אבטחת מידע - מערכת בקרה תעשייתית ATT&CK ICS ■ אסטרטגיות
הערכות סיכונים והפחתת סיכונים הן פעילויות שגרתיות בסביבת הייצור, אך ככל שמספר וסוג התקפות הסייבר גדלים בכל התעשיות, והקישוריות ממשיכות לגדול בין טכנולוגיית מידע (IT) לטכנולוגיה תפעולית (OT), יש צורך לנקוט בגישה מעשית, גישה ממוקדת לניהול סיכוני אבטחת סייבר של מערכות ייצור חכם ומערכות האינטרנט של הדברים התעשייתי (IIoT).
מערכת בקרה תעשייתית (ICS), באמצעות הטקטיקה, הטכניקות והידע הנפוץ (ATT&CK) מובן אפוא, שהיריבות מציגות את המידע במטריצות המסודרות לפי שלבי תקיפה, כלומר, מהגישה הראשונית למערכת ועד לגניבת הנתונים או בקרת מכונה. ה- ATT&CK למעשה בסיס ידע של התנהגויות יריב. מפאת זאת קשה ליריב לשנות דברים, ולכן, צריכים ללכת בנעלי יריבינו על מנת להתגונן מפניהם.
כי אם גם, הטקטיקות, הטכניקות והנהלים (TTPs) מתארים דפוסי פעילויות הקשורים למקור איום ספציפי או לקבוצה של גורמי איום. על ידי שימוש במסגרת ATT&CK בתהליך הערכת סיכונים, ארגונים יכולים לזהות סיכונים שיריבים משתמשים בהם ולשייך אותם ל-TTPs. כך אמור לזהות את השינויים הספציפיים שניתן לבצע במערכות ובסביבת הרשת כדי לשבש את ההתקפות הללו ולהפחית משמעותית את רמת הסיכון של סביבת ה-OT.
נוסף לכך, במטריצת ICS ATT&CK, טקטיקות משבשות וממפות מול טכניקות הפחתה כדי לתת ליצרנים פעולות מעשיות כדי לסייע במניעת כל סוג של איום. בנוסף, ניתן גם מידע על קבוצות יריבים. מומחים צריכים לדעת כיצד להשתמש במסגרת ATT&CK כדי ליצור מפת דרכים המעניקה עדיפות לצמצום הסיכונים הגדולים ביותר למערכות הייצור החכמות ו-IIoT של הארגון.
זאת ועוד, הודות למרכז מו"פ אבטחת סייבר במימון פדרלי של תאגיד MITER בארה"ב, העוזר לספק לתשתית העסקית, ארכיטקטורות ופתרונות אבטחת סייבר יעילים ומעשיים. מטריצת ICS ATT&CK היא בסיס ידע של פעולות יריב המתמקד ביריבים שמטרתם לשבש מערכות בקרה תעשייתיות (ICSs). בסיס ידע זה בקוד פתוח ומידע נגיש בלינק
https://attack.mitre.org/
■ יישום ATT&CK לניהול סיכונים
יישום ICS ATT&CK לניהול סיכונים כרוך בזיהוי סיכוני אבטחת סייבר, קביעת ההשפעה הפוטנציאלית והסבירות להתרחשות סיכונים, ולאחר מכן קביעת הדרך הטובה ביותר להתמודד עם כל סיכון במשאבים הזמינים. הערכת המידע עוזרת ליצרנים לפרוס את אסטרטגיית בקרת הסיכונים והפחתת הסיכונים היעילה והמשתלמת ביותר באופן ממוקד כדי להפחית תחילה את סיכוני אבטחת הסייבר הסבירים ביותר או בעלי ההשפעה הגבוהה ביותר. למשל, מספר שיטות עבודה מומלצות עבור:
• איתור איומים.
• הערכות והנדסה.
• מודיעין איומים.
• אמולציית יריב.
למשל, אחד השימושים הטובים של מסגרת ATT&CK הוא להשתמש בה כדי להבין עד כמה ההגנות שלך עמידות לכל התנהגות התקפה. ובנוסף, מספקת גם מידע חשוב היכן אתה צריך למקד את המשאבים שלך. לציין כי במודל של שרשרת kill, מסגרת ATT&CK מתאימה היטב וניתנת לשימוש בהתאמה, וכן, לאתר את האיומים, ולפעול לפי מידע.
ראוי להדגיש שבמתודולוגיית הערכת סיכונים טיפוסית, נדרשת אומדן של הסתברות הסיכון. למרבה הצער, אין דרך פשוטה ומדויקת באופן עקבי למדידת הסתברות (סבירות להתרחשות סיכון). במקום להסתמך על מודלים מתמטיים משוכללים או ליפול על גישה משוערת, ICS ATT&CK היא גישה מעשית יותר. כמה היבטים של זה כוללים הסתכלות על נתונים מקומיים, הרלוונטיים לסביבה הספציפית. הערכת סיכונים עוסקת יותר בתעדוף מאשר בהסתברות, ולפיכך, חשוב להעריך וקטורי התקפה מקומיים. יתר על כן, חשוב גם להשתמש בעובדות ובנתונים הניתנים למדידה החלים על התצורה והנכסים של המתקן כדי להעריך את ההשפעה העסקית במקום לנחש או להכליל.
עם זאת, כדי שהערכת סיכונים תהיה יעילה, חשוב שיצרנים יהיו בעלי הבנה מלאה של הנכסים המעורבים במערכות הבקרה התעשייתיות שלהם ובטופולוגיית הרשת באזורי ייצור. יש לקחת בחשבון ציוד מדור קודם, תיקוני אבטחה שהוחלו או חסרים, וקישוריות למערכות עסקיות עם יותר חשיפה לאיומים בעת הערכת סיכון אבטחת סייבר.
■ גישות מעשיות למניעת התקפות סייבר
מקרי השימוש במודל ICS ATT&CK מניחים שתתרחש הפרה; לפיכך נדרש תכנון וביצוע תחזוקה מונעת כדי לחזק את הרשת ההיקפית והפנימית של הארגון כדי למתן מתקפה. כלומר, תחזוקה יזומה היא תמיד פחות יקרה מאשר תגובה לאחר מעשה, ללא ספק כאשר הזמן הוא חיוני וייתכן שתידרש פעולה נוספת כדי לבטל את הנזק שעלול להיגרם כתוצאה מפריצה. בדרך כלל, הערכת סיכונים מורכבת משלושה שלבים.
• שלב 1 - איסוף מידע על סביבת מערכות
בעלי מערכות צריכים להעריך את נכסי הייצור החכם ומערכת ה-IIoT וכן את סביבת ה-ICS כולה, כולל קישורים לרשתות מחוץ לייצור; תוכנה/קושחה המותקנת בכל תחנת עבודה, בקר או ציוד אחר; והרשאות משתמש, תוך התחשבות בגורמים אחרים כגון תוכניות התרחבות ארגוניות או שדרוגי ציוד.
• שלב 2 - יצירת עץ התקפה של מערכת IIoT באמצעות מסגרת ICS ATT&CK
הגדר את הסיכונים עבור כל ציוד - זיהוי ותעדוף טכניקות הפחתה מתאימות. דוגמה לכך היא ארכיטקטורת רשת לא מאובטחת וללא מדיניות אבטחה בין אזור ה-IT/OT וללא אזור מפורז תעשייתי (IDMZ). לאחר ניתוח הרשת, עץ התקפה אחד עשוי להיות USB זדוני המחובר לרשת הארגונית. בהתבסס על טופולוגיית הרשת השטוחה, ה-USB מתקין תוכנות זדוניות מתוך כוונה לקבל גישה מרחוק לתחנת עבודה הנדסית (EWS). לאחר השגת גישה מרחוק ל-EWS, היריב יכול להשתמש בתוכנת מערכת ביצוע הייצור (MES) שכבר מותקנת כדי לפגוע בתהליך של המתקן או לתקוף את מערכת ה-ERP של העסק.
• שלב 3 – יצירת תכנית
בהתבסס על הממצאים של שלבים 1 ו-2, מתרגלי אבטחת סייבר של ICS, יכולים לחשב סיכון נכסים ולזהות את פערי אבטחת הסייבר. באמצעות מידע זה, הם יכולים ליצור מפת דרכים המתעדפות את הסיכונים הללו תוך מודלים חזותיים של הפחתת סיכונים.
■ מימוש התייעלות
פעמים רבות, לבעלי מערכות יש הזדמנות ליישם שיפורי אבטחה בשילוב עם פעילויות אחרות הדורשות השבתה מתוכננת של המערכת. זה ממזער את ההשפעה על הייצור וכמובן עדיף על כיבוי לא מתוכנן שנגרם כתוצאה ממתקפת סייבר. על ידי שילוב שיפורי אבטחה במקביל לשינויים בתכנון המערכת, ניתן לאמת את היבטי האבטחה של המערכת יחד עם שאר המערכת. בעלי מערכות יכולים גם לעזור להבטיח שכל ההרחבות ואו השיפורים של המערכת מתוכננות מתוך מחשבה על מניעת התקפות סייבר באמצעות הגדרת דרישות אבטחה בארגון.
■ שיקולים ברמת הארגון
רוב פרצות האבטחה הן תוצאות של פריצות או התקפות זדוניות בצד הארגוני. בעבר, מערכות וציוד ייצור ברשת היו נפרדים משאר הארגון ומהעולם החיצון, ורק תקשרו זה עם זה. אבל עם הופעתן של מערכות ייצור חכמות ו-IIoT כגון MES, תאומים דיגיטליים והטמעות כלליות של יעילות ציוד, ישנה קישוריות רבה יותר בין הרשת הארגונית לרשת הייצור. למרות שזה משפר את היעילות ומאפשר תכנון טוב יותר, אך זה גם מאפשר הזדמנויות לפריצות, תוכנות זדוניות והתקפות דיוג מוצלחות, ומאפשר לתוכנות זדוניות להתפשט לרצפת הייצור עם תוצאות שעלולות להיות קטסטרופליות. מרכיב קריטי לניהול קישוריות זו הוא אזור מפורז תעשייתי כדי לשלוט בקפידה על התעבורה ברשתות.
באימוץ מהיר של ה-IIoT יש גם פוטנציאל לאפשר חדירה, מכיוון שיותר ויותר מכשירים מחוברים לרשת, ולרוב עם יישום לא עקבי, וללא אמצעי אבטחה מספקים. ככל שה-IIoT מאומץ יותר ויותר, הוא יגדיל את הפגיעות של רשת מערכת הבקרה אם לא יינקטו בקפדנות נוהלי אבטחה חזקים. גם כלים ומערכות מבוססי ענן מהווים סיכונים חדשים מגדילי סיכון מצד תוקף.
כלומר, על מבצע הערכת סיכונים ותוכנית הפחתה למערכת במודל ATT&CK, עבור ייצור חכם והפרות מערכת IIoT, המשפיעות הן על סביבת ה-IT והן על סביבת ה-OT, יש לסווג את נכסי המערכת על סמך קריטיות, ולא רק מנקודת מבט של תהליך ייצור, בנוסף על כך, גם בהתייחסות על השפעות סביבתיות, בטיחותיות ורגולטוריות פוטנציאליות בשל סיכון פרצת אבטחה.
מודל ה-ICS ATT&CK אינו סטנדרטי אלא מספק מסגרת של פעילויות ידועות שנוסו על ידי מומחי אבטחת סייבר בארה"ב. הוא מגדיר כיצד יריבים תקפו בהצלחה מערכות ICS, כגון ייצור חכם ומערכות IIoT ומספק את שלבי ההפחתה שיש לנקוט עבור כל סוג של התקפה ידועה. לאחר מכן, בעלי מערכות יכולים להתאים את ההפחתות לסטנדרטים החלים על כל אזור להפחתה תואמת התעשייה. גישות עשויות להיות מונחות על ידי הקפדה על ISA-99 ו-IEC 62433.
■ מה צפוי בהמשך להגנה על מערכות IIoT?
MITER ATT&CK בארה"ב מספקת גישה להבנת סיכונים ולתעדף את בקרות האבטחה כדי להגן על ייצור חכם ומערכות IIoT. במסגרת TTPs שניתן להחיל על מערכות IIoT, כגון גישה ראשונית דרך התקנים נגישים לאינטרנט, באמצעות API וניצול שירותים מרוחקים. עם זאת, ייצור חכם ומערכות IIoT עדיין מציבות אתגרים ייחודיים בהשוואה לאבטחת ICS מסורתית.
מטעם זה, מומחים וגופי תקן בארה"ב בוחנים דרכים לספק הנחיות ליישום תקני אבטחת סייבר על מערכות אלו. לדוגמה, ISA99 הודיעה לאחרונה על תוכניות ראשוניות להוספת תקנים לסדרת IEC 62443 המוקדשת ל-IIoT. וכן, בעתיד אנו עשויים לראות תשובה מונעת קונצנזוס לשאלה כיצד ליישם תקני אבטחת סייבר על מערכות אלו. כשם שאם מטריצה היברידית מספקת ערך במעקב אחר מסלולי התקפה ואמצעי הפחתה יעילים, היא יכולה להפוך לגישה מועדפת ליישום ATT&CK על מערכות ייצור חכמות ו-IIoT.
מאמר בעברית: אלון חן
רשימת מקורות:
]Jacob Chapman[
https://gca.isa.org/blog/cybersecurity-using-ics-attck-strategies
[Mitre]
https://attack.mitre.org/techniques/enterprise
[Chris Prall]
https://blogs.vmware.com/security/2019/03/how-to-mature-your-threat-hunting-program-with-the-att-framework.html
אבטחת מידע - מערכת בקרה תעשייתית ATT&CK ICS ■ אסטרטגיות
הערכות סיכונים והפחתת סיכונים הן פעילויות שגרתיות בסביבת הייצור, אך ככל שמספר וסוג התקפות הסייבר גדלים בכל התעשיות, והקישוריות ממשיכות לגדול בין טכנולוגיית מידע (IT) לטכנולוגיה תפעולית (OT), יש צורך לנקוט בגישה מעשית, גישה ממוקדת לניהול סיכוני אבטחת סייבר של מערכות ייצור חכם ומערכות האינטרנט של הדברים התעשייתי (IIoT).
מערכת בקרה תעשייתית (ICS), באמצעות הטקטיקה, הטכניקות והידע הנפוץ (ATT&CK) מובן אפוא, שהיריבות מציגות את המידע במטריצות המסודרות לפי שלבי תקיפה, כלומר, מהגישה הראשונית למערכת ועד לגניבת הנתונים או בקרת מכונה. ה- ATT&CK למעשה בסיס ידע של התנהגויות יריב. מפאת זאת קשה ליריב לשנות דברים, ולכן, צריכים ללכת בנעלי יריבינו על מנת להתגונן מפניהם.
כי אם גם, הטקטיקות, הטכניקות והנהלים (TTPs) מתארים דפוסי פעילויות הקשורים למקור איום ספציפי או לקבוצה של גורמי איום. על ידי שימוש במסגרת ATT&CK בתהליך הערכת סיכונים, ארגונים יכולים לזהות סיכונים שיריבים משתמשים בהם ולשייך אותם ל-TTPs. כך אמור לזהות את השינויים הספציפיים שניתן לבצע במערכות ובסביבת הרשת כדי לשבש את ההתקפות הללו ולהפחית משמעותית את רמת הסיכון של סביבת ה-OT.
נוסף לכך, במטריצת ICS ATT&CK, טקטיקות משבשות וממפות מול טכניקות הפחתה כדי לתת ליצרנים פעולות מעשיות כדי לסייע במניעת כל סוג של איום. בנוסף, ניתן גם מידע על קבוצות יריבים. מומחים צריכים לדעת כיצד להשתמש במסגרת ATT&CK כדי ליצור מפת דרכים המעניקה עדיפות לצמצום הסיכונים הגדולים ביותר למערכות הייצור החכמות ו-IIoT של הארגון.
זאת ועוד, הודות למרכז מו"פ אבטחת סייבר במימון פדרלי של תאגיד MITER בארה"ב, העוזר לספק לתשתית העסקית, ארכיטקטורות ופתרונות אבטחת סייבר יעילים ומעשיים. מטריצת ICS ATT&CK היא בסיס ידע של פעולות יריב המתמקד ביריבים שמטרתם לשבש מערכות בקרה תעשייתיות (ICSs). בסיס ידע זה בקוד פתוח ומידע נגיש בלינק https://attack.mitre.org/
■ יישום ATT&CK לניהול סיכונים
יישום ICS ATT&CK לניהול סיכונים כרוך בזיהוי סיכוני אבטחת סייבר, קביעת ההשפעה הפוטנציאלית והסבירות להתרחשות סיכונים, ולאחר מכן קביעת הדרך הטובה ביותר להתמודד עם כל סיכון במשאבים הזמינים. הערכת המידע עוזרת ליצרנים לפרוס את אסטרטגיית בקרת הסיכונים והפחתת הסיכונים היעילה והמשתלמת ביותר באופן ממוקד כדי להפחית תחילה את סיכוני אבטחת הסייבר הסבירים ביותר או בעלי ההשפעה הגבוהה ביותר. למשל, מספר שיטות עבודה מומלצות עבור:
• איתור איומים.
• הערכות והנדסה.
• מודיעין איומים.
• אמולציית יריב.
למשל, אחד השימושים הטובים של מסגרת ATT&CK הוא להשתמש בה כדי להבין עד כמה ההגנות שלך עמידות לכל התנהגות התקפה. ובנוסף, מספקת גם מידע חשוב היכן אתה צריך למקד את המשאבים שלך. לציין כי במודל של שרשרת kill, מסגרת ATT&CK מתאימה היטב וניתנת לשימוש בהתאמה, וכן, לאתר את האיומים, ולפעול לפי מידע.
ראוי להדגיש שבמתודולוגיית הערכת סיכונים טיפוסית, נדרשת אומדן של הסתברות הסיכון. למרבה הצער, אין דרך פשוטה ומדויקת באופן עקבי למדידת הסתברות (סבירות להתרחשות סיכון). במקום להסתמך על מודלים מתמטיים משוכללים או ליפול על גישה משוערת, ICS ATT&CK היא גישה מעשית יותר. כמה היבטים של זה כוללים הסתכלות על נתונים מקומיים, הרלוונטיים לסביבה הספציפית. הערכת סיכונים עוסקת יותר בתעדוף מאשר בהסתברות, ולפיכך, חשוב להעריך וקטורי התקפה מקומיים. יתר על כן, חשוב גם להשתמש בעובדות ובנתונים הניתנים למדידה החלים על התצורה והנכסים של המתקן כדי להעריך את ההשפעה העסקית במקום לנחש או להכליל.
עם זאת, כדי שהערכת סיכונים תהיה יעילה, חשוב שיצרנים יהיו בעלי הבנה מלאה של הנכסים המעורבים במערכות הבקרה התעשייתיות שלהם ובטופולוגיית הרשת באזורי ייצור. יש לקחת בחשבון ציוד מדור קודם, תיקוני אבטחה שהוחלו או חסרים, וקישוריות למערכות עסקיות עם יותר חשיפה לאיומים בעת הערכת סיכון אבטחת סייבר.
■ גישות מעשיות למניעת התקפות סייבר
מקרי השימוש במודל ICS ATT&CK מניחים שתתרחש הפרה; לפיכך נדרש תכנון וביצוע תחזוקה מונעת כדי לחזק את הרשת ההיקפית והפנימית של הארגון כדי למתן מתקפה. כלומר, תחזוקה יזומה היא תמיד פחות יקרה מאשר תגובה לאחר מעשה, ללא ספק כאשר הזמן הוא חיוני וייתכן שתידרש פעולה נוספת כדי לבטל את הנזק שעלול להיגרם כתוצאה מפריצה. בדרך כלל, הערכת סיכונים מורכבת משלושה שלבים.
• שלב 1 - איסוף מידע על סביבת מערכות
בעלי מערכות צריכים להעריך את נכסי הייצור החכם ומערכת ה-IIoT וכן את סביבת ה-ICS כולה, כולל קישורים לרשתות מחוץ לייצור; תוכנה/קושחה המותקנת בכל תחנת עבודה, בקר או ציוד אחר; והרשאות משתמש, תוך התחשבות בגורמים אחרים כגון תוכניות התרחבות ארגוניות או שדרוגי ציוד.
• שלב 2 - יצירת עץ התקפה של מערכת IIoT באמצעות מסגרת ICS ATT&CK
הגדר את הסיכונים עבור כל ציוד - זיהוי ותעדוף טכניקות הפחתה מתאימות. דוגמה לכך היא ארכיטקטורת רשת לא מאובטחת וללא מדיניות אבטחה בין אזור ה-IT/OT וללא אזור מפורז תעשייתי (IDMZ). לאחר ניתוח הרשת, עץ התקפה אחד עשוי להיות USB זדוני המחובר לרשת הארגונית. בהתבסס על טופולוגיית הרשת השטוחה, ה-USB מתקין תוכנות זדוניות מתוך כוונה לקבל גישה מרחוק לתחנת עבודה הנדסית (EWS). לאחר השגת גישה מרחוק ל-EWS, היריב יכול להשתמש בתוכנת מערכת ביצוע הייצור (MES) שכבר מותקנת כדי לפגוע בתהליך של המתקן או לתקוף את מערכת ה-ERP של העסק.
• שלב 3 – יצירת תכנית
בהתבסס על הממצאים של שלבים 1 ו-2, מתרגלי אבטחת סייבר של ICS, יכולים לחשב סיכון נכסים ולזהות את פערי אבטחת הסייבר. באמצעות מידע זה, הם יכולים ליצור מפת דרכים המתעדפות את הסיכונים הללו תוך מודלים חזותיים של הפחתת סיכונים.
■ מימוש התייעלות
פעמים רבות, לבעלי מערכות יש הזדמנות ליישם שיפורי אבטחה בשילוב עם פעילויות אחרות הדורשות השבתה מתוכננת של המערכת. זה ממזער את ההשפעה על הייצור וכמובן עדיף על כיבוי לא מתוכנן שנגרם כתוצאה ממתקפת סייבר. על ידי שילוב שיפורי אבטחה במקביל לשינויים בתכנון המערכת, ניתן לאמת את היבטי האבטחה של המערכת יחד עם שאר המערכת. בעלי מערכות יכולים גם לעזור להבטיח שכל ההרחבות ואו השיפורים של המערכת מתוכננות מתוך מחשבה על מניעת התקפות סייבר באמצעות הגדרת דרישות אבטחה בארגון.
■ שיקולים ברמת הארגון
רוב פרצות האבטחה הן תוצאות של פריצות או התקפות זדוניות בצד הארגוני. בעבר, מערכות וציוד ייצור ברשת היו נפרדים משאר הארגון ומהעולם החיצון, ורק תקשרו זה עם זה. אבל עם הופעתן של מערכות ייצור חכמות ו-IIoT כגון MES, תאומים דיגיטליים והטמעות כלליות של יעילות ציוד, ישנה קישוריות רבה יותר בין הרשת הארגונית לרשת הייצור. למרות שזה משפר את היעילות ומאפשר תכנון טוב יותר, אך זה גם מאפשר הזדמנויות לפריצות, תוכנות זדוניות והתקפות דיוג מוצלחות, ומאפשר לתוכנות זדוניות להתפשט לרצפת הייצור עם תוצאות שעלולות להיות קטסטרופליות. מרכיב קריטי לניהול קישוריות זו הוא אזור מפורז תעשייתי כדי לשלוט בקפידה על התעבורה ברשתות.
באימוץ מהיר של ה-IIoT יש גם פוטנציאל לאפשר חדירה, מכיוון שיותר ויותר מכשירים מחוברים לרשת, ולרוב עם יישום לא עקבי, וללא אמצעי אבטחה מספקים. ככל שה-IIoT מאומץ יותר ויותר, הוא יגדיל את הפגיעות של רשת מערכת הבקרה אם לא יינקטו בקפדנות נוהלי אבטחה חזקים. גם כלים ומערכות מבוססי ענן מהווים סיכונים חדשים מגדילי סיכון מצד תוקף.
כלומר, על מבצע הערכת סיכונים ותוכנית הפחתה למערכת במודל ATT&CK, עבור ייצור חכם והפרות מערכת IIoT, המשפיעות הן על סביבת ה-IT והן על סביבת ה-OT, יש לסווג את נכסי המערכת על סמך קריטיות, ולא רק מנקודת מבט של תהליך ייצור, בנוסף על כך, גם בהתייחסות על השפעות סביבתיות, בטיחותיות ורגולטוריות פוטנציאליות בשל סיכון פרצת אבטחה.
מודל ה-ICS ATT&CK אינו סטנדרטי אלא מספק מסגרת של פעילויות ידועות שנוסו על ידי מומחי אבטחת סייבר בארה"ב. הוא מגדיר כיצד יריבים תקפו בהצלחה מערכות ICS, כגון ייצור חכם ומערכות IIoT ומספק את שלבי ההפחתה שיש לנקוט עבור כל סוג של התקפה ידועה. לאחר מכן, בעלי מערכות יכולים להתאים את ההפחתות לסטנדרטים החלים על כל אזור להפחתה תואמת התעשייה. גישות עשויות להיות מונחות על ידי הקפדה על ISA-99 ו-IEC 62433.
■ מה צפוי בהמשך להגנה על מערכות IIoT?
MITER ATT&CK בארה"ב מספקת גישה להבנת סיכונים ולתעדף את בקרות האבטחה כדי להגן על ייצור חכם ומערכות IIoT. במסגרת TTPs שניתן להחיל על מערכות IIoT, כגון גישה ראשונית דרך התקנים נגישים לאינטרנט, באמצעות API וניצול שירותים מרוחקים. עם זאת, ייצור חכם ומערכות IIoT עדיין מציבות אתגרים ייחודיים בהשוואה לאבטחת ICS מסורתית.
מטעם זה, מומחים וגופי תקן בארה"ב בוחנים דרכים לספק הנחיות ליישום תקני אבטחת סייבר על מערכות אלו. לדוגמה, ISA99 הודיעה לאחרונה על תוכניות ראשוניות להוספת תקנים לסדרת IEC 62443 המוקדשת ל-IIoT. וכן, בעתיד אנו עשויים לראות תשובה מונעת קונצנזוס לשאלה כיצד ליישם תקני אבטחת סייבר על מערכות אלו. כשם שאם מטריצה היברידית מספקת ערך במעקב אחר מסלולי התקפה ואמצעי הפחתה יעילים, היא יכולה להפוך לגישה מועדפת ליישום ATT&CK על מערכות ייצור חכמות ו-IIoT.
מאמר בעברית: אלון חן
רשימת מקורות:
]Jacob Chapman[ https://gca.isa.org/blog/cybersecurity-using-ics-attck-strategies
[Mitre] https://attack.mitre.org/techniques/enterprise
[Chris Prall] https://blogs.vmware.com/security/2019/03/how-to-mature-your-threat-hunting-program-with-the-att-framework.html
English