ایجاد برنامههای فورنسیک سایبری برای سیستمهای کنترلی
مدتی است که فورنسیک سایبری به عنوان رویکردی پرطرفدار به نوعی قابلیت فناوری اطلاعات تبدیل شده که در برنامههای امنیت اطلاعات مدرن بسیار متداول است. هدف فورنسیک سایبری پشتیبانی از عناصر عیبیابی، پایش، بازیابی و محافظت از دادههای حساس است. به علاوه، در صورت وقوع جرم، فورنسیک سایبری رویکردی برای جمعآوری، تحلیل و آرشیو دادهها به عنوان شواهد قابل ارائه در دادگاه خواهد بود. اگرچه فورنسیک سایبری برای بسیاری از حوزههای فناوری اطلاعات، به خصوص معماریهای شرکتهای مدرن قابل گسترش است، اما این رویکرد میتواند چالشبرانگیز باشد. به ویژه زمانی که فورنسیک سایبری برای محیطهای غیرسنتی بکار گرفته شود؛ محیطهایی که از فناوریهای اطلاعاتی کنونی ببرده یا با فناوریهایی طراحی شدهاند که داده¬ها را بهمیزان مورد نیاز ذخیره نکرده و به منظور ممیزی کاربست¬پذیر نیستند. به علاوه، اگر محیط موردنظر با استفاده از راهکارها و پروتکلهای اختصاصی طراحی شده و در نتیجه، استفاده از روشهای فورنسیک مدرن در آن چندان آسان نباشد، پیچیدگی بیشتری ایجاد میشود.
ماهیت قدیمی محیط سیستمهای کنترلی و ابعاد متنوع اجزای آنها اغلب میتواند مانع از تفسیر ساده و روان تحلیلهای فورنسیک مدرن شود. ایجاد نوعی استراتژی فراگیر و یکپارچه برای فورنسیک سایبری فنی در دستگاههای محاسباتیِ مربوط به سیستمهای کنترلی به هیچ وجه ساده نیست. از سویی به دلیل وجود طیف وسیعی از فناوریها و عدم ذخیره¬سازی تمامی اطلاعات این مساله دشوارتر نیز می¬شود. تا به امروز هیچ دستورالعملی در رابطه با فورنسیک سایبری- که با سیستمهای کنترلی مرتبط باشد- ایجاد نشده است، مگر دستورلعمل هایی که به صورت درون سازمانی، ارائه¬دهندگان برای مشتریان منتشر می¬کنند. مطالب موجود برای پشتیبانی از بازسازی رویدادها طراحی شدهاند (به عبارتی رویداد-محور هستند) و اگرچه این الزامات مهم تلقی میشوند، اما همیشه نمیتوانند نیازهای مرتبط با فرآیند پاسخ رخداد یا فورنسیک سایبری را برآورده سازند.
به منظور برطرف کردن این دغدغهها و ایجاد سازگاری برای تنوع موجود در انواع سیستمها و معماریها، چارچوبی مبتنی بر روشهای پیشنهادی برای حلوفصل فورنسیک در حوزه سیستمهای کنترلی موردنیاز است. این چارچوب میبایست کاملا انعطافپذیر باشد تا امکان بکارگیری آن برای همه سیستمهای کنترلی فارغ از فناوریهای مورداستفاده در آنها فراهم شود. به علاوه، برای یکپارچهسازی فناوریهای مدرن امنیت شبکه با سیستمهای سنتی میبایست چارچوب و روشهایی ایجاد شود که نتیجه آن، نوعی استراتژی واقعی دفاع در عمق برای معماریهای سیستمهای کنترلی باشد.
این سند از مفاهیم سنتی فورنسیک سایبری و مهندسی فورنسیک استفاده کرده و دستورالعملی را در رابطه با تقویت محیطهای عملیاتی سیستمهای کنترلی ارائه میدهد. هدف، اولا ایجاد راهنمایی است که در آن جزئیات مرتبط با پیچیدگی فورنسیک سایبری برای سیستمهای کنترلی به مخاطبان ارائه شود، دوما امکان ایجاد یک برنامه فورنسیک سایبری پایدار برای سازمانها فراهم شود و در نهایت این برنامه حفظ و تکمیل شود. از آنجایی که جامعه امنیت سایبری ذینفع در سیستمهای کنترلی فعلی فاقد هرگونه دستورالعمل خاصی در خصوص چگونگی پرداختن به فورنسیک در محیط سیستمهای کنترلی است، این محصول اولین اقدام در این راستا محسوب میشود. بطور کلی، این سند بینش لازم را برای حلوفصل برخی از موضوعات مهمتر در فرآیند تقویت برنامه فورنسیک سایبری در اختیار خواننده قرار میدهد، به این ترتیب چنین برنامههایی میتوانند بطور مؤثری برای سیستمهای کنترلی بکار گرفته شوند.
این سند از سه بخش اصلی تشکیل شده است:
بخش ۱: فورنسیک سنتی و چالشهای پیشروی سیستمهای کنترلی
بخش ۲: ایجاد برنامه فورنسیک سایبری برای محیط سیستمهای کنترلی
بخش ۳: فعالسازی و پایدارسازی برنامه فورنسیک سایبری
عنوان سند:
Recommended Practice: Creating Cyber Forensics Plans for Control Systems
