Thách thức lớn với các doanh nghiệp cung cấp dịch vụ tiện ích
Phó Chủ tịch phụ trách giải pháp bảo mật của Keysight Technologies, ông Scott Register vừa có bài viết “Những bóng ma bên trong máy móc: Mang ánh sáng xua tan bóng đêm tin tặc” bàn về vấn đề an toàn, bảo mật của các hệ thống điều khiển công nghiệp.
Vị chuyên gia này cho hay, Cơ quan An ninh và Cơ sở hạ tầng an ninh mạng Mỹ (CISA) mới đây ban hành 15 tài liệu tư vấn cho các hệ thống điều khiển công nghiệp - những hệ thống đảm bảo hoạt động cho nhà máy điện, cơ sở sản xuất, hệ thống cấp nước và nguồn năng lượng.
Hầu hết nội dung trong các tài liệu tư vấn này chỉ ra đối tượng gây hại tinh vi từ bên ngoài từng thực hiện các cuộc xâm nhập phổ biến nhằm vào các mục tiêu tại Mỹ, đặc biệt là các hệ thống tiện ích như điện, nước và cơ quan chính phủ.
Tạp chí The Hill đưa tin: “Trong thời kỳ đại dịch Covid-19, các tổ chức trong ngành điện lực đã phải đối mặt với sự gia tăng “chưa từng có’ của các mối đe dọa mạng”. Gần đây, Cơ quan Kiểm toán của Chính phủ Mỹ (GAO) ghi nhận rằng: “Các hệ thống phân phối của lưới điện Mỹ … đang trở thành mục tiêu tấn công mạng, một phần là do các công nghệ giám sát và điều khiển đang được ứng dụng ngày càng phổ biến”.
Hiểu biết về phạm vi và quy mô của vụ vi phạm an ninh bảo mật SolarWinds gần đây cũng đã đẩy mạnh sự chú ý với cơ sở hạ tầng thiết yếu và các hệ thống điều khiển công nghiệp.
Khoảng 25% các doanh nghiệp vận hành lưới điện đã tải xuống phần mềm SolarWinds Orion có mã độc, phần mềm bị lây nhiễm sau đó được sử dụng để tiếp tục tải các loại mã độc khác về hệ thống. Vì thế, dù phần mềm SolarWinds có thể đã được gỡ bỏ, nhưng trong hệ thống vẫn còn lại các mã độc khác nằm vùng, chờ lệnh thực thi các nhiệm vụ gián điệp hoặc làm gián đoạn hoạt động hệ thống.
Nhấn mạnh an ninh bảo mật là một thách thức rất lớn với các doanh nghiệp cung cấp điện, nước và các dịch vụ tiện ích khác, chuyên gia Keysight phân tích, số lượng nhân sự làm về an ninh bảo mật của các doanh nghiệp này không nhiều; thậm chí trên thực tế, các doanh nghiệp này có thể không có đội ngũ chuyên về an ninh bảo mật. Các nhóm CNTT và bảo mật thường phải giám sát nhiều vị trí từ một màn hình duy nhất, không có nhân viên tại hiện trường nhà máy.
Báo cáo của GAO cũng chỉ ra rằng trong bối cảnh đại dịch buộc người lao động phải làm việc tại nhà, các hệ thống giám sát và điều khiển truy cập từ xa ngày càng được sử dụng nhiều hơn cho việc điều khiển hoạt động của hệ thống cơ sở hạ tầng quan trọng lớn và phân tán.
Các hệ thống điều giám sát và điều khiển từ xa mở rộng bề mặt có thể bị tấn công của hệ thống, tạo ra một điểm hấp dẫn cho những kẻ tấn công khai thác. Chẳng hạn như cuộc tấn công gần đây vào hệ thống công nghệ truy cập từ xa của nhà máy xử lý nước Oldsmar (bang Florida, Mỹ ) đã được ngăn chặn nhờ sự cảnh giác của một nhân viên.
Phương pháp tiếp cận an ninh bảo mật với nguồn lực đầu tư tối thiểu
Lý giải cho câu hỏi “Các doanh nghiệp cung cấp điện nước và các hệ thống điều khiển công nghiệp khác nên ứng phó thế nào để đảm bảo an ninh bảo mật cho các hệ thống mạng thiết yếu của mình trong điều kiện hạn chế về nhân sự và kinh tế?”, ông Scott Register cho rằng, các doanh nghiệp cần ứng dụng hiệu quả nguyên tắc “không tin tưởng” - Zero Trust.
Nguyên tắc Zero-Trust ngụ ý rằng không nên mặc định tin tưởng các thiết bị và luôn giả định rằng bất kỳ thiết bị hoặc người dùng nào đều có thể là thiết bị hoặc người dùng độc hại. Nghĩa là, thiết bị có thể đã bị lây nhiễm mã độc và người dùng truy cập từ xa có thể không khai báo danh tính thực của họ.
Tuy nhiên, việc triển khai đầy đủ Zero-Trust có thể khá tốn kém và bất tiện, vượt quá ngân sách và năng lực công nghệ hiện có của các doanh nghiệp. Để khắc phục các khó khăn này và bắt đầu triển khai Zero-Trust với thời gian và nguồn lực đầu tư tối thiểu, các doanh nghiệp có thể áp dụng phương pháp “Mô phỏng vi phạm và tấn công” (BAS).
BAS là phương pháp tiếp cận an ninh bảo mật theo hai hướng: Nỗ lực cao nhất để ngăn chặn các hành vi xâm nhập mạng; Ghi nhận rằng hệ thống mạng có thể bị xâm nhập và luôn sẵn sàng ứng phó.
Nhờ đó, các doanh nghiệp có thể nhanh chóng xác định, khắc phục các lỗ hổng trong hệ thống và trả lời những câu hỏi như: hệ thống bảo mật email có thể ngăn chặn các email độc hại không; các giao thức bảo mật ngoại vi có thể ngăn chặn việc tải mã độc về hệ thống không; nếu mã độc đã xâm nhập vào mạng do những vi phạm trong chuỗi cung ứng hoặc các sai lỗi khác, mã độc này có thể lây lan trên mạng không...
Ông Scott Register cũng giới thiệu, các giải pháp BAS chẳng hạn như bộ mô phỏng các mối đe dọa Threat Simulator của Keysight có thể vận hành như một Red Team với chi phí thấp hơn. Một giải pháp BAS chất lượng cao chẳng hạn như giải pháp Threat Simulator, không chỉ cung cấp thông tin về các lỗ hổng an ninh bảo mật đã biết, mà còn đưa ra hướng dẫn chi tiết về cách khắc phục.
Thách thức về bảo mật các hệ thống điều khiển công nghiệp không thể biến mất một sớm một chiều. Nhiều hệ thống trong số đó có tuổi đời hàng chục năm và không được thiết kế ngay từ đầu để đáp ứng các yêu cầu vận hành mạng an toàn.
Sau đó, các hệ thống này được bổ sung tính năng kết nối để có thể giám sát tập trung từ xa nhưng điều đó khiến hệ thống trở nên dễ bị tổn thương hơn. Các hệ thống này đang trở thành mục tiêu của các đối tượng thù địch, vì sự gián đoạn của chúng có thể để lại những hậu quả nặng nề.
“Bây giờ chính là thời điểm để củng cố các hệ thống mạng, bằng cách áp dụng một phương pháp có hiệu quả về chi phí và dựa trên kết quả đầu ra để xác định và thu hẹp các lỗ hổng trong các hệ thống và đội ngũ vận hành an ninh bảo mật”, chuyên gia Keysight nhấn mạnh.
