 |
Các hệ thống điều khiển công nghiệp (ICS) và mạng SCADA (Hệ thống kiểm soát giám sát và thu thập dữ liệu) được xây dựng dưới dạng hệ thống độc lập, chưa có kết nối internet. Tuy nhiên, xu hướng chuyển đổi số ngày nay đang buộc các hệ thống này phải trực tuyến, tạo ra sự mất cân bằng giữa hiệu quả và bảo mật.
Chúng ta đang dần thấy hậu quả của sự mất cân bằng này. Gần đây, một nhà sản xuất toàn cầu thuộc danh sách Fortune 500 đã đối mặt với một lỗ hổng có khả năng gây thảm họa. Trong nỗ lực hiện đại hóa các cơ sở sản xuất, công ty đã tích hợp mạng SCADA với các giải pháp phân tích dựa trên đám mây và giám sát từ xa. Nhưng trong quá trình đó, nhiều điểm cuối SCADA vô tình bị lộ ra internet công cộng. Do không có biện pháp kiểm soát xác thực mạnh mẽ hoặc phân đoạn mạng, các hệ thống này trở thành mục tiêu hấp dẫn đối với kẻ tấn công.
Những điều đó gây ảnh hưởng rất nghiêm trọng và sâu rộng. Việc truy cập không cần xác thực vào hệ thống SCADA đồng nghĩa với việc kẻ tấn công có khả năng thao túng quy trình công nghiệp, dẫn đến gián đoạn sản xuất. Vì các hệ thống này điều khiển máy móc vật lý, bất kỳ sự xâm nhập nào cũng có thể tạo ra nguy hiểm về an toàn, đe dọa công nhân và có khả năng làm hỏng tài sản quý giá. Tính toàn vẹn của dữ liệu đo lường quan trọng cũng bị đe dọa, truy cập trái phép có thể cho phép kẻ tấn công thay đổi các thông số, dẫn đến sản phẩm đầu ra bị lỗi.
Ngoài những lo ngại về hoạt động, nhiều ngành công nghiệp yêu cầu kiểm soát an ninh mạng nghiêm ngặt đối với ICS/SCADA thông qua các tiêu chuẩn như NIST 800-82 và IEC 62443, nghĩa là bất kỳ sơ suất an ninh nào cũng có thể dẫn đến các khoản phạt đáng kể và tổn hại danh tiếng.
Đây là một lời cảnh tỉnh cho một ngành công nghiệp đang chạy đua chuyển đổi số mà không hiểu hết rủi ro. Việc ngành sản xuất áp dụng điện toán đám mây và giám sát từ xa có thể tăng hiệu quả, nhưng nó cũng tạo ra lỗ hổng trong các hệ thống vốn không được thiết kế để kết nối với thế giới bên ngoài.
Mối đe dọa trực tiếp
Các hệ thống điều khiển công nghiệp đang vận hành các nhà máy của chúng ta ngày nay được xây dựng cho một kỷ nguyên mà an ninh vật lý là đủ, khi một cánh cửa khóa và một nhân viên bảo vệ có thể giữ an toàn cho tài sản của bạn.
Tuy nhiên, trong bối cảnh hiện đại hóa ngày càng phát triển mạnh, chúng ta đang kết nối các hệ thống tương tự này với internet, thường thông qua các giải pháp đám mây và công cụ truy cập từ xa được bảo mật kém. Trong trường hợp tôi đã đề cập, kẻ tấn công có khả năng giành quyền kiểm soát thiết bị nhà máy, gây nguy hiểm cho công nhân, làm ngừng sản xuất, hoặc tệ hơn và công ty hoàn toàn không biết mình đang bị phơi nhiễm.
Các công cụ bảo mật truyền thống đã bỏ sót hoàn toàn những lỗ hổng này vì chúng không được thiết kế để phát hiện chúng. Đó là một điểm mù ngày càng phổ biến trong ngành sản xuất, nơi ranh giới giữa công nghệ vận hành và công nghệ thông tin ngày càng mờ nhạt.
Những điểm mù trong bảo mật truyền thống
Mặc dù đã triển khai các biện pháp bảo mật tiêu chuẩn như máy quét lỗ hổng và giám sát mạng, các tổ chức thường vẫn không nhận thức được mức độ phơi nhiễm thực tế của mình.
Hãy xem xét trường hợp của một số nhà sản xuất lớn có tài sản công nghệ vận hành (OT) tiếp xúc với internet đã được phát hiện trong quá trình quét bên ngoài định kỳ. Đây không phải là những sơ suất nhỏ, chúng bao gồm các bộ điều khiển logic khả trình (PLC), giao diện người máy (HMI) và thậm chí cả các đơn vị đầu cuối từ xa (RTU) trực tiếp điều khiển các quy trình công nghiệp bị phơi nhiễm. Đội ngũ bảo mật nội bộ của họ không hề biết rằng các hệ thống này có thể truy cập được từ internet công cộng.
Tại sao những điểm mù này vẫn tồn tại? Nguyên nhân gốc rễ thường nằm ở cách các mạng công nghiệp phát triển. Một nhà cung cấp có thể lắp đặt modem di động để bảo trì từ xa, hoặc một kỹ sư có thể thiết lập VPN tạm thời để giám sát từ xa nhưng sau đó trở thành vĩnh viễn.
Các công cụ bảo mật truyền thống bỏ sót những rủi ro này vì chúng hoạt động dựa trên các giả định lỗi thời – chúng quét các mạng đã biết, kiểm tra các tài sản đã đăng ký và giám sát các hệ thống được ghi lại. Nhưng trong môi trường sản xuất ngày nay, nơi các hệ thống OT "bóng ma" (shadow OT) và các kết nối không được quản lý phát triển mạnh, phương pháp tiếp cận "từ trong ra ngoài" này có thể để lại những lỗ hổng nguy hiểm.
Kiểm soát qua con mắt của kẻ tấn công
Các nhà sản xuất cần xem xét lại một cách cơ bản cách họ giám sát và bảo vệ các hệ thống công nghiệp của mình. Phương pháp bảo mật truyền thống "từ trong ra ngoài", dựa vào quét mạng nội bộ và danh sách tài sản được xác định trước, không còn đủ khả năng. Thay vào đó, phương pháp "từ ngoài vào trong" kiểm tra cơ sở hạ tầng của nhà sản xuất từ góc độ của kẻ tấn công.
Cách tiếp cận từ ngoài vào trong này đã chứng tỏ hiệu quả trong các tình huống thực tế. Một nhà sản xuất lớn gần đây đã sử dụng phương pháp trinh sát từ ngoài vào trong để khảo sát các hệ thống bị phơi nhiễm bên ngoài của họ bằng cách sử dụng các kỹ thuật OSINT (tình báo nguồn mở) mà tin tặc sẽ triển khai để tìm ra các con đường tốt nhất xâm nhập vào tổ chức của họ.
Bài tập này đã xác định được nhiều hệ thống công nghiệp kết nối internet mà các công cụ bảo mật truyền thống của họ đã bỏ sót, bao gồm các điểm cuối SCADA bị phơi nhiễm kiểm soát các quy trình sản xuất quan trọng, bộ chuyển đổi giao thức công nghiệp cung cấp quyền truy cập từ xa và giao diện người máy (HMI) vẫn còn bật thông tin đăng nhập mặc định.
Những việc cần làm
Kiểm tra các rủi ro bên ngoài trước: Vì hơn 80% các vụ xâm nhập liên quan đến các tác nhân bên ngoài, hãy bắt đầu bằng cách xác định những gì có thể nhìn thấy từ internet. Tìm kiếm bất kỳ tài sản công nghiệp nào kết nối internet, bao gồm bộ điều khiển, HMI, bộ chuyển đổi giao thức và giải pháp truy cập từ xa.
Mở rộng phạm vi khám phá: Đừng giới hạn đánh giá bảo mật ở các tài sản hoặc mạng đã biết. Quét trên tất cả các đơn vị kinh doanh, công ty con và công ty mua lại để tìm kiếm "shadow OT", các hệ thống công nghiệp kết nối internet mà đội ngũ bảo mật không hề hay biết.
Kiểm tra kỹ lưỡng: Tiến hành kiểm tra bảo mật toàn diện tất cả các tài sản bị phơi nhiễm, không chỉ những tài sản được coi là quan trọng. Điều này bao gồm kiểm tra thông tin đăng nhập mặc định, lỗ hổng chưa được vá và cấu hình không an toàn đặc thù cho hệ thống công nghiệp.
Đánh giá tác động, không chỉ mức độ nghiêm trọng về kỹ thuật. Khi ưu tiên các lỗ hổng cần xử lý, hãy xem xét các yếu tố tác động đến hoạt động kinh doanh như sự phụ thuộc vào hoạt động, ý nghĩa an toàn và yêu cầu quy định đặc thù cho môi trường công nghiệp.
Tích hợp kết quả rộng rãi. Đảm bảo rằng các rủi ro được phát hiện được thông báo đến tất cả các bên liên quan, từ đội ngũ bảo mật đến nhân viên vận hành và lãnh đạo cấp cao để thúc đẩy các nỗ lực khắc phục phối hợp.
Những bài học xương máu
Một số người cho rằng lợi ích của chuyển đổi số lớn hơn rủi ro trong sản xuất và họ đúng, nhưng chỉ khi chúng ta ưu tiên bảo mật. Mặc dù sự cố được mô tả đã có kết quả may mắn khi các lỗ hổng được phát hiện và khắc phục kịp thời. Chúng ta có thể không may mắn như vậy khi bề mặt tấn công tiếp tục mở rộng.
Hiện đại hóa trong sản xuất là không thể tránh khỏi, nhưng thành công của nó phụ thuộc vào việc giải quyết an ninh mạng không chỉ như một vấn đề công nghệ thông tin, mà là một rủi ro hoạt động cơ bản đòi hỏi sự chú ý của lãnh đạo. Đã đến lúc phải hành động ngay bây giờ, bảo vệ các hệ thống mới được kết nối này trước khi kẻ tấn công khai thác chún.
Theo industryweek
