Bảo vệ các hệ thống điều khiển công nghiệp bằng phân tích dữ liệu mạng

TH| 31/10/2018 14:53
Theo dõi ICTVietnam trên

Trong thời gian gần đây, tình hình an toàn thông tin trên thế giới diễn biến phức tạp với nhiều cuộc tấn công mạng có quy mô lớn.

Trong đó, xu hướng tấn công mạng có chủ đích vào hệ thống điều khiển công nghiệp (ICS) trong các lĩnh vực như năng lượng, viễn thông, giao thông, dầu khí… xảy ra thường xuyên hơn, tinh vi hơn và gây những hậu quả ngày càng nghiêm trọng.

Những sai lầm trong bảo mật hệ thống điều khiển công nghiệp

Một khảo sát về thực trạng bảo mật củaFireEye iSIGHT Intelligence đã cho thấy ít nhất 33% các vấn đề bảo mật tìm thấy trong các hệ thống ICS được đánh giá là rủi ro cao hoặc rất nghiêm trọng. FireEye iSIGHT Intelligence đã tổng hợp dữ liệu từ hàng chục bản đánh giá tình trạng bảo mật của ICS và phát hiện các lỗ hổng chưa được vá (32%); vấn đề mật khẩu (25%); và các vấn đề với các phân đoạn kiến trúc và mạng lưới (11%).

Các lỗ hổng, bản vá và cập nhật

Theo FireEye, hầu hết các tổ chức đều cập nhập bản vá và nâng cấp phần mềm cho ICS không thường xuyên. Điều này dẫn tới phần mềm, phần cứng và hệ điều hành không được cập nhật, tồn tại nhiều lỗ hổng bao gồm: thiết bị mạng và hệ thống như công tắc, tường lửa và bộ định tuyến; máy tính để bàn, máy ảnh và bộ điều khiển logic lập trình; các hệ điều hành cũ không được hỗ trợ như Windows Server 2003, XP, 2000 và NT 4; và các lỗ hổng đã biết chưa được vá trong các ứng dụng và thiết bị.

Quản lý nhận dạng và truy cập

Một vấn đề khác liên quan đến lỗi hoặc thiếu các phương pháp xử lý mật khẩu và thông tin đăng nhập, ví dụ mật khẩu yếu với độ dài và độ phức tạp không đủ cho các tài khoản đặc quyền, tài khoản người dùng ICS và tài khoản Dịch vụ.

Phân đoạn mạng

Những rủi ro này bao gồm: hệ thống nhà máy được truy cập từ mạng công ty; mạng công nghiệp kết nối trực tiếp với Internet; truy cập máy chủ nhà máy không lọc từ mạng doanh nghiệp; thiếu phân đoạn giữa ICS và mạng doanh nghiệp; các lỗ hổng trong các thiết bị cầu thành có thể cho phép hoạt động qua lại giữa các mạng và sao lưu dữ liệu, chống virus trên ICS được chia sẻ. Các lỗ hổng đã tồn tại này chính là thách thức lớn cho chủ sở hữu các hệ thống ICS.

Vai trò của phân tích dữ liệu mạng trong bảo vệ các hệ thống điều khiển công nghiệp

Trước đây, tấn công vào các hệ thống ICS thường ít phổ biến hơn, sự xuất hiện của các phần mềm độc hại nhắm vào ICS cũng rất hiếm. Tuy nhiên, cùng với sự phổ biến của IoT, các hệ thống ICS không còn vận hành cô lập nữa và ICS trở thành một mục tiêu hấp dẫn đối với tội phạm mạng. Hoạt động tấn công bao gồm các phần mềm tống tiền, cryptojacking (khai thác tiền ảo trái phép), thường là trên các máy chạy Windows và các nhân tố đe dọa bán quyền truy cập ảo vào ICS/SCADA.

Do đó, một phương pháp mới để bảo vệ ICS là cần thiết. Giải pháp đơn giản và hiệu quả nhất là dựa vào phân tích dữ liệu mạng, ít tốn kém hơn so với việc triển khai các công cụ bảo mật khác, đồng thời không yêu cầu cập nhật hoặc cài đặt nhiều phần mềm phức tạp trên các hệ thống cũ.

Thông thường, khi tin tặc xâm nhập được vào hệ thống chúng thường tìm mọi cách để xóa đi các bản ghi hoặc dữ liệu trên hệ thống lưu vết về những gì đã xảy ra mà nhóm quản trị hệ thống khó có thể khôi phục. Những gì còn lại là một tập hợp các đầu mối dựa trên hành vi mạng mà không thể xóa được. Giám sát lưu lượng thực tế trên hệ thống là cách duy nhất để kiểm tra và đưa ra kết luận về bất kỳ thiết bị được kết nối nào, các dịch vụ đang vận hành cũng như các hành vi đe dọa  tiềm ẩn. Có nhiều cơ chế mà có thể sử dụng hành vi mạng để phát hiện và điều tra các vi phạm ICS:

- Bất kỳ sự kiện đăng nhập nào của một máy trạm bất thường đến một hệ thống chứa dữ liệu ICS có thể được quan sát thấy trên mạng và sẽ được báo động. Nếu có một người dùng mới đăng nhập thì cần phải kiểm tra. Việc tạo tài khoản mới, đặc biệt là tài khoản quản trị trên một hệ thống nhạy cảm, luôn cần được xem xét kỹ lưỡng và việc sử dụng nền tảng phân tích mạng có thể giải mã RDP (Remote Desktop Protocol) để đưa ra cảnh báo thời gian thực về loại sự kiện này.

- Mọi lưu lượng từ hệ thống ICS đến một không gian IP ngoài bất thường có thể được phát hiện trên mạng và cần được phân tích, điều tra ngay lập tức, bởi trong nhiều trường hợp kẻ tấn công đã có được quyền truy cập vào ảnh chụp màn hình và biểu đồ lưu lượng chi tiết về dữ liệu đầu ra ICS cũng như cách cấu hình hệ thống ICS. Dữ liệu nhạy cảm này sẽ được trích xuất ra khỏi mạng và chuyển sang một hệ thống được kiểm soát bởi kẻ tấn công. Việc trích xuất đó sẽ là một dấu hiệu quan trọng, đáng chú ý đối với hệ thống phát hiện bất thường dựa trên dữ liệu mạng.

- Nếu một người dùng cố gắng truy cập vào cơ sở dữ liệu (CSDL) chứa dữ liệu ICS thì đó có thể không phải là dấu hiệu nguy hiểm. Tuy nhiên, hành vi trực tiếp của người dùng có thể cho biết chúng có độc hại hay không. Ví dụ, nếu người dùng gửi lệnh SELECT tới CSDL, yêu cầu truy xuất dữ liệu nhạy cảm, đó sẽ là nguyên nhân gây ra báo động. Thậm chí, nếu là lệnh DROP đối với bảng kiểm toán của CSDL đó, hay xóa nhật ký truy cập gần đây ra khỏi CSDL thì sẽ là cảnh báo nguy hiểm mức độ cao. Nội dung của các truy vấn này thường sẽ vẫn hiển thị trên mạng, nhưng chỉ khi sử dụng nền tảng phân tích tiên tiến và phù hợp mới có thể phát hiện những nguy cơ tiềm ẩn dựa trên nhật ký từ CSDL hoặc thiết bị liên quan.

- Tương tự, khả năng hiển thị các giao dịch trong lớp 7 trên mạng có thể khác biệt giữa quyền truy cập "không bình thường, nhưng được chấp nhận" và "độc hại" đối với các hệ thống lưu trữ tệp tin. Bằng cách đọc nội dung của các truy vấn trong giao thức CIFS/SMB, một dịch vụ phân tích dữ liệu mạng có thể giúp nhân viên bảo mật nhanh chóng nắm bắt và kết luận xem sự kiện truy cập này có cần được điều tra hay không.

Danh sách trên chỉ là một số ví dụ về các hành vi đe dọa được hiển thị trên mạng. Tất cả các dấu hiệu của một cuộc tấn công độc hại dù ít hay nhiều sẽ vẫn lưu lại trên mạng mà kẻ tấn công không thể xóa được, bao gồm phân phối tải trọng độc hại, lưu lượng ra lệnh và điều khiển, trích xuất dữ liệu. Do đó, điều quan trọng là phải có một phương thức để giám sát và phân tích lưu lượng này ở các cấp độ khác nhau, đặc biệt là đối với các giao thức mạng được sử dụng trong các hệ thống ICS, bao gồm Modbus TCP / IP, DNS, CIFS,... Phân tích dựa trên nhật ký mạng mặc dù có nhiều giá trị nhưng trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi và phức tạp thì chỉ có phân tích dữ liệu mạng toàn diện mới có thể làm sáng tỏ các vấn đề.

Có thể thấy, các mối đe dọa mạng ngày càng gia tăng và gây ảnh hưởng nghiêm trọng đến an ninh quốc gia. Những cuộc tấn công vào các hệ thống năng lượng, kiểm soát không lưu, và thậm chí kiểm soát giao thông đường bộ thậm chí còn ảnh hưởng trực tiếp đến cuộc sống của chúng ta. Các phương pháp bảo vệ truyền thống không còn theo kịp các mối đe dọa hiện nay, đã đến lúc chúng ta cần phải suy nghĩ lại và có những hành động thích hợp để bảo đảm an toàn cho các hệ thống và tài sản quan trọng của mình.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Vượt qua hơn 1.000 doanh nghiệp, Bưu điện Việt Nam đạt giải Thương hiệu Quốc gia 2024
    Đây là lần thứ 2 liên tiếp Bưu điện Việt Nam vinh dự nhận giải thưởng danh giá này bởi những thành tựu lớn trong lĩnh vực logistics, bưu chính chuyển phát tại Việt Nam và Quốc tế.
  • Trên 1 triệu người đăng ký tài khoản “Công dân Thủ đô số”
    Theo thông tin từ Sở Thông tin và Truyền thông Hà Nội, tính đến hết tháng 10/2024, ứng dụng “Công dân Thủ đô số” – iHanoi đã đã có khoảng 14 triệu lượt người dân truy cập khai thác, sử dụng. Tổng số người dùng đăng ký tài khoản trên ứng dụng này lên tới 1.043.724.
  • Sắp diễn ra Lễ hội văn hoá ẩm thực Hà Nội năm 2024
    UBND TP. Hà Nội vừa ban hành Kế hoạch số 313/KH-UBND về việc tổ chức Lễ hội văn hóa ẩm thực Hà Nội năm 2024 (The HaNoi Culinary Culture Festival 2024) với chủ đề "Hà Nội kết nối năm châu".
  • GHTK được vinh danh Thương hiệu Quốc gia Việt Nam lần thứ hai
    Công ty CP Giao hàng Tiết Kiệm tự hào là một trong 190 doanh nghiệp tiêu biểu, đạt danh hiệu Thương hiệu Quốc gia Việt Nam năm 2024 trong số hơn 1.000 doanh nghiệp đăng ký.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • MobiFone được vinh danh Thương hiệu quốc gia Việt Nam 2024
    Tại Lễ công bố sản phẩm đạt Thương hiệu quốc gia Việt Nam năm 2024 tối 4/11, MobiFone xuất sắc được vinh danh tại sự kiện với 5 thương hiệu sản phẩm đột phá bao gồm: Dịch vụ viễn thông MobiFone, mobiEdu, ClipTV, mobiAgri và nền tảng số MobiFone.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
Bảo vệ các hệ thống điều khiển công nghiệp bằng phân tích dữ liệu mạng
POWERED BY ONECMS - A PRODUCT OF NEKO