♟نکات و گوشزدهای امنیتی♟_ امتیاز ویژه

اسکادا از زیرسیستم*های زیر تشکیل شده است

سیستم نظارت که وظیفه*ی جمع**آوری و یادگیری داده به منظور کنترل فعالیت*های فرآیند. 
کنترل*کننده*های منطقی برنامه*پذیر یا PLC که آخرین فعال*کننده*ها هستند و به دستگاه*ها متصل می*شوند.
واحدهای دست*رسی از راه دور یا RTU دستگاه*های الکترونیکی کوچک که واسط بین اسکادا و حس*گرها می*باشند و داده*ها را بین این دو انتقال می*دهند. 
زیرساخت*های ارتباطی که اسکادا و RTU را به یکدیگر متصل می*کند. 
سایر تجهیزات تحلیل و انجام فرآیند. 

عکــــــــــــســـ
مهاجمین می*توانند هر کدام از این زیرسیستم*ها را مورد حمله قرار دهند و فرآیند کنترل را از وضعیتی که انتظار می*رود تغییر داده و خراب*کاری ایجاد کنند. 

به طور مثال، هر سامانه*ی نظارتی، یک رایانه با یک سامانه*عامل تجاری است که به احتمال زیادی تعداد زیادی کد سوء*استفاده از آسیب*پذیری برای آسیب*پذیری*های روز-صفرم آن*ها وجود دارد و این یعنی برای مهاجم این امکان را وجود دارد که به راحتی با آلوده کردن رایانه به وسیله*ی USB و یا حتی از طریق شبکه به کد سوء*استفاده، آسیب*پذیری موجود را مورد بهره*برداری قرار دهد. 

ایجاد و پایبندی به یک چارچوب مدیریت خطر، به نظر مقرون**به*صرفه*ترین رویکرد به منظور تأمین امنیت سایبریِ زیرساخت*های حیاتی می*باشد. 

موسسه*ی استاندارهای سایبری NERC تمامی واحدهای مرتبط با تأمین امنیت سایبری را به پیروی از فرآیند زیر دعوت می*کند: 

شناسایی خطرات
پیاده*سازی کنترل و کاهش خطرات
حفظ سطوح مختلف خطر، از طریق ارزیابی و نظارت 

عکســــــــــــــــــــ
شناسایی و نظارت به ارتباطات شبکه*های اسکادا

به منظور محافظت از اسکادا، ضروری است که تمامی ارتباطات به شبکه*های اسکادا شناسایی شوند، ارزیابی میزان خسارت و نحوه*ی حمله به هر بخش انجام شود و تمامی اقدام*ها لازم به منظور کاهش خطر صورت بگیرد. 

شناسایی و شمارش ارتباطات کلی، نقاط پایانی ارتباطات (به طور مثال مدیریت سیستم، شرکای تجاری و ارائه*دهندگان محصولات تجاری) می*تواند مفید باشد. همچنین به منظور تأمین امنیت، احراز هویت سازوکارهایی که تعبیه شده، پروتکل*هایی که از سایر صنایع و یا به طور کلی از بیرون از مقر اصلی دریافت شده، عمل*کردی که به عنوان سرویس ارائه می*شود، سازوکارهای رمزنگاری که باز هم از بیرون دریافت شده، انواع روش*های ارتباطی(اترنت، شبکه*های بی*سیم و … ) و مهم*تر از همه سامانه*ی دفاعی که به منظور محافظت و دفاع از همه*ی این موارد فراهم شده است نیز باید در دستور کار قرار بگیرد. 

هرگونه ارتباط با یک شبکه*ی بیرونی دیگر به معنی وجود خطر است، به*خصوص در مورد ارتباط شبکه*های درونی با اینترنت باید بسیار محتاط بود و باید امنیت این ارتباطات را تا حد ممکن بهبود بخشید. 

استفاده از «مناظق امن غیر نظامی» یا demilitarized zones که به DMZ*ها مشهور هستند ضروری به نظر می*رسد، و همچنین انبار داده*ها به منظور تأمین راهی مطمئن برای انتقال آن**ها باید مد نظر قرار داده شود. 

وجود یک نقشه*ی بسیار دقیق از شبکه که بتوان نقاط حساس و ارتباطات خطرناک را شناسایی کرد بسیار حائز اهمیت است و نتایج ممیزی اتصالات شبکه به صورت مستند با در نظر گرفتن همه تجهیزات شبکه به منظور بررسی اینکه همه نقاط در نقشه منظور شده*اند یا خیر نیز به نوبه*ی خود مهم است. اجزای زیر در نقشه می*بایست مستند شوند: 

شناسه منحصر به فرد (شماره سریال یا یک شماره*ی منتسب*شده*ی منحصر به فرد برای هر جزء)
شرح عمل*کرد هر نقطه
مکان فیزیکی
تجهیزات امنیتی هر نقطه که چگونه از یک بخش ویژه محافظت می*شود
ارتباطات شبکه به/از این نقطه
آدرس*های شبکه (مک، آی*پی، اسکادا و …)
و سایر واسط*های فیزیکی در دست*رس
نکته*ی بسیار مهم تغییر وضعیت پیش*فرض در دستگاه*ها است، از آن*جایی که غالب آسیب*پذیری*های روز-صفرم مبتنی بر تنظیمات پیش*فرض می*باشد، هر دستگاهی که وارد شبکه می*شود باید پیکربندی آن را از حالت پیش*فرض تغییر داد. 

همچنین بررسی وضعیت دیواره*ی آتش، سامانه*های تشخیص نفوذ، به روز کردن سامانه*های تشخیص نفوذ، و تمامی سامانه*های دفاعی شبکه در هر نقطه اهمیت دارد. 

محافظت در مقابل تهدیدات بلادرنگ 

حملات سایبری اخیر علیه زیرساخت*های حیاتی، به شدت از نظر پیچیدگی پیش*رفته*تر شده*اند. چنین حجم انبوهی از حملات سایبری برنامه*ریزی شده فقط با اعمال به*موقع وصله*های امنیتی برای رفع آسیب*پذیری*ها قابل مقابله نیست.

این تهدیدات نیازمند این هستند که به خوبی و بلادرنگ با آن*ها مقابله شود و سامانه*های پیش*گیری از نفوذ نیز تقویت شوند. یعنی قبل از رخداد حمله نیز باید سامانه*های دفاعی فعالیت*های تاثیرگذار داشته باشند. به منظور پیش*گیری از نفوذ نیز مانند وضعیت تشخیص و مقابله با نفوذ، لایه*بندی*هایی وجود دارد که متخصصین امنیتی پیش*نهاد داده*اند و مطابق زیرساخت شبکه باید نسبت به راه*اندازی و به روز کردن آن*ها هوشیار بود.