في هذه المقالة، نستكشف التطورات التي يتبناها القطاع الصناعي لتطبيق مبدأ الدفاع المتعمق في شبكاته.

يشير هذا المبدأ إلى مزايا حماية المعدات الحيوية من خلال وضعها خلف طبقات دفاع متعددة، مما يوفر العديد من الفرص لاكتشاف أو إيقاف الهجوم قبل أن يؤثر على العناصر الحيوية للنظام.

الأداة الأساسية لذلك هي تجزئة الشبكة، أو في الحالات الأكثر تقدمًا، التجزئة الدقيقة. تتضمن التجزئة مجموعة من التقنيات والمعدات المستخدمة لفصل شبكة واحدة إلى عدة أجزاء (مناطق) تتواصل فقط عبر قنوات محددة ومحمية (موصلات).

يساعد التجزئة على تقليل محيط كل منطقة المعرض للهجوم، حيث تقتصر الاتصالات الواردة والصادرة على نقاط محيط محمية. مع تحكم أكبر في حركة مرور الشبكة، يُمكن إنشاء بنى أكثر تعقيدًا من خلال:

• التجزئة الرأسية:فصل المناطق بمستويات امتيازات مختلفة. عادةً، تُنشأ منطقة عليا تتيح وصولاً أوسع للمستخدمين أو الاتصالات الخارجية، ومنطقة سفلية تتيح وصولاً أكثر تقييداً.
• التجزئة الأفقية:فصل المناطق التي لها نفس مستوى الامتياز ولكن مستويات الوصول مختلفة، ويتم فصل المناطق بشكل عام حسب الوظيفة.

تشكل هذه العناصر الأساسية هياكل الشبكات الصناعية الآمنة التي أصبحت شائعة والنماذج الجديدة التي يتم اعتمادها في الأنظمة الأكثر تقدمًا.

نموذج التجزئة الصناعية الأساسي #

حاليًا، تتفاوت الشبكات الصناعية بشكل كبير باختلاف الأحجام والقطاعات والدول. ومع ذلك، حيثما أُخذ الأمن السيبراني في الاعتبار عند تصميمها، سواءً في البداية أو بأثر رجعي، هناك اتجاه نحو نموذج متجانس مع التعديلات اللازمة لتلبية الاحتياجات المحددة.

يمكن تلخيص نموذج الأمن الطبقي العام هذا في سلسلة من التدابير التي توضح مبدأ الدفاع المتعمق:

1. تُفصل الشبكة الصناعية عن شبكة الشركة لتقليل حركة البيانات غير الضرورية والوصول إلى الشبكة الصناعية. وتختلف درجة الفصل باختلاف كل شبكة ومدى نضج إجراءات الأمن.
2. تقع الشبكة الصناعية أسفل شبكة الشركة. بهذه الطريقة، تُحمى الشبكة الصناعية بطبقة سابقة، والتي يجب على أي مهاجم خارجي تجاوزها للوصول إليها.
3. تُنشر شبكة وسيطة، تُعرف عادةً بالمنطقة منزوعة السلاح (DMZ)، بين الشبكتين. تعمل هذه المنطقة كحدود أمنية بين الشبكتين، حيث توفر موقعًا آمنًا للأنظمة المساعدة، وتُدير حركة المرور بين البيئتين.

يُعد هذا النموذج واسع الانتشار نقطة انطلاق لتجزئة الصناعات. فهو بسيط وقابل للتكيف مع مختلف الأنظمة، مع توفير مستوى مقبول من الأمان.

ومع ذلك، هناك عاملان رئيسيان يدفعان إلى اعتماد نماذج أكثر تطوراً في الشبكات المتقدمة أو الحرجة:

• دمج معدات إنترنت الأشياء الصناعي، أو تقنيات تكنولوجيا المعلومات، أو تقنيات الذكاء الاصطناعي: يمكن لهذه الأدوات أن تعمل على تعزيز الإنتاجية أو الكفاءة بشكل كبير ولكنها قد تتعارض مع النماذج التقليدية، حيث يتطلب الكثير منها اتصالات مستمرة مع الشبكات الخارجية، أو الشبكات اللاسلكية، أو الوصول من شبكة الشركة.
• زيادة حجم التهديدات وتعقيدها: مع اكتساب المهاجمين خبرة في البيئات الصناعية، أصبحت الهجمات أكثر تكرارًا وضررًا. ورغم قابلية النموذج العام للتكيف، إلا أنه قد يصبح سريعًا غير فعال ومكلف عند إضافة تدابير أمنية تكميلية مقارنةً بتغيير البنية الأساسية.

وتهدف النماذج الجديدة إلى معالجة هذه القضايا.

كيفية تنفيذ التجزئة الدقيقة #

تتضمن التجزئة الدقيقة، المعترف بها في اللوائح مثل IEC 62443، استخدام طرق التجزئة المعروفة (التجزئة الأفقية والرأسية) لإنشاء مناطق مستقلة داخل شبكة صناعية كلاسيكية.

لتحقيق تجزئة دقيقة فعّالة، من الضروري البدء بتحديد المناطق المحتملة داخل الشبكة الصناعية. تبدأ هذه العملية على أفضل وجه بتقييم مخاطر الشبكة: ما هي المعدات الضرورية للإنتاج؟ أيها يُشكّل مستوى أعلى من المخاطر؟ أيها له احتياجات تشغيلية خاصة؟ تساعد الإجابة على هذه الأسئلة في تحديد مجموعات المعدات ذات الخصائص المتشابهة بشكل عضوي.

تتضمن أمثلة المناطق المشتركة في الشبكات المجزأة الصغيرة ما يلي:

مناطق السيطرةتحتوي على معدات أساسية للتحكم في عملية الإنتاج، مع أعلى مستويات الأمان وتقييد الوصول. يُنصح بتحديد عدة مناطق تحكم مستقلة كلما أمكن. على سبيل المثال، يُمكن لأنظمة التحكم المنفصلة لخطوط الإنتاج المستقلة في مصنع التصنيع أن تمنع أي حادث قد يُعطل الإنتاج كليًا أو جزئيًا.
مناطق المراقبةمعدات منزلية تجمع بيانات العمليات الصناعية دون إمكانيات تحكم. تعتمد أهميتها على البيانات التي تعالجها والمستلمين المستهدفين. يجب توخي الحذر الشديد عند نقل بيانات العمليات الصناعية خارج الشبكة، لأنها تُعرّض بطبيعتها لمخاطر تتعلق بالسرية وإمكانية اختراق البيانات.
مناطق الأمانمعدات حماية المضيف ومنع الحوادث. تعمل هذه الأنظمة عادةً بمعزل عن الشبكات الخارجية، إلا أن توفرها أمر بالغ الأهمية. وضعها على شبكة صناعية عامة يُعرّضها لمخاطر غير ضرورية دون توفير مزايا تشغيلية.
مناطق الامتثالتعتمد على القطاع وحجم الشركة وثقافتها، وغالبًا ما تراقب بيانات مثل الانبعاثات، ومؤشرات الأداء الرئيسية للإنتاج، والمخزون، وحالة الآلات، واستهلاك الطاقة. تتطلب هذه الأنظمة عادةً توافرًا عاليًا واتصالات مع شبكات الشركة والشبكات الخارجية.
مناطق إضافية:

• مناطق استضافة البيانات: الخوادم ووحدات التخزين وقواعد البيانات، بدءًا من بيانات الإنتاج التي يتم الوصول إليها باستمرار إلى التخزين البارد للنسخ الاحتياطية.
• مناطق الخدمة المساعدة: عادةً ما تكون خوادم مركزية للخدمات عبر المناطق، مثل البريد الإلكتروني، ومكافحة الفيروسات، واكتشاف الأصول، وإدارة الأذونات.
• مناطق الاختبار: بيئات آمنة للتحقق من صحة التغييرات قبل تطبيقها على البيئات الحية.
• مناطق التكرار: للمعدات التي لا تشارك عادةً في الإنتاج ولكنها توفر عمليات بديلة إذا تم تعطيل الأنظمة الأساسية.

تركيبات هذه المناطق لا حصر لها تقريبًا، ويمكن تكييفها مع كل بيئة صناعية. يمكن أن تكون المنطقة صغيرة بحجم جهاز واحد معزول، أو كبيرة حسب الحاجة، مما يسمح بتركيبات، مثل نشر منطقة مراقبة محددة ضمن منطقة تحكم، لإنشاء قناة بيانات دون الحاجة إلى الوصول المباشر إلى منطقة التحكم.

مع ذلك، سرعان ما يصبح نشر هذه البنى باستخدام التقنيات التقليدية غير عملي. فزيادة عدد المناطق تزيد من عدد أجهزة الشبكة وحدودها التي يتعين شراؤها ونشرها وصيانتها. لذلك، من الضروري فهم التقنيات التي تدعم هذا التقسيم المتقدم.

تقنيات التجزئة الدقيقة #

لقد تطورت العديد من عائلات تكنولوجيا الشبكات لدعم التجزئة الدقيقة، ومن الأمثلة الرئيسية ما يلي:

• جدران حماية OTعادةً ما تُركَّب جدران الحماية الحديثة على رفوف لتوصيلات متعددة، وهي مصغَّرة الحجم للتركيب في الخزائن الكهربائية، أو المساحات الصغيرة، أو الظروف القاسية. تتيح هذه الأجهزة عادةً إدارة مركزية من وحدة تحكم رئيسية للتحكم في نقاط حدود متعددة بقواعد دقيقة لكل حالة.
• مفاتيح مُدارة:على الرغم من توفر مفاتيح مُدارة قادرة على إنشاء شبكات مجزأة والتحكم في حركة المرور، إلا أن التجزئة الدقيقة دفعت إلى تطوير نماذج أكثر مرونة من حيث الحجم والقدرات وميزات الأمان.
• EDR (اكتشاف نقطة النهاية والاستجابة لها):تشبه جدران حماية تكنولوجيا التشغيل (OT) ولكن مع وظائف أمان إضافية. تشمل حلول EDR مكافحة الفيروسات، والقوائم البيضاء، وحماية DoS، وأنظمة كشف التسلل (IDS)/كشف التسلل (HIDS)، مما يوفر حلولاً متكاملة للبيئات التي تكون فيها إجراءات الأمان التقليدية غير عملية.
• بوابات إنترنت الأشياءعلى غرار البوابات التقليدية، تُركّز هذه الأجهزة حركة مرور بروتوكول إنترنت الأشياء الصناعي (IIoT) وتوزّعها، مما يُبسّط إدارتها وتجزئتها. غالبًا ما تُضيف النماذج المُصمّمة صناعيًا إمكانيات أمان مثل التشفير، والتحكم في الوصول، وموازنة الأحمال، والنشر في ظلّ ظروف صعبة.

كما نرى، فإن معظم تقنيات التجزئة الدقيقة الجديدة هي إصدارات محدثة من الأجهزة المستخدمة حاليًا للتجزئة التقليدية، وهي مصممة لتبسيط إدارة الشبكة مع التكيف مع الاحتياجات الفريدة للشبكات الصناعية.

استنتاجات #

أصبحت التجزئة الدقيقة بشكل متزايد أداة أساسية لحماية أنظمة التحكم الصناعية بسبب عوامل مختلفة:

• التكنولوجيات الجديدة تسهل التنفيذ.
• تصبح إدارة الشبكة أسهل عندما يتم تصميمها بمبادئ الدفاع المتعمق منذ البداية.
• يؤدي التنوع المتزايد في المعدات والتقنيات داخل الشبكات الصناعية إلى تقديم احتياجات اتصال متعددة.
• يؤدي الترابط الأكبر بين الأنظمة الصناعية إلى زيادة حركة المرور والمستخدمين الذين يتعين إدارتهم.

هذه العوامل تجعل التجزئة الدقيقة مُوصى بها بشكل متزايد لجميع أنواع الشبكات الصناعية. ومع ذلك، حتى الشبكات الصغيرة أو الأقل تطورًا يمكنها الاستفادة من مزاياها في مجال الأمن السيبراني، مثل:

• التحكم في حركة المرور من المعدات الضعيفة أو المحددة خلف جدران الحماية المستقلة.
• فصل المعدات التي يمكن للمزودين والكيانات الخارجية الوصول إليها عن بقية الشبكة باستخدام شبكتي تحكم مستقلتين.
• عزل معدات السلامة من خلال فجوات الهواء.

ومن ثم، فمن المستحسن أن نأخذ بعين الاعتبار تطبيق ممارسات التجزئة الدقيقة عند تصميم شبكات صناعية جديدة أو عند إجراء تغييرات أو إدخال معدات جديدة في الشبكات القائمة.