Thiết kế và bảo trì bảo mật mạng OT/IT dựa trên tiêu chuẩn IEC62443 (Phần 1)

556

Tổng quan

ICS/SCADA là tên viết tắt của thuật ngữ Industrial Control Systems/ Supervisory Control And Data Acquisition – hệ thống điều khiển mạng công nghiệp/ Hệ thống thu thập dữ liệu và Điều khiển giám sát. Hệ thống này là tập hợp các thiết bị điện, điện tử, cơ khí, thuỷ lực, và các thiết bị chuyên dụng khác theo từng ngành công nghiệp cụ thể như: điện, nước, xăng/ dầu, giao thông, khí tượng thuỷ văn, vân vân. Do điều kiện lịch sử phát về công nghệ, trước đây các hệ thống này thường được thiết kế độc lập và có các hệ thống giám sát và điều khiển riêng, tuy vẫn tuân theo các tiêu chuẩn phổ biến nhưng mỗi hãng cung cấp thiết bị, hệ thống như Honeywell, Schneider Electric, Siemens… lại phát triển thành các giao thức riêng đặc thù của chính mình.

Các đơn vị/tổ chức sử dụng mạng công nghiệp luôn luôn có nhu cầu quản lý để tăng năng suất và giảm chi phí. Để đạt được những mục đích này và đáp ứng nhu cầu quản lý, các đơn vị/tổ chức đang chuyển sang sử dụng các công nghệ truyền thông chuẩn (standard communication) và các thiết bị ứng dụng thương mại được đóng gói hoàn chỉnh (Commercial-Off-The-Shelf – COTS) – nghĩa là các sản phẩm khi được trang bị, sẽ hoạt động ngay mà không phải yêu cầu thêm bất kỳ sự tuỳ chỉnh hay tích hợp nào phức tạp.

Sự dịch chuyển sang nền tảng giao thức Internet (IP) và cuộc cách mạng công nghiệp 4.0 (Công nghệ thông tin (Information Technology – IT) về cơ bản đã thay đổi các mạng ICS/SCADA ( mạng ứng dụng máy tính để quản trị các hệ thống thiết bị công nghiệp, Operation Technology – OT) được thiết kế và quản lý theo kiến trúc cũ với nguy cơ tiềm ẩn nhiều rủi ro (risk) và lỗ hỏng (flaws). Với hàng trăm thiết bị từ các hãng khác nhau trong mạng, nó trở nên khó khăn hơn trong việc giám sát và điều khiển – đặc biệt là “ai” đang truy cập vào hệ thống, làm gì với thông tin mà họ có thể xem và lấy được, đồng thời tiếp tục theo dõi mạng và xử lý các hành vi – từ đó có thể xác định các mối nguy cơ về an ninh trong mạng.

Một trong những thách thức nữa, các doanh nghiệp không thể tổ chức và xây dựng một mạng ICS/SCADA hoàn toàn mới, vì vẫn phải duy trì một mạng lưới cũ, với những vấn đề về bảo mật cố hữu đã tồn tại trong hệ thống ngay từ khi xây dựng – khi đó, các đơn vị thiết lập hệ thống chưa từng có các “ý nghĩ” hay hành động nào về việc tổ chức nhân sự, rà soát chính sách bảo mật, đánh giá nguy cơ và xa hơn là đầu tư giám sát, đánh giá rủi ro một cách nghiêm túc và toàn diện hệ thống. Bên cạnh đó nhu cầu trao đổi thông tin giữa mạng IT và OT ngày càng bức thiết – như đúng nền tảng của cuộc cách mạng công nghiệp 4.0. Đi theo xu hướng này, các nguy cơ tiềm ẩn về các mối đe doạ hay tấn công ngày càng hiện hữu, đặc biệt là đi từ mạng IT sang mạng OT.

Vậy một câu hỏi đặt ra là “Làm thế nào để tiếp cận một kiến trúc bảo mật toàn diện, từ đó thiết kế, vận hành và duy trì một mạng IT và OT bảo mật và tối ưu nhất?”. Câu trả lời không thể đơn lẻ nằm trong tay một hay một nhóm người, một hay nhiều nhà cung cấp thiết bị, giải pháp bảo mật, mà cần phải có sự chuẩn hoá!

Gần đây, để hạn chế sự tấn công vào các mạng OT với mối đe dọa mới, các chuyên gia về an ninh mạng và tự động hóa công nghiệp đã thành lập tiêu chuẩn ANSI/ISA-99, hay là IEC 62443. Đây là tiêu chuẩn cung cấp một bộ khung (frameworks) giúp cho các hãng cung cấp thiết bị, các đơn vị tích hợp hệ thống, các nhà vận hành mạng một cách tiếp cận và giải quyết các vấn đề bảo mật và đặc biệt là có khả năng tương thích giữa các hãng cung cấp thiết bị, giải pháp bảo mật khác nhau.

Bài viết này sẽ nhằm giới thiệu, đánh giá và đưa ra thiết kế bảo mật hệ thống OT/IT dựa trên tiêu chuẩn IEC 62443.

Tổng quan về tiêu chuẩn IEC 62443

Tiêu chuẩn IEC 62443 là một khung linh hoạt được thiết kế để tạo điều kiện giảm thiểu những nguy cơ trong hiện tại và tương lai, đối với các hệ thống và mạng lưới kiểm soát công nghiệp bằng cách áp dụng các biện pháp kiểm soát an ninh và thực tiễn tốt nhất. Các tiêu chuẩn yêu cầu ở các cấp độ kỹ thuật và tổ chức khác nhau để đảm bảo cho các tổ chức đạt được một kiến trúc an ninh không gian mạng đầy đủ.

Giới thiệu chung

Trong bài viết này, tác giả tập trung chủ yếu vào các tiêu chuẩn kỹ thuật của các nhóm tiêu chuẩn IEC 62443, những nhóm này nhắm vào mạng và các thành phần của nó (“System -Hệ thống” và “Components -Hợp phần”). Sau đây là một tổng quan ngắn về nội dung của các tiêu chuẩn đó:

Tiêu chuẩn IEC 62443-3-1: giới thiệu tất cả các công nghệ hiện có để bảo vệ các mạng và hệ thống công nghiệp (ví dụ, các giải pháp dựa trên mạng và máy chủ …), lợi thế và hạn chế của chúng.

Tiêu chuẩn IEC 62443-3-2: mô tả cách thức các tổ chức nên phân chia mạng của họ thành các khu vực và các khu vực cách ly đặc biệt, các nhóm tương tự về chức năng, mục đích và hoặc vị trí và tiến hành phân tích rủi ro và xác định yêu cầu về an ninh cho mỗi khu vực. Mức độ bảo mật mục tiêu (theo thang điểm từ 1 đến 4) được gán cho mỗi khu vực, tùy thuộc vào mức độ nghiêm trọng của vùng trong quá trình hoạt động.

Tiêu chuẩn IEC 62443-3-3: mô tả các yêu cầu về bảo mật hệ thống nói chung, xác định và xác thực, tính chính xác của dữ liệu và tính toàn vẹn của hệ thống, nêu rõ các yêu cầu này khác nhau đối với các mạng OT (ICS) đối với các mạng IT (CNTT) như thế nào. Đặc biệt, tiêu chuẩn nhấn mạnh rằng tính thực tế và tính hiệu quả không nên bị ảnh hưởng trong nỗ lực đáp ứng các yêu cầu này.

Tiêu chuẩn IEC 62443-4-1: tiêu chuẩn định nghĩa quá trình phát triển nhằm giảm số lượng các lỗ hổng bảo mật trong các hệ thống kiểm soát công nghiệp. Các tiêu chuẩn để xác định một số kỹ thuật và quy trình dựa trên thực tiễn tốt nhất cho việc thiết kế an toàn.

Tiêu chuẩn IEC 62443-4-2: xác định các yêu cầu kỹ thuật để đảm bảo các thành phần riêng lẻ của một mạng lưới công nghiệp. Các yêu cầu này dựa trên các yêu cầu về bảo mật cấp hệ thống được chỉ định trong IEC 62443-3-3. Mục tiêu an ninh tập trung vào tính khả dụng của hệ thống, bảo vệ thực vật, hoạt động của nhà máy và phản ứng hệ thống thời gian. Hơn nữa, tiêu chuẩn thảo luận về việc thực thi các hạn chế về luồng dữ liệu để đạt được sự phân đoạn mạng một cách thích hợp. Cụ thể, nó liên quan đến phân vùng ứng dụng, chức năng bảo mật cô lập, và bảo vệ vùng biên giới.

Hình vẽ dưới đây cung cấp một cách nhìn tổng quan về các nhóm tiêu chuẩn IEC 62443.

Dựa trên bộ khung tiêu chuẩn IEC 62443, chúng ta có thể xác định các bước triển khai mà các đơn vị/tổ chức nên làm theo – với sự hỗ trợ của bên tư vấn/triển khai  – để thiết kế và duy trì mạng lưới công nghiệp an toàn và bền bỉ hơn.

  • Thu thập dữ liệu: bước đầu tiên bao gồm thu thập tất cả các thông tin cần thiết để hiểu cách mạng được xây dựng và vận hành hằng ngày.
  • Đánh giá an ninh: bước này thúc đẩy thông tin thu thập được trong bước 1 để xác định tình trạng an toàn hiện tại của mạng lưới công nghiệp, đảm bảo nếu bị tấn công với các cuộc tấn công trên mạng và thì có thể xác định được các biện pháp đối phó thích hợp.
  • Xây dựng giải pháp: dựa trên các điểm trọng yếu và ưu tiên được xác định ở bước 2, các nhà khai thác áp dụng các thay đổi cần thiết cho mạng và chuẩn bị cho việc thực hiện các biện pháp đối phó với các kịch bản lựa chọn sẵn.
  • Triển khai giải pháp: cuối cùng, các biện pháp đối phó được lựa chọn, chẳng hạn như công nghệ phân đoạn và giám sát, sẽ được triển khai và tích hợp vào các hoạt động hàng ngày để bảo vệ an ninh mạng với quy trình được thiết lập sẵn.

Hình vẽ sau minh hoạ cho bốn bước cùng với các hoạt động chính liên quan đến từng bước.

Một số lưu ý khi xây dựng hệ thống theo tiêu chuẩn IEC62443

Sự an toàn và khả năng phục hồi của mạng OT nếu tuân theo các tiêu chuẩn IEC-62443 phụ thuộc hoàn toàn vào tính đầy đủ và chính xác mà các hoạt động trong các bước 1 và 2 trong trên được thực hiện. Trên thực tế, chỉ có các bước thu thập và đánh giá an toàn và toàn diện sẽ dẫn đến việc lựa chọn và thực hiện các biện pháp đối phó đầy đủ.

Tuy nhiên, những hoạt động đó hiện nay thường được thực hiện bằng tay, hoặc với sự trợ giúp của các công cụ rời rạc, không tương thích hoặc không được thiết kế cho mục đích cụ thể. Ngoải ra, quá trình này thường diễn ra trong thời gian dài, dễ bị lỗi, và thường không đầy đủ, bởi vì nó không phải là đặc điểm của tất cả các khía cạnh liên quan nếu không có sự hỗ trợ của bộ công cụ tự động.

Trong phần tiếp theo, người viết sẽ giới thiệu một cách tiếp cận rộng hơn, với mục đích để giám sát mạng và dựa vào các nền tảng thông minh hơn – hiện có trên thị trường, nhằm có thể giúp các nhà khai thác mạng OT/IT thực hiện một cách chính xác và đầy đủ hơn.

Phần 2: Thiết kế và bảo trì bảo mật mạng OT/IT dựa trên tiêu chuẩn IEC62443 

Song Phương – FPT IS

Tin liên quan: