Sử dụng Đánh giá rủi ro OT bảy bước

Một hệ thống kiểm soát việc chế tạo các mạch tích hợp đã dừng đột ngột trong quá trình hoạt động thường ngày, phá hủy các tấm wafer trị giá 50.000 USD. Một robot khác vung cánh tay kim loại nặng của nó một cách ngẫu nhiên 180 độ vào lối đi dành cho nhân viên. Đây chỉ là những tai nạn – hãy tưởng tượng những gì một diễn viên xấu có thể dàn dựng. Để quyết định chính xác bạn cần có hệ thống phòng thủ mạng nào để bảo vệ tối ưu, điều quan trọng trước tiên là xem xét rủi ro của bạn trong môi trường công nghệ vận hành (OT). Những thiết bị nào dễ bị tấn công nhất? Các bề mặt tấn công là gì?

Gartner gần đây đã nhấn mạnh hồi chuông cảnh tỉnh rằng việc kết nối tài sản với internet cũng mở ra cơ hội cho ransomware, trojan, sâu máy tính và các cuộc tấn công bằng phần mềm độc hại khó chịu khác. Trong Hướng dẫn thị trường về bảo mật công nghệ vận hành, Gartner đã xác định câu “Ôi chao!” thời điểm—một thuật ngữ lịch sự chỉ thời điểm một người nhận ra rằng việc không đầu tư vào an ninh mạng hiện đại đang tạo ra mối đe dọa tự gây ra. Thời điểm yêu cầu tiền chuộc đến thì đã quá muộn. Cái gì sẽ bị tấn công tiếp theo?

Người dùng có một sự lựa chọn. Bỏ qua kịch bản này và chống lại các vụ hack bằng cách đánh giá các mối đe dọa bằng cách sử dụng bộ công cụ đánh giá rủi ro không tin cậy OT gồm bảy bước này.

Bước 1: Kiểm kê tài sản OT

Tưởng chừng như đơn giản, nhưng nếu không có sự hiểu biết toàn diện về máy móc của bạn, làm sao bạn biết được cái gì đang gặp rủi ro và cần được bảo vệ (Hình 1)? Cân nhắc sử dụng các công cụ giúp hợp lý hóa quy trình này, chẳng hạn như thiết bị bảo mật di động hoặc ứng dụng điểm cuối tự động kiểm tra và kiểm kê tất cả các loại thiết bị OT từ cũ, hiện đại, đến không dây.

Bước 2: Đánh giá nhu cầu và khả năng chịu đựng bảo mật OT

Hãy nhớ rằng những bài học kinh nghiệm từ công nghệ thông tin (CNTT) có thể không áp dụng cho OT. Các đánh giá an ninh mạng CNTT xoay quanh bộ ba CIA: bảo mật, toàn vẹn và sẵn sàng. Bởi vì các hệ thống CNTT thường được sử dụng cho thông tin của công ty nên ưu tiên cao nhất là tính bảo mật. Điều ngược lại là cần thiết cho OT (Bảng 1). Máy hoạt động cả ngày, mỗi ngày, 24 giờ mỗi ngày. Năng suất là chìa khóa. An toàn là rất quan trọng. Sẵn có là ưu tiên.

Khả năng phát hiện cũng rất quan trọng. Nếu bạn không biết rằng có một mối đe dọa tồn tại, thì bạn không thể ứng phó. Môi trường cũng đóng một vai trò quan trọng. Thời tiết khắc nghiệt, vật liệu nguy hiểm và môi trường gồ ghề là những thực tế có thể không ảnh hưởng đến hệ thống CNTT.

Người dùng cũng phải xem xét tầm quan trọng của một tài sản và tác hại tiềm ẩn nếu sử dụng sai mục đích. Ví dụ, khả năng bộ điều khiển có thể kích hoạt cánh tay rô-bốt xoay 180 độ là bao nhiêu? Công nhân sẽ bị tổn thương? Cơ sở vật chất hoặc thiết bị có bị hư hỏng không? Nếu đầu ra của máy bị thay đổi dù chỉ một chút, điều đó có gây bất lợi cho chất lượng không?

Bước 3: Đánh giá các mối đe dọa

Tin tặc không ngừng nghiên cứu các mục tiêu, phát triển hoặc tải xuống các công cụ hack, tìm kiếm các lỗ hổng bảo mật và tấn công. Phần mềm độc hại di chuyển qua các mạng được ngụy trang dưới dạng lưu lượng truy cập thông thường. Nhân viên đi bộ tại chỗ thường mang theo các mối đe dọa mạng tiềm ẩn trong máy tính xách tay và ổ USB của họ. Mỗi loại tấn công có một mức độ đe dọa khác nhau và những kẻ tấn công thường kết hợp và kết hợp các cuộc tấn công.

Các tác nhân đe dọa bao gồm từ những kẻ nghiệp dư được gọi là “kịch bản nhí” cho đến các tin tặc chuyên nghiệp làm việc cho nhà nước. Hầu hết các mối đe dọa của công ty bắt đầu với các tác nhân đe dọa dành riêng cho lĩnh vực tội phạm mạng hoặc gián điệp mạng, những người muốn sử dụng phần mềm tống tiền để trích xuất các khoản thanh toán. Các tác nhân đe dọa chuyên nghiệp làm việc cộng tác với nhau như các nhóm đe dọa liên tục nâng cao (APT), là những chuyên gia của ngành tội phạm mạng.

Các nhà nghiên cứu đã xếp hạng các loại tấn công mạng phổ biến nhất dành riêng cho hệ thống kiểm soát công nghiệp (ICS) (Ban 2).

Các vectơ tấn công này thường liên quan đến kiến ​​thức chuyên môn về hệ thống và các tin tặc lão luyện thậm chí còn phát triển các ứng dụng để những người khác có thể tấn công mà không cần hiểu tất cả các chi tiết kỹ thuật.

Bước 4: Phân tích rủi ro

Công nghệ vận hành hoạt động trong thế giới vật chất. Sự khác biệt chính giữa các cuộc tấn công mạng OT và CNTT là hậu quả về an toàn:

• An toàn cho nhóm của bạn và cộng đồng của bạn
• An toàn cho tài sản của bạn
• An toàn môi trường

Khi đánh giá rủi ro, hãy xem xét thiệt hại nào có thể xảy ra nếu cảm biến hoặc bộ truyền động của bạn bị tấn công (Hình 2). Hãy nghĩ về điều gì sẽ xảy ra khi một cuộc tấn công lan truyền qua các hệ thống được kết nối. Nếu bộ điều khiển kỹ thuật số của bạn ngừng hoạt động, điều gì sẽ xảy ra với tài sản phi kỹ thuật số của bạn? Khi thiết lập các ngưỡng rủi ro, các cân nhắc về an toàn là rất quan trọng.

Phân tích rủi ro độ tin cậy bằng OT cho phép người dùng xác định những rủi ro quan trọng nhất để họ có thể tập trung ngân sách và nhóm của mình vào việc ứng phó với các mối đe dọa nghiêm trọng nhất trước tiên. Khi một mối đe dọa được xác định, hãy xem xét những câu hỏi sau:

• Hệ thống nào dễ bị đe dọa?
• tác hại là gì; tức là mối đe dọa này có thể tấn công bộ điều khiển lệnh hoặc thiết bị kỹ thuật số khác của tôi không
• Các phân nhánh vật lý của mối đe dọa là gì?
• Điều gì sẽ xảy ra nếu mối đe dọa lan rộng cục bộ hoặc xa hơn?

Trong khi điều tra xem có nên thêm một mối đe dọa vào đánh giá rủi ro của bạn hay không, hãy cân nhắc sử dụng ma trận MITRE ATT&CK để hiểu chi tiết về mối đe dọa. Đây là cơ sở kiến ​​thức được chọn lọc về các mối đe dọa mạng chống lại OT, theo đó các nhà nghiên cứu đã điều tra các chiến lược tấn công phổ biến đối với các tài sản và hệ thống thường xuyên được nhắm mục tiêu.

Tìm hiểu sâu về quy trình kỹ thuật để đánh giá và quản lý rủi ro mạng khi sử dụng OT zero trust. Đầu tiên, thời gian là có giá trị. Xếp hạng các mối đe dọa trên mạng dựa trên những gì quan trọng nhất để bạn có thể sử dụng thời gian của mình một cách hiệu quả.

Bước 5: Ưu tiên rủi ro

Mục tiêu của đánh giá rủi ro là để hiểu và định lượng các mối đe dọa để bạn có thể ưu tiên và triển khai các biện pháp phòng thủ không gian mạng của mình ở đâu và khi nào cần thiết. Bạn có thể sử dụng điều này để đánh giá các biện pháp bảo vệ để bảo vệ một tài sản hoặc toàn bộ khu vực nhà máy của bạn. Chúng tôi khuyên bạn nên thêm các kịch bản rủi ro vào đánh giá mối đe dọa từ Bước 3 và phân tích rủi ro từ Bước 4 để hỗ trợ việc này.

Để xếp hạng và ưu tiên một cách có hệ thống, hãy gán một giá trị cho từng véc tơ rủi ro. Chúng tôi sử dụng thang điểm từ 0 đến 10, nhưng chọn sơ đồ định lượng phản ánh đúng nhất tình huống và mức độ chấp nhận rủi ro của bạn:

• Mức độ nghiêm trọng của lỗ hổng: Trên thang điểm từ 0 đến 10, nếu mối đe dọa này xảy ra, thiệt hại sẽ nghiêm trọng đến mức nào?
• Mức độ quan trọng của tài sản: Trên thang điểm từ 0 đến 10, tài sản này quan trọng như thế nào?
• khả năng: Trên thang điểm từ 0 đến 10, khả năng xảy ra mối đe dọa trong cơ sở của bạn là bao nhiêu?
• Sự va chạm: Trên thang điểm từ 0 đến 10, tác động đến năng suất là gì?
• Khả năng phát hiện: Trên thang điểm từ 10 đến 0, làm sao bạn biết mình đang bị tấn công?

So với các điểm khác, điểm khả năng phát hiện bị đảo ngược. Điểm phát hiện thấp là 10, nghĩa là bạn dễ bị tổn thương hơn vì bạn không thể chống lại những gì bạn không biết. Để tính xếp hạng rủi ro hoặc mức độ ưu tiên rủi ro, hãy đặt các số từ mỗi véc tơ rủi ro vào công thức sau:

ưu tiên = [severity + (criticality x 2) + (likelihood x 2) + (impact x 2) + (detectability x 2)] / 5

Rủi ro có mức độ ưu tiên cao sẽ là những rủi ro có xếp hạng rủi ro từ 18 đến 12. Rủi ro trung bình được xếp hạng từ 12 đến 6 và rủi ro thấp có xếp hạng ưu tiên dưới 6.

Để nhanh chóng xem bạn cần phòng thủ mạng nào, hãy sắp xếp theo mức độ ưu tiên rủi ro. Bạn thậm chí có thể muốn đánh mã màu đánh giá rủi ro của mình (Bàn số 3). Trong ví dụ này, Rủi ro 1. Từ chối kiểm soát có mức độ ưu tiên cao nhất. Lỗ hổng nghiêm trọng và tài sản rất quan trọng. Khả năng điều này có thể xảy ra là trung bình, nhưng nếu xảy ra thì tác động sẽ rất cao. Nó có thể hoặc có thể không dễ phát hiện. Mã màu đỏ được sử dụng để thể hiện mức độ nghiêm trọng cao.

Bước 6: Giám sát rủi ro

Bây giờ bạn đã hiểu rõ về các ưu tiên rủi ro của mình và những gì cần được bảo vệ, bạn có thể tìm ra các giải pháp phục vụ tốt nhất cho nhu cầu giám sát và bảo vệ mạng OT của mình.

Bốn nền tảng của OT zero trust hỗ trợ giám sát liên tục hệ thống của bạn. Chúng tôi khuyên bạn nên đảm bảo rằng chiến lược và công cụ OT của bạn bao gồm từng nền tảng sau:

Kiểm tra tài sản, kiểm kê và tiêu diệt phần mềm độc hại trong chuỗi cung ứng bằng các thiết bị bảo mật di động. Các thiết bị này không làm gián đoạn quá trình sản xuất, do đó bạn có thể quét các tài sản cũ và tài sản bị ngắt kết nối, cũng như thực hiện kiểm tra định kỳ hoặc đột xuất.

Khóa tài sản bằng cách xác định các chính sách tin cậy của bạn để OT zero trust có thể thực thi chúng. Tài sản của bạn được trang bị màn hình phân biệt tình hình và thực hiện hành động tốt nhất tùy thuộc vào những gì đang xảy ra tại bất kỳ thời điểm nào.

Phân đoạn mạng của bạn thành các vùng không tin cậy và chỉ cho phép các tin nhắn đáng tin cậy từ các thiết bị đáng tin cậy vào một vùng. Sau khi vào bên trong, chỉ những tin nhắn đáng tin cậy mới có thể được gửi ra bên ngoài.

Củng cố an ninh mạng bằng cách sử dụng tính năng bảo vệ điểm cuối bằng trí thông minh về mối đe dọa máy học và bản vá ảo để giảm thiểu rủi ro.

Liên tục giám sát hệ thống của bạn, đánh giá các mối đe dọa và kích hoạt các phản ứng rủi ro nếu cần. Sẽ rất hữu ích nếu tất cả các thiết bị bảo mật báo cáo theo thời gian thực cho một bảng điều khiển bảo vệ an ninh mạng.

Bước 7: Ứng phó với sự cố mạng

Ngưỡng rủi ro là duy nhất cho mỗi công ty. Đối với mỗi rủi ro bạn xác định, bạn quyết định phản ứng nào đáp ứng mức độ thoải mái của bạn. Phản ứng rủi ro thường được nhóm thành các loại sau:

• tránh
• chuyển giao
• chia sẻ
• giảm nhẹ
• chấp nhận rủi ro

Tính năng quan trọng nhất của bất kỳ ứng phó rủi ro nào là khả năng hệ thống của bạn hoặc nhóm của bạn thực hiện ứng phó và ngăn chặn cuộc tấn công. OT zero trust khóa tài sản và giám sát lưu lượng mạng bằng cách sử dụng danh sách tin cậy ngăn chặn hầu hết các cuộc tấn công trước khi chúng bắt đầu.

ARM tổ chức của bạn với OT Zero Trust

Mặc dù không có gì đảm bảo về một thế giới không có rủi ro, nhưng đánh giá rủi ro OT gồm bảy bước này dựa trên nhiều năm kinh nghiệm của các nhà lãnh đạo ngành, những người đã ghi lại những phát hiện của họ trong NIST và các tiêu chuẩn khác, cùng với các nhà nghiên cứu chỉ tận tâm tìm ra những cách tốt hơn để bảo vệ công nghệ vận hành của bạn.

Để nhanh chóng xem lại bảy bước:

1. Kiểm kê tài sản của bạn: Các thiết bị bảo mật di động dựa trên độ tin cậy của OT zero tự động kiểm kê mọi tài sản trong quá trình kiểm tra, giúp dễ dàng xác nhận trạng thái phòng thủ của các tài sản độc lập, tài sản tích hợp mới đến và bất kỳ thiết bị nào được mang đến nơi làm việc.

2. Xây dựng kế hoạch an ninh để bảo vệ tài sản của bạn: Hiểu nhu cầu và mức độ ưu tiên của môi trường OT cũng như khả năng chịu đựng đặc biệt của bạn đối với những tình huống bất ngờ để cung cấp thông tin cho kế hoạch an ninh mạng của bạn.

3. Đánh giá các nguy cơ: Trí thông minh về mối đe dọa dựa trên độ tin cậy của OT zero luôn phù hợp với bạn, tìm kiếm các xu hướng mới giúp phát hiện và ngăn chặn phần mềm độc hại ẩn nấp trong bóng tối của hệ thống và mạng của bạn.

4. Phân tích rủi ro để hiểu những gì đang bị đe dọa: OT zero trust kết hợp các biện pháp bảo vệ với tài sản của bạn để đặt các biện pháp phòng thủ đáng tin cậy, dễ bảo trì trước khi mạng của bạn bị tấn công và tài sản của bạn gặp nguy hiểm.

5. Xếp thứ tự rủi ro: Việc định lượng rủi ro mang lại cho bạn một vũ khí mạnh mẽ để sắp xếp thứ tự ưu tiên và chứng minh ngân sách của bạn cho việc phòng thủ mạng.

6. Giám sát rủi ro: OT zero trust là một đối tác công nghệ có giá trị đi theo sự dẫn dắt của bạn bằng cách sử dụng các tiêu chí của bạn để thực hiện sứ mệnh quan trọng là giải quyết thách thức 24x7x365 trong việc bảo vệ hệ thống của bạn.

7. Ứng cứu sự cố mạng: Bỏ qua câu “Ôi chao!” hỗn loạn và chuẩn bị cho nhóm của bạn cũng như hệ thống phòng thủ mạng của bạn phản ứng bằng phương pháp không tin cậy trong OT.

Sử dụng OT zero trust, hãy tự mình ARM với quy trình thử và đúng được tóm tắt trong Hướng dẫn NIST về Bảo mật Hệ thống Kiểm soát Công nghiệp (ICS): liên tục Đánh giá rủi ro, Ứng phó với các mối đe dọa và Theo dõi các lỗ hổng.

_{Tính năng này ban đầu xuất hiện trong TỰ ĐỘNG HÓA 2022 Tập 4: An ninh mạng & Kết nối.}