Quy định chặt chẽ hơn việc kiểm soát các thiết bị kết nối mạng tạm thời
Khi một thiết bị USB được cắm vào máy tính có kết nối mạng, mọi sự cố đều có thể xảy ra. Các thiết bị này có thể chứa cả mối đe dọa trên tệp và phương tiện, sử dụng thiết bị như thế này sẽ bỏ qua các lớp bảo mật của tổ chức. Trong mọi trường hợp, phần mềm độc hại có thể là thảm họa cho toàn bộ tập đoàn, đặc biệt trong các cuộc tấn công vào môi trường OT - nơi phần cứng và phần mềm được sử dụng để chạy các hệ thống kiểm soát công nghiệp có thể là một trong những điều tồi tệ nhất. Rủi ro này thường tăng lên do việc sử dụng các phương tiện di động là cách duy nhất để đưa các tệp bị nhiễm phần mềm độc hại vào các mạng OT đã được cô lập. Theo một báo cáo mới từ Fortinet, 77% các tổ chức có mội trường mạng OT đã gặp sự cố bảo mật CNTT trong năm qua và 78% trong số các tổ chức chức đó có một chút chú ý vào an ninh mạng trong môi trường OT của họ.
Ví dụ, đầu năm 2019, nhà máy sản xuất nhôm Na Uy Norsk Hydro đã mất hơn 40 triệu USD trong những tuần sau khi bị tấn công bởi mã độc tống tiền - ransomware. Cuộc tấn công đã buộc công ty ngừng hoạt động sản xuất tự động và phải chuyển sang hoạt động thủ công. Từ đó ta có thể thấy được thiệt hại vô cùng lớn mà một thiết bị cầm tay bị nhiễm mã độc trong môi trường OT có thể gây ra khi nó liên quan đến cơ sở hạ tầng quan trọng.
Mới đây, một phụ nữ đã bị Sở Mật vụ Mỹ bắt giữ tại khu nghỉ mát Mar-a-Lago của Tổng thống Trump. Cô này bị bắt khi mang theo hộ chiếu, điện thoại di động, máy tính xách tay, ổ cứng gắn ngoài và USB có chứa phần mềm độc hại vào khu nghỉ mát. Việc này nếu không được phát hiện kịp thời có thể dẫn đến việc một nhân viên Mật vụ có cắm USB độc hại vào máy tính xách tay quan trọng nào đó mà không được kiểm tra an ninh chặt chẽ.
Để khắc phục những vi phạm đã diễn ra và các nguy cơ hiện hữu, cần có những giải pháp thích hợp.
Theo Schneider Electric, một trong những chuyên gia lớn nhất thế giới về quản lý năng lượng và tự động hóa, là người dẫn đầu về an ninh mạng trong các bước của mọi quy trình và bộ phận của chuỗi cung ứng. Vào năm 2017, dòng sản phẩm an toàn Triconx đã bị tấn công bằng phần mềm độc hại có tên là “Triton” (hay “Trisisis”), với mục đích cố gắng phá hoại thiết bị an toàn (SIS-Safety Instrumented Systems) ở Trung Đông. Ông đã hóa giải thành công cuộc tấn công bằng cách tiếp cận toàn diện, trong đó sử dụng việc tiếp cận nhiều lớp đối với an ninh mạng theo các tiêu chuẩn NIST với năm chức năng: xác định, bảo vệ, phát hiện, phản hồi và phục hồi. Từ đó đã đảm bảo an toàn cho tất cả khách hàng.
Trên thế giới, nhiều TC/DN đã đưa ra các quy định của mình đối với các thiết bị kết nối mạng tạm thời. Ví dụ, Tập đoàn điện Bắc Mỹ (NERC) đã đưa ra các tiêu chuẩn mới, như CIP-010 R4, để quản lý việc sử dụng phương tiện di động và các thiết bị khác; US-CERT (Nhóm ứng phó khẩn cấp máy tính Hoa Kỳ) cũng đã đưa ra nhiều cảnh báo về mối đe dọa của USB….
Trước tình hình này, giải pháp sử dụng các ki-ốt an ninh mạng truyền thông di động là một cách hiệu quả để ngăn chặn các cuộc tấn công và có khả năng hiển thị cũng như thể hiện sự tuân thủ quy định. Theo Oren Dvoskin, cựu chuyên gia CNTT của Không quân Israel và là giám đốc tiếp thị hiện tại của Sasa Software, bộ chỉ huy mạng của Israel khuyến nghị sử dụng các ki-ốt an ninh mạng truyền thông di động với giải giáp tái cấu trúc nội dung (content disarm and reconstruction - CDR) là lớp bảo mật cơ bản để bảo vệ cơ sở hạ tầng quan trọng. Thiết kế của các ki-ốt ngăn chặn các cuộc tấn công dựa trên truyền thông di động và công nghệ CDR tích hợp ngăn chặn các cuộc tấn công nâng cao dựa trên tệp và khó phát hiện. Hiệu quả của giải pháp CDR và các ki-ốt an ninh mạng trong các lĩnh vực thương mại được quy định đã sử dụng một cách rộng rãi ở Israel.
Ví dụ về một ki-ốt sử dụng phần mềm sao chép-ghi Sasa: Các ki-ốt được quản lý bởi trung tâm và được phân phối theo địa lý tại nhiều địa điểm. Các tệp được sao chép từ phương tiện di động sau đó được quét/vô hiệu hóa trước khi chuyển sang phương tiện đáng tin cậy hoặc sẽ được gửi an toàn vào mạng OT bằng cách sử dụng ống dữ liệu hai chiều.
Hình 1. Phần mềm sao chép-ghi Sasa
Tại Singapore, các cơ quan an ninh cũng đã áp dụng các khuyến nghị này khi hợp tác với Israel. Tại Hoa Kỳ, các tổ chức thương mại đang tuân theo các khuyến nghị và tiêu chuẩn quản lý ngành năng lượng của US-CERT với các chính sách kiếm soát chặt chẽ, chẳng hạn như lệnh cấm ổ đĩa, USB của IBM.
Với các cuộc tấn công mạng được nhắm mục tiêu tấn công vào môi trường mạng OT đang gia tăng, đã đến lúc các CISO cần có một kế hoạch vững chắc về cách bảo vệ môi trường OT tránh khỏi việc bị các mã độc trên các thiết bị kết nối tạm thời xâm nhập. Các thiết bị này bao gồm: ổ USB, đĩa quang, thẻ SD, đĩa mềm cũ và thậm chí toàn bộ máy tính xách tay được các nhà cung cấp đưa vào môi trường OT.
Các thiết bị mạng tạm thời rất cần thiết cho các hoạt động hàng ngày và bảo trì các mạng bị cô lập và phải được xử lý bởi một ki-ốt an ninh mạng sử dụng công nghệ CDR trước khi chúng được đưa vào mạng. Việc chỉ quét Anti Virus là không đủ để chống lại các cuộc tấn công dựa trên phần mềm độc hại và phương tiện truyền thông tiên tiến. Việc sử dụng các ki-ốt an ninh mạng cho phép chuyển các tệp an toàn từ phương tiện vào mạng OT của các tổ chức, đồng thời cho phép thực thi chính sách, khả năng hiển thị và kiểm soát hoàn toàn bằng hệ thống báo cáo và quản lý trung tâm.
Nhật Minh
theo SC magazine