Không thể 'làm ngơ' với OT khi nguy cơ tấn công mạng ngày càng đáng lo ngại

OT (Operational Technology), tạm dịch là “Công nghệ vận hành” là một khái niệm ngày càng phổ biến, trong bối cảnh các thiết bị công nghiệp bắt đầu được kết nối với mạng IT và kéo theo đó là mối nguy cơ bị tấn công bởi tin tặc và bất kỳ tổ chức nào trên thế giới, gây thiệt hại nặng nề về kinh tế. Vậy OT là gì và hiệu quả chống tin tặc ra sao? Ông John Maddison, Phó chủ tịch cấp cao, phụ trách Sản phẩm & Dịch vụ, công ty Fortinet; một chuyên gia trong lĩnh vực này, đã có những chia sẻ với báo Tin tức.

Chú thích ảnh — Các mạng lưới OT đóng vai trò quan trọng trong những hoạt động như sản xuất, vận hành nhà máy, quốc phòng và an ninh khẩn cấp, thực phẩm và nông nghiệp, cũng như các hệ thống tài chính.

Việc truy cập vào các thiết bị OT cần được quản lý và giám sát nghiêm ngặt đối với các thiết bị, người dùng, ứng dụng và các giao thức.

Công nghệ vận hành, gọi tắt là OT, bao gồm SCADA (hệ thống điều khiển giám sát và thu thập dữ liệu) và ICS (hệ thống điều khiển công nghiệp), là một hệ thống phần mềm và phần cứng được thiết kế nhằm quản lý và giám sát các thiết bị vật lý, quy trình và các sự kiện trong các phân đoạn sản xuất và vận hành của doanh nghiệp, bao gồm cơ sở hạ tầng trọng yếu (CI).

Các mạng lưới OT đóng vai trò quan trọng trong những hoạt động như sản xuất, vận hành nhà máy, quốc phòng và an ninh khẩn cấp, thực phẩm và nông nghiệp, cũng như các hệ thống tài chính. Những hệ thống này thông thường được tách riêng khỏi mạng lưới công nghệ thông tin (CNTT) và thường được sở hữu, quản lý và vận hành bởi một đội nhóm khác.

Mạng lưới và thiết bị thuộc hệ thống OT có thể được triển khai ở khắp mọi nơi, bên trong nhà máy sản xuất, ví dụ như được phân bổ xuyên suốt nhà máy hóa chất, hoặc bên ngoài, tại các đường ống dẫn dầu và khí đốt. Hệ thống OT thường thực hiện các nhiệm vụ đơn giản nhưng vô cùng quan trọng, ví dụ như quản lý một cái van và tắt nó đi khi đã đạt đến đo lường cần thiết. Chính vì vậy, những hệ thống này có thể thực hiện nhiệm vụ của mình trong nhiều năm mà không hề thay đổi. Điều đó đồng nghĩa với việc đôi khi hệ thống sẽ hoạt động trên những hệ điều hành cũ và phần cứng lỗi thời tích hợp những ứng dụng tự chế. Do mục tiêu của hệ thống OT là thực hiện chính xác nhiệm vụ được thiết kế ban đầu, nên ngay cả những chỉnh sửa, “miếng vá” cũng chỉ được sử dụng nếu chúng không ảnh hưởng tới quá trình hoạt động của hệ thống OT.

Tuy nhiên vì những kiến trúc OT này hoạt động trên một cơ sở hạ tầng riêng và biệt lập, nên các hệ thống này thường bị tách biệt với mạng Internet, mãi cho đến gần đây mới trở nên trực tuyến. Một trong những lý do đầu tiên là bởi các hệ thống này thường có nhiệm vụ theo dõi và quản lý các quy trình có mức độ nhạy cảm cao gắn với những cơ sở hạ tầng trọng yếu. Một lý do khác là bởi các hệ thống này thường rất tinh vi, nhạy bén. Những tác động nhẹ như việc quét hệ thống chủ động thôi cũng có thể khiến những thiết bị này gặp trục trặc, mà bất kỳ hỏng hóc hay gián đoạn nào trong quá trình cũng có thể gây ra những hậu quả nghiêm trọng thậm chí là thảm họa.

Tuy nhiên, các yêu cầu mới, điển hình như hệ thống lưới điện kết nối, hoạt động kiểm soát kho hàng chủ động, hệ thống kiểm soát môi trường thông minh, mô hình sản xuất vừa kịp lúc (Just-In-Time), và các hệ thống tương tác gắn với Big Data, đã bắt đầu thay đổi tất cả.

Ngoài ra, các công ty cũng đang cố gắng cải thiện năng suất và tiết kiệm chi phí bằng cách thực hiện các thay đổi như tối ưu hóa hoạt động của nhà máy, triển khai một môi trường vận hành linh hoạt hơn hoặc thiết lập một hệ thống kiểm soát kho hàng chủ động yêu cầu dữ liệu trực tuyến thời gian thực. Do vậy, nhiều hệ thống OT hiện nay được chuyển tiếp hoặc thông qua mạng lưới của công ty, tận dụng các giao thức internet phổ biến, chạy trên các hệ điều hành thông dụng và phần cứng có nhiệm vụ chung, đồng thời ngày càng được kết nối thông qua công nghệ không dây.

Các hệ thống cơ sở hạ tầng trọng yếu này cũng đang bị các nhóm tội phạm mạng hướng tới nhiều hơn với 51% doanh nghiệp cơ sở hạ tầng trọng yếu đã báo cáo vi phạm an ninh OT/ SCADA/ ICS trong vòng 12 tháng qua.

Do vậy, Chính sách 21 của Tổng thống Hoa Kỳ quy định về an ninh cơ sở hạ tầng trọng yếu và khả năng phục hồi đã được ban hành dành cho16 lĩnh vực sau: Hóa chất, cơ sở thương mại, truyền thông, sản xuất trọng yếu, đập nước, cơ sở công nghiệp Quốc phòng, dịch vụ cấp cứu, năng lượng, dịch vụ tài chính, thực phẩm và nông nghiệp, cơ sở Chính phủ, y tế và sức khỏe cộng đồng, công nghệ thông tin, giao thông, nước và hệ thống xử lý nước thải, phản ứng hạt nhân, vật liệu và chất thải.

Nhiều tội phạm mạng thường nhắm tới hệ thống cơ sở hạ tầng trọng yếu, đặc biệt là những kẻ khủng bố mạng hoặc các tổ chức tội phạm. Động cơ của chúng bao gồm việc sử dụng các hệ thống làm con tin để đòi tiền chuộc, thao túng giá cổ phiếu (bán khống, tấn công hoặc rửa tiền), phủ nhận việc tiếp nhận tài sản hoặc từ chối sản xuất nhằm mục tiêu chiến lược, gây ảnh hưởng và gây sai lệch nhận thức chính trị, hoặc cũng có thể là các hành động phi pháp của công ty (cạnh tranh bất hợp pháp).

Điều không may là khác với mạng lưới IT, không chỉ rất nhiều hệ thống được kết nối hiện nay khá dễ dàng bị tấn công, việc gián đoạncủa một trong những lĩnh vực này cũng có khả năng gây ra một thảm họa khôn lường ảnh hưởng đến cả mạng sống và tài sản của con người. Hậu quả của một cuộc tấn công thành công có thể dẫn đến sự ngưng trệ, và thậm chí phá hủy của cải vật chất cũng như các dịch vụ thiết yếu như nước, điện và nhiên liệu.

Khi nhà máy điện, dầu khí, giao thông và các lĩnh vực sản xuất ngày càng áp dụng nhiều hơn các hệ thống kiểm soát được kết nối mạng và các thiết bị IoT Công nghiệp, bề mặt tấn công CI cũng sẽ nhanh chóng phát triển theo. Tính chất kết nối mạng của các thiết bị và hệ thống này đặt ra những thách thức nghiêm trọng khi chúng bắt đầu sử dụng cơ sở hạ tầng mạng truyền thống được sở hữu bởi CNTT, các điểm truy cập không dây và mạng di động. Đồng thời, tính chất chuyên môn của công nghệ cơ sở hạ tầng OT đồng nghĩa với việc hầu hết các giải pháp phân tích dữ liệu mối đe dọa và an ninh CNTTsẽ không có khả năng hiển thị, chưa nói đến khả năng chống lại các cuộc tấn công vào cơ sở hạ tầng trọng yếu.

Trong khi việc bảo vệ các hệ thống OT đòi hỏi một cách tiếp cận tích hợp tương tự như CNTT thì các mục tiêu lại được đảo ngược với nhau.Yêu cầu chính yếu là tính sẵn có, tiếp theo là tính toàn vẹn và bảo mật. Các hệ thống OT nhất thiết phải tập trung vào việc cung cấp một dịch vụ thiết yếu, như điện hoặc nước, hoặc duy trì hệ thống an toàn tại các nhà máy hóa chất hoặc đập nước, và không thể bị gián đoạn ngay cả trong giây lát. Ngược lại, các hệ thống CNTT chủ yếu tập trung vào việc thu thập, tương quan và phân phối dữ liệu, với trọng tâm chính là bảo vệ thông tin bí mật hoặc thông tin nhận dạng cá nhân, cũng như các bí mật thương mại.

Để giải quyết những yêu cầu trong một mạng lưới OT đòi hỏi cách tiếp cận tích hợp bao gồm những yếu tố sau:

Sự phân đoạn và mã hóa Giao tiếp: Chỉ có bảo mật vòng ngoài thì không đủ. Bảo mật cần được đặt sâu dưới cơ sở hạ tầng OT, giúp phân đoạn các hệ thống, thiết bị, chủ động điều khiển việc lưu thông dữ liệu từ đông sang tây và tách biệt các thiết bị gặp vấn đề tổn hại. Bên cạnh đó, các ứng dụng và dữ liệu cần được mã hóa để tránh sự xâm nhập của các phần mềm độc hại trong quá trình lưu thông đó.

Quản lý truy cập:Việc truy cập vào các thiết bị OT cần được quản lý và giám sát nghiêm ngặt đối với các thiết bị, người dùng, ứng dụng và các giao thức.

Bảo mật truy cập không dây: Các thiết bị IoT công nghiệp (gọi tắt là IIoT) giao tiếp bằng nhiều giao thức liên lạc khác nhau. Bảo vệ đường truyền Wi-Fi mới chỉ giải quyết được một phần vấn đề. Hiện nay, hàng ngàn các nhà cung cấp thiết lập các thiết bị IoT sử dụng những phương thức kết nối và công nghệ truyền thông dữ liệu hết sức đa dạng, ngoài wifi ra có thể kể đến Bluetooth, NFC, Zigbee, và RFID, không bao gồm các thiết bị IoT có dây trong mạng lưới phía sau tường lửa. Những nguồn lực nhằm bảo mật thông tin cần phải được sử dụng nhằm xác minh, phân đoạn và bảo vệ những kết nối trên.

Quản lý “Miếng vá” và Lỗ hổng: Cùng với mối lo ngại về tính sẵn có của mạng lưới và thiết bị OT, hoạt động quản lý“miếng vá” không chỉ bị coi nhẹ mà còn bị chủ động tránh đi. Nhân viên vận hành có thể quyết định cụ thể không sử dụng “miếng vá” cho hệ thống đang được vận hành và không thể cập nhật ngoại tuyến. Tuy nhiên, do những thiết bị này được kết nối với mạng lưới CNTT và Internet, cách tiếp cận này sẽ không còn có thể duy trì được nguyên trạng. Tội phạm mạng sẽ nhắm vào những lỗ hổng trên, vì vậy việc theo dõi các thiết bị, lỗ hổng, cài đặt “miếng vá”hiệu quả và thay thế chương trình cũ rất cần thiết. Đối với những hệ thống không cho phép bất kỳ thời gian ngưng hoạt động nào thì việc triển khai các thiết bị dự phòng ở chế độ active - active, đường truyền dữ liệu thay thế, hoặc triển khai sự phân đoạn chặt chẽ cũng nhưhoạt động bảo mật dựa trên hành vi hay kí hiệu chủ động sẽ mang tính quyết định đến việc bảo vệ những thiết bị không có khả năng sử dụng “miếng vá”.

Theo dõi và phân tích hành vi: Những mối nguy hại nghiêm trọng đòi hỏi nhiều hơn nữa bên cạnh các hệ thống an ninh bị động, đặc biệt trong việc bảo vệ hạ tầng cơ sở trọng yếu. May mắn thay, hành vi của hầu hết các hệ thống OT đều rất dễ dàng xác định, có nghĩa là bất kì một hành vi bất thường nào cũng đều khá dễ phát hiện và ngăn chặn lại ngay với hệ thống UEBA (Phần mềm phân tích hành vi người dùng và thực thể).

Các thiết bị chịu được sự va chạm: Các thiết bị OT truyền thống thường được yêu cầu vận hành trong môi trường công nghiệp khắc nghiệt về nhiệt độ, thời tiết, độ rung chuyển hay va chạm mạnh. Khi các thiết bị CNTT và IoT được ứng dụng trong môi trường công nghiệp như vậy, việc các tổ chức lựa chọn những thiết bị đã được kiểm định và đánh giá chức năng hoạt động tốt trong các điều kiện trên sẽ rất cần thiết và quan trọng. Tương tự đối với các công nghệ an ninh dùng để bảo vệ các mạng lưới và thiết bị OT này.

Kiểm tra Gói tin Chuyên sâu: Các phần mềm độc hại đang ngày càng thành công trong việc đánh lừa và che dấu vết các cuộc tấn công vào dữ liệu và ứng dụng. Do tính chất nhạy cảm của các hệ thống kiểm soát công nghiệp (ICS) cũng như tiềm năng hậu quả khôn lường một khi chúng bị tổn hại, việc các công ty thực hiện một sự kết hợp giữa kiểm tra dựa trên ký hiệu và dựa trên giao thức/hành vi của lưu lượng truy cập đến, từ và giữa hệ thống OT để ngăn chặn việc lạm dụng các giao thức công nghiệp cụ thể trở nên rất cần thiết. Cách tiếp cận này cũng phù hợp hơn với môi trường OT vì nó có thể cung cấp sự bảo vệ thiết yếu mà không cần cập nhật thường xuyên.

Việc chuyển đổi sang các mạng lưới siêu kết nối, chẳng hạn như các mô hình thành phố thông minh và các dịch vụ phục vụ công cộng kết nối, đang thúc đẩy sự hội tụ của các mạng IT, OT và IoT. Để bảo vệ thành công các mạng tích hợp này, các công ty cần một kiến trúc có quy mô trên toàn bộ cơ sở hạ tầng để cung cấp khả năng hiển thị và kiểm soát thống nhất, phân đoạn phân tán và sự bảo vệ tích hợp. Việc bảo vệ cơ sở hạ tầng trọng yếu ngày nay đòi hỏi một cách tiếp cận thống nhất và duy nhất, tích hợp các giải pháp vào một kiến trúc bảo mật Security Fabrictương tác với khả năng thích nghi và mở rộng môi trường CNTT được phân tán, đồng thời cung cấp các khả năng tiên tiến cần thiết để bảo vệ cơ sở hạ tầng OT trọng yếu của công ty.

PV (ghi)