تأمين مفاتيح SCADA: SSH، التحكم في المنافذ، وربط عناوين MAC في شبكات OT (الجزء الثاني)
تقوم شبكات OT الصناعية بتعزيز الأمان على طبقة المحولات باستخدام SSH، وقفل المنافذ، وربط عناوين MAC. تستعرض هذه المقالة كيف تقوم بيئات SCADA بتقوية بنية التبديل في شبكات الإيثرنت لتقليل نقاط الهجوم ...
طبقة جديدة من الدفاع تظهر داخل شبكات تبديل OT
لم تعد شبكات التحكم الصناعية أنظمة معزولة. فهي تعمل الآن داخل بيئات متقاربة لتكنولوجيا المعلومات والتشغيل (IT/OT) حيث الوصول عن بُعد والتحكم الموزع هما المعيار. أصبحت تهيئة المحولات آلية دفاعية في الخط الأمامي في هندسة الأمن السيبراني لـ SCADA.
يقوم المهندسون الآن بتقوية المحولات ليس فقط للأداء ولكن أيضًا للامتثال لتوقعات IEC 62443 في البنية التحتية الحرجة.
تلعب بنية التبديل الصناعية الآن دورًا مباشرًا في حماية أصول المصنع واستمرارية التشغيل.
التحليل الفني لممارسات تقوية المحولات
تأمين الوصول عن بُعد عبر SSH
يحل SSH محل Telnet القديم في بيئات OT لضمان جلسات إدارة مشفرة. يقلل هذا من تعرض بيانات الاعتماد وبيانات التهيئة عبر شبكات SCADA.
في النشر الحديث، يفرض المهندسون وصول VTY عبر SSH فقط لمنع مسارات تسجيل الدخول عن بُعد غير الآمنة.
تضمن إدارة SSH وصولًا عن بُعد محكمًا إلى المحولات الصناعية عبر مناطق OT.
إزالة واجهات الويب من المحولات الحرجة
يقلل تعطيل إدارة HTTP و HTTPS بشكل كبير من أسطح الهجوم. يفضل العديد من مشغلي SCADA التهيئة عبر واجهة الأوامر النصية (CLI) من خلال جلسات القشرة الآمنة (SSH).
تحد هذه الطريقة من الأخطاء العرضية في التهيئة وتقوي انضباط التشغيل في شبكات المصنع.
المصادقة على حافة التحكم
تضمن مصادقة اسم المستخدم المحلية التحكم في الوصول حتى بدون خدمات الهوية المركزية. هذا ضروري للمحطات الفرعية والمرافق البعيدة ذات الاتصال الخارجي المحدود.
تحافظ بيانات الاعتماد المخزنة محليًا على استمرارية التشغيل عند عدم توفر المصادقة الخارجية.
قفل المنافذ وانضباط حركة المرور
تمثل منافذ المحولات غير المستخدمة واحدة من أكثر نقاط الضعف شيوعًا في بيئات التشغيل التقني (OT). يقوم المسؤولون الآن بتعطيل الواجهات غير المستخدمة للقضاء على نقاط وصول الأجهزة غير المصرح بها.
تفرض هذه الطريقة التوافق الفيزيائي-المنطقي بين الأصول الموثقة والطوبولوجيا النشطة للشبكة.
التحكم على مستوى المنفذ يضمن مشاركة نقاط النهاية المعتمدة فقط في الاتصالات الصناعية.
ربط الأجهزة من خلال التحكم على مستوى MAC
يرسخ ربط عنوان MAC ضمان نقاط النهاية من خلال قفل الأجهزة الفيزيائية على منافذ محول محددة. أي عدم تطابق يؤدي إلى إنهاء الاتصال فورًا.
تُستخدم هذه التقنية على نطاق واسع في بيئات كثيفة واجهات المستخدم ومناطق سكادا الحرجة للسلامة.
الربط القائم على عنوان MAC يفرض هوية جهاز حتمية على حافة الشبكة.
أماكن تطبيق هذه الممارسات
تُستخدم طرق تقوية المحولات هذه على نطاق واسع في محطات الطاقة، ومصانع العمليات، وخطوط التصنيع المنفصلة. تضمن هذه الأجهزة اتصالًا مستقرًا بين وحدات التحكم المنطقية القابلة للبرمجة، ووحدات التحكم عن بعد، وواجهات المستخدم، وأنظمة الإشراف.
غالبًا ما يجمع المهندسون هذه التقنيات مع أجهزة بنية تحتية آمنة مثل أنظمة الطاقة والاتصالات في الشبكات الصناعية لتحقيق استقرار بنية تكنولوجيا التشغيل ضمن قيود الأمن السيبراني.
رؤية صناعية: شبكات تكنولوجيا التشغيل تتحول إلى أنظمة محددة بالأمان
أمان مستوى المحول أصبح الآن مطلبًا أساسيًا وليس مجرد ممارسة مثلى. المعايير مثل IEC 62443 تعيد تشكيل كيفية تصميم المهندسين لتقسيم الشبكة والتحكم في الوصول.
نشهد تحولًا حيث يحدد تكوين الشبكة وضع الأمان بقدر ما تفعل الجدران النارية أو نقاط النهاية. هذا يرفع من دور بنية التبديل في سلامة نظام سكادا.
وجهة نظر هندسية حول اتجاه أمن تكنولوجيا التشغيل
غالبًا ما يُستهان بتقوية المحولات في مناقشات الأمن السيبراني لتكنولوجيا التشغيل. ومع ذلك، يشكل هذا الطبقة الأكثر مباشرة لتطبيق القواعد بين الأجهزة الفيزيائية ومنطق التحكم.
في رأيي، المؤسسات التي تتجاهل الانضباط على مستوى المحولات ستواجه مخاطر تشغيلية متزايدة مع تسارع تقارب تكنولوجيا المعلومات والتشغيل. التكوين المنظم، وليس تصحيحات الأمان التفاعلية، هو ما سيحدد شبكات صناعية مرنة في المستقبل.
*دانيال ميرسر، محلل صناعي ومراسل أنظمة، خبرة 14 سنة في مشاريع سيمنز، روكويل أوتوميشن، وإيمرسون دلتا في في بيئات التحكم في العمليات واسعة النطاق*