نیاز شبکه‌‌های صنعتی به کنترل RAT

02 مهر 1397 نیاز شبکه‌‌های صنعتی به کنترل RAT

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ رَت‌ها[1] (ابزارهای مدیریت سرور از راه دور) همیشه بحث‌برانگیز بوده‌اند؛ آن‌ها به افراد اجازه می‌دهند تا از دسترسی مستقیم به سخت‌افزار جلوگیری کنند. اما در عین حال، آن‌ها با باز کردن تجهیزاتِ دسترسی از راه دور، سیستم‌های کامپیوتری را به خطر می‌اندازند. محیط‌های صنعتی حتی بیشتر از سایر محیط‌ها در معرض چنین خطری قرار دارند. به همین دلیل است که همکاران ما در گروه ICS-CERT لابراتوار کسپرسکی، تحقیقی روی سطح گستردگی رَت‌ها روی کامپیوترهای صنعتی و علل خطرناک بودنشان انجام داده‌اند.

بر اساس آمار شبکه‌ی امنیتی کسپرسکی در نیم‌سال 2018، روی یک‌سوم سیستم‌های صنعتی -که از سیستم عامل ویندوز استفاده می‌کنند- رت‌های قانونی نصب شده است. منظور از سیستم‌های صنعتی همان سرورهای اِسکادا[2] (سامانه سرپرستی و گردآوری داده)، سرورهای تاریخ نگار، درگاه‌های اطلاعاتی، ایستگاه‌های کارِ اپراتور و مهندس و کامپیوترهای رابط انسان-ماشین است.

برخی اوقات، مدیران و مهندسین لوکال در کارهای روزانه‌ی خود از رت‌ها استفاده می‌کنند. برخی اوقات طرف‌های خارجی همچون انتگراتورهای سیستم (کسانیکه کار یکپارچه‌سازی سامانه را انجام می‌دهند) و یا توسعه‌دهندگان سیستم کنترل صنعتی برای تشخیص عیب، تعمیر و عیب‌زدایی به دسترسی از راه دور نیاز دارند. پس در واقع در برخی موارد رَت‌ها نه تنها برای نیازهای عملیاتی که همچنین برای کاهش هزینه‌های سرویس نیز مورد استفاده قرار می‌گیرند. و حتی اگر برای فرآیندهای تکنولوژیکیِ نرمال بدان‌ها نیاز شد، ارزش این را دارند که خطرهای احتمالی‌شان را تشخیص دهیم و شاید حتی برای کاهش سطح حمله، پروسه‌ها را بازسازی کنیم.

احتمال دیگری هم وجود دارد که نمی‌شود ساده از آن گذشت: اعمال‌گران بدافزار برای فریب دادن راه‌حل‌های محافظتی برخی اوقات از نرم‌افزار قانونی مدیریت سرور از راه دور به عنوان ابزار حمله استفاده می‌کنند.

مشکلِ کار کجاست؟

ظاهراً همه‌ی متخصصین درک کافی از خطراتی که رت‌ها می‌توانند برای شبکه‌های رایانه‌ای صنعتی داشته باشند ندارند. همکاران ما طی تحقیقی که روی سیستم مورد آزمایش‌شان انجام دادند به موارد زیر (در مورد رت‌ها) پی بردند:

  • اغلب از امتیازات سیستم استفاده می‌کردند.
  • نمی‌گذاشتند ادمین‌ها دسترسی محدودی به سیستم داشته باشند.
  • از فرآیند چندعاملیِ احراز هویت استفاده نمی‌کردند.
  • اقدامات مشتریان را وارد نمی‌کردند.
  • از آسیب‌پذیری‌های مختلف برخوردار بودند، حتی آسیب‌پذیری‌هایی که هنوز کشف هم نشده بودند (به بیانی دیگر، شرکت‌ها رت‌های خود را آپدیت نمی‌کنند).
  • آن‌ها از relay serverهایی که جلوی NAT (برگردان نشانی شبکه) را می‌گرفتند و محدود شدن لوکال فایروال[3] را به همراه داشتند استفاده می‌کردند.
  • معمولاً از رمزعبورهای پیش‌فرض استفاده می‌کردند یا ابزارهای احراز هویت را هاردکُد کرده بودند.

در برخی موارد، تیم‌های امنیتی حتی نمی‌دانستند رت‌ها دارند عملیات خود را انجام می‌دهند و باالطبع نسبت به خطرات آن‌ها نیز بی‌اطلاع بودند. اما مشکل اصلی این است که خیلی سخت می‌توان فرق بین حملات رَت و یک عملیات طبیعی را تشخیص داد. متخصصین ما  حین بررسی حوادث ICS در CERT به موارد بسیاری برخوردند که در آن، تبهکاران برای حملات خود از دسترسی از راه دور استفاده می‌کردند.

چطور میزان خطر را کاهش دهیم؟

 به منظور کاهش میزان خطر ناشی از حوادث سایبری، گروه ICS-CERT لابراتوار کسپرسکی اقدامات زیر را توصیه می‌کند:

  • ابزارهای مدیریت سرور از راه دور (که از آن‌ها در شبکه‌ی تکنولوژیکی‌تان استفاده می‌کنید) را به طور کامل مورد بررسی و رسیدگی قرار دهید. تأکیدمان بیشتر روی VNC، RDP ،TeamViewer و RMS/Remote Utilities است.
  • توصیه می‌کنیم از شرِ هَر رَتی که با هیچ یک از نیازهای عملیاتی جور درنمی‌آید خلاص شوید.
  • هر نرم‌افزار دسترسی از راه دورِ غیرضروری را که با نرم‌افزار سیستم نظارتِ خودکار یکپارچه‌سازی شده است مورد بررسی قرار داده و غیرفعال نمایید.
  •  در مواردی که در عملیات‌ها به رَت نیاز است، دسترسی بی‌قید و شرط را غیر فعال کنید. دسترسی مطلق تنها از طریق درخواستِ داکیومنت‌شده -و تنها برای بازه‌ی زمانی محدود- فعالسازی می‌شود.
  •  برای هر جلسه‌ی مدیریت از راه دور، روی بخش لاگین دقت و بررسی لازم را مبذول فرمایید. 

 

[1] RATs

[2] SCADA

[3] دیوار آتشِ محلی

  

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد. 

محصولات مرتبط

  • Kaspersky Internet Security Multi Device 2018

    هکرها و مهاجمان همیشه در حال پرسه زدن هستند، اما وقتی شما به اینترنت متصل می‌شوید، ما از شما محافظت می‌کنیم و به شما یاری می‌رسانیم تا از زندگی دیجیتالی خود در برابر مجموعه بزرگی از خطرات دیجیتالی ...

    4,109,000 ریال
    خرید
  • Kaspersky Internet Security for Android

    تلفن هوشمند و تبلت شما نیز به اندازه ی کامپیوترتان در برابر حمله های دیجیتالی آسیب پذیرند. به همین خاطر هنگام وب گردی یا استفاده از شبکه های اجتماعی، باید از آنها مراقبت کنید. ...

    1,463,000 ریال
    خرید
  • Kaspersky Total Security Multi Device

    با توجه به اینکه اعضای خانواده از برنامه‌ها و دستگاه‌های گوناگونی استفاده می‌کنند و از وب‌سایت‌های گوناگونی بازدید دارند، محافظت از آنها در برابر هکرها، مهاجمان و باج‌افزارها، کار چندان ساده‌ای ...

    5,873,000 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    2,203,600 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    2,203,600 ریال
    خرید
  • Kaspersky Antivirus 2018

    با توجه به اینکه بخشی زیادی از زندگی شما روی رایانه شخصی‌تان قرار دارد بسیار مهم است که بتوانید از آن به خوبی محافظت کنید. محصول «آنتی‌ویروس کسپرسکی» راهی ...

    2,933,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد