-
08/10/2013
-
400
-
985 bài viết
Bảo mật mạng công nghiệp OT - một hành trình dài
Khi gặp gỡ các nhà sản xuất công nghiệp, một câu hỏi thường gặp là: “Chúng tôi đang thực hiện số hóa để có được cái nhìn theo thời gian thực về quá trình sản xuất và cải thiện hiệu quả hoạt động của thiết bị. Nhưng hiện chúng tôi đang lo lắng về việc phần mềm độc hại làm gián đoạn hoạt động. Chúng tôi phải làm gì?". Câu hỏi chi tiết hơn là làm thế nào để bảo mật mạng OT mà không làm gián đoạn hoạt động sản xuất và doanh thu?
Phương pháp tiếp cận từng bước có thể là câu trả lời cho câu hỏi trên. Nhờ cách tiếp cận từng bước, ta sẽ xác định được các tài sản OT cần bảo vệ, cách ứng phó với các mối đe dọa, tăng cường hợp tác giữa bộ phận IT và OT. Phương pháp này có quan điểm rằng: đây là một hành trình lâu dài chứ không thể đạt được ngay trong một sớm một chiều. Ở mỗi bước trong hành trình, ta sẽ thực hiện các cải tiến đối với con người, quy trình và công nghệ.
Bước 1 - Bảo mật tối thiểu
Đây là trạng thái hiện tại của hầu hết các nhà sản xuất. Nếu doanh nghiệp đang ở bước này, họ chắc hẳn đã thực hiện nguyên tắc căn bản nhất của bảo mật, đó là tách biệt mạng OT khỏi mạng IT. Lưu lượng không thể truyền từ mạng IT đến mạng OT. Do đó chúng ta có thể chặn phần mềm độc hại xâm nhập vào mạng OT. Ngược lại ta cũng có thể chặn phần mềm độc hại lây lan từ mạng OT để lây nhiễm vào mạng IT. Nhưng nếu mạng OT đã tiếp xúc với phần mềm độc hại, bạn không có cách nào để ngăn chặn nó, nó có thể ảnh hưởng đến nhiều dây chuyền sản xuất - thậm chí nhiều nhà máy.
Bước 2 - Bảo mật nền tảng
Đây là nơi hầu hết các nhà máy muốn bắt đầu. Các từ khóa ở bước bảo mật này là khả năng phát hiện, bảo vệ và phản ứng.
- Đầu tiên khách hàng cần xác định tất cả các tài sản công nghiệp, các lỗ hổng đã biết của các tài sản đó và các luồng thông tin giao tiếp. Một số hãng bảo mật cung cấp công nghệ nhìn xuyên thấu vào các tài sản trên, làm cho việc này trở nên đơn giản và cung cấp cho các nhóm IT và OT những khái niệm để 2 nhóm có thể làm việc chung với nhau. (VD: Cisco Cyber Vision).
- Sau đó cần phát hiện các mối đe dọa và ngăn chặn chúng lây lan bằng các hệ thống an ninh mạng công nghiệp (VD: Cisco ISA 3000 Industrial Security Appliance.)
- Tiếp theo là điều tra và khắc phục các mối đe dọa với sự hỗ trợ của các công cụ. (VD: Cisco SecureX)
- Cuối cùng là tạo khu vực ngăn chặn phần mềm độc hại để ngăn lây lan qua các zone. Điều này yêu cầu các quy tắc phát hiện và chính sách kiểm soát luồng lưu lượng. (vd: Firepower Management Center)
Bảo mật nền tảng cũng yêu cầu thay đổi các quy trình. Bảo mật OT được coi như một quy trình bảo trì theo kế hoạch - ví dụ: “Kiểm tra xem các chương trình có cần cập nhật do có lỗ hổng bảo mật hay không”. Ở giai đoạn này, cần phải phát triển quy trình làm việc giữa hoạt động bảo mật và hoạt động sản xuất.
Bước 3 - Bảo mật toàn diện
Sau khi bảo mật nền tảng đã được vận hành thành công, khả năng phân đoạn được nâng cao trong kiến trúc bảo mật toàn diện. Việc phân đoạn có thể được chi tiết xuống tận các thiết bị đơn lẻ và áp dụng kiến trúc Zero-trust vào mạng OT. Khi áp dụng điều này, mỗi zone có thể chỉ là 1 thiết bị duy nhất, và do đó phần mềm độc hại sẽ bị “quây” trong zone này. Các luồng thông tin di chuyển giữa các zone giờ đây được kiểm soát ở mức độ cao hơn so với ở bước 2.
Khả năng “nhìn xuyên thấu” vào hệ thống được tăng cường bằng cách bổ sung công nghệ phát hiện bất thường (VD: Cisco Stealthwatch) và chặn các yêu cầu kết nối từ cảm biến tới đám mây tới các trang web độc hại (vd: Cisco Umbrella)
Phương pháp tiếp cận từng bước có thể là câu trả lời cho câu hỏi trên. Nhờ cách tiếp cận từng bước, ta sẽ xác định được các tài sản OT cần bảo vệ, cách ứng phó với các mối đe dọa, tăng cường hợp tác giữa bộ phận IT và OT. Phương pháp này có quan điểm rằng: đây là một hành trình lâu dài chứ không thể đạt được ngay trong một sớm một chiều. Ở mỗi bước trong hành trình, ta sẽ thực hiện các cải tiến đối với con người, quy trình và công nghệ.
Bước 1 - Bảo mật tối thiểu
Đây là trạng thái hiện tại của hầu hết các nhà sản xuất. Nếu doanh nghiệp đang ở bước này, họ chắc hẳn đã thực hiện nguyên tắc căn bản nhất của bảo mật, đó là tách biệt mạng OT khỏi mạng IT. Lưu lượng không thể truyền từ mạng IT đến mạng OT. Do đó chúng ta có thể chặn phần mềm độc hại xâm nhập vào mạng OT. Ngược lại ta cũng có thể chặn phần mềm độc hại lây lan từ mạng OT để lây nhiễm vào mạng IT. Nhưng nếu mạng OT đã tiếp xúc với phần mềm độc hại, bạn không có cách nào để ngăn chặn nó, nó có thể ảnh hưởng đến nhiều dây chuyền sản xuất - thậm chí nhiều nhà máy.
Bước 2 - Bảo mật nền tảng
Đây là nơi hầu hết các nhà máy muốn bắt đầu. Các từ khóa ở bước bảo mật này là khả năng phát hiện, bảo vệ và phản ứng.
- Đầu tiên khách hàng cần xác định tất cả các tài sản công nghiệp, các lỗ hổng đã biết của các tài sản đó và các luồng thông tin giao tiếp. Một số hãng bảo mật cung cấp công nghệ nhìn xuyên thấu vào các tài sản trên, làm cho việc này trở nên đơn giản và cung cấp cho các nhóm IT và OT những khái niệm để 2 nhóm có thể làm việc chung với nhau. (VD: Cisco Cyber Vision).
- Sau đó cần phát hiện các mối đe dọa và ngăn chặn chúng lây lan bằng các hệ thống an ninh mạng công nghiệp (VD: Cisco ISA 3000 Industrial Security Appliance.)
- Tiếp theo là điều tra và khắc phục các mối đe dọa với sự hỗ trợ của các công cụ. (VD: Cisco SecureX)
- Cuối cùng là tạo khu vực ngăn chặn phần mềm độc hại để ngăn lây lan qua các zone. Điều này yêu cầu các quy tắc phát hiện và chính sách kiểm soát luồng lưu lượng. (vd: Firepower Management Center)
Bảo mật nền tảng cũng yêu cầu thay đổi các quy trình. Bảo mật OT được coi như một quy trình bảo trì theo kế hoạch - ví dụ: “Kiểm tra xem các chương trình có cần cập nhật do có lỗ hổng bảo mật hay không”. Ở giai đoạn này, cần phải phát triển quy trình làm việc giữa hoạt động bảo mật và hoạt động sản xuất.
Bước 3 - Bảo mật toàn diện
Sau khi bảo mật nền tảng đã được vận hành thành công, khả năng phân đoạn được nâng cao trong kiến trúc bảo mật toàn diện. Việc phân đoạn có thể được chi tiết xuống tận các thiết bị đơn lẻ và áp dụng kiến trúc Zero-trust vào mạng OT. Khi áp dụng điều này, mỗi zone có thể chỉ là 1 thiết bị duy nhất, và do đó phần mềm độc hại sẽ bị “quây” trong zone này. Các luồng thông tin di chuyển giữa các zone giờ đây được kiểm soát ở mức độ cao hơn so với ở bước 2.
Khả năng “nhìn xuyên thấu” vào hệ thống được tăng cường bằng cách bổ sung công nghệ phát hiện bất thường (VD: Cisco Stealthwatch) và chặn các yêu cầu kết nối từ cảm biến tới đám mây tới các trang web độc hại (vd: Cisco Umbrella)
Tham khảo: Cisco security blogs
#OTsecurity
#OTsecurity
Chỉnh sửa lần cuối: