مدیریت حوادث امنیت سایبری در 𝗜𝗖𝗦: یک چالش منحصر به فرد

سیستم های کنترل صنعتی (ICS) ستون فقرات زیرساخت های حیاتی هستند و آنها را به هدف اصلی حملات سایبری تبدیل می کنند. مدیریت موثر حادثه برای به حداقل رساندن زمان خرابی، محافظت از عملیات و اطمینان از ایمنی بسیار مهم است.

چالش های منحصر به فرد در 𝙄𝘾𝙎 مدیریت حوادث

✏ تأثیر مستقیم: حوادث سایبری در ICS می تواند عواقب فوری و شدیدی داشته باشد و بر فرآیندهای فیزیکی تأثیر بگذارد و به طور بالقوه زندگی را به خطر بیندازد.

✏سیستم‌های تخصصی: محیط‌های ICS شامل فناوری‌ها و پروتکل‌های منحصربه‌فردی هستند که به دانش و ابزارهای تخصصی برای پاسخ به حادثه نیاز دارند.

✏محدودیت های عملیاتی: بسیاری از عملیات ICS را نمی توان به راحتی برای بررسی یا اصلاح متوقف کرد، و نیازمند هماهنگی و اولویت بندی دقیق است.

🎯گام های عملی برای مدیریت موثر حادثه

➡️ آماده سازی کلیدی است:
* یک طرح جامع واکنش به حادثه متناسب با محیط ICS خاص خود ایجاد کنید.
* شناسایی دارایی های حیاتی و اولویت بندی اقدامات پاسخ بر اساس تاثیر بالقوه.
* کانال ها و نقش های ارتباطی را برای پاسخگویی هماهنگ ایجاد کنید.

➡️ تشخیص و تجزیه و تحلیل سریع:
* سیستم های نظارت قوی و تشخیص نفوذ را برای شناسایی ناهنجاری ها و فعالیت های مشکوک مستقر کنید.
* داده های حادثه را به سرعت تجزیه و تحلیل کنید تا دامنه و تأثیر بالقوه را درک کنید.
* پرسنل مناسب، از جمله مهندسین امنیت فناوری اطلاعات و OT را برای ارزیابی جامع درگیر کنید.

➡️ مهار و ریشه کنی:
* سیستم های آسیب دیده را ایزوله کنید تا از گسترش بیشتر حادثه جلوگیری شود.
* بدافزار یا دسترسی غیرمجاز را حذف کنید و در عین حال اختلال در عملیات حیاتی را به حداقل برسانید.
* در صورت نیاز با فروشندگان و کارشناسان خارجی برای کمک تخصصی همکاری کنید.

➡️ بازیابی و درس های آموخته شده:
* بازگرداندن سیستم ها به عملکرد عادی، اطمینان از یکپارچگی و عملکرد داده ها.
* تجزیه و تحلیل کامل پس از حادثه برای شناسایی علل ریشه ای و آسیب پذیری ها انجام دهید.
* اقدامات اصلاحی را اجرا کنید و بر این اساس برنامه های واکنش به حادثه را به روز کنید.

اقدامات پیشگیرانه برای افزایش انعطاف پذیری
✏ ارزیابی‌های امنیتی منظم: ارزیابی‌های آسیب‌پذیری و تست نفوذ را برای شناسایی و رفع نقاط ضعف به طور فعال انجام دهید.
✏ آموزش آگاهی از امنیت: به کارکنان در مورد خطرات امنیت سایبری و بهترین شیوه ها برای جلوگیری از خطای انسانی آموزش دهید.
✏ مدیریت وصله: نرم افزار و سیستم عامل ICS را به روز نگه دارید تا آسیب پذیری های شناخته شده را کاهش دهید.
✏ تقسیم بندی شبکه: اجزای حیاتی ICS را از شبکه های دیگر جدا کنید تا تأثیر احتمالی یک حادثه را محدود کنید.

محیط‌های ICS منحصربه‌فرد هستند و به سیاست‌ها و رویه‌هایی نیاز دارند که بر اساس آن تنظیم شوند. اینها چند گام عملی است که می تواند در مواقع بروز حوادث کمک کند.

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

برای اطلاعات بیشتر در مورد پیمایش در دنیای پیچیده امنیت سایبری صنعتی، به من بپیوندید.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

یک آسیب‌پذیری در میان‌افزار کنترل‌کننده منطقی قابل برنامه‌ریزی Schneider Electric Modicon M340 و ماژول‌های شبکه Modicon M340 BMXNOE0100، Modicon M340 BMXNOE0110 با استفاده از فایل‌ها و دایرکتوری‌های قابل دسترسی برای اشخاص خارجی مرتبط است. سوء استفاده از این آسیب‌پذیری می‌تواند به مهاجم از راه دور اجازه دهد تا از به‌روزرسانی سیستم‌افزار دستگاه جلوگیری کند و با حذف فایل‌ها یا دایرکتوری‌های خاص از سیستم فایل، وب سرور را خراب کند.

CVE: CVE-2024-5056

CWE-552
CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
CVSS 3.0 6.5 است

https://bdu.fstec.ru/vul/2024-04748

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

برای اطلاعات بیشتر در مورد پیمایش در دنیای پیچیده امنیت سایبری صنعتی، به من بپیوندید.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

آسیب‌پذیری‌های Sicam زیمنس می‌تواند حملات به بخش انرژی را تسهیل کند
آسیب‌پذیری‌های متعددی که اخیراً در محصولات زیمنس Sicam اصلاح شده‌اند، می‌توانند در حملاتی به بخش انرژی مورد سوء استفاده قرار گیرند.

آسیب‌پذیری‌های متعددی که اخیراً توسط زیمنس در برخی از محصولات Sicam اصلاح شده است، می‌تواند در حملاتی به بخش انرژی مورد سوء استفاده قرار گیرد.

زیمنس در ماه مه به مشتریان خود اطلاع داد که به‌روزرسانی‌های منتشر شده برای واحد پایانه راه دور Sicam A8000، حسگرهای شبکه Sicam EGS و نرم‌افزار اتوماسیون برق Sicam 8 دو نقص با شدت بالا و یک نقص با شدت متوسط ​​را برطرف می‌کنند.

یکی از حفره‌های امنیتی، CVE-2024-31484، یک مشکل بازخوانی بافر است که می‌تواند برای خواندن داده‌های حساس از حافظه مورد سوء استفاده قرار گیرد، که می‌تواند منجر به اجرای کد دلخواه در چارچوب فرآیند فعلی یا انکار سرویس شود. وضعیت (DoS).

دومین آسیب پذیری، CVE-2024-31485، یک مشکل تزریق دستور در رابط وب محصولات است. این به مهاجم اجازه می دهد تا نام کاربری و رمز عبور کاربران با امتیازات بالا را رهگیری کند و آنها را قادر می سازد تا کد دلخواه را به عنوان root اجرا کنند.

موضوع سوم، CVE-2024-31486، مربوط به محافظت نامناسب رمزهای عبور کلاینت MQTT است که به مهاجمی که دسترسی فیزیکی یا پوسته از راه دور دارد اجازه می دهد اعتبارنامه را به دست آورد.

در توصیه‌ای که در ژوئن منتشر شد، این غول صنعتی به مشتریان اطلاع داد که CVE-2024-31484 بر دستگاه‌های SICAM AK3/TM/BC نیز تأثیر می‌گذارد - و در آن وصله شده است.

محصولات آسیب دیده راه حل های شبکه برق هستند که برای اتوماسیون پست طراحی شده اند.

CVE-2024-31484 در واقع برای اولین بار بیش از یک سال پیش به زیمنس گزارش شده است.

«یک مهاجم برای تعامل با هدف، ابتدا باید به پورت 443/80 دسترسی داشته باشد. با سوء استفاده از CVE-2024-31484، مهاجم می تواند اطلاعاتی را از بخش حافظه جهانی درز کند که می تواند به حملات بیشتر کمک کند.

«به‌علاوه، اگر مهاجم موفق شد یک حساب کاربری با امتیاز پایین برای SICAM-WEB به دست آورد، می‌توان از CVE-2024-31485 برای افشای رمز عبور یک مدیر استفاده کرد. با جابجایی به حساب مدیریت، مهاجم می‌تواند PLC را دوباره پیکربندی کند و در نتیجه پست را بی‌ثبات کند. همه رمزهای عبور پس از اصلاح این آسیب پذیری باید تغییر کنند زیرا محرمانه بودن آنها دیگر نمی تواند تضمین شود.
🎯 در جریان نبض امنیت سایبری صنعتی باشید:

برای اطلاعات بیشتر در مورد پیمایش در دنیای پیچیده امنیت سایبری صنعتی، به من بپیوندید.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

دعوتنامه دوره تخصصی ITIL4 Create Deliver and Support -ایجاد،ارائه،پشتیبانی
باسلام و احترام
ار شما دعوت مینمایم در دوره آفلاین تخصصی ITIL4 CDS -ایجاد،ارائه،پشتیبانی حضور یافته و گواهی حضور نیز دریافت کنید.
لینک ثبت نام:
https://m0h.ir/8pmtxb
✨همراه با تخفیف 50 درصدی به مدت محدود

🎃 CISA: بیش از نیمی از پروژه های متن باز به زبان های "خطرناک" نوشته شده اند

آژانس‌های امنیت اطلاعات آمریکا مدتی است که نگران سطح کلی آسیب‌پذیری نرم‌افزار هستند و به طور منظم توصیه‌هایی به توسعه‌دهندگان ارائه می‌کنند، از جمله به معنای واقعی کلمه از آنها التماس می‌کنند که به زبان‌های برنامه‌نویسی که حافظه را به صورت ایمن مدیریت می‌کنند، سوئیچ کنند. این رویکرد به تولید برنامه‌هایی کمک می‌کند که شامل کلاس‌های کامل آسیب‌پذیری خطرناک (سرریز بافر، UaF) نیستند، اما بازنویسی همه کدها به زبان‌های «ایمن» بسیار وقت‌گیر و کار فشرده است. مایکروسافت و گوگل به این سمت حرکت می کنند، اما به تدریج. در میان شرکت‌ها و گروه‌های کوچک‌تر، هنوز خیلی زود است که در مورد انتقال گسترده صحبت کنیم.

یک مطالعه جدید CISA پروژه‌های منبع باز بزرگ و مهم را تجزیه و تحلیل می‌کند، که از آن مشخص است که 52 درصد از پروژه‌ها حاوی قطعاتی از زبان‌های «خطرناک» هستند، و اگر نسبت را با خطوط کد نوشته شده در نظر بگیریم، 55 درصد آن‌ها «خطرناک» هستند. علاوه بر این، حتی پروژه‌هایی که به طور کامل به زبان‌هایی نوشته شده‌اند که حافظه را ایمن مدیریت می‌کنند، از کتابخانه‌های «خطرناک» استفاده می‌کنند.

به طور کلی، البته همه اینها بیانگر این است که پروژه هایی با سابقه بیست ساله، مانند هسته لینوکس، بعید است که به سرعت به زبان های امن تغییر کنند. اما برای ارزیابی عملی آسیب‌پذیری بالقوه پروژه، جالب است که در ضمیمه گزارش عمیق‌تر کاوش کنیم. در آنجا، برای هر یک از چند صد پروژه بزرگ منبع باز، اندازه کل پایه کد آن و درصد نوشته شده به زبان های "ایمن" نشان داده شده است. بنابراین می توانید دریابید که در لینوکس 95٪ کد به زبان های "خطرناک" نوشته شده است، بنابراین انواع LPE و RCE برای مدت بسیار بسیار طولانی ظاهر می شوند، و در Kubernetes تنها 9 هزار خط در "خطرناک" وجود دارد. ” زبان‌ها، این در پایه کد آنها 0٪ است. درست است، حتی برای پروژه های مثبت باید عمیق تر نگاه کنید، زیرا برای مثال در وردپرس، 0 خط به زبان های خطرناک وجود دارد، اما شیطان در افزونه ها است، و Signal Desktop نیز با صفر می درخشد، اما Electron چارچوبی که باید کار کند، «ناامن» تقریباً نصف Chromium است.

رویکرد تحلیلی پیشنهاد شده توسط CISA جامع نیست، اما می‌تواند در ارزیابی امنیتی اولیه پروژه‌ها، همراه با مطالعه تاریخچه آسیب‌پذیری‌های قبلی و حذف آنها مفید باشد. سطح حمله کوچکتر به معنای دویدن کمتر در اطراف با وصله است.

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

برای اطلاعات بیشتر در مورد پیمایش در دنیای پیچیده امنیت سایبری صنعتی، به من بپیوندید.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

💾 USB های مخرب دوباره مد شده اند

در حملات به تأسیسات صنعتی، جایی که جداسازی زیرساخت از شبکه‌های عمومی به یک درجه یا دیگری انجام می‌شود، آلودگی از طریق درایوهای USB همچنان یک عامل نفوذ قابل توجه است، اما آخرین گزارش هانیول به افزایش قابل توجه حملات در سال گذشته اشاره می‌کند - تعداد بدافزارهای کشف شده در کنترل ورودی ۳۳ درصد افزایش یافته است.

مهاجمان به دنبال به دست آوردن جای پایی در سیستم ها و افزایش امتیازات هستند، به شدت به اسکریپت های Powershell و LOLbins تکیه می کنند و درک قابل توجهی از چشم انداز OT/ICS نشان می دهند. برای انجام وظایف خود، از جمله موارد مخرب، آنها سعی می کنند فقط از ابزارهای استانداردی استفاده کنند که از قبل در سیستم موجود است. در طول پنج سال مشاهده، سهم بدافزارهایی که به طور خاص برای انتشار مستقل از طریق USB طراحی شده بودند از 9٪ به 51٪ افزایش یافت و سهم بدافزارهایی که سعی در برقراری تماس با مهاجمان پس از آلودگی داشتند از 32٪ به 53٪ افزایش یافت.

۸۲ درصد از حملات می تواند منجر به اختلال در سیستم های صنعتی شود، از جمله از دست دادن کنترل و از دست دادن تله متری از سیستم آسیب دیده.

جالب توجه است که گزارش Kaspersky ICS CERT روند معکوس را نشان می دهد - تهدیدات کمتری در درایوهای USB شناسایی می شوند. با توجه به اینکه این گزارش بر اساس داده‌های رایانه‌های متصل به شبکه است و داده‌های Honeywell تقریباً از ایرگپ جمع‌آوری شده‌اند، تفاوت در داده‌ها ممکن است ماهیت هدفمند حملات USB را پشتیبانی کند.

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

برای اطلاعات بیشتر در مورد پیمایش در دنیای پیچیده امنیت سایبری صنعتی، به من بپیوندید.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

شرکت Oxford Economics به سفارش اسپلانک، مطالعه ای انجام داد و گزارشی با عنوان "هزینه پنهان از کار افتادگی" منتشر کرد که در آن سعی داشت هزینه خرابی را از دیدگاه های مختلف تخمین بزند - ضررهای مستقیم، جریمه های تنظیم کننده، جریمه های نقض SLA. ، کاهش بهره وری و غیره

یک دقیقه توقف ⏳ از 9 هزار دلار تا 540 هزار دلار در ساعت تخمین زده می شود. واضح است که اعمال این مبالغ در واقعیت های ایران نادرست است، اما نگاه به اقلام هزینه بسیار مفید است.

علاوه بر این، این گزارش پارامترهای زمانی برای بازیابی از زمان خرابی ⏱، نمونه هایی از تأثیر بر واحدهای تجاری مختلف شرکت (به عنوان مثال، بازاریابی) و غیره را شرح می دهد. به طور کلی، یک مطالعه مفید از دیدگاه تجاری و ارزیابی تأثیر حوادث امنیت اطلاعات بر آن (56٪ از کل خرابی ها دقیقاً به دلیل امنیت سایبری و فقط 44٪ به دلیل خرابی در برنامه ها و زیرساخت ها رخ می دهد)

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

قطع شدن کنترلر به دلیل گرمای بیش از حد یک تهدید سایبری است که باید در نظر گرفته شود.

محافظت از دستگاه های تعبیه شده مانند کنترلرهای #DCS، #PLC، #RTU، #VFD و غیره. از گرمای بیش از حد برای جلوگیری از محرومیت دائمی سرویس #PDOS بسیار مهم است که باعث از بین رفتن در دسترس بودن سیستم کنترل صنعتی #ICS می شود و منجر به خسارات مالی قابل توجهی به دلیل خرابی سخت افزار و توقف تولید می شود. این ضعف سخت افزاری رایج در CWE-1338 "محافظت های نامناسب در برابر گرمای بیش از حد سخت افزار" بیان شده است.

قابل ذکر است که محافظت از دستگاه های تعبیه شده در برابر گرمای بیش از حد مطابق با الزامات امنیتی اجزای ISA/IEC 62443-4-2 CR 7.1 "حفاظت انکار سرویس" است.

محافظت از دستگاه های جاسازی شده در برابر گرمای بیش از حد می تواند با موارد زیر انجام شود
🔘 انتخاب مناسب دستگاه برای مناسب بودن با محیط کار.
🔘محاسبات اتلاف حرارت باید در مرحله مهندسی انجام شود تا تهویه و سرمایش مورد نیاز محاسبه شود تا اجتناب شود.
بیش از حد گرم شود.
🔘 هشدار برای اطلاع اپراتور که دمای دستگاه تعبیه شده به نقطه از پیش تعیین شده رسیده است که می تواند بر عملکرد آن برای انجام اقدامات مناسب تأثیر بگذارد.

 این الزام امنیتی تاکید می کند که هدف اصلی امنیت سایبری OT حفظ در دسترس بودن سیستم کنترل صنعتی است.
 
🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

“أعظَمَ اللهُ اجورَنا بمُصابِنا بِالحُسَینِ، وَ جَعَلَنا و ایّاکُم مِنَ الطّالِبینَ بِثارِهِ مَع وَلیّهِ الامامِ المَهدیِّ مِن آلِ مُحَمَّدٍ(ع)”؛

خداوند اجر ما را به سبب مصیبتی که از حسین به ما رسیده بزرگ گرداند و ما و شما را از کسانی قرار دهد که در کنار ولی دم او، امام مهدی از خاندان محمد(ع)، به خونخواهی او برمی خیزند.

سیستم اندازه گیری مخزن رادار #RTG معمولا در صنعت نفت و گاز برای اندازه گیری سطح و حجم مایعات در مخازن ذخیره سازی استفاده می شود.

📈 با استقبال روزافزون از #دیجیتال سازی، این سیستم ها اکنون به شبکه های #سازمانی متصل می شوند تا داده های زنده را به مدیریت انتقال دهند.

⚠ این اتصال یک شمشیر دوگانه است زیرا مزایای بسیاری مانند بهبود مدیریت موجودی و #بهینه سازی تولید را ارائه می دهد، اما خطرات #سایبری جدیدی را نیز معرفی می کند.

مهاجمان می‌توانند از #آسیب‌پذیری‌ها در سیستم‌های اندازه‌گیری مخزن راداری و شبکه‌های سازمانی برای دستکاری داده‌های پردازش سوء استفاده کنند، که می‌تواند منجر به گمراه‌کننده و وقفه در #زنجیره تامین شود.

شایان ذکر است که گیج مخزن رادار تنها در اندازه گیری سطح و حجم استفاده نمی شود، بلکه به عنوان بخشی از حلقه #SIS برای محافظت مخزن از پر شدن بیش از حد استفاده می شود.

▶ بنابراین، جداسازی حلقه #SIS سیستم های اندازه گیری مخزن رادار از حلقه اندازه گیری و کنترل بسیار مهم است. این کمک می کند تا اطمینان حاصل شود که حلقه SIS حتی اگر حلقه اندازه گیری و کنترل #مخاطره شده باشد، همچنان فعال باقی می ماند. و این مطابق با الزامات منطقه و مجرای ISA/IEC 62443-3-2 (ZCR 3.3: دارایی های مرتبط با #ایمنی جداگانه)

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

هشدار سایبری

قطعی سامانه‌های فناوری اطلاعات منجر به اختلال گسترده کامپیوتری در سرتاسر جهان شد

فعالیت شرکت‌های هواپیمایی، بانک‌ها و رسانه‌ها در سرتاسر جهان بر اثر قطعی گسترده سامانه‌های فناوری اطلاعات که احتمالا از مایکروسافت آغاز شده، مختل شد.

گزارش‌ها حاکی از آن است که روز جمعه ۱۹ ژوئیه (۲۹ تیر) یک قطعی بزرگ فناوری اطلاعات، فعالیت عادی بانک‌ها، رسانه‌ها و خطوط هوایی را تحت تاثیر قرار داده که باعث هرج و مرج در فرودگاه‌ها و لغو پروازها شده است.
گمان می‌رود که این قطعی به دلیل قطعی سرویس‌های آزور و آوتلوک ۳۶۵ مایکروسافت باشد.

خطوط هوایی مانند کانتاس در استرالیا و حداقل دو شرکت هواپیمایی ارزان قیمت در ایالات متحده، خطوط هوایی فرانتیر و «سان‌کانتری ارلاینز» مجبور به توقف پروازهای خود شده‌اند.

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

🔴 اختلال در سیستم‌های کامپیوتری برخی کشورها

🔹بروز مشکل در سیستم‌های کامپیوتری رژیم صهیونیستی، آلمان، اسپانیا و استرالیا

🔹فرودگاه برلین آلمان: تاخیر در عملیات پذیرش مسافر به دلیل اختلال فنی

🔹اداره فرودگاه‌های اسپانیا: بروز مشکل در سیستم‌های کامپیوتری در همه فرودگاه‌های کشور

🔹وزارت کشور استرالیا: قطع الکترونیکی مرتبط با شرکت امنیت سایبری 

🔹رویترز: سیستم رزو پزشکی و سلامت در انگلیس به دلیل قطع اینترنت متوقف شد.

🔹️بورس لندن، بانک‌ها و خطوط هوایی انگلیس نیز دچار نقص فنی شدند.

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

🔴 کامپیوترهای از کار افتاده شرکت هواپیمایی آمریکایی  دلتا ایرلاینز
🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

🎥 فیلمی از اختلال در فرودگاه دبی در نتیجه اختلال الکترونیکی جهانی
🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

🔴 ️از کار افتادن مانیتورها و بسیاری از سیستم‌های شبکه اسکای نیوز انگلیس وقطع امکان خبررسانی به خاطر اخلال جهانی در سیستم عامل‌های ماکروسافت.
🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

صفحه آبی اختلال ویندوز (BSOD) که بانک‌ها، خطوط هوایی و شبکه‌های تلویزیونی را در سراسر جهان دچار مشکل کرده است

🔹️فیلمی از اختلال در فرودگاه دبی در نتیجه اختلال الکترونیکی جهانی

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

🛑بر اساس گزارش‌های مختلف تلفن کمک‌های اضطراری ۹۱۱ در بعضی ایالات آمریکا از دسترس خارج شده است

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

حادثه Crowdstrike که اخیرا رخ داده است، نشان دهنده اهمیت دو موضوع در #امنیت_سایبری OT است. 
 🔘 اول، اهمیت آزمایش هر گونه به روز رسانی در محیط آزمایشی قبل از استقرار در محیط در حال اجرا طبق گزارش فنی ISA 62443-2-3 "مدیریت وصله در محیط #IACS"
➡ تست وصله ها در حوزه فناوری عملیاتی #OT بسیار مهم است زیرا در دسترس نبودن ایستگاه کاری اپراتور یا سرورهای کنترلی می تواند منجر به عواقب نامطلوب شود.
🔘دوم، اهمیت چرخه عمر توسعه محصول ایمن که در ISA/IEC 62443-4-1 به آن اشاره شده است تا اطمینان حاصل شود که تامین کننده محصول امنیت را در طول توسعه محصول در نظر می گیرد.

برای آشنایی با استاندارد امنیت سایبری صنعتی ۶۲۴۴۳ میتوانید از لینک زیر بیاموزید و گواهینامه نیز دریافت کنید:

ویدئوی دوره تخصصی استاندارد ISA62443 امنیت اتوماسیون صنعتی
https://m0h.ir/ebswnx


🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

یک حمله سایبری ICS/OT در واقع چه شکلی است؟

حمله به زیرساخت های حیاتی

حمله به زیرساخت های غیرنظامی

این ویدئو نگاهی عالی به حملات ICS/OT است که ما اغلب نمی‌توانیم آنها را ببینیم.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

یک حمله سایبری ICS/OT در واقع چه شکلی است؟

حمله به زیرساخت های حیاتی

حمله به زیرساخت های غیرنظامی

تعداد حملاتی که بر شبکه های ICS/OT تأثیر می گذارد در حال افزایش است.

هر هفته اخبار بیشتری می شنویم.

ما در حال مشاهده تأثیرات بیشتر در دنیای واقعی هستیم.

و لیست حملات موفق همچنان در حال رشد و افزایش است.

بیشتر حملات سایبری ICS/OT شامل مهاجمان در شبکه OT نمی شود.

چیزی که ما آن را "مهاجمان مرحله 1" می نامیم.

آنها محدود به شبکه IT هستند.

اما آنها همچنان می توانند بر سیستم های فناوری اطلاعات که بر عملیات OT تأثیر می گذارند تأثیر بگذارند.

حتی اگر در شبکه OT نباشند.

اما زمانی که آنها به شبکه OT دسترسی دارند چه می شود؟

اگر آنها تبدیل به "مهاجم مرحله 2" شوند چه؟

در این ویدیو می توانید یک مهاجم با دسترسی کامل به HMI را مشاهده کنید.

رابط ماشین انسانی به اپراتورها این امکان را می دهد که سیستم های خود را ببینند و تغییرات را در زمان واقعی ایجاد کنند.

مانند داشتن کنترل کامل اداری بر روی کامپیوتر.

اما شما کنترل کاملی بر سیستم های فیزیکی کنترل HMI دارید.

اگر مهاجمان به HMI دسترسی داشته باشند، می توانند خودشان تغییراتی ایجاد کنند.

در این مورد، به یک برج آبی در تگزاس.

در نتیجه یک مخزن سرریز می شود.

با این حال، هیچ مشتری خدمات آب خود را تحت تأثیر قرار نداد.

تاثیر قابل توجهی؟

خیر

نه هنوز.

اینها حملات پیچیده ای نیستند.

اما چه اتفاقی می تواند بیفتد؟

این ویدیو توسط ارتش سایبری روسیه متولد شده (CARR) ارسال شده است.

گروهی از "هکتیویست ها" اما با کرم شنی.

یکی از پرکارترین گروه های عامل تهدید ICS/OT در جهان.

مسئول حملات ICS/OT Stage 2.

که برق 100000 نفر از ساکنان اوکراین را قطع کرد.

در سال های 2015، 2016 و 2022.

در میان بسیاری از حملات ICS/OT که آنها راه اندازی کرده اند.

این ویدئو نگاهی عالی به حملات ICS/OT است که ما اغلب نمی‌توانیم آنها را ببینیم.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

آنچه در مورد Crowdstrike می دانیم

(مجموعه ای از حقایق برای خودم، شاید به شما هم کمک کند)

🤔دقیقا چه اتفاقی افتاده؟

- Crowdstrike Falcon یک آنتی ویروس "نسل بعدی" است.
- "نسل بعدی" به این معنی است که فقط امضاهای بدافزار را مقایسه نمی کند، بلکه تشخیص ناهنجاری، تجزیه و تحلیل رفتار و تجزیه و تحلیل مجموعه داده های بزرگتر از داده ها را با پشتیبانی هوش مصنوعی انجام می دهد.
- سنسورهای فالکون عواملی هستند که روی هر دستگاه برای جمع آوری و تجزیه و تحلیل داده ها نصب می شوند
- برای تجزیه و تحلیل رفتاری (و به طور فعال جلوگیری از سوء استفاده ها) اطلاعاتی که عمیقاً در سیستم عامل ذخیره شده است مورد نیاز است، بنابراین حسگرهای فالکون می توانند فایل ها / فرآیندهای سیستم را بخوانند و تحت تأثیر قرار دهند.
- Crowdstrike به طور منظم فایل های پیکربندی سنسور فالکون را به روز می کند تا بتوانند رفتارهای مهاجم مشاهده شده را شناسایی کنند.
- به روز رسانی که باعث خرابی شد، نحوه ارزیابی لوله های نامگذاری شده را تغییر داد که اغلب برای ارتباط ماشین به ماشین استفاده می شود. مهاجمان می توانند از آنها برای انتقال به هدف بعدی استفاده کنند یا اینکه هدفی با سرورهای خود ارتباط برقرار کند
- به روز رسانی حاوی یک خطای منطقی بود و باعث از کار افتادن سیستم های تحت تأثیر ویندوز شد

🤷‍♀️چرا این مشکل است؟

- مقدار زیاد سیستم آسیب دیده یک مشکل است
- مشکل را می توان نسبتاً به راحتی برطرف کرد، اما در برخی موارد (مثلاً زمانی که Bitlocker برای محافظت از داده های سیستم استفاده می شود) نیاز به اقدامات دستی دارد - اگر حدود 1000 سیستم آسیب دیده دارید، دشوار است.

💡قرار دادن آن در متن:

- نه، این احتمالاً یک حمله امنیتی نبوده است. IT گاهی اوقات برای شکستن چیزها به حمایت مجرمان نیاز ندارد
- اشتباهات اتفاق می افتد اما یک سوال خوب برای Crowdstrike این است که چرا این مورد در یک تست رول‌آوت مورد بررسی قرار نگرفت. (و شاید به تولید در روز جمعه فشار نیاورید 🫣)
- اکثر افراد در فناوری اطلاعات / امنیت تعجب نمی کنند که چنین اتفاقاتی ممکن است رخ دهد. زنجیره تامین پیچیده و وابستگی ما به سیستم‌های فناوری اطلاعات پرکاربرد یک مشکل شناخته شده است. هم حملات سایبری برای سوء استفاده از آن (SolarWinds) و هم حملات نزدیک (xz utils) وجود داشته است.
- این یک مشکل هوش مصنوعی یا استفاده از ابر نیست. فالکون از هر دو استفاده می کند، اما این بخشی از مشکل نبود.
- مشکل ابزاری است که برای کار کردن به امتیازات بالا و دسترسی به منابع سیستم در هر نقطه پایانی نیاز دارد. این تصادفی نیست و راه حل آسان این است که به ابزارها اجازه این امتیازات را ندهند. اگر مهاجمان در فرآیندهای سیستم پنهان شوند، ابزارهای امنیتی باید به منابع سیستم دسترسی داشته باشند.
- با این حال، این یک هشدار است که هر ابزار اضافی، حتی ابزاری با بهترین نیت، پیچیدگی می‌افزاید و می‌تواند شما را آسیب‌پذیرتر کند، حتی اگر نیاز به دسترسی به منابع حساس داشته باشد.
- قانونگذاران هم آگاه هستند. این دلیل #244335 است که چرا قانون مقاومت سایبری اهمیت دارد.
- این رویداد بسیاری از مردم را در موقعیتی قرار می دهد که در برابر مجرمان سایبری که از ناامیدی آنها سوء استفاده می کنند آسیب پذیر هستند. اگر اسکریپت‌ها را کاملاً درک نمی‌کنید، اجرا نکنید، به هر چیزی که به‌عنوان یک راه‌حل سریع به بازار عرضه می‌شود، نپرید و برای راه‌حل‌های ادعایی پولی پرداخت نکنید!

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert