چگونه حمله به شبکه های اختصاصی سامانه کارت سوخت ممکن است؟
دیروز سه شنبه حمله سایبری به سامانه کارت سوخت موجب اختلال در توزیع بنزین در جایگاههای سوخت سراسر کشور شد.
چند وقت گذشته هم اخباری مبنی بر هک و حمله سایبری به سامانه دوربین های نظارتی زندان اوین منتشر شد، که برخی از تصاویر دوربین ها انتشار عمومی یافت.
بر خلاف تصور بسیاری، ایجاد شبکه ای امن و اختصاصی و عدم اتصال به شبکه جهانی اینترنت، امنیت را به این سادگی به ارمغان نمی آورد.
به این شبکه های مجزا و منقطع از شبکه های دیگر، اصطلاحا شبکه های «شکاف هوا» می گویند.
این اساساً به این معنی است که سیستم یا شبکه از نظر فیزیکی به هیچ شبکه خارجی متصل نیست، خواه اینترنت یا یک شبکه محلی.
برگردیم به شبکه های رایانه ای، شبکه های شکاف هوا در وهله اول در محیط های با امنیت بالا مانند شبکه های نظامی و دولتی، سیستم های اطلاعاتی، نیروگاه های هسته ای یا هواپیمایی دیده می شوند. انگیزه اصلی راه اندازی شبکه های هواشکاف احساس امنیتی است که برای سازمان ایجاد می کند.
شبکه های شکاف هوا چگونه کار می کنند؟
از آنجایی که شبکه های هوا شکاف هیچ ارتباط شبکه ای ندارند، از لحاظ نظری هیچ نوع ارتباط سیمی یا بی سیم با دنیای خارج ندارند. کنترل کننده های بی سیم آنها غیرفعال هستند که موجب می شود، کل شبکه “یک سیستم بسته”شود. تنها راه ورود یا خروج داده ها به این نوع شبکه استفاده از رسانه های فیزیکی مانند درایوهای USB یا CD-ROM ها است.
شبکه های شکاف هوا معمولاً برای جداسازی زیرساخت های مهم از شبکه سازمانی استفاده می شوند تا اطلاعات حیاتی به خطر نیفتد. این اطلاعات دارایی ها مهم، حساس و حیاتی سازمان ها یا دولتها هستند که در صورت نشت و یا از بین رفتن می توانند خسارات جبران ناپذیری تحمیل کنند. به همین دلیل مدیران امنیتی ترجیح می دهند چنین اطلاعاتی را در شبکه های شکاف هوا که هیچ ارتباطی با شبکه اصلی سازمان ندارند، داشته باشند.
با این حال ، شبکه های شکاف هوا نیز ممکن است احساس امنیت کاذب ایجاد کنند. یک فرض ذاتی وجود دارد که، از آنجا که شبکه های شکاف هوا هیچ نقطه دسترسی ندارند، آنها کاملاً ایمن و امن هستند. بنابراین، از نظر امنیتی نیازی به بررسی یا ارزیابی نیست. متأسفانه، این نوع دیدگاه ممکن است اغلب منجر به مشکلات امنیتی شود.
آیا آنها واقعاً ایمن هستند؟
اولاً ، از طریق دستگاه های ذخیره سازی فیزیکی هنوز می توان به شبکه های شکاف هوا دسترسی داشت. همانطور که مشاهده کردیم، دستگاههای USB معمولاً برای انتشار انواع بدافزارها استفاده می شوند. از آنها می توان برای طیف وسیعی از فعالیت های مخرب مانند فیلتر کردن داده ها، نصب بدافزار و دستگاه های ورود به سیستم و غیره استفاده کرد.
وجود باگها در سیستم عامل و نرم افزارهای نصبی امکان غیرفعال کردن نرم افزارهای و لایه های امنیتی مدیریت دستگاههای جانبی را میسر می کند.
بزرگترین نمونه از این نوع فعالیتهای مخرب ، کرم استاکس نت بود . در سال ۲۰۱۰ کشف شد و به برنامه هسته ای صدمات اساسی وارد کرد و باعث از هم گسیختن سانتریفیوژها شد. این کرم از طریق درایوهای USB آلوده به محیط شبکه وارد شد. این رویداد یک یادآوری جدی ارائه می دهد که شبکه های شکاف هوا را می توان با تأثیر زیادی به خطر انداخت.
ثانیا ، حتی اگر شبکه های شکاف هوا از دنیای خارج جدا شده باشند، اما آنها از یک تهدید اصلی دیگر در زمینه امنیت سایبری جدا نیستند: خود انسان ها. مهندسی اجتماعی همچنان یک عامل اصلی تهدید است و در این نوع شرایط، خطرات بزرگتر می شوند. تهدیدهای داخلی مانند کارمندان سرکش هنوز هم می توانند برای دسترسی به شبکه شکاف هوا استفاده شوند. کارکنان با دسترسی به شبکه های خاص شکاف هوا ممکن است حافظه ذخیره سازی قابل جابجایی خود را آلوده به بدافزار کنند که در صورت قرار دادن در یک سیستم شکاف هوا، می تواند سیستم و شبکه را آلوده کند.
جداسازی امنیت را تضمین نمی کند!
سرانجام ، با پیشرفت تکنولوژی ، هیچ تضمینی وجود ندارد که صرف ایزوله سازی و جداسازی از یک شبکه خارجی، یک سیستم شکاف هوا را ایمن نگه دارد. مواردی وجود داشته است که از بین بردن داده ها از طریق روش های دیگری نیز اتفاق افتاده است، مانند درهای پشتی ناشناخته که به نرم افزار / سخت افزار وارد شده اند ، سیگنال های فرکانس FM ، هک حرارتی یا ارتباطات حوزه نزدیک (NFC).
نتیجه این که بی نیازی به امنیت کامل شبکه های شکاف هوا، فقط بر اساس ایزوله سازی بنا شده است. شبکه های سازمانی همچنین باید با تأکید بیشتر بر کنترل دسترسی و فضای ذخیره سازی قابل حمل، اقدامات امنیتی سایبری را برای این شبکه ها پیاده کنند.
دولتها و سازمان ها می بایست از طیف وسیعی از راهکارهای امنیتی شبکه ای و سازمانی برای تقویت سیستم های شکاف هوا خود در نظر بگیرند.
استفاده از راهکارهای جامع امنیتی مانند اندپیونت سکیوریتی + DLP + UTM + Patch Management + Update Mnagemnet + Vulnerability Scanner+WAF و... برای شبکه های سازمانی به همراه ضروری به می باشد. استفاده از آخرین تکنولوژی های امنیتی و به روز دنیا و بروزرسانی و مدیریت امنیت شبکه ضروری می باشد.
متاسفانه در سالهای اخیر با توجه به تحریمها و موانع تجاری برخی با سوء استفاده از این چالش اقدام به کلاهبرداری کرده و نسبت به ارائه محصولات غیرمعتبر و کرک شده به نام اوریجینال می کنند. استفاده از محصولات معتبر و دارای لایسنس رسمی و کاملا اوریجینال و تصدیق شده شرکتهای مطرح جهانی مانند فورتی نت، سونیک وال، سکورایت، کوییک هیل، کی سون، ، وبروم، سیسکو، سوفوس می تواند تا حد امکان از حملات جلوگیری کند.
در این مقاله می خواهم بخشی از توانایی های امنیتی یک UTM (سیستم مدیریت یکپارچه تهدیدات) قدرتمند را شرح دهم.
نسل ابتدایی فایروال، تنها قابلیت حفظ امنیت با امکان مسدود کردن IP ها و پورت های (لایه Networking) قابل استفاده در شبکه را داشتند.
با ارائه تئوری Stateful Firewall نسل بعدی فایروال ها متولد شدند. این دست فایروال ها علاوه بر قابلیت های نسل قبلی امکان رهگیری کانکشن و ارتباط ها و State (حالت) اتصال را داشتند. از مهمترین مزایای آنها جلوگیری از سرقت (شنود) اطلاعات Packet Sniffing می باشد.
با قدرتمندتر شدن فایروال ها حملات و تهدیدها هم موثرتر می گشتند. حملاتی مانند حملات انکار سرویس DoS درخواست های بیش از اندازه از منابع و در نتیجه از کار انداختن شبکه و حملات توزیع شده انکار سرویس (Distributed Denial of Service) یا DDOS با استفاده از چندین سیستم درخواست های کاذب به شبکه ارسال می گردند نیاز به فایروال های قدرتمندتر را لازم می کرد.
در ضمن بستن پورت و IP کار زیادی برای افزایش امنیت نمی کردند، زیرا برای برقراری ارتباط حتما باید پورت و IP ای باز باشد و مهاجمان از طریق پورتهای باز حمله می کردند.
راهکارهای آنالیز پکت مانند IDS/IPS (شناسایی و جلوگیری از نفوذ غیرمجاز) به همراه ضد پورت اسکنرها، ضد DoS و ضد DDoS از دیگر راهکارهای امنیتی بودند که در دنیای امنیت عرضه شدند.
آنتی ویروس در سطح گیتوی نیز به کمک دیگر امکانات امنیتی شبکه آمدند. بدین صورت که به محض دانلود فایلهای آلوده on the Fly (بر روی هوا) اقدام به اسکن و ویروس زدایی هرگونه مخرب شده و مانع بروز بدافزار به داخل شبکه سازمان می گردد. همچنین امکان اسکن ایمیل ها نیز پیش بینی شده است.
لیست سایتهای آلوده، کلاهبردارانه و ویروسی نیز می تواند به افزایش امنیت کمک شایانی نماید. بدین صورت که به کاربران سازمان اجازه مشاهده سایت های آلوده داده نمی شود و به صورت پیشگیرانه محافظت را تکمیل نماید.
ضد هرزنامه یا Anti-Spam از دیگر نیازهای امنیتی سازمانی برای جلوگیری از نفوذ ایمیل های ناخواسته و یا مخرب به داخل سازمان می باشد.
ضد جاسوس افزارها یا Anti-Spyware نیز برای جلوگیری از نفوذ این نوع بدافزارها به داخل سازمان ضروری به نظر می رسد.
کنترل دسترسی کاربران نیز می تواند به عنوان تکمیل کننده امنیت سازمانی مطرح گردد.
یو تی ام (UTM) های زیادی در کشور وجود دارند اما بازار تنها در دست تعدادی برند آمریکایی، هندی و اروپایی می گردد مانند سیکسو (Cisco)، آستارو (Sophos Astaro)، سایبروم (Cyberoam)، فورتیگیت (Fortigate)، جونیپر (Juniper) و وبروم (Webroam).
البته چند یو تی ام ایرانی هم در داخل درحال رشد می باشند که بر پایه نرم افزارهای متن باز موجود با تغییر پوسته و ظاهر می باشند. این یو تی ام ها از معایب نرم افزارهای متن باز برخوردارند. مثلاً سطح نرم افزاری پایین، استفاده از چندین نرم افزار اوپن سورس و عدم سازگاری، عدم پشتیبانی، ناسازگاریهای سخت افزاری، غیر product و محصول تجاری قابل عرضه بودن و...
با توجه به خروج سایبروم، از بین یو تی ام های موجود در بازار، می توان سیستم مدیریت یکپارچه تهدیدات Webroam هندی و Fortinet آمریکایی را به عنوان یکی از برندهای قابل انتخاب بررسی کرد. یو تی ام وبروم با مزایای بیشتری مانند دسترسی به پشتیبانی و بروزرسانی بدون مشکلات تحریم، امکانات کامل امنیتی، مدیریت و بهینه سازی شبکه ای نسبت به رقبا، قابلیت بالای سخت افزاری، قیمت مناسب، برخورداری از سیستم جامع امنیتی جهت مقابله فعال با تهدیدات و... از گزینه های مناسب برای مدیران آی تی ایرانی می باشد.