-
08/10/2013
-
400
-
985 bài viết
4 bài học về an ninh mạng mà nhóm OT có thể học hỏi từ nhóm IT
Các nhà máy thông minh áp dụng công nghệ số là xu hướng, nhằm tạo ra lợi thế cạnh tranh trong sản xuất. Mạng OT của nhà máy sẽ cần nhiều thiết bị hơn, nhiều băng thông hơn và phạm vi truy cập sẽ rộng hơn. Nhưng đi kèm với đó là các cuộc tấn công mạng OT ngày càng gia tăng.
Theo một số thống kê, sản xuất là ngành bị tấn công nhiều nhất vào năm 2021. Nhưng thật may mắn là những người vận hành hệ thống mạng OT có thể học hỏi từ kinh nghiệm của nhóm vận hành IT, để hiện đại hóa mạng lưới sản xuất và đảm bảo an toàn. Bài viết này liệt kê 4 bài học điển hình mà nhóm OT có thể học hỏi từ nhóm IT.
Đội vận hành với mạng OT có thể học cách thức như trên để giảm thiểu các công việc thủ công và có thể giám sát được hệ thống mạng tập trung.
Tuy nhiên đối với mạng IT, họ sử dụng các công cụ dò quét tự động để xem tất cả các thiết bị được kết nối và các kiểu liên lạc của chúng. Nhưng đối với mạng OT thì việc sử dụng các công cụ trên là khó khăn hơn nhiều vì mạng OT vì có nhiều loại thiết bị và giao thức công nghiệp khác nhau. Các giao thức công nghiệp phổ biến như Modbus, IEC 104, DNP3, Profinet, Profibus….có cơ chế hoạt động đặc thù nên việc dò quét tự động để phát hiện thiết bị đang hoạt động trên mạng không phải là đơn giản. Nếu sử dụng tool quét không đúng cách thậm chí có thể làm ngưng trệ hoạt động của các thiết bị.
Vậy phải làm thế nào để kiểm kê tài sản và “nhìn xuyên thấu” vào lưu lượng trao đổi giữa các tài sản bên trong mạng OT? Có 2 cách: (1) Làm thủ công và (2) mua những hệ thống quản lý mạng OT. Cách thứ nhất tiêu tốn thời gian và sẽ khó khăn khi mạng OT lớn nhưng bù lại sẽ tiết kiệm chi phí. Cách thứ hai tốn kém chi phí nhưng bù lại giúp người vận hành nhìn thấy rõ và tự động hóa các tác vụ quản lý.
Với phương pháp phân đoạn trong mạng OT sẽ làm giảm thiệt hại khi một mối đe dọa xâm nhập vào hệ thống.
Theo một số thống kê, sản xuất là ngành bị tấn công nhiều nhất vào năm 2021. Nhưng thật may mắn là những người vận hành hệ thống mạng OT có thể học hỏi từ kinh nghiệm của nhóm vận hành IT, để hiện đại hóa mạng lưới sản xuất và đảm bảo an toàn. Bài viết này liệt kê 4 bài học điển hình mà nhóm OT có thể học hỏi từ nhóm IT.
1. Nên sử dụng thiết bị switch có thể giám sát được (Managed Switch)
Thiết bị chuyển mạch – Switch là thiết bị rất quen thuộc được sử dụng trong mạng LAN (IT) để kết nối tập trung nhiều thiết bị đầu cuối (PC, Server, Printer…). Trong mạng OT, khi dùng các thiết bị Switch không giám sát được (không có giao diện quản lý) thì thiết bị đó chỉ đơn giản để chuyển mạch tất cả các nguồn lưu lượng mạng kiểu đồng nhất như nhau, không thể đáp ứng nhu cầu của sản xuất thông minh hiện nay. Để đạt được các tiêu chí của sản xuất thông minh, mạng OT cần đảm bảo băng thông rộng, có cơ chế ưu tiên các lưu lượng phát sinh từ các quy trình quan trọng, đảm bảo tính thời gian thực, đảm bảo độ tin cậy, an toàn. Các thiết bị chuyển mạch được quản lý (có giao diện quản lý, cấu hình, giám sát…) sẽ cho phép tối ưu việc sử dụng băng thông, đảm bảo chất lượng dịch vụ (QoS) và các tính năng bảo mật tích hợp. Các thiết bị chuyển mạch này cũng có thể hoạt động giống như một bộ cảm biến, cung cấp cho bạn cảnh báo sớm về các cuộc tấn công mạng.2. Tự động hóa việc triển khai và giám sát
Nhiều nhóm OT vẫn đang cấu hình và cập nhật cơ sở hạ tầng mạng theo cách thủ công. Cấu hình thủ công tốn nhiều thời gian và dễ xảy ra lỗi. Lỗi cấu hình có thể gây ra các vấn đề về hiệu năng hoặc lỗ hổng bảo mật. Để tiết kiệm thời gian, công sức và tránh rủi ro, các nhóm IT hiện nay đã có giải pháp tự động hóa việc cấu hình cơ sở hạ tầng mạng sử dụng bằng các công cụ quản lý mạng tập trung. Công cụ này giúp tạo ra các mẫu cấu hình và sử dụng mẫu này áp dụng cho nhiều thiết bị mạng có vai trò giống nhau. Ngoài ra công cụ quản lý cũng cho phép giám sát hiệu năng hoạt động của toàn bộ hệ thống mạng từ một dashboad.Đội vận hành với mạng OT có thể học cách thức như trên để giảm thiểu các công việc thủ công và có thể giám sát được hệ thống mạng tập trung.
3. Có được thông tin chi tiết về tài sản và luồng thông tin liên lạc
Để quản lý được thì trước hết cần biết được mình đang quản lý cái gì. Một mạng OT có thể gồm hàng trăm, hàng ngàn thiết bị. Không ai có thể tự tin nói rằng biết tất cả tài sản trong mạng OT.Tuy nhiên đối với mạng IT, họ sử dụng các công cụ dò quét tự động để xem tất cả các thiết bị được kết nối và các kiểu liên lạc của chúng. Nhưng đối với mạng OT thì việc sử dụng các công cụ trên là khó khăn hơn nhiều vì mạng OT vì có nhiều loại thiết bị và giao thức công nghiệp khác nhau. Các giao thức công nghiệp phổ biến như Modbus, IEC 104, DNP3, Profinet, Profibus….có cơ chế hoạt động đặc thù nên việc dò quét tự động để phát hiện thiết bị đang hoạt động trên mạng không phải là đơn giản. Nếu sử dụng tool quét không đúng cách thậm chí có thể làm ngưng trệ hoạt động của các thiết bị.
Vậy phải làm thế nào để kiểm kê tài sản và “nhìn xuyên thấu” vào lưu lượng trao đổi giữa các tài sản bên trong mạng OT? Có 2 cách: (1) Làm thủ công và (2) mua những hệ thống quản lý mạng OT. Cách thứ nhất tiêu tốn thời gian và sẽ khó khăn khi mạng OT lớn nhưng bù lại sẽ tiết kiệm chi phí. Cách thứ hai tốn kém chi phí nhưng bù lại giúp người vận hành nhìn thấy rõ và tự động hóa các tác vụ quản lý.
4. Thực thi các chính sách bảo mật
Giống như mạng IT, mạng OT thường có tường lửa chặn lưu lượng truy cập không mong muốn từ bên ngoài. Nhưng một số mối đe dọa, bằng cách nào đó có thể “lẻn” qua sự kiểm soát của firewall. Bên mạng IT hạn chế sự lây lan của mã độc bằng cách sử dụng một kỹ thuật gọi là phân đoạn. Ý tưởng của phân đoạn là tạo ra các phân đoạn mạng (network segment) mà chỉ có thiết bị trong cùng một đoạn mới có thể giao tiếp được với nhau. Sau khi xác định các đoạn, bước tiếp theo là áp các chính sách cho từng đoạn và lưu lượng trao đổi giữa các đoạn với nhau.Với phương pháp phân đoạn trong mạng OT sẽ làm giảm thiệt hại khi một mối đe dọa xâm nhập vào hệ thống.
Chỉnh sửa lần cuối bởi người điều hành: