Thiết kế và bảo trì bảo mật mạng OT/IT dựa trên tiêu chuẩn IEC62443 (Phần 2)

292

phần 1 của bài viết về “Thiết kế và bảo trì bảo mật mạng OT/IT dựa trên tiêu chuẩn IEC62443”, người viết đã giới thiệu tổng quan về tiêu chuẩn IEC 62443, và một số lưu ý khi xây dựng hệ thống theo tiêu chuẩn IEC62443. Phần 2 của bài viết sẽ mang đến những kiến thức về cách thiết kế và bảo trì bảo mật mạng OT/IT.

Thiết kế và bảo trì bảo mật mạng OT/IT

Như vậy, cần dựa theo tiêu chuẩn IEC 62443 kết hợp với kinh nghiệm triển khai thực tế của nhà tích hợp sẽ giúp tư vấn thiết kế và duy trì một mạng OT/IT bảo mật nhất. Thứ nhất là hệ thống có khả năng lắng nghe, phân tích, và tự động mô phỏng hành vi của mạng, trình diễn cho đội ngũ vận hành tất cả các thông tin cần thiết để hiểu về mạng, được xây dựng và vận hành như thế nào, xác định được những điểm yếu hoặc các điểm có thể bị ảnh hưởng trong tương lai. Hệ thống phải có khả năng thực hiện tất cả những công việc này một cách hoàn toàn chủ động, cung cấp hình ảnh chính xác nhất có thể có của các hành vi mạng- với sai sót nhỏ nhất, và không có độ trễ hoặc ảnh hưởng đến hiệu suất của hệ thống và quy trình làm việc của cả mạng OT và IT.

Đồng thời, việc khảo sát, đánh giá và tìm hiểu nhu cầu cụ thể của khách hàng, cùng với kinh nghiệm triển khai thực tế của nhà tích hợp sẽ giúp tư vấn/thiết kế một hệ thống bảo mật mạngOT/IT phù hợp với khách hàng.

  • Cụ thể hoá việc tuân thủ tiêu chuẩn IEC 62443 như sau:
    • Cho phép xác định ngay lập tức, một cách tự động và chính xác tất cả các thiết bị mạng đang hoạt động và truy xuất dữ liệu, nhằm tạo điều kiện cho việc xác định các ranh giới và các điểm truy cập an toàn.
    • Cập nhật nhanh chóng và đầy đủ các mẫu nguy cơ (điểm yếu) đã tồn tại và công bố trên thế giới với cả mạng OT (ICS) và IT. Theo thông tin hiện nay, hiện có khoảng hơn có hơn 750 nguy cơ và mối đe dọa đặc biệt giành riêng cho chuẩn ICS với hơn 300 lỗ hổng cho thiết bị ICS đã biết, cho phép đánh giá rủi ro nhanh chóng và đã có sẵn các phương thức có thể phòng thủ hoặc giảm thiểu khi bị tấn công.
    • Hỗ trợ việc thực hiện phân đoạn mạng vào các phân vùng và đường dẫn vào các phân vùng, bảo đảm rằng không có thông tin hoặc thông tin không mong muốn nào xảy ra.
    • Cung cấp sự bảo vệ tốt nhất có thể có, với các công việc vận hành hàng ngày cho mạng; nhờ vào công cụ phát hiện mối đe dọa tiên tiến hiện đang có sẵn, bạn có thể phát hiện các cuộc tấn công không gian mạng mới và không biết đến dễ dàng như mỗi ngày đe dọa mạng.
  • Giám sát lưu lượng mạng và tập hợp thông tin thiết bị:
    • Giám sát lưu lượng mạng và phát hiện các mối đe dọa: Các tổ chức/đơn vị khai thác mạng OT/IT có thể thống kê và tập hợp thông tin liên quan đến các thiết bị đang hoạt động trong mạng rồi đưa ra báo cáo một cách toàn diện. Kết hợp với các quy trình kiểm soát, xác định luồng thông tin, các giao thức và các công cụ phân tích cho ra các kết quả tức thời, rõ ràng và chính xác của từng mạng liên quan, hỗ trợ cho người vận hành nắm được cách vận hành hệ thống, nhanh chóng xác định các điểm yếu và vi phạm bảo mật có thể xảy ra từ các nguồn như sử dụng các giao thức và dịch vụ không an toàn hoặc để sử dụng quá nhiều băng thông mạng công nghiệp. Ngoài ra, tất cả các thông tin này được chụp lại một cách thông minh – bằng cách sử dụng các công nghệ như cổng mirroring hoặc TAP nhằm không thay đổi hiện trạng và ảnh hưởng đến hiệu năng mạng.
    • Các thông tin thu được qua công cụ phân tích/báo cáo thông minh được thiết kế thành bản đồ mạng tương tác, giúp người quản trị nắm được các vấn đề chính của hệ thống mạng, như:
      • Sự phát triển của các giao tiếp mạng / giao thức theo thời gian.
      • Các biểu đồ dạng hình tròn xếp theo tỷ lệ các khía cạnh khác nhau của truyền thông – như các giao thức được sử dụng nhiều nhất – để xác định cấu trúc của mạng.
      • Các sơ đồ hình cây hiển thị chi tiết tất cả các mô hình truyền thông được giám sát trong mạng, và giúp xác định các luồng thông tin không mong muốn.
      • Các bảng liệt kê các tài sản mạng và các đặc tính của chúng, hoặc ghi lại các sự kiện không mong muốn trong một khoảng thời gian nhất định.
    • Bản đồ mạng tương tác trực quan giúp phân loại tổng thể các thiết bị mạng, mối liên hệ logic và các luồng truyền thông. Đồng thời, người dùng có thể lọc bản đồ và tìm hiểu chi tiết về các thiết bị cá nhân, từ hệ điều hành, bản vá, địa chỉ mạng, cũng như các mối đe dọa mà chúng đang bị ảnh hưởng (ví dụ như các lỗ hổng đã biết).
    • Các thông tin sưu tầm, từ các đồ thị và hình ảnh phân tích có thể tùy chỉnh và có thể được hiển thị có thể được lọc và lọc chéo theo các kích thước khác nhau. Các biểu đồ cung cấp giám sát theo thời gian thực vào mạng, đồng thời có thể sử dụng để phân tích và đưa ra các báo cáo theo những chiều mà người quản trị quan tâm. Trên thực tế, đằng sau nền tảng phân tích trực quan có một kho dữ liệu đầy đủ tính năng cho phép các nhà khai thác kết hợp tất cả các sở dữ liệu, có thể truy vấn với dữ liệu lịch sử, cung cấp tất cả quyền hạn – cần có để phân tích sâu sắc hành vi của mạng OT cũng như IT.
    • Kết hợp với công cụ phân tích chuyên dụng, giúp người quản trị nắm rõ các quy tắc cũng như luồng thông tin trong mạng. Mỗi quy tắc cho biết máy chủ đã được giám sát giao tiếp, qua cổng nào, sử dụng giao thức nào và chạy các hoạt động hay lệnh trên các giao thức đó. Thông tin này là chìa khóa để xác định sự hiện diện của các thông tin không mong muốn, các dịch vụ không an toàn do các thiết bị mạng hoặc các hoạt động của quá trình không mong muốn – như malware.

Kết quả của việc phân tích này có thể được sử dụng để xác định tình trạng an ninh của mạng, xoá bỏ các cấu hình sai trên hệ thống và điều chỉnh các hệ thống tường lửa ngăn chặn các luồng thông tin cụ thể không mong muốn. Hơn nữa, nó bao gồm tất cả các đầu vào yêu cầu để hỗ trợ việc xác định các “vùng” và “phân đoạn” mạng, theo khuyến cáo của IEC 62443. Nói cách khác, đây là bước đầu tiên để thiết kế và triển khai một mạng an toàn.

  • Phân tách mạng và phát hiện các mối đe doạ
    • Trên thực tế, các quy tắc tự động tạo ra bởi hệ thống giám sát có thể được thực thi để đảm bảo rằng bất cứ khi nào thông tin liên lạc khác với hành vi mạng dự định, người vận hành sẽ được cảnh báo ngay lập tức. Ví dụ, hệ thống sẽ cảnh báo trong thời gian thực trong trường hợp một máy chủ lưu trữ mới, trước đây xuất hiện trong hệ thống giám sát truyền thông trong mạng, hoặc một giao thức hoặc dịch vụ không mong muốn được sử dụng (xem hình bên dưới). Nói cách khác, hệ thống sẽ báo cáo bất kỳ vi phạm nào của phân đoạn mạng được xác định trong bước “xây dựng giải pháp” (bước 3 của việc triển khai khung IEC 62443).
    • Hơn nữa để kiểm soát một cách thông suốt trên các luồng thông tin, hệ thống cần có các công cụ dò tìm tiên tiến nhất để phân tích việc truyền thông qua các giao thức công nghiệp. Hệ thống phải sử dụng một cơ chế tự học – để tự động tạo ra mô hình được sử dụng bởi mạng OT. Kết quả là hệ thống có khả năng phân tích từng đơn vị và giá trị chứa trong một thông điệp trong giao thức OT, để đảm bảo rằng thông điệp không chỉ phù hợp với các quy định về giao thức mà còn với các hoạt động và phạm vi giá trị được sử dụng cụ thể trong mạng lưới giám sát . Ngay khi một truy cập không được phép cố gắng khai thác lỗ hổng trong các thiết bị mạng, hệ thống sẽ phát hiện ra nó và báo cáo. Điều này vượt xa khả năng của các hệ thống giám sát mạng hiện có,  khi chỉ dừng phân tích ở cấp độ ” dòng lệnh”. Do đó, hệ thống cần cung cấp sự bảo vệ khỏi một loạt các cuộc tấn công trên mạng toàn diện hơn, từ những cách đơn giản nhất đến tiên tiến nhất.

Tổng kết

Cần một cách tiếp cận và nền tảng lý tưởng để đưa ra một thiết kế và phương pháp luận về vận hành hệ thống nhằm đạt được và duy trì tất cả các yêu cầu của một mạng OT/IT. Điều đó sẽ cho các đơn vị/tổ chức đảm bảo hiệu suất của hệ thống mà không làm mất đi sự an toàn của mạng, như được đề cập trong tiêu chuẩn IEC 62443.

Như vậy, hệ thống sẽ mang lại các giá trị vượt trội so với các giải pháp bảo mật mạng truyền thống, giúp xác định và đưa ra phân tích/báo cáo về các hoạt động, các vấn đề có thể có những ảnh hưởng tàn phá tương tự của một cuộc tấn công không gian mạng. Nhìn chung, hệ thống cần đạt được nền tảng toàn diện và mạnh mẽ nhất để hợp nhất giám sát mạng OT và IT.

Tham khảo

Bài viết tham khảo 1 số giải pháp đã cung cấp cho khách hàng và tài liệu tham khảo sau:

https://www.isa.org/isa99/

http://isa99.isa.org/ISA99%20Wiki/Home.aspx

How to Design and Maintain a Secure ICS Network

Phần 1: Thiết kế và bảo trì bảo mật mạng OT/IT dựa trên tiêu chuẩn IEC62443

Song Phương – FPT IS

Tin liên quan: