ایجاد برنامه‌های فورنسیک سایبری برای سیستم‌های کنترلی

مدتی است که فورنسیک سایبری به عنوان رویکردی پرطرفدار به نوعی قابلیت فناوری اطلاعات تبدیل شده که در برنامه‌های امنیت اطلاعات مدرن بسیار متداول است. هدف فورنسیک سایبری پشتیبانی از عناصر عیب‌یابی، پایش، بازیابی و محافظت از داده‌های حساس است. به علاوه، در صورت وقوع جرم، فورنسیک سایبری رویکردی برای جمع‌آوری، تحلیل و آرشیو داده‌ها به عنوان شواهد قابل ارائه در دادگاه خواهد بود. اگرچه فورنسیک سایبری برای بسیاری از حوزه‌های فناوری اطلاعات، به خصوص معماری‌های شرکت‌های مدرن قابل گسترش است، اما این رویکرد می‌تواند چالش‌برانگیز باشد. به ویژه زمانی که فورنسیک سایبری برای محیط‌های غیرسنتی بکار گرفته شود؛ محیط‌هایی که از فناوری‌های اطلاعاتی کنونی ببرده یا با فناوری‌هایی طراحی شده‌اند که داده¬ها را بهمیزان مورد نیاز ذخیره نکرده و به منظور ممیزی کاربست¬پذیر نیستند. به علاوه، اگر محیط موردنظر با استفاده از راهکارها و پروتکل‌های اختصاصی طراحی شده و در نتیجه، استفاده از روش‌های فورنسیک مدرن در آن چندان آسان نباشد، پیچیدگی بیشتری ایجاد می‌شود.

ماهیت قدیمی محیط سیستم‌های کنترلی و ابعاد متنوع اجزای آنها اغلب می‌تواند مانع از تفسیر ساده و روان تحلیل‌های فورنسیک مدرن شود. ایجاد نوعی استراتژی فراگیر و یکپارچه برای فورنسیک سایبری فنی در دستگاه‌های محاسباتیِ مربوط به سیستم‌های کنترلی به هیچ وجه ساده نیست. از سویی به دلیل وجود طیف وسیعی از فناوری‌ها و عدم ذخیره¬سازی تمامی اطلاعات این مساله دشوارتر نیز می¬شود. تا به امروز هیچ دستورالعملی در رابطه با فورنسیک سایبری- که با سیستم‌های کنترلی مرتبط باشد- ایجاد نشده است، مگر دستورلعمل هایی که به صورت درون سازمانی، ارائه¬دهندگان برای مشتریان منتشر می¬کنند. مطالب موجود برای پشتیبانی از بازسازی رویدادها طراحی شده‌اند (به عبارتی رویداد-محور هستند) و اگرچه این الزامات مهم تلقی می‌شوند، اما همیشه نمی‌توانند نیازهای مرتبط با فرآیند پاسخ رخداد یا فورنسیک سایبری را برآورده سازند.

به منظور برطرف کردن این دغدغه‌ها و ایجاد سازگاری برای تنوع موجود در انواع سیستم‌ها و معماری‌ها، چارچوبی مبتنی بر روش‌های پیشنهادی برای حل‌وفصل فورنسیک در حوزه سیستم‌های کنترلی موردنیاز است. این چارچوب می‌بایست کاملا انعطاف‌پذیر باشد تا امکان بکارگیری آن برای همه سیستم‌های کنترلی فارغ از فناوری‌های مورداستفاده در آنها فراهم شود. به علاوه، برای یکپارچه‌سازی فناوری‌های مدرن امنیت شبکه با سیستم‌های سنتی می‌بایست چارچوب و روش‌هایی ایجاد شود که نتیجه آن، نوعی استراتژی واقعی دفاع در عمق برای معماری‌های سیستم‌های کنترلی باشد.

این سند از مفاهیم سنتی فورنسیک سایبری و مهندسی فورنسیک استفاده کرده و دستورالعملی را در رابطه با تقویت محیط‌های عملیاتی سیستم‌های کنترلی ارائه می‌دهد. هدف، اولا ایجاد راهنمایی است که در آن جزئیات مرتبط با پیچیدگی فورنسیک سایبری برای سیستم‌های کنترلی به مخاطبان ارائه شود، دوما امکان ایجاد یک برنامه فورنسیک سایبری پایدار برای سازمان‌ها فراهم شود و در نهایت این برنامه حفظ و تکمیل شود. از آنجایی که جامعه امنیت سایبری ذینفع در سیستم‌های کنترلی فعلی فاقد هرگونه دستورالعمل خاصی در خصوص چگونگی پرداختن به فورنسیک در محیط سیستم‌های کنترلی است، این محصول اولین اقدام در این راستا محسوب می‌شود. بطور کلی، این سند بینش لازم را برای حل‌وفصل برخی از موضوعات مهم‌تر در فرآیند تقویت برنامه فورنسیک سایبری در اختیار خواننده قرار می‌دهد، به این ترتیب چنین برنامه‌هایی می‌توانند بطور مؤثری برای سیستم‌های کنترلی بکار گرفته شوند.
این سند از سه بخش اصلی تشکیل شده است:
بخش ۱: فورنسیک سنتی و چالش‌های پیش‌روی سیستم‌های کنترلی
بخش ۲: ایجاد برنامه فورنسیک سایبری برای محیط سیستم‌های کنترلی
بخش ۳: فعال‌سازی و پایدارسازی برنامه فورنسیک سایبری

عنوان سند:
Recommended Practice: Creating Cyber Forensics Plans for Control Systems