تست نفوذ، یا آزمون نفوذ فرآیندی است که توسط افراد یا تیمهای امنیتی با دانش فنی عالی و با استفاده از تکنیکهای حرفهای به صورت متقن و کنترلشده به شبیهسازی حملات سایبری بر روی یک سیستم یا شبکه میپردازد. هدف اصلی تست نفوذ، شناسایی آسیبپذیریها و نقاط ضعف امنیتی در یک سیستم است تا سازمان بتواند اقدامات پیشگیرانه و بهبود را اجرا کند و از تهدیدات امنیتی جلوگیری کند.
روشهای تست نفوذ
تست نفوذ به عنوان یک فرآیند ارزیابی امنیتی، ممکن است با استفاده از روشهای مختلفی اجرا شود. در زیر، تعدادی از روشهای معمول برای انجام تست نفوذ آورده شدهاند:
تست نفوذ خودکار (Automated Penetration Testing): در این روش، ابزارها و نرمافزارهای تست نفوذ خودکار برای اجرای تستها و شناسایی آسیبپذیریها به کار میروند. این ابزارها معمولاً مجموعههای قوی از تستهای خودکار و اسکریپتهای نفوذ را اجرا کرده و نتایج را ارائه میدهند.
تست نفوذ دستی (Manual Penetration Testing): در این روش، تستهای نفوذ توسط یک یا چند تستر نفوذ حرفهای به صورت دستی اجرا میشود. این تسترها ممکن است از تجربه و دانش عمیق در زمینه امنیت سایبری برخوردار باشند و توانمندی برای شناسایی آسیبپذیریهای پیچیده تر داشته باشند.
تست نفوذ جعبه خاکستری (Grey Box Testing): در این روش، تستر نفوذ برخی اطلاعات محدود درباره سیستم (مثل شناسه و رمز عبور) دارد. این حالت ترکیبی از تست نفوذ جعبه سیاه و جعبه سفید است.
تست نفوذ سیاه جعبه (Black Box Testing): در این حالت، تستر نفوذ هیچ اطلاعات قبلی در مورد سیستم یا شبکه ندارد. او وظیفه دارد تا به صورت کامل آسیبپذیریها را شناسایی کند.
تست نفوذ جعبه سفید (White Box Testing): در این حالت، تستر نفوذ به اطلاعات کامل درباره سیستم یا شبکه دسترسی دارد. این اطلاعات میتوانند شامل کد منبع، تنظیمات، و سایر جزئیات فنی باشند. این حالت به تستر این امکان را میدهد که به صورت مفصل آسیبپذیریها را بررسی کند.
تست نفوذ اتفاقی (Ad Hoc Testing): در این روش، تستها بدون برنامهریزی قبلی انجام میشوند. تستر نفوذ به صورت اتفاقی و بر اساس تجربه و درک فوری از سیستم، تستهای نفوذ را انجام میدهد.
تست نفوذ هدفمند (Targeted Testing): در این حالت، تستر نفوذ به طور خاص بر روی یک قسمت یا بخش خاص از سیستم یا شبکه تمرکز میکند. این ممکن است به دلیل آسیبپذیریهای خاص یا حساسیت بیشتر این قسمت باشد.
هر یک از این روشها نقاط قوت و ضعف خود را دارند و انتخاب روش مناسب بستگی به نیازها و شرایط خاص هر سازمان دارد. بهتر است که تست نفوذ به صورت گسترده و ترکیبی از این روشها اجرا شود تا یک تصویر جامع از سطح امنیتی سیستم یا شبکه ارائه دهد.
مزایا
تشخیص آسیبپذیریها: تست نفوذ به ارزیابی سیستم یا شبکه برای یافتن آسیبپذیریها و ضعفهای امنیتی کمک میکند. این میتواند شامل آسیبپذیریهای نرمافزاری، تنظیمات نادرست یا نقاط ضعف دیگر باشد.
ارتقاء امنیت: با شناسایی آسیبپذیریها و نقاط ضعف، امکان ارتقاء امنیت سیستم یا شبکه افزایش مییابد. این اقدامات ارتقاء امنیت میتواند شامل تنظیمات امنیتی جدید، بهروزرسانیهای نرمافزاری یا تغییرات در شبکه باشد.
آموزش کارکنان: تست نفوذ به افراد واحد امنیت و سایر اعضای تیم فناوری اطلاعات کمک میکند تا درک بهتری از راهبردها و تهدیدات امنیتی پیدا کنند. این میتواند باعث آموزش و افزایش آگاهی اعضای تیم در خصوص مسائل امنیتی شود.
محافظت از اطلاعات حساس: با شناسایی و رفع آسیبپذیریها، میزان اطمینان در مورد حفاظت از اطلاعات حساس افزایش مییابد. این به سازمانها امکان میدهد تا در مقابل دسترسی غیرمجاز به اطلاعات مهم و حساس مقاومت نشان دهند.
افزایش اعتماد عمومی: سازمانهایی که از تست نفوذ استفاده میکنند، اعتماد عمومی را در مورد امنیت خدمات و محصولات خود افزایش میدهند که باعث افزایش اطمینان و اعتماد مشتریان و شرکای تجاری به سازمان میشود.
تمرین برای بحران: تست نفوذ فرصتی است تا بحرانهای امنیتی شبیهسازی شوند. این فعالیتها به تیم امنیت این امکان را میدهد که برنامهها و راهبردهای بحرانی خود را اجرا کرده و به تجربه در مدیریت بحرانهای امنیتی دست یابند.
پیشگیری از تهدیدهای آینده: با شناسایی الگوهای حملات و تهدیدات جدید، تست نفوذ به سازمانها این امکان را میدهد که در برابر تهدیدات آینده آماده شوند و بهبودهای لازم را اعمال کنند.
در کل، تست نفوذ یک ابزار مهم برای افزایش امنیت سایبری است که به سازمانها کمک میکند تا در مقابل تهدیدات روزافزون امنیتی مقاومت نشان دهند
خدمات
تست نفوذ سیستم (System Penetration Testing): در این نوع تست، تست نفوذ بر روی سیستمها و سرورهای مختلف اجرا میشود. هدف این تست، شناسایی آسیبپذیریها و نقاط ضعف در سطح سیستمی است.
تست نفوذ شبکه (Network Penetration Testing): در این نوع تست، شبکهها و اجزای مختلف آنها، مانند روترها، سوئیچها و دستگاههای دیگر مورد ارزیابی قرار میگیرند. هدف اصلی این تست، شناسایی آسیبپذیریها در سطح شبکه است.
تست نفوذ برنامه (Application Penetration Testing): این نوع تست بر روی نرمافزارها و برنامههای کاربردی اجرا میشود. هدف این تست، یافتن آسیبپذیریها در کد برنامهها و راهبردهای حفاظت از اطلاعات است.
تست نفوذ فیزیکی (Physical Penetration Testing): در این نوع تست، امنیت فیزیکی مکانها و تجهیزات مورد بررسی قرار میگیرد. این ممکن است شامل ارزیابی امنیت فیزیکی ساختمانها، دستگاههای راک و تجهیزات دیگر باشد.
تست نفوذ وب (Web Application Penetration Testing): این نوع تست بر روی برنامهها و سایتهای وب اجرا میشود. هدف این تست، یافتن آسیبپذیریها و نقاط ضعف مرتبط با امنیت وبسایت یا برنامه وبی است.
تست نفوذ اجتماعی (Social Engineering Penetration Testing): در این نوع تست، تستهایی بر روی افراد و عناصر اجتماعی انجام میشود. مثالهایی از این نوع تست شامل فیشینگ (Phishing)، تست تماس تلفنی (Phone Phishing) و تست حضور فیزیکی در محل (Physical Presence) است.
تست نفوذ بیسیم (Wireless Penetration Testing): این نوع تست بر روی شبکههای بیسیم اجرا میشود. هدف این تست، شناسایی آسیبپذیریها و نقاط ضعف مرتبط با امنیت شبکههای بیسیم است.
تست نفوذ موقعیت مکانی (Location-Based Penetration Testing): این نوع تست بر روی امنیت موقعیت مکانی (Location-Based Security) اجرا میشود. مثلاً، امنیت سیستمها و اطلاعات در مواقعی مانند یک شرکت یا سازمان با توجه به مکانها و محیطهای مختلف.
هر یک از این انواع تست نفوذ به طور کلی به بهبود امنیت سیستمها و شبکهها کمک میکنند و به سازمانها این امکان را میدهند تا در مقابل تهدیدات امنیتی متنوع و پیچیده مقاومت نشان دهند.
مدیریت حساب و سیستم مدیریت امنیت اطلاعات (ISMS) دو مفهوم متمایز اما به هم پیوسته در حوزه امنیت سایبری و حفاظت از دادهها هستند. مدیریت حساب به فرآیند نظارت و کنترل حسابهای کاربری در زیرساخت فناوری اطلاعات (IT) یک سازمان اشاره دارد که شامل فعالیتهایی مانند ایجاد حسابهای کاربری، اعطا یا لغو امتیازات دسترسی، اجرای سیاستهای رمز عبور و نظارت بر فعالیت کاربر است. مدیریت موثر حساب برای حفظ امنیت و یکپارچگی سیستمها و دادههای یک سازمان بسیار مهم است. از سوی دیگر، سیستم مدیریت امنیت اطلاعات (ISMS) یک رویکرد سیستماتیک برای مدیریت اطلاعات حساس و اطمینان از محرمانه بودن، یکپارچگی و در دسترس بودن آن است. ISMS چارچوبی را برای ایجاد، پیادهسازی، بهرهبرداری، نظارت، بررسی، حفظ و بهبود امنیت اطلاعات یک سازمان فراهم میکند. وقتی صحبت از مدیریت حساب در چارچوب ISMS میشود، تمرکز بر اجرای کنترلها و فرآیندهای مناسب برای مدیریت ایمن حسابهای کاربری است. این شامل اقداماتی مانند: تامین کاربر (User provisioning): ایجاد فرآیندهایی برای ایجاد و اصلاح حسابهای کاربری بر اساس نقشها و مسئولیتهای تعریف شده. کنترل دسترسی (Access control): اجرای مکانیسمهایی برای اعطای امتیازات دسترسی مناسب به کاربران بر اساس نقش آنها و اجرای اصل کمترین امتیاز. احراز هویت قوی (Strong authentication): استفاده از رمزهای عبور قوی، احراز هویت چند عاملی (MFA) یا سایر مکانیسمهای احراز هویت برای تأیید هویت کاربران. نظارت کاربر (User monitoring): اجرای مکانیسمهایی برای نظارت بر فعالیتهای کاربر، تشخیص رفتار مشکوک و پاسخ به حوادث امنیتی. حذف حساب (Account deprovisioning): ایجاد فرآیندهایی برای غیرفعال کردن یا حذف حسابهای کاربری در زمانی که دیگر نیازی به آنها نیست یا زمانی که یک کارمند سازمان را ترک میکند. ممیزی و بازبینی منظم (Regular audits and reviews): انجام ممیزی و بررسی دورهای حسابهای کاربری برای اطمینان از انطباق با خط مشیها و شناسایی هرگونه شکاف یا خطر امنیتی. ادغام شیوههای مدیریت حساب در چارچوب ISMS برای اطمینان از امنیت کلی داراییهای اطلاعاتی سازمان مهم است. با انجام این کار، سازمانها میتوانند به طور موثر چرخه عمر حسابهای کاربری را مدیریت کنند، خطرات مرتبط با دسترسی غیر مجاز را کاهش دهند و از اطلاعات حساس در برابر افشای غیر مجاز یا دستکاری محافظت کنند.
هوش مصنوعی در امنیت سایبری در گذر زمان – قسمت اول امروزه در زندگی ما، هوش مصنوعی (AI) تاثیرات مهمی ایجاد کرده است. هوش مصنوعی با داشتن قابلیت یادگیری و پیشبینی تهدیدات با سرعت و دقت بیشتر، به یک ابزار ضروری در حفاظت از دولتها و سازمانها تبدیل شده است. اما آینده AI در امنیت سایبری با چالشهایی نیز مواجه است؛ به عنوان مثال گرچه AI به سازمانها، امکان ساخت دفاع قویتری میدهد، اما ابزارهای متعددی نیز برای انجام حملات پیچیده و پنهانی در اختیار مهاجمان و هکرها قرار داده است. در این مطالعه به بررسی تاثیر AI روی امنیت سایبری از اوایل ۲۰۰۰ پرداخته میشود. AI در امنیت سایبری: موج اول (2010 – 2000) در آغاز هزارهی جدید، گامهای ابتدایی دیجیتالی شدن، زندگیهای شخصی و حرفهای ما را تحت تأثیر قرار داد. در بیشتر سازمانها، کارمندان از کامپیوترها و لپتاپها به همراه مراکز داده درون سازمانی که زیرساخت IT سازمان را تشکیل میدادند، استفاده میکردند. تهدیدات سایبری در این زمان، به شکل عمده بر ایجاد هرج و مرج تمرکز داشته و در جستجوی کسب شهرت بودند. دهه اول هزارهی جدید، شاهد ظهور نرمافزارهای مخربی همچون ILOVEYOU، Melissa و MyDoom بود که در اینرنت آن زمان دنیا اختلالات مهمی ایجاد کردند. در میانه دهه اول ۲۰۰۰، کسب سود مالی منجر به افزایش فیشینگ و بدافزارهای مختلف مالی شد. تروجان بانکی Zeus ظاهر شد که بهطور پنهانی اطلاعات ورود به حساب بانکی کاربران را میدزدید. در آن زمان، سازمانها تنها بر کنترلهای امنیتی پایه، مانند آنتی ویروس مبتنی بر امضا و فایروال تکیه داشتند. از این رو مفهوم امنیت شبکه با ورود سیستمهای تشخیص نفوذ (IDS) شروع به تکامل کرد. احراز هویت دو عاملی (2FA) در این زمان محبوبیت پیدا کرد و لایهی اضافی امنیت برای سیستمها و دادههای حساس اضافه شد. در همین زمان بود که AI، ارزش خود را در دفاع از سازمان نشان داد. زیرا در این زمان، حجم ایمیلهای اسپم و ناخواسته حاوی بدافزار، که بار کاری زیادی به سرورهای ایمیل تحمیل میکردند، و همچنین کاربران را با فریبهای گوناگون، وادار به افشای اطلاعات شخصی ارزشمند میکردند، افزایش یافت. AI ابزاری ایدهآل برای تشخیص سریع و مسدود کردن پیامهای مخرب بود و کمک شایانی به کاهش ریسک کرد. هوش مصنوعی در این زمان، هنوز در مراحل نخستین خود بود اما برای دفاع از سازمانها در برابر تهدیداتی که به سرعت و در مقیاس گسترده در حال رشد بودند، پتانسیل زیادی نشان داد. AI در امنیت سایبری: موج دوم (2020 – 2010) با ورود به دههی دوم هزارهی جدید، زیرساخت IT تغییرات قابل توجهی را تجربه کرد. انفجار نرمافزارهای Software-as-a-Service، رایانش ابری و سیاستهای Bring-Your-Own-Device، دامنه فناوری اطلاعات را پویاتر از هر زمان دیگری کرد و در عین حال، سطوح حمله در برابر تهدیدات سایبری را به طور بیسابقه گسترش داد. عوامل تهدید به مراتب پیچیدهتر شدند و هدفهای حمله بالقوه به شدت گسترش یافت؛ سرقت مالکیت معنوی، خرابکاری در زیرساختها و کسب سود از طریق حملات در مقیاس بزرگ، به شدت رواج یافتند. سازمانها از تهدیدهای امنیتی کلان بین حکومتها آگاه شدند که از حمایت مالی و تکنیکی فراوان دولتها بهره میبردند. این امر، به دفاعهای پیچیدهای با امکان یادگیری خودکار و سریع منجر شد. حوادت امنیتی همچون Stuxnet که هدف آن تأثیرگذاری بر تاسیسات هستهای کشور ما، ایران بود و همچنین حملات ویرانکننده علیه شرکتهای معروف مانند Target و Sony Pictures رخ دادند و بر خطرات فزاینده سایبری، مهر تایید زدند. در همان زمان، آسیبپذیری زنجیرههای تأمین به شدت مورد توجه قرار گرفت؛ به عنوان مثال افشا اطلاعات SolarWinds، برای دهها هزار سازمان در کل دنیا تبعاتی مخرب داشت. همچنین حملاتی مانند WannaCry و NotPetya خسارات فراوانی در سراسر جهان به بار آوردند. گرچه حملات اخیر، نسبتاً به آسانی قابل شناسایی بودند، اما حجم تهدیدات و نشانههای آنها، نیازمند دفاع با سطحی از سرعت و دقت بود که از توان تحلیلی نیروی انسانی خارج است. در این دوره، AI به ابزار ضروری برای تیم دفاعی تبدیل شد. شرکت Cylance، که در سال ۲۰۱۲ تأسیس شد، با هدف جایگزینی آنتیویروسهای پیچیده با مدلهای سبک یادگیری ماشین آغاز به کار کرد. مدلهای کامپیوتری آموزش داده شدند تا به سرعت و با بهرهوری زیاد، بدافزارها را شناسایی و متوقف کنند. بدین ترتیب AI در امنیت سایبری گسترش بیشتری یافت و تکنیکهای یادگیری ماشین برای تشخیص آنومالیها، الگوهای یا رفتارهای غیرعادی نشاندهنده یک حمله پیچیده، و تحلیلهای پیشبینیکننده برای شناسایی و جلوگیری از مسیرهای حمله ممکن، به کار گرفته شد.
مرکز عملیات امنیت (SOC) معرفی مرکز عملیات امنیت که به اختصار SOC نامیده میشود، یک واحد متمرکز است که به صورت جامع و یکپارچه با تلفيق گزارشهاي مختلف و استفاده از نرمافزارهای پیشرفته، سختافزارها و متخصصين امر، رویدادهای امنیتی را
انواع SOAR در مقاله قبلی به معرفی SOAR و مزایای آن پرداخته شد، در این مقاله اطلاعات بیشتری در مورد SOAR ارائه میشود. سه دسته اصلی برای SOAR میتوان در نظر گرفت که عبارتند از: SOAR محصول محور SOAR گسترده Next-Gen SOAR SOAR محصول محور: گارتنر SOAR را راهحلی تعریف میکند که توان پاسخ به حوادث، ارکستراسیون، اتوماسیون و مدیریت اطلاعات تهدید را در یک پلتفرم ترکیب کرده است. اما برخی از قابلیتهای ارکستراسیون و اتوماسیون در فناوریهای امنیتی دیگر مانند EDR نیز وجود دارد. لذا این نوع از SOAR که همه قابلیتهای گفته شده رادر یک ابزار مجرد ارائه میدهد، محصول محور نامیده میشود. SOAR گسترده: «رویکرد بهترین ابزار(Best-of-breed approach)» یا «بهترین ابزار در دسته» به معنی استفاده از بهترین و کارآمدترین ابزارها یا راهکارهای موجود در هر دستهای از فناوری یا صنعت است. به طور معمول، «رویکرد بهترین ابزار» به این معناست که به جای استفاده از یک راهکار یکپارچه از ابزارهای یک فروشنده، بهتر است از مجموعهای از بهترین ابزارها و راهکارهای موجود در بازار استفاده شود، حتی اگر این ابزارها از فروشندگان مختلف باشند. بدین ترتیب سازمان میتواند بر اساس نیازهای خاص خود، بهترین گزینه را انتخاب کند و آنها را با یکدیگر یا با سایر سیستمها و ابزارها ادغام کنند تا یک اکوسیستم امن و کارآمد بسازند. از این رو، اکثر تیمهای امنیتی در سازمان و همچنین درMSSP نیازمند SOAR گسترده هستند زیرا از مجموعه متنوعی از ابزارهای امنیتی استفاده میکنند. SOAR گسترده اتوماسیون و ارکستراسیون بین صدها ابزار مختلف برقرار کرده و انعطافپذیری و یکپارچگی فراهم میکند. حتی به شرکتهایی که به تعداد کمی از فروشندگان وابسته هستند، نیز توصیه میشود که پلتفرم SOAR گسترده را انتخاب کنند، زیرا این امکان را به آنها میدهد که ابزارهای مختلف را به آسانی به یکدیگر متصل کنند. Next-Gen SOAR: نوع پیشرفتهتری از SOAR گسترده است که سعی در برطرف کردن نواقص مشاهده شده در پلتفرم قبلی دارد. این نوع از SOAR، مشکلاتی مانند وابستگی به اتصالات و یا کدنویسی پیچیده برای ایجاد و استقرار پلیبوک در SOAR را حل میکند. همچین امکاناتی مانند اتصال به ابزار سازنده یا سفارشیسازی از طریق رابطهای برنامه نویسی REST را فراهم میکند. به علاوه، ممکن است فروشندگان قابلیتهای ویژه دیگری نیز به برنامه بیفزایند؛ به عنوان مثال ابزارهایی که برای اتوماسیون پاسخگویی به رویدادهای امنیتی پیچیده کاربرد دارند. و یا از اطلاعات MITRE ATT&CK برای تجزیه و تحلیل، واکنش و جستجوی پیشرفته استفاده میکند.
امنیت عامل انسانی – قسمت اول ارزیابی ظرفیت امنیت سایبری نیروی کار صنعتی مقدمه امنیت سایبری در محیطهای سیستم کنترل صنعتی (ICS) به یک موضوع رو به رشد در سطح ملی و جهانی تبدیل شده است. امنیت در حال حاضر با همگرایی فناوری اطلاعات و فناوری عملیات (IT-OT) در حال تکامل است و به این معنی است که سازمانها، شرکتها، صنایع و کارخانههای صنعتی از برقراری امنیت پایدار اطلاعات صنعتی خود استقبال میکنند. پارادایمهای اینترنت اشیا (IIoT) به زیرساختهای فناوری اطلاعات، استانداردها و فناوریهای باز و اینترنت متکی هستند. بنابراین این پلتفرمها در محیط های صنعتی در معرض تهدیدات سایبری، آسیبپذیری ها و حملات در سیستمهای ICS (سیستمهای صنعتی خودکار) کنترل، نظارت و مدیریت فرآیندهای صنعتی قرار دارند. عملکردهای اساسی یک ICS عبارتند از: عملیات اندازهگیری توسط سنسورها کنترل سختافزاری برای محرکها (فشارشکنها، سوئیچ و…) رابط انسان و ماشین (HMI) ابزارهای تشخیص و کنترل از راه دور و تعمیر و نگهداری ICS مدرن و روندهای توسعه آن، سودآوری تجاری و عملیاتی با کیفیت را در صنعت ممکن میسازد و در مقابل مجموعهای اجتنابناپذیر از حساسیتهای امنیتی را نیز به وجود می آورد که قابلیت امنیت و اطمینان از عملکرد صحیح عملیات را تهدید میکند. در حوزه صنعتی طی سالهای گذشته، افزایش تهدیدهای امنیتی سایبری در حوزه صنعتی باعث به همریختگی تمرکز صنعتگران و نگرانیهایی در این بخش گردیده است. تهدیدات و حملات علیه ICS در سطح جهانی، چشمانداز حمله علیه ICSE ها با الگوریتمهای هوشمند، امنیت سایبری صنعتی، امنیت SCADA و غیره، کلمات مهیجی هستند که اخیرا به موضوعات رایج گفتگو در میان کاربران روزمره فناوریهای صنعتی تبدیل شدهاند. الزامات و اولویت بندی تهدیدات امنیتی سایبری در شبکه صنعتی برخلاف فناوری اطلاعات و در اکثر موارد امنیتی ICS دارای خطرات جبران ناپذیری هستند و پیامدها و اثرات فیزیکی مرتبط با آنها اغلب شدیدتر و ناگهانیتر از حوزه فناوری اطلاعات هستند. مسائل و مشکلات امنیتی در محیط ICS اغلب به شکل خرابی های تعمیر و نگهداری معمول و سایر ناهنجاریهای فرآیند ظاهر میشوند که تشخیص و حل مسائل را دشوار میکند. دلایل اصلی دشواری مدیریت امنیت ICSE شامل موارد زیر هستند: داراییهای پراکنده و بسیار زیاد الزامات دسترسی از راه دور اجباری و مکرر فناوری کنترل و ناوبری سنتی برنامههای نامناسب امنیتی مانند آنتی ویروسها و فایروالها که در صورت به وجود آمدن مشکل امنیت سایبری، این مشکل می تواند در دسترس بودن سیستم را تحت تاثیر قرار دهد که برای ICS به عنوان یک سیستم در دسترسپذیری بالا قابل قبول نیست. عدم امکان ارتقاء ICSهای قدیمیتر به دلیل باز نبودن و عدم دسترسی به سورسهای نرمافزارهای صنعتی. توجه به هوشمندی امنیتی نیروی انسانی یکی از شگردهای دشمنان برای دسترسی به اهداف خرابکاریهای سایبری در سطح صنعت، سوءاستفاده از پرسنل ناآگاه و غیرماهر و فریب آنها برای انجام عملیاتهای خرابکاری میباشد. همچنین اپراتورها و کاربران سیستمهای ICS بیاطلاع و آموزش ندیده، به راحتی به انجام اقدامات و فعالیتهایی میپردازند که میتواند به مهاجمان برای دسترسی آسان به ظرفیتهای اطلاعاتی مهم برای اجرای مقاصد مخرب خود کمک کند و اینگونه رخدادها اغلب تا زمانی که آسیب ها و ناهنجاریهای جدی ظهور نکنند، توسط سیستمهای هشدار امنیتی نیز قابل شناسایی نیستند. تشدید حملات سایبری، نگرانی سازمانها برای نحوه واکنش به رخدادهای امنیتی که صنعت را مورد تهدید قرار می دهند بسیار زیاد کرده است. با توجه به رقابتهای شدید فعلی در ارتباط تجاری و عملیاتی در صنایع، تهدیدهای سایبری در صنعت، میتواند برای اعتبار و ارتباطات تجاری هم مشکل آفرین باشد و سوءاستفاده و بهره برداری از عامل انسانی می تواند راه حل موثری برای نفوذهای سایبری صنعتی باشد. در واقع عدم دانش و مهارت های فنی و امنیتی عناصر انسانی، می تواند دسترسی به داراییهای صنعتی و حیاتی امنیتی سایبری را به یک هدف اصلی برای سودجویان تبدیل کند. عملکردهای صنعتی بدون وقفه و در یک محیط پویا در حال تغییر هستند و امنیت سایبری در اینگونه محیطها می تواند الزامی باشد. برای تعریف امنیت سایبری می توانیم به متن زیر اشاره کنیم: «قابلیت هماهنگی افراد، فرآیندها و فناوریها برای ایمن سازی و کنترل دسترسی غیرقانونی، اختلال، تخریب یا اصلاح سیستم های محاسباتی الکترونیکی (سخت افزار، نرم افزار و شبکهها)، دادهها و اطلاعاتی که در اختیار دارند را امنیت سایبری در نظر می گیریم» با این حال، اکثر راه حل های امنیتی موقتی هستند و الزامی است که به صورت مستمر مورد بازبینی و ارزیابی قرار گیرند. نرم افزارهای امنیتی تنها کسری از مشکلات امنیت سایبری را حل می کنند، افراد (نیروی کار) که نرم افزار را توسعه و (یا) راه اندازی و به کارگیری می کنند، و فرآیند(های) طراحی و ساختار یافته برای استفاده از آن تعریف می نمایند می توانند نقش موثری در برقراری امنیت سایبری داشته باشند. به عنوان مثال، فرض کنید آقای اکبری یک مهندس فرآیند است که دارایی ایستگاه کاری مهندسی یک ICS را اداره و از فناوری آن استفاده می کند. فایروال “A” و فناوری “B” سیستم تشخیص نفوذ (IDS) برای محافظت از ایستگاه کاری او در برابر خطرات امنیتی هستند. با فرض اینکه آقای اکبری بیاطلاع است و قادر به تشخیص اَشکال و امضاهای مختلف طرح های حمله مهندسی اجتماعی نیست، علی به عنوان یک مهاجم باهوش و با نقشه از پیش تعیین شده، از یک ابزار فریبنده “نیزه فیشینگ” استفاده می کند که برای آقای اکبری ناشناخته است. و از این طریق او را فریب می دهد تا روی پیوندها یا پیوست هایی بر روی ایستگاه کاری او کلیک کند که به معنای واقعی کلمه، یک درب پشتی (نقطه ورودی) را فعال میکند. لذا به سیستم و شبکه آقای اکبری از طریق یک دسترسی مستقیم از راه دور با وجود قابلیت های ویژه امنیتی سخت افزاری و نرم افزاری فایروال”A” و فناوری”B” و از طریق سوءاستفاده از ناآگاهی امنیتی آقای اکبری، نفوذ می شود. سناریوی نظری بالا اهمیت عوامل انسانی در تضمین امنیت سایبری ICSE را برجسته می کند، به ویژه با تاکید بر اهمیت دانش امنیتی (آگاهی) و مهارت های عملی پرسنلی که در فرآیندهای صنعتی مشغول هستند. تاکید می کنیم که عامل انسانی به همان اندازه مهم است که دستگاه ها و فناوری های فنی در امنیت ICSE ، و سناریوهای واقعی نیز این دیدگاه را تثبیت میکنند. احتمالاً عوامل حمله استاکسنت در سال 2013 چالش نفوذ به شبکه نیروگاه هستهای ایران را داشته است، زیرا شبکه دارای ویژگی های مربوط به نفوذ سخت افزاری از بیرون از نیروگاه نبوده است. بنابراین، مهاجمان از تکنیک حمله از
مدیریت ریسک مدیریت ریسک مستمر برای دستیابی به اهداف تجاری در سازمانها امری غیر قابل اجتناب است. ریسکهای موجود میتواند شامل ریسک مالی، خطر خرابی تجهیزات و خطر ایمنی پرسنل و … باشد. سازمانها باید فرآیندهایی را برای ارزیابی ریسکهای