Trong một thời gian dài, thế giới an ninh mạng chỉ tập trung vào công nghệ thông tin (CNTT), để công nghệ vận hành (OT) tự lo liệu. Theo truyền thống, rất ít doanh nghiệp công nghiệp có các nhà lãnh đạo chuyên trách về an ninh mạng. Bất kỳ quyết định bảo mật nào phát sinh đều thuộc về nhà máy và người quản lý nhà máy, những người là chuyên gia kỹ thuật có tay nghề cao trong các lĩnh vực khác nhưng thường thiếu kiến thức hoặc đào tạo về an ninh mạng.
Trong những năm gần đây, sự gia tăng các cuộc tấn công mạng nhằm vào các cơ sở công nghiệp và xu hướng hội tụ CNTT/OT do Công nghiệp 4.0 thúc đẩy đã làm nổi bật khoảng trống quyền sở hữu xung quanh bảo mật OT. Theo một báo cáo mới của Fortinet, hầu hết các tổ chức đang tìm đến Giám đốc An ninh Thông tin (CISO) để giải quyết vấn đề.
May mắn thay, các CISO không xa lạ gì với sự thay đổi hoặc những thử thách khó khăn. Bản thân vị trí này chưa đầy 20 năm, nhưng trong hai thập kỷ đó, các CISO đã điều hướng một số sự kiện an ninh mạng gây rối loạn nhất vốn thực sự là những bước ngoặt trong công nghệ.
Tuy nhiên, hầu hết các CISO đã tạo được dấu ấn của họ trong việc bảo vệ môi trường CNTT — và các công cụ và chiến lược bảo mật CNTT hiếm khi chuyển sang bối cảnh OT. Mặc dù các kỹ năng mềm về cộng tác và xây dựng nhóm chắc chắn sẽ giúp ích cho các CISO khi họ đưa môi trường nhà máy vào lĩnh vực trách nhiệm của mình, nhưng họ cũng phải nỗ lực tập trung để hiểu được địa hình độc đáo của bối cảnh OT và những thách thức bảo mật đặc biệt.
An toàn hơn mọi thứ
Hình ảnh 1: Bộ ba bảo mật CNTT của CIA bị đảo ngược trong thế giới OT, nơi tính khả dụng là ưu tiên cao nhất.
Trong CNTT, an toàn có nghĩa là dữ liệu được bảo vệ thông qua tính bảo mật. Mọi người bị tổn thương khi dữ liệu riêng tư, nhạy cảm của họ bị xâm phạm. Đối với doanh nghiệp, việc bảo mật dữ liệu giúp họ tránh khỏi các vi phạm, tiền phạt và thiệt hại về uy tín.
Trong OT, an toàn có nghĩa là các hệ thống thực-ảo đáng tin cậy và đáp ứng nhanh. Mọi người bị tổn thương khi lò cao hoặc nồi hơi công nghiệp không hoạt động bình thường. Đối với doanh nghiệp, tính khả dụng giúp hệ thống chạy đúng thời gian đến từng mili giây, đảm bảo năng suất và lợi nhuận.
Trớ trêu thay, bộ ba AIC của thế giới OT đã tạo ra các hệ thống và công cụ ưu tiên an toàn vật lý nhưng thường đi kèm với ít hoặc hoàn toàn không có tính năng an ninh mạng. CISO sẽ có trách nhiệm xác định và triển khai các giải pháp bảo mật để bảo vệ các hệ thống OT khỏi các mối đe dọa trên mạng mà không làm gián đoạn hoạt động của chúng.
Tự hỏi làm thế nào để bảo vệ hoạt động công nghiệp của bạn khỏi các mối đe dọa tiềm ẩn? Cái này báo cáo toàn diện về I-SRA có câu trả lời. Khám phá những thách thức hàng đầu, bao gồm các rủi ro về an toàn vận hành và các Mối đe dọa dai dẳng nâng cao (APT). Tải xuống báo cáo ngày hôm nay!
Các cấp độ phân khúc
Trong cả OT và IT, phân khúc giới hạn bề mặt tấn công của mạng. Trong OT, Mô hình Purdue đóng vai trò là khuôn khổ về cách thức và lý do các hệ thống có thể và nên giao tiếp với nhau.
Tóm lại, rất đơn giản hóa, Mô hình Purdue bao gồm năm lớp.
Cấp 4 và 5 là các lớp ngoài cùng bao gồm máy chủ web và email, cơ sở hạ tầng CNTT và người dùng tường lửa từ xa. Cấp 2 và 3 là các lớp vận hành vận hành phần mềm và ứng dụng chạy môi trường OT. Mức 0 và 1 chứa các thiết bị, cảm biến, bộ điều khiển logic khả trình (PLC) và hệ thống điều khiển phân tán (DCS) thực hiện công việc thực tế và phải được bảo vệ khỏi sự can thiệp từ bên ngoài.
Mục đích của các lớp này là tạo ra sự tách biệt cả về logic và vật lý giữa các cấp độ quy trình. Bạn càng tiến gần đến hoạt động thực tế ảo của các hệ thống công nghiệp như kim phun, cánh tay rô-bốt và máy ép công nghiệp, thì càng có nhiều biện pháp kiểm tra và cân bằng để bảo vệ chúng.
Mặc dù khái niệm phân khúc không phải là mới đối với CISO, nhưng họ sẽ cần hiểu rằng việc phân tách các vùng nghiêm ngặt hơn nhiều trong môi trường OT và phải được thực thi mọi lúc. Các doanh nghiệp công nghiệp tuân thủ mô hình Purdue hoặc các khuôn khổ tương tự khác để đảm bảo an toàn và bảo mật cũng như đáp ứng nhiều nhiệm vụ tuân thủ quy định.
Thời gian chết không phải là một lựa chọn
Trong CNTT, thời gian ngừng hoạt động để nâng cấp và vá lỗi không phải là vấn đề lớn, đặc biệt là trong thế giới Phần mềm dưới dạng dịch vụ (SaaS), nơi các bản cập nhật mới được phát hành thực tế trong thời gian thực.
Cho dù vì sự an toàn hay lợi nhuận, các hệ thống OT luôn hoạt động. Không thể dừng hoặc tạm dừng chúng để tải xuống hệ điều hành mới hoặc áp dụng ngay cả một bản vá quan trọng. Bất kỳ quy trình nào yêu cầu thời gian chết chỉ đơn giản là không bắt đầu đối với phần lớn các hệ thống OT. Vì lý do này, các CISO không nên ngạc nhiên khi phát hiện ra các hệ thống có tuổi đời hàng chục năm (có thể chạy trên phần mềm đã hết hạn sử dụng từ lâu) vẫn đóng vai trò là một phần quan trọng của hoạt động.
Thách thức mà các CISO phải đối mặt sẽ là xác định các biện pháp kiểm soát bảo mật sẽ không làm gián đoạn hoặc can thiệp vào các quy trình OT tinh vi. Các giải pháp phù hợp sẽ “bao bọc” cơ sở hạ tầng OT hiện tại trong một lớp bảo mật giúp bảo vệ các quy trình quan trọng mà không làm thay đổi, làm phức tạp hoặc làm quá tải chúng.
Tất cả quyền truy cập là quyền truy cập “từ xa”
Theo truyền thống, các hệ thống OT đã được bảo vệ thông qua sự cô lập. Giờ đây, các tổ chức đang kết nối các môi trường này để tận dụng Công nghiệp 4.0 hoặc để cho phép các nhà thầu truy cập dễ dàng hơn, tất cả quyền truy cập phải được theo dõi, kiểm soát và ghi lại.
Môi trường CNTT là một nơi kỹ thuật số nơi hoạt động kinh doanh diễn ra. Người dùng doanh nghiệp tiến hành công việc của họ và hệ thống trao đổi dữ liệu tất cả trong không gian này, ngày này qua ngày khác. Nói cách khác, con người được dự định tham gia tích cực và tạo ra những thay đổi đối với môi trường CNTT. Các hệ thống và môi trường OT được xây dựng để chạy mà không cần sự can thiệp của con người — “cài đặt và quên nó đi.” Con người có nghĩa là thiết lập chúng và sau đó để chúng chạy. Người dùng không đăng nhập vào môi trường OT cả ngày như cách người dùng doanh nghiệp làm trong hệ thống CNTT.
Trong bối cảnh này, bất kỳ ai truy cập vào môi trường OT đều thực sự là người ngoài cuộc. Cho dù đó là nhà cung cấp kết nối từ xa, người dùng doanh nghiệp truy cập qua mạng CNTT hoặc thậm chí là nhà điều hành OT truy cập vào môi trường tại chỗ, mọi kết nối đều đến từ bên ngoài. Nhận ra điểm mấu chốt này sẽ giúp CISO hiểu rằng các công cụ truy cập từ xa an toàn công nghiệp (I-SRA) nên được sử dụng cho tất cả các tình huống truy cập, không chỉ những tình huống mà CNTT sẽ coi là “từ xa”.
Các công cụ CNTT không (luôn luôn) hoạt động cho OT
Các công cụ được thiết kế cho CNTT hiếm khi dịch sang OT.
Các chức năng cơ bản như quét lỗ hổng có thể làm gián đoạn các quy trình OT và khiến hệ thống mất hoàn toàn ngoại tuyến và hầu hết các thiết bị không có đủ CPU/RAM để hỗ trợ bảo mật điểm cuối, chống vi-rút hoặc các tác nhân khác. Hầu hết các công cụ CNTT định tuyến lưu lượng qua đám mây. Trong OT, điều này có thể ảnh hưởng đến tính khả dụng và không thể hỗ trợ nhiều thành phần không được kết nối phổ biến trong môi trường OT. Vòng đời của các công cụ CNTT thường ngắn hơn nhiều so với vòng đời của các thiết bị OT. Do tính chất luôn hoạt động của môi trường OT, bất kỳ công cụ nào cần vá lỗi, cập nhật hoặc thời gian chết thường xuyên đều không thể áp dụng được.
Việc ép buộc các công cụ do CNTT thiết kế vào môi trường OT chỉ làm tăng thêm độ phức tạp mà không giải quyết được các ưu tiên và yêu cầu bảo mật cơ bản của các môi trường này. CISO càng sớm nhận ra rằng các hệ thống OT xứng đáng có các giải pháp bảo mật được thiết kế cho các nhu cầu đặc biệt của họ, thì họ sẽ càng nhanh chóng triển khai các công cụ và chính sách tốt nhất.
Kỹ năng mềm là chìa khóa thành công của CISO
Do hầu hết các nhà lãnh đạo an ninh mạng hiện có xu hướng xuất phát từ các vai trò bảo mật CNTT, nên có nghĩa là nhiều CISO sẽ có xu hướng (có lẽ là vô thức) đối với các triết lý, công cụ và thực tiễn CNTT. Để đảm bảo môi trường OT một cách hiệu quả, CISO sẽ cần phải trở thành sinh viên một lần nữa và dựa vào những người khác để học những gì họ chưa biết.
Tin tốt là các CISO thường có xu hướng đặt câu hỏi phù hợp và tìm kiếm sự hỗ trợ từ các chuyên gia phù hợp trong khi vẫn thúc đẩy giới hạn và đòi hỏi kết quả tích cực. Vào cuối ngày, công việc của CISO là lãnh đạo mọi người và nhóm chuyên gia hoàn thành mục tiêu lớn hơn là bảo vệ doanh nghiệp và tạo điều kiện cho doanh nghiệp. Những người sẵn sàng thu hẹp khoảng cách an ninh OT thông qua khả năng lãnh đạo mạnh mẽ và sẵn sàng học hỏi sẽ nhanh chóng tìm thấy chính mình trên con đường thành công.
Để tìm hiểu về giải pháp trong thế giới thực có thể giúp CISO bảo mật tốt hơn môi trường OT của họ, hãy khám phá Cyolo.
