ICS Networks tiếp tục là mục tiêu mềm cho các cuộc tấn công trên mạng

Mặc dù có một số tiến bộ, mạng lưới hệ thống điều khiển công nghiệp (ICS - industrial control system) vẫn tiếp tục là những mục tiêu mềm và gặp nhiều nguy hiểm vào thời điểm các cuộc tấn công mạng chống lại chúng dường như đang gia tăng.

Nhà cung cấp bảo mật ICS CyberX gần đây đã phân tích dữ liệu của một năm, thu thập được từ 850 mạng lưới ICS sản xuất trên nhiều lĩnh vực, bao gồm năng lượng, tiện ích, sản xuất, dược phẩm và hóa chất.

Nghiên cứu cho thấy rằng một tỷ lệ phần trăm cao các tổ chức sử dụng ICS kém an toàn hơn so với mặt bằng chung và không giải quyết đầy đủ các vấn đề an ninh quan trọng.

Một trong những phát hiện quan trọng nhất trong nghiên cứu CyberX là 40% các trang web công nghiệp vẫn đang kết nối trực tiếp với Internet và do đó tiếp xúc với nhiều rủi ro hơn khi chúng bị ngắt kết nối với thế giới bên ngoài.

Ý tưởng cho rằng các mạng ICS tương đối an toàn vì chúng "không bị ảnh hưởng" từ Internet là một huyền thoại, Neray nói. Mạng công nghệ hoạt động (OT - Operational technology) tại bốn trong 10 tổ chức được kết nối trực tiếp với Internet và tỷ lệ cao hơn nhiều so với mạng công ty và do đó có khả năng bị truy cập vào từ những kẻ tấn công từ xa. 84% các tổ chức có ít nhất một thiết bị trên mạng của họ có thể truy cập từ xa và mở để giao tiếp thông qua RDP, SSH, VNC và các giao thức khác.

Có nhiều lý do tại sao các nhà khai thác ICS đang kết nối trực tiếp các mạng ICS một lần riêng biệt với Internet. Một tổ chức, ví dụ, có thể đã lập trình các hệ thống điều khiển của nó để nhận các bản cập nhật phần mềm tự động, hoặc nó có thể cần thiết để kích hoạt hỗ trợ từ xa. Vấn đề số hóa ngày càng tăng của các quy trình kinh doanh là một lý do khác.

Một bề mặt tấn công mở rộng không chỉ là mối quan tâm duy nhất với các mạng ICS. Hơn một nửa (53%) các trang web mà CyberX đưa vào trong nghiên cứu của họ đã sử dụng các hệ thống Windows lỗi thời, chẳng hạn như Windows XP và Windows 2000, để truy cập vào các mạng ICS của họ.

Theo báo cáo của CyberX, vì Microsoft không còn hỗ trợ các hệ thống này, nên chúng không được vá đúng cách để chống lại các lỗ hổng và có thể yêu cầu một số loại điều khiển bù trừ - như giám sát liên tục - để giảm thiểu rủi ro.

Thật đáng lo ngại, khoảng 57% các tổ chức trong nghiên cứu CyberX không chạy bất kỳ sự bảo vệ chống virus nào khi tự động cập nhật các phần mềm chữ ký độc hại trên các máy trạm kỹ thuật hoặc các hệ thống dựa trên Windows, được sử dụng để tương tác với các hệ thống điều khiển công nghiệp. Tình hình trên có vẻ là kết quả của sự lo ngại giữa nhiều tổ chức về các bản vá bảo mật và cập nhật phần mềm vi phạm hoặc làm chậm hệ thống hoạt động.

Rủi ro chính đối với các tổ chức ở đây là các hệ thống Windows được bảo vệ không tốt và các máy trạm kỹ thuật có thể cung cấp cho kẻ tấn công một chỗ đứng ban đầu trong mạng OT.

Ví dụ, cuộc tấn công TRITON vào năm ngoái vào một nhà máy hóa dầu của Ả Rập Saudi đã kích hoạt tình trạng ngừng cấp cứu bắt đầu với sự thỏa hiệp của hệ thống giao diện người-máy (HMI - human-machine interface). Các cuộc tấn công năm 2016 trên mạng lưới điện của Ukraine bằng cách sử dụng cái gọi là phần mềm độc hại Indostroyer là một ví dụ khác. Đây cũng là những hệ thống bị ảnh hưởng nhiều nhất bởi NotPetya và WannaCry bởi vì tất cả họ đều sử dụng giao thức SMB cổ đại để chia sẻ thông tin trên cả mạng công nghệ thông tin và công nghệ hoạt động.

Gần 70% các tổ chức được khảo sát cũng có mật khẩu rõ ràng được truyền qua mạng ICS của họ. Các mật khẩu, có thể dễ dàng bị đánh cắp bởi những kẻ tấn công tiến hành trinh sát mạng, thường kiểm soát quyền truy cập vào các thiết bị mạng cũ hơn không hỗ trợ các giao thức hiện đại, an toàn như SFTP và SNMP v3.

Ngoài ra, 16% có ít nhất một điểm truy cập không dây được cài đặt trong mạng OT của họ, cho phép kẻ tấn công có khả năng mở phần mềm độc hại như VPNFilter để đánh cắp thông tin liên lạc mạng và quét các mạng OT.

Trên một lưu ý tích cực, phân tích của CyberX cho thấy một số cải tiến. Ví dụ, mặc dù 53% các tổ chức vẫn đang sử dụng các hệ thống Windows lỗi thời, con số đó thực sự giảm từ 76% các tổ chức có hệ thống kế thừa trong báo cáo năm 2017 của CyberX. Một lý do mà CyberX phỏng đoán của có thể là nhiều tổ chức cảm thấy hoang mang bởi sự công khai và lo ngại xung quanh các cuộc tấn công của NotPetya và WannaCry và cuối cùng quyết định nâng cấp.

Điểm số rủi ro tổng thể cho các nhà khai thác ICS trên các lĩnh vực khác nhau cũng được cải thiện. Trong năm 2017, CyberX đã tính toán rủi ro trung bình trên tất cả các trang web khách hàng ICS của họ ở mức 61, với 80 là điểm được đề nghị tối thiểu của nhà cung cấp bảo mật. Năm nay, tổng số điểm rủi ro trung bình được cải thiện lên 70. Các tổ chức trong ngành dầu khí và năng lượng và tiện ích có điểm số cao nhất trong năm nay là 81 và 79 tương ứng, cho thấy sự trưởng thành về hệ thống an ninh tương đối của họ. Ở phía cuối bảng xếp hạng là các tổ chức trong lĩnh vực sản xuất và hóa dầu.

Để tăng cường an ninh, các nhà khai thác ICS nên cân nhắc thực hiện các biện pháp như giám sát liên tục, phân đoạn mạng chi tiết hơn và mô hình hóa mối đe dọa để ưu tiên các nỗ lực giảm thiểu.