-
08/10/2013
-
401
-
999 bài viết
Bảo vệ giao thức MMS trong trạm biến áp tự động hóa
Giao thức MMS (Manufacturing Message Specification) trong IEC 61850 là giao thức tầng ứng dụng dùng để truyền dữ liệu, giám sát và điều khiển các thiết bị trong trạm biến áp.Tuy nhiên cần có những giải pháp nhằm bảo vệ MMS khỏi các mối đe dọa về an ninh.
MMS là giao thức tầng ứng dụng trong mô hình OSI (Open Systems Interconnection), được chuẩn hóa bởi ISO dưới mã số 9506. Nó cung cấp một tập hợp các bản tin tiêu chuẩn hóa cho phép thực hiện các chức năng như: truy xuất dữ liệu, điều khiển thiết bị, truyền file, báo cáo sự kiện và giám sát kết nối. Khác với các giao thức thời gian thực như GOOSE hay Sampled Value (SV), MMS phục vụ chủ yếu cho các chức năng giám sát và điều khiển từ xa, với mô hình client–server. Trong đó, client thường là hệ thống SCADA, HMI hoặc trạm điều khiển, còn server là các thiết bị điện tử thông minh (IED) như rơ-le bảo vệ, RTU, PLC,…
ASN.1 (Abstract Syntax Notation One) là một chuẩn mô tả cấu trúc dữ liệu được sử dụng rộng rãi trong các giao thức truyền thông công nghiệp, trong đó có MMS. Đặc điểm của ASN.1:
Giao thức MMS cho phép client truy cập các thành phần dữ liệu này một cách trực tiếp và có cấu trúc. Chẳng hạn, hệ thống SCADA có thể sử dụng MMS để đọc trạng thái máy cắt , truyền file cấu hình mới tới IED, hoặc nhận báo cáo sự kiện khi có sự cố xảy ra tại trạm.
Điều đặc biệt quan trọng là MMS không hoạt động độc lập mà đóng vai trò bổ trợ trong một hệ sinh thái truyền thông IEC 61850, cùng với GOOSE (giao thức trao đổi thông tin điều khiển tức thời giữa các IED) và Sampled Value (giao thức truyền các mẫu tín hiệu analog như dòng và áp từ Merging Unit đến IED). Trong khi GOOSE và SV yêu cầu độ trễ cực thấp (ở mức mili- và micro-giây), MMS chấp nhận mức trễ cao hơn nhưng lại cung cấp nhiều chức năng hơn về quản lý và điều hành hệ thống.
Một trong những điểm yếu cốt lõi của MMS là thiếu cơ chế bảo mật gốc. Giao thức này không hỗ trợ mã hóa dữ liệu, xác thực người dùng hay kiểm tra toàn vẹn gói tin một cách tích hợp. Điều này khiến toàn bộ quá trình truyền dữ liệu – bao gồm cả thông tin cấu hình thiết bị, trạng thái máy cắt, lệnh điều khiển và báo cáo sự kiện – đều diễn ra dưới dạng bản rõ, hoàn toàn có thể bị nghe lén hoặc giả mạo nếu kẻ tấn công chiếm được quyền truy cập vào mạng nội bộ hoặc mạng WAN nối giữa trạm và trung tâm điều khiển.
Thêm vào đó, MMS thường chạy trên giao thức TCP/IP và sử dụng cổng TCP 102, một cổng dễ bị phát hiện bởi các công cụ quét mạng như Nmap. Điều này tạo ra khả năng kẻ tấn công thực hiện các hình thức tấn công như:
Ngoài ra, việc thiếu các biện pháp kiểm soát truy cập chi tiết dẫn đến việc bất kỳ máy khách hợp lệ nào cũng có thể gửi bản tin điều khiển như Operate, Cancel, gây ra sự cố nghiêm trọng nếu bị lợi dụng.
Một điểm yếu nữa là MMS không có khả năng ghi log chi tiết hoặc phản hồi cảnh báo khi xảy ra các hành vi bất thường. Trong môi trường công nghiệp, điều này đồng nghĩa với việc các hành vi độc hại có thể tồn tại một thời gian dài mà không bị phát hiện nếu không có hệ thống giám sát an ninh mạng chuyên biệt cho OT (OT-aware IDS/IPS).
Để giảm thiểu rủi ro từ các điểm yếu nói trên, cần triển khai đồng bộ nhiều biện pháp bảo vệ. Một trong số đó là giải pháp phân tách mạng và kiểm soát truy cập.
Việc tách mạng được thực hiện bằng cách chia hệ thống thành nhiều vùng bảo mật dựa trên chức năng và mức độ rủi ro, sử dụng VLAN, tường lửa công nghiệp ... Ví dụ, hệ thống quản lý (IT) nên nằm ở một vùng riêng biệt so với hệ thống điều khiển thực thi (OT), và giữa hai vùng phải có một vùng đệm gọi là DMZ (Demilitarized Zone). Trong DMZ này có thể đặt các proxy, gateway hoặc máy chủ thu thập dữ liệu – giúp tách biệt luồng dữ liệu và giới hạn điểm giao tiếp.
Bên cạnh đó, kiểm soát truy cập được triển khai để đảm bảo rằng chỉ những thiết bị, người dùng và ứng dụng đã được xác thực mới có thể truy cập đúng khu vực chức năng. Điều này bao gồm sử dụng danh sách kiểm soát truy cập (ACL) trên switch hoặc firewall để chỉ cho phép một số IP hoặc MAC cụ thể được phép truyền thông đến thiết bị điều khiển. Ngoài ra, các giải pháp xác thực hai lớp (2FA), quản lý tài khoản đặc quyền (PAM), và xác định vai trò người dùng (Role-based Access Control – RBAC) cũng nên được áp dụng để nâng cao kiểm soát truy cập.
Một điểm quan trọng là việc kiểm soát không nên chỉ áp dụng ở mức IP mà còn phải kiểm soát theo nội dung bản tin nếu có thể (Deep Packet Inspection – DPI), ví dụ: chỉ cho phép gói tin MMS dạng ReadRequest được truyền qua, còn Operate phải giới hạn ở các thiết bị HMI chính hãng được xác định trước.
Giải pháp tách mạng và kiểm soát truy cập giúp giảm đáng kể diện tấn công của toàn hệ thống, ngăn chặn sự lây lan ngang của ransomware, và hỗ trợ điều tra sự cố hiệu quả do các vùng được cô lập rõ ràng. Đây là giải pháp khả thi, hiệu quả cao và đã được nhiều tổ chức như NIST, IEC, ISA khuyến nghị áp dụng trong môi trường công nghiệp thực tế.
Giới thiệu
Trong các hệ thống điều khiển công nghiệp hiện đại, đặc biệt là trong ngành điện, việc đảm bảo tính đồng nhất, khả năng tương tác giữa các thiết bị từ nhiều nhà sản xuất và hỗ trợ truyền thông linh hoạt là điều thiết yếu. Giao thức MMS (Manufacturing Message Specification) – một thành phần cốt lõi trong tiêu chuẩn IEC 61850 – chính là giải pháp truyền thông tầng ứng dụng được thiết kế nhằm phục vụ mục đích đó.MMS là giao thức tầng ứng dụng trong mô hình OSI (Open Systems Interconnection), được chuẩn hóa bởi ISO dưới mã số 9506. Nó cung cấp một tập hợp các bản tin tiêu chuẩn hóa cho phép thực hiện các chức năng như: truy xuất dữ liệu, điều khiển thiết bị, truyền file, báo cáo sự kiện và giám sát kết nối. Khác với các giao thức thời gian thực như GOOSE hay Sampled Value (SV), MMS phục vụ chủ yếu cho các chức năng giám sát và điều khiển từ xa, với mô hình client–server. Trong đó, client thường là hệ thống SCADA, HMI hoặc trạm điều khiển, còn server là các thiết bị điện tử thông minh (IED) như rơ-le bảo vệ, RTU, PLC,…
Nguyên lý hoạt động
Cấu trúc hoạt động của MMS rất linh hoạt và an toàn. Các bản tin MMS thường bao gồm: Initiate để khởi tạo kết nối; Read/Write dùng để truy xuất dữ liệu; Select/Operate để thực hiện các lệnh điều khiển thiết bị; InformationReport để gửi báo cáo tự động khi có thay đổi dữ liệu; và FileOpen/FileRead phục vụ chức năng truyền tệp cấu hình. Tất cả dữ liệu được mã hóa theo tiêu chuẩn ASN.1 và truyền đi thông qua giao thức TCP/IP, đảm bảo khả năng mở rộng.ASN.1 (Abstract Syntax Notation One) là một chuẩn mô tả cấu trúc dữ liệu được sử dụng rộng rãi trong các giao thức truyền thông công nghiệp, trong đó có MMS. Đặc điểm của ASN.1:
- Nó không phải là mã hóa dữ liệu kiểu bảo mật (encryption), mà là một chuẩn định dạng để biểu diễn dữ liệu theo cách dễ dàng trao đổi giữa các hệ thống khác nhau (ví dụ như thiết bị của nhiều hãng).
- ASN.1 giúp mô tả chính xác và có cấu trúc rõ ràng các loại dữ liệu như: số nguyên, chuỗi ký tự, cấu trúc lồng nhau...
Giao thức MMS cho phép client truy cập các thành phần dữ liệu này một cách trực tiếp và có cấu trúc. Chẳng hạn, hệ thống SCADA có thể sử dụng MMS để đọc trạng thái máy cắt , truyền file cấu hình mới tới IED, hoặc nhận báo cáo sự kiện khi có sự cố xảy ra tại trạm.
Điều đặc biệt quan trọng là MMS không hoạt động độc lập mà đóng vai trò bổ trợ trong một hệ sinh thái truyền thông IEC 61850, cùng với GOOSE (giao thức trao đổi thông tin điều khiển tức thời giữa các IED) và Sampled Value (giao thức truyền các mẫu tín hiệu analog như dòng và áp từ Merging Unit đến IED). Trong khi GOOSE và SV yêu cầu độ trễ cực thấp (ở mức mili- và micro-giây), MMS chấp nhận mức trễ cao hơn nhưng lại cung cấp nhiều chức năng hơn về quản lý và điều hành hệ thống.
Những vấn đề về bảo mật
Xét dưới góc độ an toàn thông tin, giao thức MMS tồn tại nhiều điểm yếu bảo mật tiềm tàng do không được thiết kế với ưu tiên về an ninh mạng ngay từ đầu.Một trong những điểm yếu cốt lõi của MMS là thiếu cơ chế bảo mật gốc. Giao thức này không hỗ trợ mã hóa dữ liệu, xác thực người dùng hay kiểm tra toàn vẹn gói tin một cách tích hợp. Điều này khiến toàn bộ quá trình truyền dữ liệu – bao gồm cả thông tin cấu hình thiết bị, trạng thái máy cắt, lệnh điều khiển và báo cáo sự kiện – đều diễn ra dưới dạng bản rõ, hoàn toàn có thể bị nghe lén hoặc giả mạo nếu kẻ tấn công chiếm được quyền truy cập vào mạng nội bộ hoặc mạng WAN nối giữa trạm và trung tâm điều khiển.
Thêm vào đó, MMS thường chạy trên giao thức TCP/IP và sử dụng cổng TCP 102, một cổng dễ bị phát hiện bởi các công cụ quét mạng như Nmap. Điều này tạo ra khả năng kẻ tấn công thực hiện các hình thức tấn công như:
- Sniffing (nghe lén): thu thập dữ liệu nhạy cảm khi gói tin truyền qua mạng;
- Spoofing (giả mạo): đóng giả thiết bị điều khiển để gửi lệnh sai lệch;
- Replay attack (phát lại): gửi lại bản tin điều khiển trước đó để gây tác động ngoài ý muốn;
- Man-in-the-Middle: chèn dữ liệu độc hại vào luồng trao đổi mà không bị phát hiện;
- DoS/DDoS: gây quá tải dịch vụ MMS server, dẫn đến mất kiểm soát hệ thống.
Ngoài ra, việc thiếu các biện pháp kiểm soát truy cập chi tiết dẫn đến việc bất kỳ máy khách hợp lệ nào cũng có thể gửi bản tin điều khiển như Operate, Cancel, gây ra sự cố nghiêm trọng nếu bị lợi dụng.
Một điểm yếu nữa là MMS không có khả năng ghi log chi tiết hoặc phản hồi cảnh báo khi xảy ra các hành vi bất thường. Trong môi trường công nghiệp, điều này đồng nghĩa với việc các hành vi độc hại có thể tồn tại một thời gian dài mà không bị phát hiện nếu không có hệ thống giám sát an ninh mạng chuyên biệt cho OT (OT-aware IDS/IPS).
Để giảm thiểu rủi ro từ các điểm yếu nói trên, cần triển khai đồng bộ nhiều biện pháp bảo vệ. Một trong số đó là giải pháp phân tách mạng và kiểm soát truy cập.
Phân tách mạng và kiểm soát truy cập
Phân tách mạng kết hợp với kiểm soát truy cập là giải pháp trọng yếu nhằm bảo vệ các hệ thống điều khiển công nghiệp (ICS/SCADA) trước các cuộc tấn công từ cả bên ngoài lẫn bên trong. Trong môi trường OT, nơi nhiều thiết bị cũ không hỗ trợ mã hóa hoặc xác thực, việc cô lập và giới hạn giao tiếp là tuyến phòng thủ đầu tiên giúp ngăn ngừa sự lan truyền của mã độc, truy cập trái phép và các hoạt động độc hại.Việc tách mạng được thực hiện bằng cách chia hệ thống thành nhiều vùng bảo mật dựa trên chức năng và mức độ rủi ro, sử dụng VLAN, tường lửa công nghiệp ... Ví dụ, hệ thống quản lý (IT) nên nằm ở một vùng riêng biệt so với hệ thống điều khiển thực thi (OT), và giữa hai vùng phải có một vùng đệm gọi là DMZ (Demilitarized Zone). Trong DMZ này có thể đặt các proxy, gateway hoặc máy chủ thu thập dữ liệu – giúp tách biệt luồng dữ liệu và giới hạn điểm giao tiếp.
Bên cạnh đó, kiểm soát truy cập được triển khai để đảm bảo rằng chỉ những thiết bị, người dùng và ứng dụng đã được xác thực mới có thể truy cập đúng khu vực chức năng. Điều này bao gồm sử dụng danh sách kiểm soát truy cập (ACL) trên switch hoặc firewall để chỉ cho phép một số IP hoặc MAC cụ thể được phép truyền thông đến thiết bị điều khiển. Ngoài ra, các giải pháp xác thực hai lớp (2FA), quản lý tài khoản đặc quyền (PAM), và xác định vai trò người dùng (Role-based Access Control – RBAC) cũng nên được áp dụng để nâng cao kiểm soát truy cập.
Một điểm quan trọng là việc kiểm soát không nên chỉ áp dụng ở mức IP mà còn phải kiểm soát theo nội dung bản tin nếu có thể (Deep Packet Inspection – DPI), ví dụ: chỉ cho phép gói tin MMS dạng ReadRequest được truyền qua, còn Operate phải giới hạn ở các thiết bị HMI chính hãng được xác định trước.
Giải pháp tách mạng và kiểm soát truy cập giúp giảm đáng kể diện tấn công của toàn hệ thống, ngăn chặn sự lây lan ngang của ransomware, và hỗ trợ điều tra sự cố hiệu quả do các vùng được cô lập rõ ràng. Đây là giải pháp khả thi, hiệu quả cao và đã được nhiều tổ chức như NIST, IEC, ISA khuyến nghị áp dụng trong môi trường công nghiệp thực tế.
Chỉnh sửa lần cuối bởi người điều hành: