Hiểu hệ thống trước khi bị tin tặc tấn công
Các cuộc tấn công mạng nhắm vào cơ sở hạ tầng trọng yếu của quốc gia và các tổ chức có thể được ngăn chặn nếu các nhóm đặc trách về an ninh mạng hiểu rõ hơn về mạng của chính họ.
Hiểu rõ hơn về mạng là một khuyến nghị, nhưng trong nhiều trường hợp, tội phạm mạng và tin tặc đã xâm nhập vào mạng của một tổ chức trong một thời gian dài mà không hề bị phát hiện.
Một số cuộc tấn công xâm nhập vào các cơ sở hạ tầng trọng yếu, nơi tin tặc có thể gây thiệt hại và để lại các hậu quả nghiêm trọng. Nhưng tin tặc chỉ có thể làm được điều đó khi những người chịu trách nhiệm bảo vệ mạng không nắm bắt được những gì họ đang quản lý.
Dmitri Alperovitch, chủ tịch điều hành Silverado Policy Accelerator và đồng sáng lập và cựu Giám đốc công nghệ của CrowdStrike cho biết: "Mọi người thường hiểu chưa đúng về các cuộc tấn công - các vụ việc không diễn ra với tốc độ ánh sáng, mà thường phải mất hàng tháng hoặc hàng năm để có được quyền truy cập vào mạng và phát động phá hoại".
Điều đó đòi hỏi các bộ phận chịu trách nhiệm về bảo mật cần phải kiến thức chuyên sâu về mạng, khả năng phát hiện bất kỳ hành vi đáng ngờ nào và thực hiện ngăn chặn các xâm nhập.
"Nếu bạn nhìn vào bên trong các hệ thống, tìm kiếm những kẻ xâm nhập và sử dụng thông tin tình báo, thì có thể phát hiện ra ngay khi chúng xâm nhập, trước khi chúng gây ra bất kỳ thiệt hại nào", Alperovitch nói thêm.
Việc này đã trở nên quan trọng hơn trong những năm gần đây, khi các môi trường công nghiệp ngày càng kết nối với các cảm biến và màn hình Internet vạn vật (IoT). Các thiết bị đó hữu ích đối với các nhà cung cấp cơ sở hạ tầng vì chúng cho phép giám sát hiệu quả hơn các hệ thống, bảo trì và sửa chữa tốt hơn, nhưng nếu không được quản lý đúng cách, đây có thể là điểm yếu để kẻ tấn công truy cập mạng.
Annessa McKenzie, Phó Chủ tịch phụ trách CNTT và Giám đốc an ninh thông tin (CSO) tại Calpine, một công ty sản xuất điện của Mỹ, cho biết: "Chúng ta cần phải chủ động kiểm tra. Chúng ta cần phát triển nhiều khả năng hơn, ít nhất để trước khi gặp phải lỗ hổng chúng ta có hiểu biết cơ bản về môi trường này. Bởi vì khi hoàn toàn mù mờ trước những gì sẽ xảy ra, thì sẽ phải mất vài ngày, hàng tuần, đôi khi hàng tháng - và chúng ta không bao giờ thực sự hiểu những gì đã xảy ra".
Rob Lee, CEO và đồng sáng lập, Dragos, nhà cung cấp bảo mật công nghiệp đã tổ chức các cuộc thảo luận trực tuyến về việc đảm bảo cơ cấu hạ tầng trọng yếu cho biết: "Rất nhiều công ty thực hiện phân khúc, giám sát, chống virus – những việc này không tồi - nhưng việc tập trung vào cuộc tấn công sẽ diễn ra như thế nào vẫn chưa được quan tâm".
"Chúng ta hãy làm ngược. Chúng ta muốn ứng phó như thế nào? Chúng ta có muốn đưa nhà máy hoạt động trở lại không? Sau đó, chúng ta sẽ phải phân tích nguyên nhân gốc rễ".
Bằng cách giám sát mạng như thế này, Lee nói, các tổ chức chịu trách nhiệm về hệ thống điều khiển công nghiệp có thể hiểu các yêu cầu mạng lưới cần để đảm bảo an ninh - và bằng cách này, những người chịu trách nhiệm về cơ sở hạ tầng trọng yếu có thể giúp mọi người bằng cách chi tiết những gì họ tìm thấy để thông báo cho chính phủ.
Với các công cụ và chuyên môn phù hợp, sự can thiệp của chính phủ có thể giúp tăng cường an ninh mạng đối với cơ sở hạ tầng trọng yếu bằng cách tạo một môi trường cho các tổ chức chia sẻ thông tin và thực tiễn tốt nhất về các cuộc tấn công để bảo vệ các mạng.
Michael Chertoff, cựu Bộ trưởng An ninh Nội địa Mỹ, đồng sáng lập và chủ tịch điều hành của The Chertoff Group, một công ty tư vấn rủi ro và bảo mật cho hay: "Họ có thể tạo ra một nền tảng để các công ty kết hợp với nhau, trao đổi các thực tiễn, hỗ trợ tốt nhất và thậm chí có thể tổ chức một số khả năng công - tư cùng ứng phó".
Ông cũng đề xuất trách nhiệm về an ninh không nên chỉ phụ thuộc vào các nhà cung cấp cơ sở hạ tầng và các tổ chức khác, các công ty xây dựng các hệ thống chuyên gia và các bộ phận được kết nối được sử dụng trong các môi trường này cũng phải chịu trách nhiệm.
Tìm hiểu phương thức của các cuộc tấn công làm suy yếu các hệ thống
Các nhà nghiên cứu phát hiện ra các phương thức tấn công mới tiềm năng để tin tặc truy cập vào các môi trường IoT công nghiệp - và cảnh báo chống lại sự nguy hiểm của các điểm mù trong bảo mật cơ sở hạ tầng trọng yếu.
Các tin tặc có thể nhắm vào mục tiêu sản xuất thông minh và các môi trường công nghiệp khác với các cuộc tấn công mạng mới và không thông thường để khai thác các lỗ hổng trong hệ sinh thái hỗ trợ Internet công nghiệp (IIoT).
Các nhà nghiên cứu tại công ty an ninh mạng Trend Micro và các chuyên gia tại Đại học Bách khoa Milan đã kiểm tra cách tin tặc khai thác lỗ hổng bảo mật trong thiết bị IIoT để xâm nhập vào mạng và triển khai phần mềm độc hại, thực hiện gián điệp hoặc thậm chí là phá hoại.
Mặc dù các mạng này được cho là tách biệt, nhưng thường có thể có các liên kết với các hệ thống văn phòng chung trong toàn bộ tổ chức.
Thực hiện các kiểm thử tấn công các thiết bị công nghiệp thực tế trong sự phòng thí nghiệm Công nghiệp 4.0 của Đại học Milan, các nhà nghiên cứu đã phát hiện ra một số cách kẻ tấn công có thể khai thác lỗ hổng để tiếp cận với các môi trường sản xuất thông minh.
Theo đó, các nhà nghiên cứu đã phát hiện ra có những lỗ hổng trong một ứng dụng cụ thể được sử dụng để giúp thiết kế và chế tạo các robot, các hệ thống tự lái khác, cho phép kẻ tấn công truy cập vào mạng phát triển để cài đặt các bổ sung (add-ins) chưa được xác minh.
Chúng có thể được sử dụng để giám sát toàn bộ quá trình phát triển - và cung cấp cho kẻ tấn công các phương tiện để có quyền truy cập và kiểm soát mạng mà thiết bị thông minh đang hoạt động trên mạng đó, nhảy từ thiết bị này sang các hệ thống khác và các phương tiện gián điệp tiềm năng.
May mắn thay, các nhà nghiên cứu đã liên lạc với các nhà cung cấp ứng dụng về các lỗ hổng phần mềm được tìm thấy - và lỗ hổng đặc biệt này đã bị đóng.
Nhưng đó không phải là phương pháp duy nhất mà các nhà nghiên cứu nhận thấy họ có thể khai thác để có quyền truy cập vào mạng thông minh bằng cách sửa đổi thiết bị IIoT đến mức họ có thể khai thác nó để kiểm soát hoặc sửa đổi cách môi trường hoạt động. Những kẻ tấn công có thể sẽ có quyền truy cập vào nó thông qua một lỗ hổng trong chuỗi cung ứng phần mềm của thiết bị, có lẽ theo phương pháp được mô tả ở trên..
Với quyền truy cập vào các hệ thống như vậy, kẻ tấn công có thể thay đổi các thông tin trên mạng mà không tạo ra nghi ngờ nào, ngay cả khi các hệ thống đang thực hiện các điều chỉnh về chức năng.
Ngoài ra, những kẻ tấn công có thể kém tinh tế hơn nhiều, bằng cách sử dụng một mạng lưới các thiết bị trojan để hạ gục mạng trong một cuộc tấn công DDoS hoặc bằng cách điều khiển các thiết bị đặt báo thức hoặc thực hiện các hoạt động đáng chú ý khác. Những phương thức khác bao gồm các máy trạm bị xâm nhập hoặc các cửa hàng ứng dụng cung cấp các tiện ích bổ sung cho các hệ thống công nghiệp.
Tất cả các kịch bản này nhắc nhở chúng ta rằng nếu không được quản lý đúng cách, các hệ thống vật lý không gian mạng có thể bị xâm phạm và khai thác theo nhiều cách khác nhau.