Cách đây không lâu, có một sự tách biệt rõ ràng giữa công nghệ vận hành (OT) thúc đẩy các chức năng vật lý của một công ty – ví dụ như trên sàn nhà máy – và công nghệ thông tin (CNTT) quản lý dữ liệu của công ty để cho phép quản lý và lập kế hoạch.
Khi các tài sản CNTT ngày càng được kết nối với thế giới bên ngoài thông qua internet, OT vẫn bị cô lập với CNTT – và phần còn lại của thế giới.
Tuy nhiên, sự lan rộng của IoT công nghiệp (IIoT) cũng như nhu cầu giám sát và theo dõi thông tin liên tục từ các dây chuyền sản xuất và lắp ráp đồng nghĩa với việc kết nối giữa các hệ thống CNTT và OT đã mở rộng rất nhiều. OT không còn bị cô lập nữa. OT bây giờ cũng tiếp xúc với thế giới bên ngoài như CNTT vậy.
Điều này có ý nghĩa gì đối với bảo mật OT, nơi các thiết bị khó truy cập cần thiết cho quá trình sản xuất 24/7 rất khó vá? Chúng ta hãy xem xét.
Khoảng cách không khí đã qua
Cách đây không lâu, bất kỳ trao đổi dữ liệu nào giữa CNTT và OT đều hoạt động thông qua “mạng giày thể thao”. Một nhà điều hành thực tế sẽ đi đến một thiết bị đầu cuối được kết nối với thiết bị OT, giảm tải dữ liệu trong một khoảng thời gian gần đây và mang dữ liệu đã tải xuống máy trạm của họ, sau đó họ tải dữ liệu đó lên hệ thống CNTT của tổ chức.
Đó là một cách truyền dữ liệu cồng kềnh và chậm chạp, nhưng nó ngụ ý một khoảng cách vật lý có giá trị (khoảng cách không khí) giữa cơ sở hạ tầng OT và CNTT, bảo vệ các thiết bị OT quan trọng khỏi các rủi ro an ninh mạng CNTT điển hình. Nhưng, khi bài hát trôi đi, thời gian, họ thay đổi. Trên thực tế, chúng đã tồn tại từ khá lâu rồi.
Ngày nay, chúng ta đang thấy OT đứng đầu về rủi ro an ninh mạng. Các sự cố ransomware ngày càng gia tăng làm tê liệt toàn bộ công ty và phá sản trong thời gian dài có tác động tàn phá đến sự bền vững của các công ty bị ảnh hưởng và nó lan xuống toàn bộ chuỗi giá trị.
Trường hợp điển hình: trước đây được định giá 100 triệu đô la, United Structures of American Inc. đã đệ đơn phá sản vào đầu năm 2022, phần lớn là do công ty sản xuất thép là nạn nhân của một cuộc tấn công ransomware, nơi công ty này đã mất hầu hết dữ liệu của mình. Và mọi người sẽ nhớ cuộc tấn công năm ngoái vào Colonial Pipeline.
Bạn phải thích nghi và bảo mật OT của mình – Nhanh chóng
Bản chất nhịp độ nhanh của môi trường công nghệ ngày nay có nghĩa là chúng ta không thể quay lại những cách làm cũ và chúng ta phải giả định rằng OT sẽ tiếp xúc với thế giới bên ngoài. Điều này cho thấy cần có một cách tiếp cận khác để đảm bảo cơ sở hạ tầng OT.
Có rất nhiều giải pháp được đề xuất cho thách thức này, nhưng những giải pháp này thường đòi hỏi các kiến trúc hoàn toàn khác nhau, vì một số mô hình hiện nay không còn phù hợp nữa. Việc thay thế các thiết bị hiện có hoặc thay đổi các quy trình hiện có để phù hợp với các “phương pháp hay nhất” mới trong ngày luôn đi kèm với chi phí cao về thời gian, nguồn lực và đào tạo.
Nó tác động đến điểm mấu chốt, vì vậy các doanh nghiệp trì hoãn quá trình chuyển đổi càng lâu càng tốt. Như chúng ta đã thấy lặp đi lặp lại, một số doanh nghiệp sẽ chỉ tìm thấy động cơ phù hợp để chi tiêu đáng kể cho an ninh mạng sau khi sự cố xảy ra.
Khi tình huống xấu nhất xảy ra, các công ty sẽ ngay lập tức tìm được nguồn vốn cần thiết để khắc phục sự cố, nhưng có thể là quá ít, quá muộn – như United Structures đã phát hiện ra.
Cân nhắc thực hiện ít nhất một số bước
Nếu bạn chưa đảm bảo OT của mình, bạn cần phải bắt đầu ngay lập tức. Quy trình từng bước có thể hữu ích nếu những thay đổi bán buôn cần thiết để bảo vệ hoàn toàn OT của bạn chỉ đơn giản là không thực tế và không thể chi trả được.
Ví dụ, nếu thực tế, hãy xem xét phân đoạn các mạng được OT sử dụng và áp dụng danh sách cho phép ứng dụng để đảm bảo rằng chỉ các ứng dụng OT được ủy quyền mới có thể gửi và nhận dữ liệu qua mạng đó. Theo dõi chặt chẽ lưu lượng truy cập mạng và phân tích nhật ký để bạn có thể bắt được những kẻ tấn công đang thực hiện hành động – trước khi quá muộn.
Trường hợp OT của bạn được xây dựng bằng các thiết bị Linux, hãy xem xét bản vá trực tiếp. Bản vá trực tiếp liên tục cập nhật OT khó tiếp cận của bạn và không xung đột với mục tiêu thời gian hoạt động, điều này thường xảy ra khi bạn cần khởi động lại để vá lỗi.
Dù chiến lược của bạn là gì, không có lý do gì để bạn không được bảo vệ trong Cựu ước của mình. Điều đó áp dụng cho các bước như cô lập mạng OT, nhưng cũng cho các tùy chọn khác – chẳng hạn như áp dụng bản vá trực tiếp cho các thiết bị chưa được vá trước đó.
Sẽ không có “thời điểm tốt” để thực hiện những bước đầu tiên. Thời điểm tốt nhất để bắt đầu giảm thiểu rủi ro OT là ngay bây giờ.
Bài báo này được viết và tài trợ bởi TuxCare, công ty hàng đầu trong ngành tự động hóa Linux cấp doanh nghiệp. TuxCare cung cấp mức độ hiệu quả vô song cho các nhà phát triển, nhà quản lý bảo mật CNTT và quản trị viên máy chủ Linux đang tìm cách nâng cao và đơn giản hóa các hoạt động an ninh mạng của họ một cách hợp lý. Bản vá bảo mật trực tiếp nhân Linux của TuxCare và các dịch vụ hỗ trợ tiêu chuẩn và nâng cao hỗ trợ bảo mật và hỗ trợ hơn một triệu khối lượng công việc sản xuất.
Để duy trì kết nối với TuxCare, hãy theo dõi chúng tôi trên LinkedIn, Twitter, Facebook và YouTube.
