An ninh mạng SCADA – ICS và những vấn đề cơ bản

Tội phạm an ninh mạng đang tận dụng cuộc khủng hoảng coronavirus toàn cầu

Tác động của chủng coronavirus (COVID-19), xuất hiện ở Vũ Hán, Trung Quốc, có tác động đáng kể và có hại cho nền kinh tế toàn cầu và khả năng duy trì cơ sở hạ tầng sản xuất và quan trọng của chúng ta. Đây là một lời nhắc nhở khác về cách các công ty công nghiệp mong manh đang bị gián đoạn hoạt động của họ. Một tình huống như vậy, có thể kéo dài hàng tháng hoặc thậm chí nhiều năm nay đã mở rộng ra ngoài khu vực châu Á / Thái Bình Dương, gây ra một cuộc khủng hoảng toàn cầu trong cả cuộc sống của con người và trong nền kinh tế.

Đáng buồn thay, Tội phạm an ninh mạng và kẻ thù đang thúc đẩy cuộc khủng hoảng toàn cầu này vì lợi ích của chúng và chúng ta đang chứng kiến ​​sự gia tăng rõ rệt của  các hoạt động Tội phạm an ninh mạng độc hại tận dụng tin tức coronavirus trên các mạng công nghiệp quan trọng và trên các cơ sở hạ tầng quan trọng. 

Trước đây, chúng ta đã từng thấy các tổ chức công nghiệp chuyển dây chuyền sản xuất sang chế độ thủ công sau một cuộc tấn công ransomware bị tê liệt làm đình trệ sản xuất của họ. Tuy nhiên, hiện nay nhiều công nhân nhà máy đang ở nhà cách ly và chế độ thủ công là một thách thức và là bắt buộc.

Các Loại tấn công mạng và khối lượng leo thang hàng ngày, với các cuộc tấn công mới bao gồm :
1. Trang web giả đóng vai trò là nguồn cung cấp thông tin chính thức, nhưng máy chủ lưu trữ là giả , bộ dụng cụ khai thác  và / hoặc phần mềm độc hại – được tạo ra với tốc độ đáng kinh ngạc, đôi khi hơn 2000 site mới mỗi ngày.
2. Các chiến dịch phân phối Emotet, Trickbot, Lokibot, Kpot, CoronaVirus (một biến thể của ransomware), Zeus Sphinx và các loại khác biến thể phần mềm độc hại.
3. Tấn công giả mạo DNS hoặc chiếm quyền điều khiển cài đặt DNS của bộ định tuyến thông qua mật khẩu quản trị yếu hoặc mật khẩu mặc định.
4. Việc sử dụng chuyển hướng mở giúp đẩy phần mềm độc hại của Raccoon vào hệ thống bị ảnh hưởng và nhắc nhở người dùng tải xuống Ứng dụng Thông báo ID COVID-19 bắt buộc từ Tổ chức Y tế Thế giới. (xem tại đây)
5. Khai thác các nỗ lực chống lại một mã từ xa đã biết trước đó lỗ hổng thực thi trong Trình điều khiển phân phối ứng dụng Citrix (ADC) và các thiết bị Citrix Gateway (CVE-2019-19781).
6. Một loạt các cuộc tấn công mạng ngành chăm sóc sức khỏe và hỗ trợ các tổ chức chịu trách nhiệm giúp đỡ mọi người thông qua việc cấp cứu sức khỏe.

(theo NTT Ltd)

Những sự kiện mới nhất này chứng minh rằng việc đảm bảo các hoạt động công nghiệp của bạn là quan trọng hơn bao giờ hết. Cho dù bạn đang sản xuất hoặc vận hành máy phát điện hay virus viện, nhu cầu giảm rủi ro cho hoạt động của bạn chưa bao giờ quan trọng hơn thế.

Xem thêm : Giới thiệu một số mô hình tấn công mạng SCADA – ICS

Ngành sản xuất và an ninh mạng

Các tổ chức sản xuất thường duy trì dữ liệu historian có giá trị về các quy trình, chuỗi cung ứng và phân phối, cũng như thông tin thiết kế hoặc thông số kỹ thuật có tính nhạy cảm, phần lớn là tài sản trí tuệ. Sản xuất hiện đại cũng rất tự động và phụ thuộc nhiều vào công nghệ hỗ trợ, bao gồm việc sử dụng rộng rãi các hệ thống được kết nối và các thiết bị IoT / OT. Cơ sở hạ tầng sản xuất thường được xây dựng trên các nền tảng hỗ trợ các hoạt động hiệu quả, nhưng hầu như không được thiết kế để bảo mật.

Khối lượng phần mềm do thám lớn giúp cho kẻ tấn công xác định nơi tập trung ứng dụng  và các cuộc tấn công dành riêng cho ứng dụng để đạt hiệu quả tối đa. Ngoài ra, những kẻ tấn công lợi dụng môi trường phức tạp để tấn công sản xuất cơ sở hạ tầng mạng; các máy chủ và thiết bị mạng cơ bản. Những kẻ tấn công hỗ trợ các cuộc tấn công này bằng cách sử dụng rộng rãi virus và sâu giúp xác định cơ sở hạ tầng dễ bị tổn thương nhất của tổ chức.

An ninh mạng SCADA - ICS và những vấn đề cơ bản
Rủi ro ngành sản xuất và an ninh mạng. nguồn : NTT Ltd

Các nhà nghiên cứu của NTT Ltd. đã tìm thấy 69% tất cả các phần mềm độc hại được phát hiện trong ngành sản xuất là virus / sâu (43%) hoặc Trojan / droppers (26%). Trong số phần mềm độc hại này, các nhà nghiên cứu đã phát hiện ra sâu Conficker là biến thể được phát hiện phổ biến nhất, bao gồm 11% của tất cả các phát hiện. Sự hiện diện của  worm cho thấy việc sử dụng mật khẩu yếu, các biện pháp phòng ngừa bảo mật lỗi thời và các hệ thống lỗi thời hoặc chưa được vá lỗi, khiến các tổ chức dễ bị lây nhiễm thông qua các biến thể phần mềm độc hại khác.

Ramnit là Trojan được phát hiện nhiều nhất trong ngành này, chiếm 60% trong tất cả các phát hiện Trojan. Ramnit ảnh hưởng đến người dùng Windows, lan truyền mạnh mẽ thông qua nhiều kỹ thuật và đã được phát hiện trong cửa hàng Google Play. Nó có thể lọc dữ liệu từ các thiết bị bị nhiễm, bao gồm mật khẩu FTP, cookie và thông tin đăng nhập. Điều này có thể dẫn đến tổn thất nghiêm trọng về uy tín hoặc tài chính.

Phần mềm độc hại hiện đại đòi hỏi một cách tiếp cận khác. Mặc dù cần có phần mềm chống phần mềm độc hại, các tổ chức cũng nên triển khai chương trình quản lý bản vá hoạt động để giảm vectơ lây nhiễm, cách ly mạng để giúp can thiệp vào việc truyền bá và chương trình phản hồi tích cực bao gồm sao lưu ngoại tuyến để giúp phục hồi nhanh chóng hiệu quả hơn.

Tính quan trọng của việc bảo vệ hệ thống SCADA – ICS 

Các cuộc tấn công mạng thường có một trong ba mục tiêu chính: Tiền, Dữ liệu hoặc Hủy diệt và đôi khi là sự kết hợp của cả ba. Không có gì đáng ngạc nhiên, các quốc gia có cơ sở hạ tầng Internet tiên tiến hơn đã kết hợp nhiều quy trình kỹ thuật số trực tuyến hơn vào hoạt động kinh doanh của họ trải qua các cuộc tấn công mạng đa dạng hơn. Điều này là do các hệ thống trở nên phức tạp hơn về mặt kỹ thuật số, càng có nhiều khả năng chúng có các lỗ hổng không xác định, dẫn đến nhiều điểm có thể xâm nhập cho kẻ tấn công.

An ninh mạng SCADA - ICS và những vấn đề cơ bản
tình hình Malware trong hệ thống điều khiển công nghiệp. nguồn : NTT

Người ta ước tính rằng chi phí cho hoạt động mạng độc hại trên toàn thế giới dao động từ 300 tỷ đô la đến 1 nghìn tỷ đô la và khiến các công ty tốn nhiều tiền hơn mỗi năm do số hóa doanh nghiệp tăng lên. Các chi phí này có thể được phân loại thành chi phí trực tiếp – điều tra vụ hack, mất doanh thu, thực hiện các giao thức bảo mật nâng cao – và các chi phí gián tiếp như mất năng suất, tiền phạt theo quy định và tổn hại đến uy tín của công ty.

Tấn công vào các hệ thống kiểm soát, quản lý vận hành, quyền lực quan trọng có thể có tác động thảm khốc, dẫn đến mất điện trên toàn bộ các quốc gia. Để giảm thiểu rủi ro, trước tiên các doanh nghiệp phải hiểu các lỗ hổng của họ. Các kỹ thuật chính được sử dụng bởi tin tặc để có quyền truy cập vào các hệ thống quan trọng có thể được phân loại thành ba nhóm: Con người, Quy trình và Công nghệ..

An ninh mạng SCADA - ICS và những vấn đề cơ bản

Con người

Tài sản dễ bị tổn thương nhất trong một tổ chức là con người, vì cuối cùng ban lãnh đạo không kiểm soát được hành động của từng nhân viên. Do đó, việc thiếu đào tạo hoặc bất cẩn từ nhân viên có thể khiến hệ thống SCADA của bạn dễ bị xâm nhập.

Nhiều kẻ tấn công có được quyền truy cập ban đầu vào các hệ thống mục tiêu bằng cách thực hiện các cuộc tấn công social engineering đơn giản chống lại các nạn nhân không ngờ tới để thu thập thông tin bí mật như mật khẩu người dùng hoặc để có quyền truy cập hệ thống từ xa. Kiểu tấn công này cực kỳ phổ biến vì việc lừa một cá nhân cung cấp mật khẩu sẽ dễ dàng hơn nhiều so với việc bẻ khóa mật khẩu.

Quy trình

Các cuộc tấn công quy trình thường liên quan đến việc khai thác lỗ hổng mật khẩu hoặc mạo danh nhân viên được ủy quyền. Kỹ thuật này được liên kết chặt chẽ với social engineering do yếu tố con người liên quan đến việc thiết kế các chính sách và quy trình hoạt động. Nếu các lỗ hổng trong các hoạt động như quản lý mật khẩu, lưu trữ dữ liệu hoặc tường lửa hệ thống trở nên nổi tiếng, tội phạm mạng có thể khai thác chúng như một cách để truy cập trái phép vào hệ thống của bạn.

Công nghệ

Kiểu tấn công này tập trung vào khai thác điểm yếu trong kiến ​​trúc mạng như tấn công WiFi, ethernet hoặc USB. Điều này bao gồm các cuộc tấn công vào giao diện web và các thiết bị USB bị nhiễm virus. Hệ thống SCADA được bảo mật đúng cách sử dụng chiến lược phòng thủ theo chiều sâu, cách tiếp cận nhiều lớp với nhiều rào cản hệ thống đối đầu với kẻ tấn công ở nhiều cấp độ khác nhau của mạng. Do đó, nếu tin tặc có quyền truy cập vào các hệ thống nội bộ thông qua các lỗ hổng Social engineering hoặc hoạt động, hệ thống SCADA sẽ vẫn được bảo vệ đằng sau một hệ thống tường lửa riêng.

An ninh mạng SCADA - ICS và những vấn đề cơ bản
Bảo vệ hệ thống SCADA-ICS. Nguồn :NTT

Làm sao để bảo vệ hệ thống SCADA – ICS

Quản lý hệ thống mạng

Khả năng hiển thị trực quan hóa là chìa khóa để bảo mật Mạng SCADA vì không hiểu rõ về tài sản hệ thống, không thể đánh giá rủi ro và áp dụng các biện pháp phòng vệ hiệu quả. Một giải pháp SCADA điển hình sẽ bao gồm vô số bộ điều khiển như PLC và RTU được sản xuất bởi sự kết hợp của các nhà cung cấp. 

Do đó, các thành phần có thể có các yêu cầu bảo trì và tính tương thích khác nhau, gây khó khăn cho việc phát triển một chiến lược quản lý mạng nhất quán. Bằng cách vạch ra tất cả các tài sản mạng, tài khoản người dùng và các điểm kết nối, có thể đạt được cái nhìn toàn diện về hệ thống SCADA, xác định tất cả các điểm truy cập tiềm năng mà sau đó có thể được giám sát và duy trì chặt chẽ.

Các mạng SCADA không có hệ thống giám sát và phát hiện sẽ dễ bị tấn công mạng hơn. Giám sát an ninh SCADA có thể phát hiện và giảm thiểu mọi cuộc tấn công tiềm năng càng nhanh càng tốt, hạn chế quy mô thiệt hại. Các giao thức bảo mật mạng cũng được yêu cầu để đảm bảo tính bảo mật và tính toàn vẹn của dữ liệu mạng, các giao thức này đòi hỏi sự chú ý và chỉnh sửa liên tục để duy trì bảo mật hệ thống trong bối cảnh công nghệ luôn thay đổi.

An ninh mạng SCADA - ICS và những vấn đề cơ bản
Trực quan hóa thông tin an toàn cho hệ thống SCADA – ICS. Nguồn : CheckPoint

Huấn luyện nhận thức nhân viên

Các doanh nghiệp phải đào tạo toàn diện về các mối đe dọa an ninh mạng và cách xác định chúng để đảm bảo rằng tất cả nhân viên đều khôn ngoan với các kỹ thuật social engineering có thể được sử dụng bởi kẻ tấn công mạng. Ngoài ra, các quy trình báo cáo rõ ràng phải được truyền đạt để đảm bảo các cuộc tấn công social engineering đã cố gắng nhanh chóng được báo cáo cho bộ phận liên quan và truyền đạt tới tất cả nhân viên. Nhận thức tăng lên này sẽ làm giảm nguy cơ xâm nhập hệ thống trái phép trong tương lai.

Quản lý truy cập người dùng (User Access Management)

Trong những năm qua, các hệ thống kiểm soát quan trọng đã phát triển về cả số lượng chức năng mà chúng có thể thực hiện và ở mức độ truy cập nhiều người dùng. Để quản lý bảo mật trong các hệ thống kiểm soát phức tạp này, các cấp độ truy cập và cài đặt tài khoản nghiêm ngặt của người dùng phải được thi hành.

Người dùng nên được cấp mức thẩm quyền thấp nhất cần thiết để thực hiện vai trò của họ. Một sai lầm chính là cung cấp cho tất cả người dùng quyền truy cập nâng cao, khiến hệ thống dễ bị tấn công nội bộ hơn từ một nhân viên bất mãn. Tài khoản người dùng cá nhân cũng phải được theo dõi liên tục, bao gồm thay đổi cấp độ truy cập tài khoản khi nhân viên thay đổi vai trò và hủy kích hoạt tài khoản nhân viên ngay lập tức để thu hồi quyền truy cập.

Ngoài việc giáo dục nhân viên về các chiến thuật social engineering , chính sách quản lý mật khẩu cũng cần được thực hiện để cải thiện bảo mật hệ thống. Hành động đầu tiên được thực hiện khi một thiết bị mới được khởi tạo là thay đổi mật khẩu mặc định, vì mật khẩu do nhà cung cấp đặt thường không an toàn và có thể bị xâm phạm thông qua một cuộc tấn công vào hệ thống của nhà cung cấp.

Việc tăng kết hợp các ký tự chữ cái, số và ký tự đặc biệt được sử dụng trong mật khẩu của bạn sẽ làm tăng thời gian cần thiết để bẻ khóa mật khẩu của bạn.

Theo nguyên tắc, mật khẩu phải bao gồm tối thiểu 10 ký tự và chứa ít nhất một trong các ký tự sau: số, chữ thường, chữ hoa và đặc biệt. Thời hạn sử dụng mật khẩu cũng nên được đặt để chúng không vượt quá thời gian để tin tặc bẻ khóa mật khẩu; điều này đảm bảo rằng mọi nỗ lực xâm phạm mật khẩu bằng phần mềm tinh vi đều thất bại.

An ninh mạng SCADA - ICS và những vấn đề cơ bản

Quản lý phần mềm nghiêm ngặt

Khi ngành công nghệ tiếp tục phát triển với tốc độ theo cấp số nhân, các giải pháp phần mềm và phần cứng đang trở nên lỗi thời hơn bao giờ hết. Do đó, điều quan trọng là các doanh nghiệp phải có chính sách để đánh giá hệ thống định kỳ và cập nhật hệ thống của họ theo yêu cầu. Điều này không chỉ cải thiện chức năng của các hệ thống SCADA mà còn thúc đẩy bảo mật SCADA.

Các bản vá bảo mật phải được áp dụng theo yêu cầu và khi được yêu cầu vì đây là một trong những điều đầu tiên mà hacker sẽ kiểm tra khi cố xâm nhập bất kỳ hệ thống kiểm soát nào. Nếu các bản vá bảo mật không được cập nhật, có nguy cơ lớn hơn là hệ thống có điểm xâm nhập không bảo đảm mà kẻ tấn công sẽ sử dụng để khai thác hệ thống.

Việc triển khai phần mềm mới cần được điều chỉnh bởi các hướng dẫn nghiêm ngặt. Số lượng người dùng được ủy quyền triển khai phần mềm nên được giới hạn ở những nhân viên đáng tin cậy để giảm rủi ro cho bất kỳ phần mềm độc hại nào được cài đặt. Ngoài ra, chỉ nên triển khai phần mềm được xác thực trên hệ thống, điều này có thể được điều chỉnh bằng cách kiểm tra mã xác thực phần mềm là xác thực hoặc sử dụng chứng chỉ không gian mạng để xác minh phần mềm.

Phát hiện hành vi bất thường, đáng ngờ

Với kho tài sản rõ ràng và đường cơ sở của các mẫu đại diện cho hành vi của mạng và ứng dụng, hệ thống giám sát mạng công nghiệp được chuẩn bị để xác định khi mọi thứ có vẻ đáng ngờ. Khi các mẫu cơ sở được so sánh trong thời gian thực với hoạt động của ICS, hệ thống có thể đưa ra cảnh báo và hành động nhanh chóng trước nguy cơ thỏa hiệp.

Có một khía cạnh khác của phát hiện là một phần của xu hướng di động. Quản lý thiết bị di động (MDM) được các doanh nghiệp sử dụng để triển khai các chính sách phù hợp với quyền của nhân viên di động. Một ví dụ sẽ có chính sách tắt camera thiết bị khi làm việc nhưng cho phép nó khi ở ngoài site .

Các giải pháp tốt nhất có bảo mật tích cực để thiết bị có thể phản ứng với các mối đe dọa ngay cả khi bị ngắt kết nối mạng. Các hệ thống này chủ động phát hiện các thiết bị đã root và bẻ khóa. Họ cũng phát hiện các cuộc tấn công trung gian, các điều kiện âm thầm, các thiết bị bị mất hoặc bị đánh cắp và các cuộc tấn công mạng (ViaSat, 2016).

Giảm thiểu thiệt hại, đảm bảo phục hồi khi có sự cố

Đối với thiết bị di động, phản hồi tự động bao gồm khóa hoặc xóa thiết bị, khởi động lại về trạng thái an toàn hoặc vô hiệu hóa truy cập mạng. Các hệ thống tốt nhất cũng thông báo cho nhân viên an ninh và vận hành khi phát hiện ra mối đe dọa.

Điều quan trọng là phải có kiểm soát các phiên bản mạnh để có thể khôi phục về điểm tham chiếu an toàn sau sự cố. Kiểm soát phiên bản được triển khai trên máy chủ bảo mật giúp duy trì tính toàn vẹn của cấu hình và cung cấp khả năng truy nguyên cho bất kỳ thay đổi nào được thực hiện đối với các tệp cấu hình.

Việc sử dụng các máy ảo (VM) để lưu trữ ICS được thiết kế để giảm thiểu rủi ro mất dữ liệu. Bằng cách triển khai khôi phục thảm họa dưới dạng dịch vụ (DRaaS) trên VM, thời gian để khôi phục có thể chỉ là 15 phút (Veeam, 2016). Bởi vì thời gian giữa xâm nhập và phát hiện là xu hướng sai (Verizon, 2016), điều này vẫn có thể dẫn đến mất dữ liệu.

Ngăn chặn kẻ xấu thông qua quản lý thông tin xác thực và bảo vệ xâm nhập vẫn là cách tốt nhất để bảo mật SCADA trong thời đại IoT.

Kết luận 

Một cách tiếp cận an toàn. Các thực tiễn tốt nhất được nêu trong bài viết này là một điểm khởi đầu vững chắc để bắt tay vào bất kỳ dự án tự động hóa công nghiệp mới nào, hoặc để xem xét lại một dự án đã có trong dịch vụ. Bảo mật tốt phải được thực hiện cẩn thận ở nhiều cấp độ và có hiệu quả nhất khi các điều khoản bảo mật được xây dựng thành các sản phẩm tự động hóa, không được chốt. Các tính năng bảo mật tích hợp giúp bạn thực hiện bảo mật nhanh chóng với chi phí tối thiểu nhất và tránh được các cuộc tấn công trong tương lai.

Tăng độ Trưởng thành về cách tiếp cận tổ chức của bạn để được an toàn từ thiết kế ban đầu (Secure in design). Khả năng phục hồi không gian mạng và các giải pháp triển khai được bảo mật bởi thiết kế là một thành phần quan trọng trong việc tiến hành kinh doanh trong một thế giới kỹ thuật số. Hiểu được mục tiêu của tổ chức của bạn, xác định rủi ro chấp nhận được và xây dựng các khả năng phục hồi không gian mạng là điều cần thiết để điều hướng bối cảnh mối đe dọa. NTT Ltd. khuyên bạn nên đánh giá tổ chức của bạn về trạng thái hiện tại và xác định trạng thái tương lai mong muốn của bạn. 

Các tổ chức theo các thực hành an ninh mạng truyền thống đã buộc phải suy nghĩ lại về cách tiếp cận của họ. Sự phức tạp của bối cảnh mối đe dọa, cùng với các tiêu chuẩn, quy định và luật bảo mật luôn thay đổi, tiếp tục nâng cao mức độ mà một chương trình bảo mật hoàn chỉnh phải giải quyết. Các tập quán truyền thống đang và sẽ vẫn không đủ khả năng chống lại các mối đe dọa hiện đại và các tổ chức phải thừa nhận an ninh tuyệt đối là không thể. An ninh mạng và lãnh đạo doanh nghiệp phải thay đổi cách họ suy nghĩ và áp dụng bảo mật, và phải chuyển đổi từ một tư duy phản ứng, sang một cách tiếp cận hiệu quả hơn, chủ động, dựa trên trí thông minh.

Giám sát môi trường liên tục đang bị đe dọa. Các tổ chức theo dõi chặt chẽ môi trường đe dọa hiện tại sẽ có lợi thế đáng kể trong việc giải quyết các mối đe dọa. Tận dụng an ninh mạng thông minh để hướng dẫn các quyết định, hỗ trợ sự nhanh nhẹn trong kinh doanh và duy trì mức độ rủi ro chấp nhận được cho tổ chức là điều cần thiết để thành công. Nếu tổ chức của bạn không tận dụng các khả năng tình báo mối đe dọa hữu cơ hoặc tích cực cộng tác trong các cộng đồng tình báo mối đe dọa, nó sẽ gặp bất lợi trong khi cố gắng quản lý rủi ro.

Tập trung vào tiêu chuẩn hóa các hệ thống điều khiển. Những người bảo vệ an ninh mạng nên tập trung vào việc tận dụng các tiêu chuẩn, kiến ​​thức và khuôn khổ được xác định bởi các nhà lãnh đạo toàn cầu trong không gian an ninh. MITER ATT & CK và NIST Cybersecurance Framework là một vài ví dụ về kiến ​​thức và khung đang ngày càng trở nên phổ biến với các nhà thực hành an ninh mạng ở nước ngoài. Các khung bảo mật chứa các khuyến nghị tiêu chuẩn tồn tại để giúp các tổ chức giảm thiểu rủi ro và cung cấp thông tin tuyệt vời để giúp các tổ chức đánh giá rủi ro của tổ chức.

Nguồn bài viết NTT Security
Để lại một câu trả lời

Địa chỉ email của bạn sẽ không được công bố.