Phòng ngừa mất dữ liệu trong môi trường được thiết kế để đảm bảo tính liên tục
Nhà sản xuất vận hành các môi trường sản xuất mà thời gian hoạt động liên tục và tính ổn định là những ưu tiên hàng đầu. Nhiều hệ thống OT của họ không thể được vá lỗi hoặc sửa đổi mà không gây ra rủi ro gián đoạn, điều này đã hạn chế việc áp dụng các biện pháp kiểm soát an ninh truyền thống và khiến việc thực hiện thay đổi trở nên tiềm ẩn rủi ro.
Đồng thời, các tệp tin quan trọng đối với hoạt động kinh doanh liên tục được chuyển giao giữa các nhà cung cấp, đội ngũ kỹ thuật và hệ thống nhà máy, thường xuyên vượt qua ranh giới giữa CNTT và OT. Những tệp tin này không thể bị sửa đổi hay làm sạch, khiến các đội ngũ an ninh mạng gần như không có lựa chọn nào để kiểm tra chúng một cách an toàn trước khi thực thi. Mỗi lần trao đổi tệp tin giữa nhà cung cấp và nhà máy đều làm gia tăng diện tích tấn công, tạo điều kiện cho phần mềm độc hại xâm nhập vào môi trường sản xuất thông qua các quy trình vận hành đáng tin cậy.
Với hàng chục nhà máy đang hoạt động trên toàn cầu, công ty thiếu một phương pháp nhất quán để phát hiện các mối đe dọa chưa biết trước khi chúng được thực thi, trong khi các công cụ hiện có lại dựa vào các cảnh báo sau khi thực thi – điều này rất khó áp dụng vào thực tế trong môi trường sản xuất. Do không có cái nhìn toàn diện và nhất quán về những gì đang diễn ra tại các nhà máy và các hệ thống liên quan đến công nghệ vận hành (OT), các đội ngũ an ninh thiếu khả năng quan sát cần thiết để đưa ra quyết định nhanh chóng và chắc chắn khi phát hiện các tệp tin đáng ngờ.
Một diện tích tấn công ngày càng mở rộng và đa dạng
Làm thế nào để bảo mật một môi trường có khả năng giám sát hạn chế và cơ sở hạ tầng tài sản liên tục thay đổi?
Trong môi trường sản xuất này, các hệ thống cũ và hiện đại đều cần có các biện pháp kiểm soát an ninh tập trung vào tệp tin và được thực thi trước khi chạy, đồng thời độc lập với khả năng theo dõi toàn diện tài sản hoặc việc vá lỗi hệ thống. Các công cụ kỹ thuật, nền tảng tự động hóa và các hoạt động trao đổi tệp tin do nhà cung cấp điều hành đã trở thành một phần không thể thiếu trong hoạt động hàng ngày, nhưng nhiều hệ thống trong số này không thể dễ dàng vá lỗi, điều chỉnh hoặc ngừng hoạt động.
3 thách thức chính
- Các hệ thống OT truyền thống hoạt động song song với các công nghệ số hiện đại
- Khả năng quan sát và khả năng khắc phục sự cố còn hạn chế trong các môi trường sản xuất
- Mở rộng diện tích tấn công tại các nhà máy sản xuất trên toàn cầu
Quy trình làm việc dựa trên tệp mà không có sự đảm bảo trước khi thực thi
Làm thế nào để ngăn chặn các tệp độc hại trước khi chúng được thực thi trong trường hợp các quy trình làm việc của bộ phận sản xuất và kỹ thuật phụ thuộc vào các tệp không thể bị thay đổi hoặc làm sạch?
Cách tiếp cận duy nhất đáng tin cậy để ngăn chặn các tệp độc hại là phân tích chúng một cách động trước khi thực thi, nhằm phát hiện phần mềm độc hại kiểu zero-day và các loại phần mềm độc hại có khả năng lẩn tránh, vốn thường ẩn náu trong các tệp kỹ thuật và sản xuất quan trọng đối với hoạt động kinh doanh. Tại tổ chức này, các tệp được chuyển giao liên tục giữa các nhà cung cấp, bộ phận R&D và hệ thống nhà máy, và không thể sửa đổi mà không làm gián đoạn quy trình làm việc, khiến các phương pháp phát hiện dựa trên thiết bị đầu cuối và danh tiếng chỉ có thể phát hiện mối đe dọa sau khi tệp đã được thực thi.
3 thách thức chính
- Trao đổi tệp tin với khối lượng lớn giữa các nhà cung cấp, bộ phận R&D và các nhà máy
- Các tệp kỹ thuật và sản xuất không thể sửa đổi hoặc làm sạch
- Việc phát hiện diễn ra sau khi thực thi thay vì trước đó
Quy mô, tính đơn giản và những hạn chế của phương pháp phát hiện truyền thống
Làm thế nào để phát hiện các mối đe dọa chưa được biết đến và các mối đe dọa zero-day tại các nhà máy trên toàn cầu mà không làm tăng thêm gánh nặng cho các đội ngũ vận hành?
Với hàng chục nhà máy hoạt động liên tục 24/7, nhà sản xuất cần các biện pháp kiểm soát an ninh có thể mở rộng quy mô trên toàn cầu mà vẫn đảm bảo tính thân thiện với người dùng cho toàn bộ đội ngũ vận hành. Các công cụ được thiết kế chủ yếu cho môi trường CNTT thường làm tăng thêm sự phức tạp mà không mang lại cái nhìn rõ ràng và có thể áp dụng cho các nhân viên vận hành nhà máy. Việc thiếu một cái nhìn tổng quan nhất quán trước khi thực thi đối với các mối đe dọa chưa biết và các lỗ hổng zero-day đã khiến công ty phải đối mặt với nhiều rủi ro.
3 thách thức chính
- Sự cần thiết phải áp dụng các biện pháp kiểm soát an ninh nhất quán tại hàng chục nhà máy
- Các công cụ được thiết kế dành cho môi trường CNTT, chứ không phải cho các đội ngũ vận hành
- Thiếu khả năng theo dõi đáng tin cậy đối với các mối đe dọa chưa được biết đến và các mối đe dọa zero-day
Phát hiện lỗ hổng zero-day mà không làm gián đoạn hoạt động sản xuất
Nhà sản xuất đã triển khai giải MetaDefender OPSWATđể thiết lập một lớp phát hiện lỗ hổng zero-day nhất quán, tập trung vào tệp tin, áp dụng trên toàn bộ các quy trình kỹ thuật, nhà cung cấp và sản xuất. Trọng tâm của phương pháp này là kỹ thuật “chạy thử tệp tin có kiểm soát”: quá trình thực thi tệp tin một cách an toàn trong môi trường mô phỏng, cách ly để quan sát hành vi thực tế của tệp tin trước khi cho phép tệp tin đó xâm nhập vào hệ thống sản xuất.
Các mục tiêu chính trong quá trình triển khai
- Phát hiện các mối đe dọa chưa được biết đến và khó phát hiện trước khi chúng được thực thi
- Bảo đảm tính toàn vẹn của tệp cho các mục đích kỹ thuật và sản xuất
- Hoạt động mà không gây ra độ trễ hay thời gian ngừng hoạt động
MetaDefender được triển khai tại các điểm kiểm soát then chốt nơi các tệp tin xâm nhập vào hệ thống, bao gồm các giao dịch với nhà cung cấp, quá trình nhập tệp kỹ thuật và các quy trình làm việc tại ranh giới sản xuất. Bằng cách sử dụng công nghệ mô phỏng cấp lệnh và phân tích cấu trúc sâu, các tệp tin đáng ngờ được kích hoạt một cách an toàn để phơi bày các hành vi ẩn mà các công cụ truyền thống dựa trên chữ ký hoặc hộp cát ảo (VM sandbox) có thể bỏ sót.
Chức năng phân tích mối đe dọa tích hợp sẵn cùng với tính năng tìm kiếm sự tương đồng của mối đe dọa dựa trên trí tuệ nhân tạo (AI) đã bổ sung thêm bối cảnh và khả năng phát hiện các mẫu tương tự vào từng phân tích, từ đó giúp các nhóm xác định các mối đe dọa có liên quan và các biến thể phần mềm độc hại chưa được biết đến trên toàn bộ các nhà máy và khu vực.
Các điểm tiếp xúc trong quá trình triển khai
- Trao đổi tệp tin giữa nhà cung cấp và bên thứ ba
- Quy trình xử lý tài liệu trong lĩnh vực kỹ thuật và nghiên cứu phát triển
- Môi trường lân cận OT và môi trường vùng biên sản xuất
MetaDefender tích hợp mượt mà vào các quy trình vận hành hiện có, cung cấp một kết quả đánh giá duy nhất và đáng tin cậy dựa trên hệ thống chấm điểm mối đe dọa từ nhiều nguồn cho từng tệp trong vòng chưa đầy 60 giây. Điều này giúp các đội ngũ an ninh ngăn chặn việc thực thi các tệp độc hại, đồng thời cho phép các đội ngũ nhà máy và kỹ thuật tiếp tục làm việc mà không gặp thêm sự phức tạp hay cần can thiệp thủ công.
Cải tiến hoạt động
- Chặn phần mềm độc hại zero-day và phần mềm độc hại có khả năng lẩn tránh trước khi thực thi
- Các kết luận rõ ràng và có thể triển khai cho các đội SOC và đội vận hành
- Thực thi các biện pháp an ninh nhất quán tại các nhà máy trên toàn cầu
Với việc triển khai MetaDefender , việc phát hiện các lỗ hổng zero-day đã chuyển từ một hoạt động điều tra mang tính phản ứng sang một biện pháp phòng ngừa được tích hợp trực tiếp vào quy trình sản xuất. Việc phát hiện các mối đe dọa chưa được biết đến trước khi chúng có thể gây gián đoạn sản xuất đã khẳng định rằng nhà sản xuất đã đạt được mức độ bảo vệ trước khi thực thi mà họ đã hướng tới.
Từ phản ứng thụ động sang kiểm soát phòng ngừa
Nhà sản xuất đã chuyển đổi việc phát hiện lỗ hổng zero-day từ một quy trình mang tính phản ứng, dựa trên sự cố sang một biện pháp kiểm soát phòng ngừa được tích hợp trực tiếp vào quy trình sản xuất. Các đội ngũ an ninh đã tin tưởng rằng các mối đe dọa chưa được biết đến và có khả năng lẩn tránh sẽ được phát hiện trước khi chúng được thực thi, từ đó giảm thiểu rủi ro gián đoạn sản xuất ngoài kế hoạch.
Kết quả về an ninh
- Ngăn chặn phần mềm độc hại zero-day trước khi chúng được thực thi trong môi trường nhà máy và chuỗi cung ứng
- Nâng cao khả năng phát hiện các mối đe dọa dựa trên tệp tin chưa được biết đến và khó phát hiện
- Giảm sự phụ thuộc vào các biện pháp khống chế và điều tra sau sự cố
Về mặt vận hành, giải pháp này đã mang lại giá trị mà không gây ra bất kỳ trở ngại nào. Quá trình kiểm tra tệp được hoàn tất chỉ trong chưa đầy một phút, giúp duy trì tốc độ sản xuất và quy trình làm việc của bộ phận kỹ thuật, đồng thời cung cấp các kết quả rõ ràng, đáng tin cậy để có thể triển khai ngay lập tức.
Tác động đến hoạt động và kinh doanh
- Không gây gián đoạn cho quy trình sản xuất hoặc quy trình kỹ thuật
- Ra quyết định về bảo mật nhanh chóng và chính xác hơn nhờ một kết quả đánh giá đáng tin cậy duy nhất cho mỗi tệp
- Giảm nguy cơ gián đoạn hoạt động do các sự cố phần mềm độc hại nhắm vào tệp tin gây ra
Việc triển khai này cũng đã củng cố sự hợp tác giữa các đội ngũ CNTT, OT và SOC. Bằng cách chuẩn hóa quy trình phân tích tệp tin và đánh giá rủi ro, nhà sản xuất đã giảm thiểu sự mơ hồ và nâng cao sự phối hợp giữa các bộ phận an ninh và vận hành.
Lợi ích đối với tổ chức
- Tăng cường sự phối hợp giữa các đội ngũ CNTT, OT và an ninh
- Sự tự tin ngày càng cao của giới lãnh đạo đối với khả năng phục hồi sau các sự cố an ninh mạng
- Một nền tảng có khả năng mở rộng để phát hiện các lỗ hổng zero-day tại các nhà máy trên toàn cầu
Tăng cường khả năng chống chịu trước các mối đe dọa mạng trong toàn bộ nhà máy
Bằng việc triển khai OPSWAT MetaDefender , nhà sản xuất đã thiết lập được một phương pháp đáng tin cậy để phát hiện và ngăn chặn các mối đe dọa zero-day trước khi chúng có thể gây gián đoạn hoạt động sản xuất. Việc triển khai này minh chứng cho thấy các nhà sản xuất có thể sử dụng công nghệ phát hiện zero-day dựa trên tệp tin để ngăn chặn gián đoạn sản xuất mà không cần phải điều chỉnh các hệ thống OT.
Khi các hệ thống sản xuất không ngừng phát triển và quy trình làm việc dựa trên tệp tin ngày càng được mở rộng sang các nhà cung cấp, bộ phận kỹ thuật và hoạt động nhà máy, khả năng phát hiện và ngăn chặn các mối đe dọa tiềm ẩn trong tệp tin trước khi chúng được thực thi đã trở thành một biện pháp kiểm soát cơ bản. OPSWAT các tổ chức bảo vệ cơ sở hạ tầng trọng yếu làm ảnh hưởng đến thời gian hoạt động liên tục hay hiệu quả vận hành.
Bạn đã sẵn sàng bảo vệ các hoạt động sản xuất của mình trước các mối đe dọa zero-day chưa? Hãy liên hệ với OPSWAT ngay hôm nay để tìm hiểu cách MetaDefender có thể tăng cường khả năng chống chịu trước các cuộc tấn công mạng trong toàn bộ môi trường sản xuất của bạn.
