Ngày 20 tháng 4 năm 2023tin tức về hacker Bảo mật OT và ICS
Tại sao khả năng hiển thị trong môi trường OT lại quan trọng?
Tầm quan trọng của Công nghệ vận hành (OT) đối với các doanh nghiệp là không thể phủ nhận khi lĩnh vực OT phát triển mạnh mẽ cùng với lĩnh vực CNTT vốn đã phát triển mạnh. OT bao gồm các hệ thống điều khiển công nghiệp, thiết bị sản xuất và thiết bị giám sát và quản lý môi trường công nghiệp và cơ sở hạ tầng quan trọng. Trong những năm gần đây, kẻ thù đã nhận ra sự thiếu phát hiện và bảo vệ trong nhiều hệ thống công nghiệp và đang tích cực khai thác các lỗ hổng này. Đáp lại, các nhà lãnh đạo bảo mật CNTT đã nhận thức rõ hơn về nhu cầu bảo vệ môi trường OT của họ bằng các khả năng phản hồi và giám sát bảo mật. Sự phát triển này đã được đẩy nhanh bởi các sự cố mạng nghiêm trọng trong quá khứ nhắm vào các môi trường OT quan trọng và thậm chí gây ra thiệt hại vật chất cho cơ sở hạ tầng. Với vai trò then chốt của các hệ thống này trong hoạt động kinh doanh và xã hội hiện đại, việc đảm bảo an ninh cho chúng là vô cùng quan trọng.
Xu hướng cơ bản là rõ ràng: Các mạng OT và IoT được tích hợp dần dần với các mạng CNTT truyền thống cho mục đích quản lý và truy cập, dẫn đến tăng cường giao tiếp giữa các thiết bị này cả bên trong và bên ngoài. Điều này không chỉ ảnh hưởng đến chính các mạng mà còn mang lại sự phân nhánh đáng kể cho các nhóm bảo mật chịu trách nhiệm bảo vệ môi trường. Mặc dù sự hội tụ giữa OT và CNTT này mang lại nhiều lợi ích, chẳng hạn như nâng cao hiệu quả và giảm chi phí vận hành, nhưng nó cũng làm phát sinh những rủi ro và thách thức bảo mật mới, khiến môi trường OT dễ bị tổn thương hơn trước các mối đe dọa mạng. Bằng chứng là các cuộc tấn công trước đây, những mối đe dọa này thường không bị phát hiện do giám sát an ninh không đầy đủ, cho phép các tác nhân đe dọa không bị phát hiện trong thời gian dài. Do đó, việc đạt được khả năng hiển thị toàn diện và phát hiện bất thường hiệu quả trong môi trường OT là yếu tố then chốt để duy trì khả năng kiểm soát và bảo mật ổn định.
Những thách thức nào phát sinh trong việc giám sát môi trường OT?
Đầu tiên và quan trọng nhất, hiểu được bối cảnh mối đe dọa duy nhất của môi trường OT là rất quan trọng. Các phương pháp phát hiện bảo mật CNTT truyền thống không phù hợp trong bối cảnh này, vì chúng yêu cầu các ngưỡng độ nhạy khác nhau và giám sát tinh vi hơn đối với các phân đoạn mạng hoặc nhóm thiết bị, cũng như các cơ chế phát hiện dành riêng cho OT. Không giống như các cuộc tấn công CNTT tập trung vào đánh cắp dữ liệu, các cuộc tấn công OT thường nhằm vào tác động vật lý. Hơn nữa, như các ví dụ gần đây đã chứng minh, ransomware trong bối cảnh OT đang gia tăng và ảnh hưởng trực tiếp đến sự sẵn có của hệ thống kiểm soát và sự an toàn.
Thứ hai, giám sát môi trường OT yêu cầu xem xét các khía cạnh khác nhau, chẳng hạn như quản lý quyền truy cập của nhà cung cấp, quản lý thiết bị và truyền thông mạng. Việc kiểm soát và giám sát quyền truy cập của nhà cung cấp vào mạng OT và IoT là một thách thức, vì kết nối giữa mạng bên ngoài và mạng nội bộ có thể xảy ra thông qua nhiều phương tiện như VPN, kết nối di động trực tiếp và máy chủ nhảy. Một rào cản khác là quản lý thiết bị, bao gồm các cơ chế cập nhật và bảo vệ chống truy cập hoặc thao tác trái phép. Việc triển khai các thói quen cập nhật thường xuyên và triển khai Phát hiện & Phản hồi Điểm cuối (EDR) trên các thiết bị OT và IoT thường bị hạn chế hoặc không khả thi. Sự đa dạng của thiết bị, tuổi thọ của chúng và hệ điều hành dành riêng cho thiết bị khiến việc triển khai phần mềm bảo mật để giám sát các thiết bị OT trở nên khó khăn và cồng kềnh.
Thứ ba, các phương pháp phát hiện mạng CNTT truyền thống yêu cầu kiến thức chuyên sâu về giao thức, trong bối cảnh OT, bao gồm một loạt các giao thức và kịch bản tấn công khác nhau không có trong các bộ quy tắc truyền thống. Các thiết bị mạng OT kết nối các máy và cảm biến IoT bằng các giao thức truyền thông không phổ biến trong các mạng CNTT truyền thống. Đối với các giải pháp bảo mật xâm nhập hơn, các phương pháp quét lỗ hổng tích cực cũng có thể gặp sự cố trong môi trường OT, vì chúng có thể gây gián đoạn hoặc thậm chí ngừng hoạt động. Điều tương tự cũng áp dụng cho Hệ thống ngăn chặn xâm nhập (IPS) vì chúng có thể chặn các gói mạng, ảnh hưởng đến tính ổn định và tính liên tục của doanh nghiệp trong môi trường OT. Do đó, các hệ thống phát hiện mạng thụ động như giải pháp Phát hiện & Phản hồi Mạng (NDR) phù hợp hơn cho mục đích này.
Làm cách nào để tôi có thể giám sát và bảo mật môi trường OT của mình một cách hiệu quả?
Mặc dù quản lý truy cập an toàn và quản lý vòng đời thiết bị là rất cần thiết, nhưng việc triển khai liền mạch chúng có thể là một thách thức vô cùng lớn. Trong bối cảnh này, các giải pháp Phát hiện và Phản hồi Mạng (NDR) cung cấp một cách tiếp cận hiệu quả và không xâm phạm để giám sát môi trường OT. Bằng cách tập trung vào các mẫu giao tiếp cho thiết bị OT, giao điểm giữa CNTT và OT cũng như quyền truy cập của bên thứ ba vào mạng OT, các hệ thống NDR cung cấp khả năng phát hiện và hiển thị toàn diện mà không làm gián đoạn hoạt động công nghiệp và quy trình kinh doanh.
Đặc biệt, các giải pháp NDR với khả năng tạo cơ sở nâng cao vượt trội trong việc xác định các mẫu giao tiếp mới và bất thường có thể chỉ ra các hoạt động độc hại trong mạng OT. Bằng cách sử dụng thông tin luồng để tạo đường cơ sở, các hệ thống NDR này cung cấp khả năng phát hiện bất thường không phụ thuộc vào thiết bị và giao thức bằng cách tìm hiểu xem ai giao tiếp với ai và ở tần số nào. Thay vì định cấu hình các tham số này theo cách thủ công, NDR tìm hiểu đường cơ sở và cảnh báo cho các nhóm bảo mật về các yêu cầu hoặc thay đổi tần suất bất thường. Ngoài ra, khung trường hợp sử dụng linh hoạt cho phép thiết lập các ngưỡng tinh chỉnh để theo dõi cụ thể OT, bao gồm khả năng thiết lập giám sát tải với mức độ chi tiết cụ thể theo vùng mạng. Hơn nữa, việc sử dụng các thuật toán Machine Learning cho phép phát hiện chính xác hơn các điểm bất thường và các mối đe dọa tiềm ẩn so với các hệ thống dựa trên quy tắc truyền thống.
Do đó, khả năng giám sát thụ động của các giải pháp NDR rất quan trọng đối với môi trường OT và IoT, nơi các phương pháp giám sát thay thế có thể khó triển khai hoặc gây gián đoạn. ExeonTrace, một hệ thống NDR dựa trên ML đặc biệt mạnh mẽ và dễ triển khai dành cho môi trường OT, phân tích dữ liệu nhật ký từ môi trường CNTT truyền thống, mạng OT và cổng máy chủ nhảy, để cung cấp chế độ xem tổng thể và toàn diện về hoạt động mạng. Trong đó, tính linh hoạt của việc tích hợp các nguồn nhật ký bên thứ ba khác nhau, chẳng hạn như nhật ký dành riêng cho OT, là rất quan trọng. Ngoài ra, khả năng tích hợp của ExeonTrace với các nền tảng phát hiện dành riêng cho OT khác giúp nâng cao khả năng của nó và đảm bảo phạm vi bảo mật rộng rãi.
Nền tảng ExeonTrace: Khả năng hiển thị mạng OT
Tóm lại, các giải pháp NDR như ExeonTrace giải quyết hiệu quả các thách thức riêng biệt của việc giám sát OT, thiết lập hệ thống NDR của Thụy Sĩ làm phương pháp phát hiện được ưa chuộng để bảo vệ môi trường OT. Bằng cách triển khai các hệ thống NDR dựa trên ML như ExeonTrace, các tổ chức có thể giám sát và bảo mật hoạt động công nghiệp của họ một cách đáng tin cậy, đảm bảo hoạt động kinh doanh liên tục thông qua phương pháp tiếp cận tự động, hiệu quả và không cần phần cứng. Tìm hiểu xem ExeonTrace có phải là giải pháp lý tưởng cho doanh nghiệp của bạn hay không và yêu cầu bản demo ngay hôm nay.
