Năm phương pháp hay nhất để giảm rủi ro an ninh mạng OT/ICS

Các hệ thống điều khiển công nghiệp (ICS) nhập và tự động hóa hàng nghìn biến số để kiểm soát các quy trình nguy hiểm thường sử dụng nhiệt độ cao và nguyên liệu thô dễ bay hơi để tạo ra sản phẩm cuối cùng. Độ an toàn và độ tin cậy của các hệ thống này là tối quan trọng để đáp ứng các mục tiêu về sức khỏe, an toàn và môi trường (HSE) của cơ sở công nghiệp, sản xuất hiệu quả và không bị cúp điện đột xuất. Những hệ thống này chưa bao giờ được thiết kế để đảm bảo an toàn mạng và trong nhiều thập kỷ được coi là không có lỗ hổng và những kẻ tấn công mạng không thể tiếp cận được.

Sự phát triển của rủi ro OT/ICS

Đó không còn là thực tế nữa. Với việc áp dụng các công nghệ chuyển đổi kỹ thuật số để tăng hiệu quả và giảm chi phí, các cơ sở công nghiệp, thường hoạt động trong các lĩnh vực này, hiện là các hệ thống mạng/vật lý được kết nối. Do đó, chủ sở hữu/người điều hành tài sản đang vận hành một “nhà máy được kết nối” và nhận thấy rằng các hệ thống quan trọng của họ rất dễ bị tấn công mạng. Với sự xuất hiện liên tục của các cuộc tấn công thành công vào cơ sở hạ tầng quan trọng, quản lý rủi ro đã trở thành một chủ đề phổ biến trong các phòng họp trên toàn cầu, dẫn đến áp lực lớn hơn đối với các nhóm vận hành và an ninh để đảm bảo rằng các biện pháp phòng thủ được thực hiện và nếu một cuộc tấn công thành công xảy ra, hậu quả sẽ được giảm thiểu đến mức rủi ro có thể chấp nhận được.

Thực hành tốt nhất 1: Xem nó, quản lý nó

Nền tảng của bất kỳ chương trình an ninh mạng công nghệ vận hành (OT)/ICS nào là kho tài sản chuyên sâu, đầy đủ, phải bao gồm tất cả thông tin chi tiết về hệ thống và thiết bị đầu cuối nào đang chạy trong môi trường công nghiệp. Bạn phải có khả năng “nhìn thấy nó” trước khi nó có thể được bảo vệ. Độc đáo như logic kiểm soát trên nhiều trang web khác nhau, khoảng không quảng cáo nội dung cũng có nhiều hình dạng và kích cỡ khác nhau.

Để sử dụng hiệu quả thông tin kiểm kê tài sản trong suốt chương trình an ninh mạng, việc biết rằng hệ thống kiểm soát phân tán (DCS) đang giao tiếp với bộ điều khiển logic khả trình (PLC) hoặc máy chủ đang giao tiếp với một công tắc là không đủ để giảm thiểu rủi ro. Mức độ chi tiết đó có thể dễ dàng đạt được bằng cách theo dõi và phân tích lưu lượng truy cập mạng để xây dựng khoảng không quảng cáo. Phương pháp này cung cấp lợi ích phát hiện nhưng cũng bị hạn chế ở chỗ nó chỉ có thể cung cấp thông tin kiểm kê tài sản xuống Cấp 2 của Mô hình Purdue và do đó không đạt được kiểm kê đầy đủ, vì ngoài ra, phương pháp này không thể phát hiện các điểm cuối ở Cấp 1 và Cấp 0 đối với các tài sản “đảo” đang hoạt động trong một mạng khép kín hoặc “không bị ngắt kết nối” nhưng vẫn dễ bị tấn công từ các mối đe dọa nội bộ.

Kiểm kê tài sản chuyên sâu trông như thế nào (hình 1)? Công nghệ phải có khả năng cung cấp thông tin tài sản chi tiết, bao gồm nhà sản xuất, kiểu máy, phiên bản và số sê-ri cho mọi phần cứng, phần sụn và phần mềm, cho dù có kết nối với mạng hay không, trên toàn bộ môi trường hệ thống điều khiển công nghiệp. Để giảm rủi ro an ninh mạng trong môi trường ICS, thông tin kiểm kê tài sản phải bao gồm mọi DCS và bộ điều khiển, thẻ đầu vào/đầu ra (I/O), mô-đun giao tiếp và phiên bản phần sụn được tải vào mỗi thiết bị này, cũng như mức độ chi tiết cho PLC, hệ thống thiết bị an toàn (SIS) và giao diện người-máy (HMI), v.v. Phương pháp duy nhất để đạt được mức độ hiển thị này là thu thập và phân tích các tệp cấu hình hệ thống điều khiển gốc, điều này sẽ cho phép bạn tự tin trả lời các câu hỏi quan trọng thường gặp trong quản lý lỗ hổng, quản lý vòng đời tài sản và lập kế hoạch di chuyển tài sản, bao gồm:

• “Tôi có tài sản đó không?”
• ​“Có bao nhiêu người trong môi trường ICS?
• “Họ ở đâu?”

Theo kinh nghiệm của Hexagon, khi làm việc với các khách hàng trên toàn cầu, chúng tôi thường thấy có hơn 100 thành phần trên mỗi DCS, hơn 45 thành phần cho SIS và hơn 40 thành phần cho PLC. Ngoài ra, đối với mỗi máy tính, máy trạm kỹ thuật, trạm điều hành, v.v., có thể có hơn 450 mặt hàng tồn kho. Đối với các nhà máy lọc dầu cụ thể, thông thường phải xác định hơn 6.000 điểm cuối hàng tồn kho phải được quản lý và bảo vệ khỏi các mối đe dọa trên mạng.

Phương pháp hay nhất 2: Đảm bảo tính toàn vẹn của dữ liệu cấu hình

Có được một bản kiểm kê tài sản toàn diện là Bước 1, nhưng thời gian ngừng hoạt động ngoài dự kiến ​​vẫn có thể xảy ra. Sử dụng phân tích cấu hình là một phương pháp để giảm rủi ro và cải thiện khả năng phục hồi của doanh nghiệp với hồ sơ theo dõi đã được chứng minh về việc ngăn chặn và rút ngắn thời gian ngừng hoạt động ngoài dự kiến. Mỗi môi trường công nghiệp là duy nhất. Có một số loại thay đổi nhất định có thể xảy ra trong các tệp cấu hình có thể chỉ ra khả năng cao xảy ra mối đe dọa sắp xảy ra. Để có được khả năng hiển thị các chỉ số này, có sẵn phần mềm tự động hóa quy trình so sánh các tệp cấu hình và cảnh báo về bất kỳ thay đổi nào có thể ảnh hưởng đến an toàn và/hoặc bảo mật của môi trường vận hành. Phương pháp này cung cấp khả năng hiển thị để giảm đáng kể hậu quả của sự cố mạng hoặc sự cố vận hành, và do đó giảm rủi ro an toàn và an ninh mạng tổng thể trong một cơ sở công nghiệp.

Để đảm bảo tính toàn vẹn của dữ liệu cấu hình, đường cơ sở—hoặc ảnh chụp nhanh của cấu hình như hiện tại—của cấu hình “tốt đã biết” của tất cả nội dung phải được tạo và liên tục theo dõi mọi sai lệch theo nhịp dựa trên thời gian. Một công cụ cơ sở cấu hình tốt cho phép các kỹ sư ICS xác định các giá trị thuộc tính khác nhau giữa các loại nội dung, mức độ quan trọng của nội dung hoặc các bên khác nhau chịu trách nhiệm về hoạt động của nội dung. Công cụ quản lý cấu hình có thể cảnh báo cho các bên liên quan dựa trên loại sai lệch để giảm thời gian phản hồi trung bình. Ví dụ: hệ thống bảo mật phải được thông báo nếu một số cài đặt đăng ký nhất định bị thay đổi trong máy chủ hệ thống điều khiển, vì điều đó có thể cho thấy đã có được quyền truy cập bằng chứng xác thực trái phép và các cài đặt trong hệ thống điều khiển có thể bị thao túng. Một ví dụ khác mà các kỹ sư ICS cần được thông báo để phản hồi ngay lập tức nếu đột nhiên phiên bản phần sụn của một số thẻ PLC thay đổi.

Một quy trình quản lý cấu hình vững chắc phải bao gồm việc thu thập tự động và so sánh thông tin cấu hình tài sản với các đường cơ sở đã xác định. So sánh tệp đơn giản hoặc thông báo về sự kiện tải xuống là không đủ để xác định đường cơ sở vì một tệp cấu hình duy nhất có thể chứa các giá trị hoạt động bình thường cũng như thông tin về độ tin cậy của hệ thống hoặc bảo mật. Người ta mong đợi rằng các giá trị hoạt động của quy trình sẽ thay đổi thường xuyên, vì vậy việc cảnh báo về những giá trị đó không có ý nghĩa gì. Ngoài ra, các bên chịu trách nhiệm có thể khác nhau đối với sự kiện thay đổi bảo mật so với sự kiện về độ tin cậy của hệ thống. Vì vậy, giải pháp cần hiểu chính xác những gì đã thay đổi trong tệp để cảnh báo cho các bên thích hợp về hành động. Bạn không cần thực hiện hành động nào nếu không phát hiện thấy các loại sai lệch này. Tuy nhiên, nếu độ lệch được phát hiện trong quá trình so sánh, các thay đổi phải được đánh giá, xác minh và ghi lại dưới dạng giá trị cơ sở mới hoặc quay trở lại cấu hình trước đó.

Phương pháp hay nhất 3: Đánh giá rủi ro dựa trên môi trường

Đánh giá rủi ro OT/ICS là một thách thức đa chiều, theo đó cần có một số nguồn thông tin để cung cấp bối cảnh tổng thể, bao gồm xem xét các yếu tố tác động môi trường, tính dễ bị tổn thương và thời gian. Thông tin môi trường bao gồm bản đồ kiểm kê tài sản toàn diện và cấu trúc liên kết (hình 2) để hiển thị toàn bộ môi trường và các kết nối giữa các tài sản. Sau khi đạt được chế độ xem đầy đủ, các tài sản sau đó có thể được nhóm một cách hợp lý để đánh giá xem một lỗ hổng cụ thể đã biết có ảnh hưởng đến các tài sản khác trong môi trường hay không. Nhóm hợp lý các tài sản tiếp tục xây dựng dựa trên khả năng hiển thị ban đầu cần thiết để bảo đảm hiệu quả hơn các tài sản có rủi ro cao.

Tiếp theo, điều quan trọng là phải xem bề mặt tấn công (hình 3) và biết các lỗ hổng tồn tại trong kho tài sản. Thông tin này có thể đến từ một nguồn như Cơ sở dữ liệu về lỗ hổng quốc gia của Hoa Kỳ, các lỗ hổng khai thác đã biết và phân tích mối đe dọa độc lập. Tại thời điểm này, một quy trình tự động thu thập dữ liệu về lỗ hổng và chạy dữ liệu đó dựa trên kho tài sản để xác định xem lỗ hổng tồn tại trong môi trường có giúp cuộc sống trở nên dễ dàng hơn nhiều hay không và giúp xác định biện pháp giảm thiểu nào là phù hợp.

Lĩnh vực bối cảnh thứ ba cần thiết để đánh giá và xây dựng điểm số rủi ro tốt hơn là kết hợp các yếu tố tác động tạm thời dành riêng cho doanh nghiệp hoặc môi trường OT/ICS cấp cơ sở. Rủi ro có nhiều hình dạng và kích cỡ, và bằng cách kết hợp chấm điểm tác động theo thời gian, người dùng đạt được mức độ cụ thể về rủi ro duy nhất đối với môi trường của họ. Các yếu tố tác động có thể là độ nhạy, khả năng kết nối, mức độ quan trọng, tác động an toàn và các yếu tố khác. Điều quan trọng là chúng dành riêng cho môi trường của bạn.

Giả sử một lỗ hổng mới với điểm số 8 của hệ thống chấm điểm lỗ hổng phổ biến (CVSS) được công bố (hình 4) và bạn muốn biết nội dung nào bị ảnh hưởng. Việc kết hợp các yếu tố tác động theo thời gian có thể thay đổi điểm rủi ro thành 9 hoặc giảm xuống 6,5. Nếu nó di chuyển xuống, dựa trên mức độ bối cảnh tăng lên này, có thể có nhiều lỗ hổng quan trọng hơn cần tập trung vào trước hoặc nếu nó tăng lên, thì có thể nên thận trọng chuyển nó lên đầu danh sách để khắc phục/giảm thiểu. Lợi ích là bạn sẽ hiểu rõ hơn lỗ hổng nào là quan trọng nhất và tại sao, dựa trên môi trường cụ thể của bạn.

Phương pháp hay nhất 4: Sử dụng phân tích pháp y về các thay đổi cấu hình

Có rất nhiều kẻ xấu ngoài kia và không gieo rắc nỗi sợ hãi, sự không chắc chắn và nghi ngờ (FUD), điều quan trọng là phải có sự tôn trọng lành mạnh đối với các mối đe dọa tồn tại trong thế giới kết nối đang mở rộng nhanh chóng của chúng ta. Bạn có thể không bao giờ gặp phải một cuộc tấn công, nhưng để giảm thiểu rủi ro, bạn phải có một chương trình an ninh mạng được xây dựng dựa trên giả định rằng bạn sẽ gặp phải. Tương tự như vậy, chúng ta có thể lái xe hàng ngàn dặm một năm mà không nghĩ rằng mình sẽ gặp tai nạn, nhưng chúng ta luôn hoặc nên luôn luôn thắt dây an toàn đề phòng tai nạn xảy ra.

Xem xét kỹ hơn sự tương tự này, giả sử nhà máy của bạn có tấm chắn bùn (tức là sự cố). Biết được mức độ nghiêm trọng và nguyên nhân của nó sẽ cho phép thực hiện các bước để nó không xảy ra lần nữa. Với phân tích pháp lý về các thay đổi cấu hình, bạn sẽ có thể cải thiện phản ứng sự cố bằng cách xác định chính xác các thay đổi logic đã xảy ra để có thêm thông tin phân tích. Thông tin này hỗ trợ rất nhiều cho những người ứng phó sự cố trong việc hiểu đầy đủ thành phần của sự cố và giảm thời gian trung bình để phục hồi.

Thực hành tốt nhất 5: Sao lưu, sao lưu, sao lưu

Phần mềm tống tiền và các loại tấn công mạng khác ngày càng phổ biến trong môi trường OT/ICS và chúng ta phải cho rằng mình sẽ bị tấn công. Một lần nữa, không phải FUD, mà là sự tôn trọng lành mạnh đối với thực tế mà chúng ta đang sống. Do đó, khả năng phục hồi của bạn sau các sự cố mạng hoặc hoạt động, dù độc hại hay không, là rất quan trọng đối với sự thành công của doanh nghiệp bạn.

Khi xem xét chiến lược sao lưu của bạn, nên sử dụng phương pháp “hai là một, một là không”. Một điểm hoặc quy trình khôi phục đáng tin cậy duy nhất là không đủ đối với các tài sản mạng OT/ICS quan trọng. Nếu cơ sở công nghiệp của bạn bị tấn công (hoặc bất kỳ sự kiện nghiêm trọng nào xảy ra có thể buộc phải ngừng hoạt động, chẳng hạn như một sự kiện thảm khốc như động đất hoặc bão), bạn có thể tự tin khôi phục quy trình của mình trở lại trạng thái như trước khi mạng hoặc hoạt động sự cố là rất quan trọng để đáp ứng mục tiêu thời gian phục hồi của bạn và duy trì các hoạt động an toàn và có lãi.

_{Tính năng này ban đầu xuất hiện trong TỰ ĐỘNG HÓA 2022 Tập 4: An ninh mạng & Kết nối.}