به زمانی که به‌روزرسانی‌‌ها فقط به یک دستگاه واحد متقل شوند، سریع‌تر و آسان‌تر است. همچنین لازم به ذکر است که یک فرایند واحد باید برای تمام سیستم‌های عامل و سامانه‌های کنترلی و به‌روزرسانی‌های نرم‌افزار دستگاه ضروری باشد (با توافق تامین‌کنندگان و فروشندگان سامانه‌های کنترل صنعتی).»

Rick Kaun، معاون رئیس راه‌حل‌ها در شرکت امنیت سایبری صنعتی Verve، اظهار کرد: «اعمال دستی به‌روزرسانی‌ها می‌تواند بسیار پیچیده‌تر از فرایند توصیف‌شده توسط گروه ICS-CERT باشد.»

وی توضیح داد: «به عنوان مثال، همه‌ به‌روزرسانی‌های ضدبدافزار‌ها یکسان نیستند. اگر شما برای یک عملکرد ضدبدافزار خاصی دارای ضمانت و پشتیبانی یک فروشنده‌ به‌خصوص هستید شما نمی‌توانید که پرونده‌ ضدبدافزار را بارگیری کنید، بلکه باید این پرونده را از فروشنده‌ آن بگیرید و یا حداقل مطمئین شوید که فروشنده‌ مربوطه این پرونده را پشتیبانی می‌کند. علاوه‌بر این، بسیاری از سازمان‌ها ممکن است محصولات خود را از طریق چند فروشنده‌ مختلف فراهم کنند و هر کدام از این فروشنده‌ها راه‌حل‌های ضدبدافزار متفاوتی را ارائه کنند، بنابراین شما نیاز دارید که این روش را روی بیش از یک مجموعه از پرونده‌ها روی چند سامانه‌ هدف اِعمال کنید؛ ردیابی و ارائه‌ گزارش از روند تکمیل این فرآیند یکی از چالش‌های پیش‌رو است.»

Kaun افزود: «اکنون بیایید نرخ انتشار به‌روزرسانی برای ضدبدافزارها را مورد بررسی قرار دهیم. اگر پرونده‌های مربوط به ضدبدافزارها هر ماه یک‌بار به‌روزرسانی شوند به احتمال زیاد این روند قابل مدیریت است. اگر این پرونده‌ها به‌صورت هفتگی به‌روز شوند، روند به‌روزرسانی دستگاه‌ها بیشتر چالش بر‌انگیز می‌شود. اکنون فرض کنید اگر پرونده‌های ضدبدافزار به صورت روزانه و یا حتی سریع‌تر به‌روزرسانی شوند چه اتفاقی می‌افتد؟ موضع شرکت شما در رابطه با سرعت انتشار به‌روزرسانی‌ ضدبدافزارها چیست؟ این مسئله بسیار مهم است که طوری تصمیم‌گیری شود که یک تعادل مناسب بین جدیدترین و بهترین پرونده‌های به‌روزرسانی ضدبدافزار‌ها (حداکثر حفاظت) و دخالت قابل‌ توجه انسان (راحتی/ نیروی انسانی) برقرار باشد.»

این کارشناس گفت: «سازمان‌های بسیار کمی وجود دارند که قادرند دقت و نرخ یک برنامه‌ ضدبدافزار را چنان‌که در مقاله‌ ICS مشخص شده، حفظ کنند. این مقاله به خوبی نوشته شده و توصیه‌های خوبی در آن ذکر شده‌است، اما در مورد برنامه‌هایی که روزبه‌روز تغییر می‌کنند بدون توجه به نیروی انسانی و/یا ابزارهای خودکار چندان عملی نیست. »

اکثر کارشناسان معتقدند بهتر است که برای حفاظت از سامانه‌های کنترل صنعتی از ضدبدافزارها استفاده نشود. در حالی‌که سازمان‌های صنعتی اغلب نگران‌اند که نرم‌افزارهای امنیتی می‌توانند تاثیر منفی روی عملیات‌های آنها داشته‌باشند، راه‌حل‌های جدیدِ مخصوص سامانه‌های کنترل صنعتی طوری طراحی شده‌اند که در کنار ارائه‌ راهکارهای حفاظتی جامع، کمترین تاثیر را روی این سامانه‌ها داشته‌باشند. علاوه‌بر این ضدبدافزارها نمی‌توانند به طور مستقیم روی دستگاه‌های کنترلی مانند PLCها و DCSها نصب شوند. با این حال محصولات جدید صرف‌نظر از نوع دستگاه هدف، به‌طور مداوم روی شبکه‌ها نظارت می‌کنند.

Patrick McBride، مدیر ارشد بازاریابی در شرکت Claroty، اشاره کرد که محصولات امنیتی که برای محیط‌های فناوری اطلاعات طراحی شده‌اند هرگز نباید در شبکه‌های فناوری عملیاتی مورد استفاده قرار بگیرند.

دانا تامیر از شرکت Indegy نیز به یک نکته‌ی جالب دیگر اشاره کرد: «با اینکه ضدبدافزارها تا حدی می‌توانند راهکارهای حفاظتی ارائه دهند (مخصوصا در برابر تهدیدات شناخته‌شده)، ممکن است حتی استفاده از ضدبدافزارهای سنتی نیز در برخی سازمان‌ها ممکن نباشد، زیرا بسیاری از سازمان‌ها در شبکه‌های ICS خود همچنان به سامانه‌های قدیمی مانند ویندوز NT و XP متکی هستند و ممکن است این سامانه‌های قدیمی توسط فروشندگان ضدبدافزارها پشتیبانی نشوند.»

این مسئله توسط یک مطالعه‌ی CyberX نیز تایید شده‌است، این مطالعه نشان داد که سه مورد از چهار محیط صنعتی همچنان از سامانه‌های عامل قدیمی در شبکه‌های سامانه‌های کنترل صنعتی خود استفاده می‌کنند.

Phil Neray، معاون رئیس بخش امنیت سایبری صنعتی در CyberX، گفت: «توصیه‌ گروه ICS-CERT این واقعیت را نادیده می‌گیرد که بسیاری از محیط‌های ICS هیچ‌یک از وصله‌‌های امنیتی ویندوز را نصب نمی‌کنند و یا به دلیل استفاده از سیستم‌های عامل پشتیبانی‌نشده مانند ویندوز ۲۰۰۰ و XP از هیچ محصول ضدبدافزاری استفاده نمی‌کنند.»

تامیر همچنین اظهار کرد: «یک سازمان می‌تواند ضدبدافزارهایی را روی تمام رایانه‌های مدیریت‌شده نصب کند، اما اگر از یک راه‌حل جامع برای نقاط انتهایی مدیریت‌‌نشده استفاده نکند، تهدید‌ها می‌توانند از طریق دستگاه‌ها به شبکه‌ ICS سازمان وارد شوند.»