Bảo vệ các hệ thống điều khiển công nghiệp bằng phân tích dữ liệu mạng

Trong đó, xu hướng tấn công mạng có chủ đích vào hệ thống điều khiển công nghiệp (ICS) trong các lĩnh vực như năng lượng, viễn thông, giao thông, dầu khí… xảy ra thường xuyên hơn, tinh vi hơn và gây những hậu quả ngày càng nghiêm trọng.

Những sai lầm trong bảo mật hệ thống điều khiển công nghiệp

Một khảo sát về thực trạng bảo mật củaFireEye iSIGHT Intelligence đã cho thấy ít nhất 33% các vấn đề bảo mật tìm thấy trong các hệ thống ICS được đánh giá là rủi ro cao hoặc rất nghiêm trọng. FireEye iSIGHT Intelligence đã tổng hợp dữ liệu từ hàng chục bản đánh giá tình trạng bảo mật của ICS và phát hiện các lỗ hổng chưa được vá (32%); vấn đề mật khẩu (25%); và các vấn đề với các phân đoạn kiến trúc và mạng lưới (11%).

Các lỗ hổng, bản vá và cập nhật

Theo FireEye, hầu hết các tổ chức đều cập nhập bản vá và nâng cấp phần mềm cho ICS không thường xuyên. Điều này dẫn tới phần mềm, phần cứng và hệ điều hành không được cập nhật, tồn tại nhiều lỗ hổng bao gồm: thiết bị mạng và hệ thống như công tắc, tường lửa và bộ định tuyến; máy tính để bàn, máy ảnh và bộ điều khiển logic lập trình; các hệ điều hành cũ không được hỗ trợ như Windows Server 2003, XP, 2000 và NT 4; và các lỗ hổng đã biết chưa được vá trong các ứng dụng và thiết bị.

Quản lý nhận dạng và truy cập

Một vấn đề khác liên quan đến lỗi hoặc thiếu các phương pháp xử lý mật khẩu và thông tin đăng nhập, ví dụ mật khẩu yếu với độ dài và độ phức tạp không đủ cho các tài khoản đặc quyền, tài khoản người dùng ICS và tài khoản Dịch vụ.

Phân đoạn mạng

Những rủi ro này bao gồm: hệ thống nhà máy được truy cập từ mạng công ty; mạng công nghiệp kết nối trực tiếp với Internet; truy cập máy chủ nhà máy không lọc từ mạng doanh nghiệp; thiếu phân đoạn giữa ICS và mạng doanh nghiệp; các lỗ hổng trong các thiết bị cầu thành có thể cho phép hoạt động qua lại giữa các mạng và sao lưu dữ liệu, chống virus trên ICS được chia sẻ. Các lỗ hổng đã tồn tại này chính là thách thức lớn cho chủ sở hữu các hệ thống ICS.

Vai trò của phân tích dữ liệu mạng trong bảo vệ các hệ thống điều khiển công nghiệp

Trước đây, tấn công vào các hệ thống ICS thường ít phổ biến hơn, sự xuất hiện của các phần mềm độc hại nhắm vào ICS cũng rất hiếm. Tuy nhiên, cùng với sự phổ biến của IoT, các hệ thống ICS không còn vận hành cô lập nữa và ICS trở thành một mục tiêu hấp dẫn đối với tội phạm mạng. Hoạt động tấn công bao gồm các phần mềm tống tiền, cryptojacking (khai thác tiền ảo trái phép), thường là trên các máy chạy Windows và các nhân tố đe dọa bán quyền truy cập ảo vào ICS/SCADA.

Do đó, một phương pháp mới để bảo vệ ICS là cần thiết. Giải pháp đơn giản và hiệu quả nhất là dựa vào phân tích dữ liệu mạng, ít tốn kém hơn so với việc triển khai các công cụ bảo mật khác, đồng thời không yêu cầu cập nhật hoặc cài đặt nhiều phần mềm phức tạp trên các hệ thống cũ.

Thông thường, khi tin tặc xâm nhập được vào hệ thống chúng thường tìm mọi cách để xóa đi các bản ghi hoặc dữ liệu trên hệ thống lưu vết về những gì đã xảy ra mà nhóm quản trị hệ thống khó có thể khôi phục. Những gì còn lại là một tập hợp các đầu mối dựa trên hành vi mạng mà không thể xóa được. Giám sát lưu lượng thực tế trên hệ thống là cách duy nhất để kiểm tra và đưa ra kết luận về bất kỳ thiết bị được kết nối nào, các dịch vụ đang vận hành cũng như các hành vi đe dọa  tiềm ẩn. Có nhiều cơ chế mà có thể sử dụng hành vi mạng để phát hiện và điều tra các vi phạm ICS:

- Bất kỳ sự kiện đăng nhập nào của một máy trạm bất thường đến một hệ thống chứa dữ liệu ICS có thể được quan sát thấy trên mạng và sẽ được báo động. Nếu có một người dùng mới đăng nhập thì cần phải kiểm tra. Việc tạo tài khoản mới, đặc biệt là tài khoản quản trị trên một hệ thống nhạy cảm, luôn cần được xem xét kỹ lưỡng và việc sử dụng nền tảng phân tích mạng có thể giải mã RDP (Remote Desktop Protocol) để đưa ra cảnh báo thời gian thực về loại sự kiện này.

- Mọi lưu lượng từ hệ thống ICS đến một không gian IP ngoài bất thường có thể được phát hiện trên mạng và cần được phân tích, điều tra ngay lập tức, bởi trong nhiều trường hợp kẻ tấn công đã có được quyền truy cập vào ảnh chụp màn hình và biểu đồ lưu lượng chi tiết về dữ liệu đầu ra ICS cũng như cách cấu hình hệ thống ICS. Dữ liệu nhạy cảm này sẽ được trích xuất ra khỏi mạng và chuyển sang một hệ thống được kiểm soát bởi kẻ tấn công. Việc trích xuất đó sẽ là một dấu hiệu quan trọng, đáng chú ý đối với hệ thống phát hiện bất thường dựa trên dữ liệu mạng.

- Nếu một người dùng cố gắng truy cập vào cơ sở dữ liệu (CSDL) chứa dữ liệu ICS thì đó có thể không phải là dấu hiệu nguy hiểm. Tuy nhiên, hành vi trực tiếp của người dùng có thể cho biết chúng có độc hại hay không. Ví dụ, nếu người dùng gửi lệnh SELECT tới CSDL, yêu cầu truy xuất dữ liệu nhạy cảm, đó sẽ là nguyên nhân gây ra báo động. Thậm chí, nếu là lệnh DROP đối với bảng kiểm toán của CSDL đó, hay xóa nhật ký truy cập gần đây ra khỏi CSDL thì sẽ là cảnh báo nguy hiểm mức độ cao. Nội dung của các truy vấn này thường sẽ vẫn hiển thị trên mạng, nhưng chỉ khi sử dụng nền tảng phân tích tiên tiến và phù hợp mới có thể phát hiện những nguy cơ tiềm ẩn dựa trên nhật ký từ CSDL hoặc thiết bị liên quan.

- Tương tự, khả năng hiển thị các giao dịch trong lớp 7 trên mạng có thể khác biệt giữa quyền truy cập "không bình thường, nhưng được chấp nhận" và "độc hại" đối với các hệ thống lưu trữ tệp tin. Bằng cách đọc nội dung của các truy vấn trong giao thức CIFS/SMB, một dịch vụ phân tích dữ liệu mạng có thể giúp nhân viên bảo mật nhanh chóng nắm bắt và kết luận xem sự kiện truy cập này có cần được điều tra hay không.

Danh sách trên chỉ là một số ví dụ về các hành vi đe dọa được hiển thị trên mạng. Tất cả các dấu hiệu của một cuộc tấn công độc hại dù ít hay nhiều sẽ vẫn lưu lại trên mạng mà kẻ tấn công không thể xóa được, bao gồm phân phối tải trọng độc hại, lưu lượng ra lệnh và điều khiển, trích xuất dữ liệu. Do đó, điều quan trọng là phải có một phương thức để giám sát và phân tích lưu lượng này ở các cấp độ khác nhau, đặc biệt là đối với các giao thức mạng được sử dụng trong các hệ thống ICS, bao gồm Modbus TCP / IP, DNS, CIFS,... Phân tích dựa trên nhật ký mạng mặc dù có nhiều giá trị nhưng trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi và phức tạp thì chỉ có phân tích dữ liệu mạng toàn diện mới có thể làm sáng tỏ các vấn đề.

Có thể thấy, các mối đe dọa mạng ngày càng gia tăng và gây ảnh hưởng nghiêm trọng đến an ninh quốc gia. Những cuộc tấn công vào các hệ thống năng lượng, kiểm soát không lưu, và thậm chí kiểm soát giao thông đường bộ thậm chí còn ảnh hưởng trực tiếp đến cuộc sống của chúng ta. Các phương pháp bảo vệ truyền thống không còn theo kịp các mối đe dọa hiện nay, đã đến lúc chúng ta cần phải suy nghĩ lại và có những hành động thích hợp để bảo đảm an toàn cho các hệ thống và tài sản quan trọng của mình.