Đã có một số báo cáo về các cuộc tấn công vào hệ thống kiểm soát công nghiệp (ICS) trong vài năm qua. Nhìn kỹ hơn một chút, hầu hết các cuộc tấn công dường như đã tràn sang từ CNTT truyền thống. Điều đó có thể xảy ra, vì các hệ thống sản xuất thường được kết nối với các mạng công ty thông thường vào thời điểm này.
Mặc dù tại thời điểm này, dữ liệu của chúng tôi không chỉ ra rằng nhiều tác nhân đe dọa nhắm mục tiêu cụ thể vào các hệ thống công nghiệp – trên thực tế, hầu hết các bằng chứng đều chỉ ra hành vi hoàn toàn mang tính cơ hội – tình thế có thể thay đổi bất cứ lúc nào, một khi sự phức tạp gia tăng của việc xâm phạm môi trường OT hứa hẹn sẽ mang lại kết quả. . Bọn tội phạm sẽ tận dụng mọi cơ hội để tống tiền nạn nhân vào các kế hoạch tống tiền và việc ngừng sản xuất có thể gây ra thiệt hại to lớn. Nó có thể chỉ là vấn đề thời gian. Vì vậy, an ninh mạng cho công nghệ vận hành (OT) là cực kỳ quan trọng.
Đánh lừa là một lựa chọn hiệu quả để cải thiện khả năng phát hiện và phản hồi mối đe dọa. Tuy nhiên, bảo mật ICS khác với bảo mật CNTT truyền thống theo một số cách. Mặc dù công nghệ đánh lừa để sử dụng phòng thủ như honeypots đã phát triển nhưng vẫn có những thách thức do những khác biệt cơ bản như các giao thức được sử dụng. Bài viết này nhằm trình bày chi tiết tiến trình và những thách thức khi công nghệ đánh lừa chuyển đổi từ bảo mật CNTT truyền thống sang bảo mật ICS.
Giá trị của sự lừa dối: giành lại thế chủ động
Công nghệ đánh lừa là một phương pháp bảo vệ an ninh tích cực giúp phát hiện các hoạt động độc hại một cách hiệu quả. Một mặt, chiến lược này xây dựng một môi trường thông tin sai lệch và mô phỏng để đánh lừa phán đoán của kẻ thù, khiến những kẻ tấn công nhẹ dạ rơi vào bẫy để lãng phí thời gian và năng lượng, làm tăng tính phức tạp và không chắc chắn của cuộc xâm nhập.
Đồng thời, những người bảo vệ có thể thu thập nhật ký tấn công toàn diện hơn, triển khai các biện pháp đối phó, truy tìm nguồn gốc của kẻ tấn công và theo dõi hành vi tấn công của chúng. Việc ghi lại mọi thứ để nghiên cứu các chiến thuật, kỹ thuật và quy trình (TTP) mà kẻ tấn công sử dụng sẽ giúp ích rất nhiều cho các nhà phân tích bảo mật. Kỹ thuật đánh lừa có thể mang lại thế chủ động cho các hậu vệ.
Khám phá thông tin mới nhất về an ninh mạng với báo cáo toàn diện “Security Navigator 2023”. Báo cáo dựa trên nghiên cứu này dựa trên 100% thông tin trực tiếp từ 17 SOC toàn cầu và 13 CyberSOC của Orange Cyberdefense, CERT, Epidemiology Labs và World Watch, đồng thời cung cấp nhiều thông tin có giá trị và hiểu biết sâu sắc về bối cảnh các mối đe dọa hiện tại và tương lai.
Với một số ứng dụng lừa đảo, chẳng hạn như honeypots, môi trường hoạt động và cấu hình có thể được mô phỏng, do đó dụ kẻ tấn công thâm nhập vào mục tiêu giả mạo. Bằng cách này, những người bảo vệ sẽ có thể lấy các tải trọng mà kẻ tấn công thả xuống và nhận thông tin về máy chủ của kẻ tấn công hoặc thậm chí cả trình duyệt web bằng JavaScript trong các ứng dụng web. Hơn nữa, có thể biết các tài khoản mạng xã hội của kẻ tấn công bằng JSONP Hijacking cũng như chống lại kẻ tấn công thông qua ‘các tệp mật'. Có thể dự đoán rằng công nghệ đánh lừa sẽ trưởng thành hơn và được sử dụng rộng rãi hơn trong những năm tới.
Gần đây, sự tích hợp của công nghệ thông tin và sản xuất công nghiệp đã được tăng tốc với sự phát triển nhanh chóng của Internet công nghiệp và sản xuất thông minh. Sự kết nối của các mạng công nghiệp và thiết bị khổng lồ với công nghệ CNTT chắc chắn sẽ dẫn đến rủi ro bảo mật ngày càng tăng trong lĩnh vực này.
Sản xuất có rủi ro
Các sự cố bảo mật thường xuyên xảy ra như ransomware, vi phạm dữ liệu và các mối đe dọa dai dẳng nâng cao ảnh hưởng nghiêm trọng đến hoạt động sản xuất kinh doanh của các doanh nghiệp công nghiệp và đe dọa an ninh của xã hội kỹ thuật số. Nói chung, các hệ thống này có xu hướng yếu và dễ dàng bị kẻ tấn công khai thác do kiến trúc đơn giản của chúng, sử dụng sức mạnh xử lý và bộ nhớ thấp. Việc bảo vệ ICS khỏi các hoạt động độc hại là một thách thức vì các thành phần của ICS khó có thể thực hiện bất kỳ bản cập nhật hoặc bản vá lỗi nào do cấu trúc đơn giản của chúng. Việc cài đặt các tác nhân bảo vệ điểm cuối cũng thường không khả thi. Xem xét những thách thức này, lừa dối có thể là một phần thiết yếu của phương pháp bảo mật.
conpot là một honeypot tương tác thấp có thể mô phỏng các giao thức IEC104, Modbus, BACnet, HTTP và các giao thức khác, có thể dễ dàng triển khai và định cấu hình.
XPOT là một honeypot PLC tương tác cao dựa trên phần mềm có thể chạy các chương trình. Nó mô phỏng PLC sê-ri S7-300 của Siemens và cho phép kẻ tấn công biên dịch, giải thích và tải các chương trình PLC lên XPOT. XPOT hỗ trợ các giao thức S7comm và SNMP và là honeypot PLC có tính tương tác cao đầu tiên. Vì nó dựa trên phần mềm nên nó có khả năng mở rộng rất cao và cho phép các mạng cảm biến hoặc mồi nhử lớn. XPOT có thể được kết nối với một quy trình công nghiệp mô phỏng để làm cho trải nghiệm của đối thủ trở nên toàn diện.
CryPLH là một honeypot ICS Smart-Grid ảo và tương tác thấp mô phỏng các thiết bị Siemens Simatic 300 PLC. Nó sử dụng các máy chủ web Nginx và miniweb để mô phỏng HTTP(S), một tập lệnh Python để mô phỏng giao thức ISO-TSAP Bước 7 và triển khai SNMP tùy chỉnh. Các tác giả đã triển khai honeypot trong phạm vi IP của trường đại học và quan sát các nỗ lực quét, ping và đăng nhập SSH. Có thể thấy khả năng tương tác đang tăng dần từ mô phỏng giao thức ICS sang môi trường ICS.
Với sự phát triển của công nghệ an ninh mạng, hành vi lừa dối đã được áp dụng trong nhiều trường hợp khác nhau như web, cơ sở dữ liệu, ứng dụng di động và IoT. Công nghệ đánh lừa đã được thể hiện trong một số ứng dụng ICS honeypot trong lĩnh vực OT. Chẳng hạn, các honeypot ICS như Conpot, XPOT và CryPLH có thể mô phỏng Modbus, S7, IEC-104, DNP3 và các giao thức khác.
Theo đó, công nghệ đánh lừa như các ứng dụng honeypot ở trên có thể bù đắp cho hiệu quả thấp của các hệ thống phát hiện các mối đe dọa chưa biết và có thể đóng một vai trò quan trọng trong việc đảm bảo an toàn cho các mạng điều khiển công nghiệp. Các ứng dụng này có thể giúp phát hiện các cuộc tấn công mạng vào các hệ thống điều khiển công nghiệp và hiển thị xu hướng rủi ro chung. Các lỗ hổng OT thực tế bị kẻ tấn công khai thác có thể bị bắt và gửi đến nhà phân tích bảo mật, do đó dẫn đến các bản vá và thông tin tình báo kịp thời. Ngoài ra, có thể nhận được cảnh báo nhanh chóng, chẳng hạn như trước khi mã độc tống tiền bùng phát và tránh tổn thất lớn cũng như ngừng sản xuất.
thử thách
Tuy nhiên, đây không phải là một ‘viên đạn bạc'. So với thủ đoạn lừa đảo tinh vi có sẵn trong bảo mật CNTT truyền thống, hành vi lừa dối trong ICS vẫn phải đối mặt với một số thách thức.
Trước hết, có rất nhiều loại thiết bị điều khiển công nghiệp cũng như các giao thức và nhiều giao thức là độc quyền. Gần như không thể có một công nghệ đánh lừa nào có thể áp dụng cho tất cả các thiết bị điều khiển công nghiệp. Do đó, honeypots và các ứng dụng khác thường cần được tùy chỉnh để mô phỏng các giao thức khác nhau, điều này mang lại ngưỡng triển khai tương đối cao trong một số môi trường.
Vấn đề thứ hai là các honeypot điều khiển công nghiệp ảo thuần túy vẫn có khả năng mô phỏng hạn chế, khiến chúng dễ bị tin tặc nhận dạng. Sự phát triển và ứng dụng hiện tại của các honeypot ICS hoàn toàn ảo chỉ cho phép mô phỏng cơ bản các giao thức điều khiển công nghiệp và hầu hết chúng đều là nguồn mở, dễ dàng được tìm thấy bởi các công cụ tìm kiếm như Shodan hoặc Zoomeye. Việc thu thập đầy đủ dữ liệu tấn công và cải thiện khả năng mô phỏng của ICS honeypots vẫn là một thách thức đối với các nhà nghiên cứu bảo mật.
Cuối cùng nhưng không kém phần quan trọng, các honeypot điều khiển công nghiệp có tính tương tác cao tiêu tốn nhiều tài nguyên và có chi phí bảo trì cao. Rõ ràng, honeypots thường yêu cầu giới thiệu các hệ thống hoặc thiết bị vật lý để xây dựng môi trường mô phỏng chạy thực. Tuy nhiên, các hệ thống và thiết bị điều khiển công nghiệp rất tốn kém, khó tái sử dụng và khó bảo trì. Ngay cả những thiết bị ICS có vẻ giống nhau thường rất đa dạng về chức năng, giao thức và hướng dẫn.
Nó có đáng không?
Dựa trên các cuộc thảo luận ở trên, công nghệ đánh lừa cho ICS nên được xem xét để tích hợp với công nghệ mới. Khả năng mô phỏng và tương tác với môi trường giả lập củng cố công nghệ quốc phòng. Hơn nữa, nhật ký tấn công do ứng dụng đánh lừa thu được có giá trị rất lớn. Được phân tích thông qua các công cụ AI hoặc Dữ liệu lớn, nó giúp hiểu sâu hơn về trí thông minh trường ICS.
Tóm lại, công nghệ đánh lừa đóng một vai trò quan trọng trong sự phát triển nhanh chóng của an ninh mạng ICS và cải thiện trí thông minh cũng như khả năng phòng thủ. Tuy nhiên, công nghệ này vẫn đang đối mặt với những thách thức và cần sự đột phá.
Nếu bạn quan tâm đến một số thông tin chi tiết hơn về những gì mà các nhà nghiên cứu bận rộn của Orange Cyberdefense đã điều tra trong năm nay, bạn chỉ cần truy cập trang đích của Security Navigator được xuất bản gần đây của họ.
Lưu ý: Tác phẩm sâu sắc này đã được Thomas Zhang, Chuyên gia phân tích bảo mật tại Orange Cyberdefense, soạn thảo một cách chuyên nghiệp.
