اردیبهشت, 1397

زنجیره کشتار مهاجم یکی از مباحث نظامی است که امروزه در حوزه سایبری بسیار مورد توجه قرار گرفته است. اغلب مدافعان امنیتی، از مدل زنجیر کشتار مهاجم برای تحلیل رفتار مهاجمان سایبری در مراحل حمله و شناسایی شیوه ها، فنون و ابزارهای جدید توسعه یافته توسط آن ها بهره می برند. در حوزه امنیت سامانه های کنترلی و اینترنت اشیا صنعتی نیز  به دلیل رشد حملات و آسیب پذیری ها به مدل هایی برای تحلیل  و مقابله با مهاجمان نیاز است، اگرچه به طور مستقیم نمی توان از مدل کشتار مهاجم سایبری برای تهدیدات حوزه صنعتی مورد استفاده کرد، اما با ایجاد تغییراتی در آن می توان امکان به کارگیری آن در حوزه کنترل صنعتی را فراهم آورد.در اینجا به تشریح مدل زنجیره کشتار مهاجم برای سامانه های کنترل صنعتی که توسط موسسسه SANS توسعه یافته است می پردازیم.

زنجیره کشتار مهاجم(Cyber Kill Chain)
مفهوم زنجیره کشتار سایبری ، اولین بار در سال 2010 توسط تحلیل گران شرکت لاکهید مارتین استفاده شد. سپس آن ها در سال 2011 با انتشار مقاله ای در ششمین کنفرانس بین المللی جنگ و امنیت اطلاعات(ICIW 11)، این واژه را به طور رسمی ثبت نمودند. مقاله رویه ای بنام زنجیره کشتار نفوذ را برای کمک به پاسخگویی موثرتر به حملات و نفوذگران معرفی می کند که توسط هر سامانه در معرض نفوذ قابل استفاده است. در محیط امنیت سایبری، زنجیزه اقدامات تعریف شده در این مقاله با عنوان «زنجیره کشتار سایبری» شناخته می شود.
زنجیره کشتار مهاجم فرآیندی که توسط مهاجم علیه هدف حمله به منظور دستیابی به نتایج مطلوب مورد استفاده قرار می گیرد. با این فرآیند به صورت یک زنجیره رفتار می شود چرا که از مجموعه ای از گام ها یا مراحل تشکیل شده است. از بین بردن یا شکستن هر یک از حلقه های این زنجیره منجر به شکست کل زنجیره و شکست مهاجم خواهد شد.
زنجیره کشتار مهاجم از یک رویه 7 مرحله ای دارد که هر گام موجود در یک حمله پیشرفته را تشریح می کند. این رویکرد زنجیره ای فرآیند شناسایی و تجارب آموخته شده پیرامون هر گام حمله را برای قربانی احتمالی آسان می نماید و نشان می دهد اقدامات محافطتی موجود چقدر در مقابله با هر مرحله حمله کارآمد هستند.

از آنجا که این مدل برای محیط های شرکتی و فناوری اطلاعات طراحی شده است، نمی توان از آن را به طور مستقیم در محیط های کنترل صنعتی به کار گرفت. ماهیت سامانه های کنترل صنعتی و حملات موجود در زیر ساخت های صنعتی با فناوری اطلاعات متمایز است. با این وجود می توان این مدل را تعمیم داد و با تغییراتی برای استفاده در محیط های صنعتی به کار گرفت.

زنجیره کشتار حمله سایبری سامانه های کنترل صنعتی
به دلیل مشخه های کارکردی ویژه سامانه های کنترلی و پیکربندی اختصاصی آن ها، اجرای یک حمله موفق بر روی آن ها نیازمند دانش قابل توجهی است. به عنوان یک سناریوی نمونه در سامانه های صنعتی مهاجم باید از تعامل با حسگرها و فناوری های کنترلی مختلفی که در این محیط ها وجود دارد پرهیز نماید، از طرفی بسیار از پروتکل های ارتباطی مختلف در شبکه های چنین سامانه هایی یافت می شود. متاسفا دشواری های ذاتی که در این سامانه های برای نفوذ وجود دارد معمولا با اتصال مستقیم آن ها به اینترنت کاملا کنار می رود و مزیت فراونی برای حمله و ایجاد خرابی بر روی مهاجمان باز می کنند.
اولین قسمت زنجیره کشتار مهاجم کنترل صنعتی مشابه مدل پایه رنجیره کشتار مهاجم و شبیه به عملیاتی که در اصطلاح جاسوسی سایبری نامیده می شود. فاز اول، شامل رویه هایی است که حملات پیشرفته و ساختار یافته سایبری دارند.

فاز 1 زنجیره کشتار مهاجم صنعتی: حمله سایبری
  • برنامه ریزی(Planning): اولین گام و شامل اقدامات شناسایی و جمع آوری اطلاعات از هدف است. معمولا جستجوهای هدفمند با استفاده از ابزارهای رایگان را در بر می گیرد، اما اساسا این مرحله بر پایه جمع آوری اطلاعاتی از منابع آزاد(OSINT) می شود. مهاجم از منابعی نظیر وب سایت و وبلاگ های سازمانی، بروشورهای محصولات، استفاده از ابزارهای shodan، موتور جستجوی گوگل و غیره برای شناسایی نقاط ضعف هدف خود استفاده می کند.
  • آماده سازی(Preparation): هدف این گام آماده کردن مسیر نفوذ است. این مرحله می تواند شامل آماده کردن یک فایل برای استفاده در گام های بعدی یا انتخاب اهداف حمله آینده باشد. متناسب با هدف مورد نظر، مهاجم ابزارهای مناسب را انتخاب می کند. هر دو وظیفه موجود در این مرحله ممکن است توسط مهاجم صورت پذیرد اما الزامی نیست.
  • نفوذ(Intrusion): شامل هرگونه اقدام برای دسترسی به شبکه ها و سامانه های هدف(صرفه نظر از موفقیت یا عدم موفقیت) است. در صورتی که این تلاش ها موفقیت آمیز باشد، مهاجم اقدام به اکسپلویت نمودن هدف و نصب و تغییرات لازم بر روی آن برای حفظ یا ایجاد دسترسی در آینده متمرکز می شود.
  • مدیریت و توانمند سازی(Management and enablement): هنگامی که نفود به سامانه انجام شد، گام بعدی مدیریت دسترسی بدست آمده است. برای این کار، مهاجم یک یا چند سرور کنترل و فرماندهی(C2 یا C&C) برای برقراری اتصال برپا می کند.
  • حفظ، تقویت، توسعه و اجرا(Sustainment, entrenchment, development & execution): این مرحله ای است که مهاجم دست به انجام اقدامات مورد نظر خود می زند. برخی از کارهایی که در این مرحله توسط مهاجم انجام می شود عبارتند از تقویت و اضافه کردن قابلیت ها، یافتن تجهیزات و دستگاه ها و رایانه های جدید، پرش بین شبکه های مختلف و غیره.
    هنگامی که هدف کاملا تحت کنترل قرار گرفت و تسخیر شد. فاز اول تکمیل شده و فاز دوم شروع می شود.گاه یک سامانه ممکن به شیوه غیر مستقیم مثلا درز اطلاعات از یک تامین کننده یا شریک تجاری مورد نفوذ قرار گرفته و تسخیر شود. در چنین شرایطی همه مراحل موجود در فاز 1 بلا استفاده است و یه هیچ یک نیازی نیست. در هر کدام از حالات فاز 2 حتما مورد نیاز خواهد بود. در ادامه به بررسی فاز دوم از زنجیزه کشتار مهاجم کنترل صنعتی می پردازیم.
فاز دوم رنجیره کشتار مهاجم صنعتی: حمله صنعتی
فاز دوم رنجیره کشتار مهاجم صنعتی: حمله صنعتی

در فاز دوم، اطلاعات و دانش بدست آمده از فاز اول برای آماده سازی یک حمله هدفمند و ساخت یافته علیه سامانه کنترل صنعتی مورد بهره برداری قرار می گیرد. این فاز ممکن است بلافاصله بعد از فاز اول یا مدتی بعد از فاز 1 صورت پذیرد. این موضوع به میزان خبرگی مهاجم و دانش جمع آوری شده از سامانه کنترل صنعتی هدف بستگی دارد. در هر حال وجود تاخیر بین این دو فاز امری طبیعی است. مراحل معمول در فاز دوم زنجیره کشتار مهاجم کنترل صنعتی در زیر آورده شده است:

  • توسعه و تنظیم حمله(Attack development and tuning): در این مرحله مهاجم به ایجاد یک قابلیت جدید(شیوه، ابزار، رویه و غیره) و اختصاصی برای زیرساخت صنعتی هدف، اقدام می کند.
  • اعتبارسنجی یا تایید(Validation): هدف مرحله اعتبار سنجی اطمینان از این است که قابلیت جدید توسعه داده شده در محیط مشابه یا یکسان با محیط هدف حمله قابل پیاده سازی است. مهاجم برای تکمیل این مرحله به سخت افزارها یا نرم افزارهای ویژه ای نیاز دارد تا بتواند محیط هدف حمله را شبیه سازی کند. انجام این کار یک چالش بزرگ است، چراکه در واقعیت شبیه سازی کل سامانه یا فرآیندی که در محیط های صنعتی استفاده می شود بسیار پیچیده است.
  • حمله(attack): مرحله نهایی زنجیره که در آن مهاجم اقدام به انتقال، نصب یا اجرای قابلیت توسعه داده شده می کند. اجرای قابلیت توسعه شده توسط مهاجم می تواند منجر اکسپلویت شده و تغییر وضعیت یا رفتار سامانه صنعتی شده نفوذ به هدف تکمیل شود. حمله به سامانه های کنترلی پیامدهایی از جمله فقدان داده یا کنترل سیستم، اختلال در سرویس دهی، تغییر داده ها یا نمایش آن ها را به دنبال خواهد داشت.

میزان پیچیدگی و دشواری تکمیل دو فازی مجزایی که مهاجم برای حمله به زیرساخت صنعتی تحمیل می شود به کنترل های و اقدامات تدافعی اعمال شده در هدف صنعتی بستگی دارد. در مطالب بعدی اقدامات دفاعی قابل استفاده در هر یک از گام های حمله مهاجم را بررسی خواهیم کرد.

 

برچسب ها
درباره نویسنده