-
08/10/2013
-
400
-
985 bài viết
Các tổ chức quốc tế và giải pháp an ninh mạng OT
Bài viết này tôi xin giới thiệu đến các bạn một số tổ chức quốc tế hoạt động trong lĩnh vực an ninh mạng OT nhằm cảnh báo các công ty sản xuất công nghiệp về các mối đe dọa. Bên canh đó bài viết cung cấp thông tin về một số các giải pháp IT/OT hiện có trên thế giới, giúp các kỹ sư đang làm công tác bảo mật có thêm thông tin để lựa chọn, áp dụng cho doanh nghiệp của mình.
Liên minh an ninh mạng OT (OTCSA)
Liên minh OTCSA đào tạo cho các nhà khai thác và nhà sản xuất những nhận thức về kỹ thuật và cung cấp các hướng dẫn để thực hiện các thao tác liên quan đến hệ thống như: thay đổi, cập nhật, tích hợp, v.v. Các chuyên gia của OTCSA hỗ trợ doanh nghiệp hiểu biết về các thách thức an ninh trong mạng OT và các giải pháp để bảo vệ tài sản của họ.
Trung tâm nghiên cứu chia sẻ thông tin mạng OT (OT-ISAC)
OT-ISAC là trung tâm chia sẻ thông tin về mối đe dọa liên ngành OT như ngành năng lượng và nước. Tổ chức này cung cấp các công cụ và kỹ thuật khác nhau để trao đổi thông tin một cách an toàn giữa 2 mạng OT và IT, nhằm bảo vệ các hệ thống hoặc mạng công nghiệp chống lại sự xâm nhập trái phép. OT-ISAC liên kết với nhiều trung tâm chia sẻ thông tin khác trên thế giới từ đó thu thập thông tin về các mối đe dọa sắp xảy ra và cung cấp các giải pháp kịp thời để củng cố hệ thống công nghiệp của các công ty đã đăng ký dịch vụ của họ.
Hiệp hội an ninh Công nghệ quốc tế (IOTSA)
Hiệp hội IOTSA có các đối tác bảo mật từ các khu vực công/tư khác nhau cùng hợp tác để xác định và giảm thiểu các mối đe dọa liên quan đến cơ sở hạ tầng OT, SCADA, ICS và CNTT. Các đối tác bảo mật của IOTSA tìm kiếm và PHẢN BIỆN việc triển khai bảo mật kém, các framework hoặc tiêu chuẩn bảo mật KHÔNG phù hợp trên các mạng OT và cung cấp các hướng dẫn để cải thiện bảo mật hoạt động trong ngành OT.
Phần tiếp theo của bài viết cung cấp một số giải pháp an ninh mạng OT được khuyến nghị
1. Firewalls
Tường lửa được sử dụng trong một mạng để giám sát và kiểm soát lưu lượng mạng đến và đi. Tường lửa giúp kiểm soát bảo mật bằng cách kiểm tra lưu lượng đi qua cổng giữa OT và mạng IT. Firewall cũng giúp xác định và ngăn chặn các mối đe dọa mới. Do đó, kẻ tấn công có thể bị hạn chế xâm nhập giữa 2 mạng sau khi xâm nhập thành công vào 1 mạng. Nên để các tài sản và hệ thống quan trọng trong vùng DMZ, tách biệt hệ thống SCADA.
2. Quản lý truy cập
Quản lý truy cập giúp các tập trung hóa các hoạt động như thêm, thay đổi và xóa quyền truy cập của người dùng vào/ra khỏi hệ thống OT. Tất cả dữ liệu này được liên kết với hệ thống quản lý danh tính của tổ chức, hệ thống có thể cung cấp khả năng xác thực mạnh mẽ. Việc quản lý quyền truy cập giúp giảm thiểu nguy cơ bị tấn công bằng cách cung cấp ít đặc quyền nhất cho các tài khoản super user. Điều này giúp các nhân viên an ninh theo dõi các tài sản quan trọng và giúp xác định các nguồn tấn công.
Các chuyên gia bảo mật có thể sử dụng các công cụ như OT Access, FireEye, ... để xác định và quản lý quyền truy cập vào các hệ thống công nghiệp.
3. Kiểm kê tài sản và and hợp lệ hóa thiết bị
Việc kiểm kê đảm bảo rằng chỉ kết nối các thiết bị hợp lệ được nối vào mạng OT và kiểm kê sẽ phát hiện tất cả các thiết bị được mới được nối vào mạng. Nó cũng có thể phát hiện các lỗ hổng trong thiết bị, được phân loại dựa trên nhà sản xuất, phiên bản và chủng loại. Các chuyên gia bảo mật có thể sử dụng các công cụ như SCADAfence, CyberLens, Guardian và Dragos để kiểm kê tài sản và ủy quyền thiết bị.
4. Hệ thống giám sát theo dõi bất thường mạng
Giám sát mạng OT được sử dụng để giám sát liên tục các hệ thống trong mạng công nghiệp. Các công cụ giám sát này giúp theo dõi lưu lượng truy cập nhưng không làm ảnh hưởng đến hoạt động của mạng OT. Các công cụ này thực hiện phát hiện bất thường. Hầu hết các công cụ này sử dụng các thuật toán học máy để dễ dàng phát hiện và xác định các hành vi độc hại. Các chuyên gia bảo mật có thể sử dụng các công cụ như Claroty và OT ThreatFeed để giám sát mạng OT và phát hiện bất thường.
5. Mồi nhử (decoys)
Decoys là những honeypots (bình mật ong) được sử dụng trong môi trường mạng OT kết hợp công nghệ deception (đánh lừa) để tự động hóa việc tạo các mồi nhử (decoys) để thu hút những kẻ tấn công tiết lộ sự hiện diện và hoạt động của chúng. Việc này giúp công ty có thêm thông tin về kẻ tấn công để từ đó có biện pháp đối phó. Việc này cũng chính là bổ sung thêm một lớp bảo vệ khỏi những kẻ tấn công đang cố gắng xâm nhập vào mạng OT.
Liên minh an ninh mạng OT (OTCSA)
Liên minh OTCSA đào tạo cho các nhà khai thác và nhà sản xuất những nhận thức về kỹ thuật và cung cấp các hướng dẫn để thực hiện các thao tác liên quan đến hệ thống như: thay đổi, cập nhật, tích hợp, v.v. Các chuyên gia của OTCSA hỗ trợ doanh nghiệp hiểu biết về các thách thức an ninh trong mạng OT và các giải pháp để bảo vệ tài sản của họ.
Trung tâm nghiên cứu chia sẻ thông tin mạng OT (OT-ISAC)
OT-ISAC là trung tâm chia sẻ thông tin về mối đe dọa liên ngành OT như ngành năng lượng và nước. Tổ chức này cung cấp các công cụ và kỹ thuật khác nhau để trao đổi thông tin một cách an toàn giữa 2 mạng OT và IT, nhằm bảo vệ các hệ thống hoặc mạng công nghiệp chống lại sự xâm nhập trái phép. OT-ISAC liên kết với nhiều trung tâm chia sẻ thông tin khác trên thế giới từ đó thu thập thông tin về các mối đe dọa sắp xảy ra và cung cấp các giải pháp kịp thời để củng cố hệ thống công nghiệp của các công ty đã đăng ký dịch vụ của họ.
Hiệp hội IOTSA có các đối tác bảo mật từ các khu vực công/tư khác nhau cùng hợp tác để xác định và giảm thiểu các mối đe dọa liên quan đến cơ sở hạ tầng OT, SCADA, ICS và CNTT. Các đối tác bảo mật của IOTSA tìm kiếm và PHẢN BIỆN việc triển khai bảo mật kém, các framework hoặc tiêu chuẩn bảo mật KHÔNG phù hợp trên các mạng OT và cung cấp các hướng dẫn để cải thiện bảo mật hoạt động trong ngành OT.
1. Firewalls
Tường lửa được sử dụng trong một mạng để giám sát và kiểm soát lưu lượng mạng đến và đi. Tường lửa giúp kiểm soát bảo mật bằng cách kiểm tra lưu lượng đi qua cổng giữa OT và mạng IT. Firewall cũng giúp xác định và ngăn chặn các mối đe dọa mới. Do đó, kẻ tấn công có thể bị hạn chế xâm nhập giữa 2 mạng sau khi xâm nhập thành công vào 1 mạng. Nên để các tài sản và hệ thống quan trọng trong vùng DMZ, tách biệt hệ thống SCADA.
Hình 1. Một phương án thiết kế giao tiếp mạng IT-OT (Theo Cty waterfall-security)
Các chuyên gia bảo mật có thể sử dụng các công cụ như SCADAwall, Waterfall và Palo Alto NGFW để bảo vệ mạng.
2. Quản lý truy cập
Quản lý truy cập giúp các tập trung hóa các hoạt động như thêm, thay đổi và xóa quyền truy cập của người dùng vào/ra khỏi hệ thống OT. Tất cả dữ liệu này được liên kết với hệ thống quản lý danh tính của tổ chức, hệ thống có thể cung cấp khả năng xác thực mạnh mẽ. Việc quản lý quyền truy cập giúp giảm thiểu nguy cơ bị tấn công bằng cách cung cấp ít đặc quyền nhất cho các tài khoản super user. Điều này giúp các nhân viên an ninh theo dõi các tài sản quan trọng và giúp xác định các nguồn tấn công.
Các chuyên gia bảo mật có thể sử dụng các công cụ như OT Access, FireEye, ... để xác định và quản lý quyền truy cập vào các hệ thống công nghiệp.
3. Kiểm kê tài sản và and hợp lệ hóa thiết bị
Việc kiểm kê đảm bảo rằng chỉ kết nối các thiết bị hợp lệ được nối vào mạng OT và kiểm kê sẽ phát hiện tất cả các thiết bị được mới được nối vào mạng. Nó cũng có thể phát hiện các lỗ hổng trong thiết bị, được phân loại dựa trên nhà sản xuất, phiên bản và chủng loại. Các chuyên gia bảo mật có thể sử dụng các công cụ như SCADAfence, CyberLens, Guardian và Dragos để kiểm kê tài sản và ủy quyền thiết bị.
4. Hệ thống giám sát theo dõi bất thường mạng
Giám sát mạng OT được sử dụng để giám sát liên tục các hệ thống trong mạng công nghiệp. Các công cụ giám sát này giúp theo dõi lưu lượng truy cập nhưng không làm ảnh hưởng đến hoạt động của mạng OT. Các công cụ này thực hiện phát hiện bất thường. Hầu hết các công cụ này sử dụng các thuật toán học máy để dễ dàng phát hiện và xác định các hành vi độc hại. Các chuyên gia bảo mật có thể sử dụng các công cụ như Claroty và OT ThreatFeed để giám sát mạng OT và phát hiện bất thường.
5. Mồi nhử (decoys)
Decoys là những honeypots (bình mật ong) được sử dụng trong môi trường mạng OT kết hợp công nghệ deception (đánh lừa) để tự động hóa việc tạo các mồi nhử (decoys) để thu hút những kẻ tấn công tiết lộ sự hiện diện và hoạt động của chúng. Việc này giúp công ty có thêm thông tin về kẻ tấn công để từ đó có biện pháp đối phó. Việc này cũng chính là bổ sung thêm một lớp bảo vệ khỏi những kẻ tấn công đang cố gắng xâm nhập vào mạng OT.
Chỉnh sửa lần cuối bởi người điều hành: