Dịch vụ đánh giá an toàn hệ thống IoT: đảm bảo ATTT trong thời đại IoT
An toàn thông tin - Ngày đăng : 17:50, 26/07/2022
Nhằm giúp cho DN có thể tăng tốc độ phát hành sản phẩm, mở rộng hệ thống IoT đồng thời đảm bảo yếu tố về ATTT, ngày 26/7, Công ty An ninh mạng Viettel (Viettel Cyber Security - VCS) đã tổ chức hội thảo trực tuyến: "Đánh giá an toàn hệ thống IoT và bảo mật ứng dụng toàn diện cho DN", qua đó giúp DN hoàn thiện chu trình phát triển phần mềm, phát hiện những lỗ hổng từ các thành phần trong hệ thống IoT, từ đó đưa ra các kế hoạch khắc phục kịp thời và hạn chế tối đa các tổn thất có thể gặp phải trong quá trình vận hành hệ thống, ứng dụng.
Xu thế ứng dụng IoT tại các DN và nguy cơ mất ATTT
Cùng với sự phát triển của cuộc cách mạng công nghiệp 4.0 gần đây và tác động của đại dịch COVID-19, IoT ngày càng được ứng dụng nhiều hơn trong hoạt động tại các DN.
Theo Hiệp hội Thông tin di động thế giới (GSMA), năm 2020 trên thế giới có khoảng 13 tỷ kết nối IoT và con số này dự kiến sẽ tăng lên 24 tỷ vào năm 2025. Một khảo sát gần đây của Microsoft cho thấy tỷ lệ ứng dụng IoT trong các ngành đều ở mức cao, trên 91% DN sản xuất và 85% DN trong lĩnh vực năng lượng đã ứng dụng IoT. Khoảng 90% DN thuộc mọi ngành nghề tham gia khảo sát đều coi công nghệ IoT là yếu tố rất quan trọng cho sự thành công của DN.
Động lực thúc đẩy các ngành ứng dụng IoT bao gồm duy trì chất lượng, đảm bảo công nghệ, tối ưu hóa vận hành, nâng cao hiệu suất nhân công và cải thiện tình hình an toàn lao động. Quản lý chuỗi cung ứng, tối ưu hóa năng lượng sử dụng và cải thiện yếu tố bền vững cũng là những lý do quan trọng khiến các DN ứng dụng IoT.
Chia sẻ thêm tại hội thảo, ông Mai Xuân Cường, Giám đốc an ninh hệ thống ứng dụng, VCS, cho biết: Theo báo cáo khảo sát xu thế IoT tại các DN năm 2021 của IoT Analytics, việc áp dụng IoT vào hoạt động của các DN tăng mạnh khoảng 54%. Đại dịch COVID-19 toàn cầu đã thúc đẩy mạnh mẽ quá trình ứng dụng IoT, đặc biệt trong nhóm điều hành thông minh, theo đó những DN đã đẩy nhanh tiến độ triển khai IoT hoặc có chiến lược IoT có khả năng vượt qua đại dịch tốt hơn. Và ứng dụng IoT phổ biến nhất hiện nay là giám sát tài nguyên từ xa với 34% DN ứng dụng.
Cũng theo ông Cường, tại Việt Nam, IoT cũng được ứng dụng trong nhiều lĩnh vực hoạt động. Đầu tiên là giám sát và xử lý từ xa, theo đó các DN có xu thế áp dụng kết nối thiết bị, hệ thống IoT vào hệ thống quản lý tập trung để thực hiện giám sát từ xa như trạm biến áp không người trực (giám sát từ xa và thực hiện đóng/ngắt biến áp trên hệ thống tập trung). Hay dịch vụ bảo vệ giám sát từ xa, trước đây các cơ quan, đơn vị, gia đình thường có nhu cầu thuê bảo vệ trực tiếp tại địa điểm thì nay hướng tới lắp camera, thiết bị theo dõi từ xa để các công ty bảo vệ giám sát từ xa, khi phát hiện bất thường sẽ đưa ra cảnh báo và cử nhân viên bảo vệ trực tiếp tới xử lý, nhờ đó giúp cắt giảm chi phí. Các DN viễn thông cũng đang dần áp dụng các giải pháp giám sát từ xa ví dụ đối với các trạm BTS.
Thứ hai tự động hóa, nhằm áp dụng các giải pháp, thiết bị để hệ thống hoạt động hiệu quả hơn ví dụ như chấm công tự động, trạm thu phí không dừng. Tại Việt Nam, đặc biệt trong lĩnh vực nông nghiệp xu thế này đang được áp dụng trong việc tưới tiêu, cho ăn.
Thứ ba là nhóm logistics. Hiện nay, tất cả các công ty dịch vụ logistics đều lắp đặt dịch vụ kiểm tra (checking) cho ô tô, hay cho xe đạp công cộng để đảm bảo không bị mất trộm và giám sát an toàn, các DN vận tải (Viettel Post) áp dụng hệ thống phân tải tự động để phân chia hàng, theo dõi đơn hàng cho khách hàng. Tại các cảng biển, người ta cũng áp dụng IoT để checking các container khi đưa từ tàu vào và đánh dấu tọa độ của chúng tại các vị trí trong cảng.
Ngoài ra, IoT còn được ứng dụng để quản lý tài sản, theo đó các thiết bị của nhà máy sẽ được kết nối Internet để quản lý tập trung nhằm tối ưu hoạt động (theo dõi sản xuất, sản lượng) và quản lý hiệu quả hơn.
Theo ông Mai Xuân Cường, việc ứng dụng IoT vào hoạt động hàng ngày đã và đang mang lại hiệu quả và nguồn lợi cho các DN. Tuy nhiên, song song với đó nó cũng mang lại những nguy cơ về ATTT, bao gồm: các lỗ hổng bảo mật trong các thiết bị IoT (theo báo cáo củaPalo Alto Networks khoảng 57% các thiết bị IoT tồn tại lỗ hổng; nguồn gốc thiết bị không rõ ràng (thiết bị mua về có lỗi, có chứa mã độc,…); leo thang tấn công vào mạng CNTT và lộ lọt dữ liệu nhạy cảm
Dịch vụ đánh giá an toàn hệ thống IoT: đảm bảo ATTT trong thời đại IoT
Trong những năm gần đây, các sản phẩm IoT cho các lĩnh vực như nhà thông minh, các hệ thống điều khiển công nghiệp, tự động hoá,... ngày càng phát triển mạnh mẽ. Các thành phần phần cứng, firmware, giao thức, các ứng dụng di động, đám mây của IoT luôn tiềm ẩn các lỗ hổng bảo mật mà tin tặc có thể lợi dụng để khai thác, tấn công vào hệ thống.
Nhận thấy nguy cơ và rủi ro về ATTT của hệ thống IoT cho các DN, VCS đưa ra dịch vụ đánh giá ATTT hệ thống IoT (IoT security assessment). Đây là hình thức kiểm tra phần cứng, firmware, các giao thức, các ứng dụng di động và hệ thống đám mây của khách hàng để đánh giá các rủi ro ATTT tiềm ẩn,từ đó đưa ra phương án xử lý kịp thời.
Đối với đối tượng là các DN, tổ chức sử dụng IoT trong sản xuất kinh doanh, dịch vụ này của VCS sẽ thực hiện kiểm tra các tiêu chí ATTT của thiết bị bằng việc thống kê xác định các thông tin của các thiết bị, xác định cổng dịch vụ, mật khẩu, điểm yếu, lỗ hổng, firmware; rà soát cửa hậu (backdoor); thực hiện đánh giá các hệ thống liên quan có tham gia kết nối di động, web, đám mây và giao thức nhằm phát hiện các lỗ hổng mức hệ thống.
Còn đối với đối tượng là các nhà sản xuất thiết bị, dịch vụ đánh giá an toàn hệ thống IoT của VCS sẽ tư vấn chuyên sâu, triển khai các biện pháp bảo vệ theo quá trình; thực hiện đánh giá thiết bị và tổng quan giải pháp từ kết nối di động, web, đám mây và giao thức.
Theo đại diện VCS, quan điểm tiếp cận khi triển khai dịch vụ của VCS đó là phải sẵn sàng về kiến thức, kinh nghiệm (thông qua lab thử nghiệm lỗ hổng trên đa dạng thiết bị); tiếp cận theo tiêu chuẩn thế giới; thực hiện đánh giá tổng thể từ phần cứng, fimawre đến ứng dụng, giao thức và hệ thống CNTT liên kết. Kết quả nghiên cứu về các lỗ hổng được VCS đưa trên trang lab.viettelcybersecurity.com
Cụ thể, khi triển khai dịch vụ đánh giá ATTT hệ thống IoT, ông Mai Xuân Cường cho biết có 6 bước. Bước 1 là thu thập thông tin về hệ thống thiết bị và chuẩn bị các thiết bị để phục vụ quá trình đánh giá vật lý. Bước 2 sẽ trích xuất firmware thông qua các kỹ thuật đọc giao thức phần cứng, unbrickboot, phân tích mạng. Bước 3 sẽ phân tích firmware và các cấu hình trên thiết bị. Bước 4, đội ngũ VCS sẽ tìm kiếm các lỗ hổng dựa vào các chức năng theo danh mục (checklist) đưa ra, đánh giá hạ tầng. Bước 5 là dựng demo khai thác. Cuối cùng, bước 6, là lập báo cáo phản hồi và lên kế hoạch khắc phục với khách hàng.
Như vậy, việc nghiên cứu, đánh giá, phát hiện những lỗ hổng từ các thành phần trong hệ thống IoT sẽ giúp cho tổ chức, DN đưa ra được các kế hoạch khắc phục kịp thời, các chiến lược đảm bảo ATTT và hạn chế tối đa các tổn thất có thể gặp phải trong quá trình vận hành hệ thống.
Tuy nhiên, bà Vũ Thị Mai Anh, chuyên viên an ninh hệ thống ứng của VCS cũng lưu ý thêm đối với các nhà sản xuất thiết bị rằng vòng đời phát triển và triển khai các sản phẩm phần mềm diễn ra rất nhanh chóng khiến chu trình phát triển phần mềm không theo kịp. Thực tế không có 1 quy trình đảm bảo ATTT nào phù hợp cho mọi tổ chức, DN, do đó DN cần triển khai đồng thời nhiều giải pháp công nghệ bảo mật toàn diện nhằm giúp tăng tốc độ phát hành sản phẩm, mở rộng hệ thống IoT đồng thời đảm bảo yếu tố về ATTT./.