-
08/10/2013
-
400
-
985 bài viết
Cẩm nang bảo vệ các thiết bị OT
Bài viết này nêu lên những lời khuyên tốt nhất về cách thức đảm bảo an ninh cho những người đang quản lý các thiết bị OT.
Massimiliano Latini, một trong những người sáng lập của H-ON Consulting, nói: "Có ba bước chính để đạt được mục tiêu tổng thể của việc bảo vệ các nhà máy trước các cuộc tấn công mạng.
"Để tấn công một thiết bị qua mạng, trước tiên kẻ tấn công cần phải phát hiện và tiếp cận được thiết bị đó. Tường lửa rất hiệu quả trong việc ngăn chặn. Một tường lửa trung tâm duy nhất giữa hệ thống công nghệ thông tin (IT), văn phòng và mạng OT là một thiết kế quan trọng. Tuy nhiên, điều này không ngăn chặn một cuộc tấn công lan truyền bên trong mạng OT sau khi một hệ thống để tấn công đã được kẻ gian tìm thấy."
Bất kỳ dịch vụ nào được cung cấp nên được bảo vệ bằng mật khẩu hoặc các cơ chế xác thực khác nhau. Nếu thiết bị không cung cấp kết nối an toàn, ví dụ bằng cách sử dụng https hoặc TLS, việc mã hóa giao tiếp bằng VPN gateway có thể giúp bảo vệ mật khẩu khỏi nguy cơ nghe trộm. Trong mạng nội bộ, lưu lượng có thể được tách biệt tại các VLAN.
"Khi một kết nối được thiết lập, các cuộc tấn công có thể xảy ra do những lỗ hổng trong việc cấu hình thiết bị," ông nói. "Điều này có thể xảy ra trước khi bất kỳ xác thực nào được thực hiện. Cũng có khả năng thử đoán mật khẩu, vì nhiều thiết bị không có khả năng tự bảo vệ bằng cách giới hạn số lần thử đoán. Vì vậy, một ý tưởng tốt là hạn chế việc giao tiếp, chỉ cho các hệ thống hoặc người cụ thể được phép truy cập. Tường lửa, VPN hoặc VLAN nên được sử dụng để thực hiện các tác vụ trên.
Theo Jaenicke, không bao giờ nên kết nối một thiết bị OT trực tiếp vào internet hoặc thông qua chuyển tiếp cổng (port forwarding). "Kẻ tấn công luôn luôn đi lang thang trên internet để tìm các dịch vụ công khai mà có thể bị lợi dụng. Kết nối ra ngoài ít rủi ro hơn. Tuy nhiên, cần xem xét rằng đối tác bên ngoài có thể bị can thiệp và do đó có thể được sử dụng để tấn công thiết bị OT. Vì vậy, việc kết nối ra ngoài cũng nên bị cấm cho đến khi được xác nhận tường minh bởi người quản trị.
"Nếu được hỗ trợ, các thiết bị OT nên được tích hợp vào các hệ thống theo dõi. Sự kiện và nhật ký nên được thu thập trong các hệ thống trung tâm. Một trong những hành động đầu tiên mà kẻ tấn công sẽ thực hiện là xóa các nhật ký về việc xâm nhập. Việc thu thập nhật ký ở một vị trí đặc biệt giữ cho thông tin an toàn. Sử dụng công cụ phân tích nhật ký thích hợp hoặc hệ thống quản lý sự cố và sự kiện bảo mật (SIEM) có thể dẫn đến việc phát hiện sự cố bảo mật đúng thời điểm."
Trong mọi tình huống, và đặc biệt trong thời đại của ransomware, Jaenicke khuyên rằng nên phát triển và triển khai chiến lược sao lưu và khôi phục. Một khi hệ thống đã bị xâm nhập, nó rất có thể sẽ không thể đảo ngược thành trạng thái an toàn chỉ bằng cách khởi động lại. Có thể cũng khó để tìm hiểu những sự can thiệp đã được thực hiện bởi kẻ tấn công. Vì vậy, thiết bị sẽ phải được thiết lập lại hoàn toàn với firmware mới và cấu hình sẽ phải được khôi phục.
Câu hỏi thường gặp
Suzanne Gill đặt câu hỏi sau đây cho nhiều chuyên gia về an ninh mạng: "Lời khuyên tốt nhất bạn có thể đưa ra cho người dùng cuối muốn đảm bảo rằng các thiết bị OT của họ không tạo điểm tấn công tiềm năng cho những kẻ xấu?"Massimiliano Latini, một trong những người sáng lập của H-ON Consulting, nói: "Có ba bước chính để đạt được mục tiêu tổng thể của việc bảo vệ các nhà máy trước các cuộc tấn công mạng.
- Bước đầu tiên, liên quan đến một vấn đề đã được biết đến công nghiệp: sự an toàn (safety). Cho đến nay, an toàn và bảo mật đã được xem xét là hai vấn đề riêng biệt với ít điểm chung. Nhưng quan điểm này hiện đã lỗi thời, và phương pháp 'không thể có an toàn nếu thiếu bảo mật' đang được áp dụng trong nhiều mối quan tâm công nghiệp". Latini tin rằng phân tích rủi ro truyền thống đơn lẻ không còn đủ, và ông lý luận rằng bảo mật mạng cần phải là một phần không thể thiếu của thiết bị trong suốt vòng đời của nó để đảm bảo rằng nó hoàn toàn an toàn.
- Bước thứ hai liên quan đến việc kiểm soát các quyết định và cần phải thực hiện các lựa chọn một cách khách quan nhất có thể đối với bảo mật mạng," ông nói. "Mọi người đều nhận thức về sự quan trọng của nó, bao gồm cả trong lĩnh vực công nghiệp. "Một khung quản lý nên được đề xuất trước khi đi vào chi tiết về giải pháp kỹ thuật. Điều này nên cho phép người dùng cuối xác định ưu tiên cho các hoạt động khác nhau và đánh giá một cách khách quan về các tác động và chi phí, để họ có thể phân bổ thời gian và nguồn lực cần thiết".
- Bước cuối cùng liên quan đến chứng nhận bảo mật mạng. "Hiện nay, việc đảm bảo rằng một thiết bị, hệ thống hoặc nhà máy đáp ứng các tiêu chí được công nhận toàn cầu là ngày càng quan trọng, và điều này sẽ tạo ra một lợi thế cạnh tranh lớn trong những năm tới," ông nói. "Cách duy nhất để đạt được điều này là nộp đơn xin một loại chứng nhận, có tính hiệu lực dài hạn được đảm bảo bởi các cơ quan có uy tín".
Thiếu câu hỏi bảo mật cho các thiết bị OT
Mặc dù nhiều thiết bị OT hiện đại có khả năng bảo mật tiên tiến chống lại các cuộc tấn công mạng, nhưng theo tiến sĩ Lutz Jaenicke, quản trị viên bảo mật sản phẩm và giải pháp tại Phoenix Contact GmbH & Co., hầu hết các thiết bị OT đều thiếu các tính năng về bảo mật."Để tấn công một thiết bị qua mạng, trước tiên kẻ tấn công cần phải phát hiện và tiếp cận được thiết bị đó. Tường lửa rất hiệu quả trong việc ngăn chặn. Một tường lửa trung tâm duy nhất giữa hệ thống công nghệ thông tin (IT), văn phòng và mạng OT là một thiết kế quan trọng. Tuy nhiên, điều này không ngăn chặn một cuộc tấn công lan truyền bên trong mạng OT sau khi một hệ thống để tấn công đã được kẻ gian tìm thấy."
Bất kỳ dịch vụ nào được cung cấp nên được bảo vệ bằng mật khẩu hoặc các cơ chế xác thực khác nhau. Nếu thiết bị không cung cấp kết nối an toàn, ví dụ bằng cách sử dụng https hoặc TLS, việc mã hóa giao tiếp bằng VPN gateway có thể giúp bảo vệ mật khẩu khỏi nguy cơ nghe trộm. Trong mạng nội bộ, lưu lượng có thể được tách biệt tại các VLAN.
"Khi một kết nối được thiết lập, các cuộc tấn công có thể xảy ra do những lỗ hổng trong việc cấu hình thiết bị," ông nói. "Điều này có thể xảy ra trước khi bất kỳ xác thực nào được thực hiện. Cũng có khả năng thử đoán mật khẩu, vì nhiều thiết bị không có khả năng tự bảo vệ bằng cách giới hạn số lần thử đoán. Vì vậy, một ý tưởng tốt là hạn chế việc giao tiếp, chỉ cho các hệ thống hoặc người cụ thể được phép truy cập. Tường lửa, VPN hoặc VLAN nên được sử dụng để thực hiện các tác vụ trên.
Theo Jaenicke, không bao giờ nên kết nối một thiết bị OT trực tiếp vào internet hoặc thông qua chuyển tiếp cổng (port forwarding). "Kẻ tấn công luôn luôn đi lang thang trên internet để tìm các dịch vụ công khai mà có thể bị lợi dụng. Kết nối ra ngoài ít rủi ro hơn. Tuy nhiên, cần xem xét rằng đối tác bên ngoài có thể bị can thiệp và do đó có thể được sử dụng để tấn công thiết bị OT. Vì vậy, việc kết nối ra ngoài cũng nên bị cấm cho đến khi được xác nhận tường minh bởi người quản trị.
"Nếu được hỗ trợ, các thiết bị OT nên được tích hợp vào các hệ thống theo dõi. Sự kiện và nhật ký nên được thu thập trong các hệ thống trung tâm. Một trong những hành động đầu tiên mà kẻ tấn công sẽ thực hiện là xóa các nhật ký về việc xâm nhập. Việc thu thập nhật ký ở một vị trí đặc biệt giữ cho thông tin an toàn. Sử dụng công cụ phân tích nhật ký thích hợp hoặc hệ thống quản lý sự cố và sự kiện bảo mật (SIEM) có thể dẫn đến việc phát hiện sự cố bảo mật đúng thời điểm."
Trong mọi tình huống, và đặc biệt trong thời đại của ransomware, Jaenicke khuyên rằng nên phát triển và triển khai chiến lược sao lưu và khôi phục. Một khi hệ thống đã bị xâm nhập, nó rất có thể sẽ không thể đảo ngược thành trạng thái an toàn chỉ bằng cách khởi động lại. Có thể cũng khó để tìm hiểu những sự can thiệp đã được thực hiện bởi kẻ tấn công. Vì vậy, thiết bị sẽ phải được thiết lập lại hoàn toàn với firmware mới và cấu hình sẽ phải được khôi phục.
Chỉnh sửa lần cuối: