Các bộ phận chuyển mạch dữ liệu (data diodes) – vốn là một công nghệ chuyên biệt trong lĩnh vực quân sự và an ninh hạt nhân – đã trở thành một thành phần thiết yếu trong an ninh mạng công nghiệp và doanh nghiệp. Với mức thiệt hại do các sự cố an ninh mạng tăng gấp bốn lần kể từ năm 2017, lên tới gần 2 tỷ đô la, việc áp dụng các bộ phận chuyển mạch dữ liệu như một tiêu chuẩn an ninh ngày càng phổ biến, dù được đưa vào dưới dạng yêu cầu bắt buộc hay khuyến nghị trong các khung pháp lý. Tầm quan trọng ngày càng tăng của chúng xuất phát từ thực tế rằng các giải pháp an ninh dựa trên phần mềm, như tường lửa, không còn có thể đảm bảo an ninh một cách chắc chắn.
Nhu cầu ngày càng tăng đối với các bộ lọc dữ liệu
Vì các bộ lọc dữ liệu (data diodes) thực thi lưu lượng một chiều ở cấp độ phần cứng, thường thông qua cáp quang, nên chúng ngăn chặn vật lý đường truyền ngược mà ransomware và các mối đe dọa dai dẳng nâng cao (APTs) cần để hoạt động. Mặc dù tường lửa vẫn là tiêu chuẩn cho hầu hết các ứng dụng doanh nghiệp, các quy định toàn cầu đối với cơ sở hạ tầng trọng yếu có rủi ro cao, như hạt nhân, năng lượng và nước, hiện nay khuyến nghị hoặc bắt buộc rõ ràng việc sử dụng các bộ chuyển mạch dữ liệu để đảm bảo sự cách ly vật lý giữa các mạng OT (Công nghệ vận hành) và IT (Công nghệ thông tin).
Hệ thống bảo mật Data Diodemang lại ba lợi ích bảo mật chính vượt trội so với các tính năng của tường lửa:
Các mối đe dọa từ mạng không thể vượt qua cơ chế bảo mật một chiều được thực thi bằng phần cứng của điốt, trái ngược với tường lửa, vốn có thể bị vượt qua do cấu hình sai hoặc các lỗ hổng zero-day
Không có kênh liên lạc ngầm, ngăn chặn kẻ tấn công gửi lệnh trở lại các hệ thống bị xâm nhập
Sự phá vỡ giao thức cho phép các điốt dữ liệu truyền dữ liệu bằng một giao thức không thể định tuyến
Những điểm khác biệt chính giữa bộ lọc dữ liệu và tường lửa
| Tính năng | Firewall | Cổng một chiều (Data Diode) |
|---|---|---|
| Cơ chế | Software(Logical) | Hardware(Vật lý) |
| Hướng dẫn | Hai chiều (Đã lọc) | Chỉ đi một chiều |
| lỗ hổng bảo mật bảo mật | Dễ bị cấu hình sai và các lỗ hổng zero-day | Miễn nhiễm với các cuộc tấn công từ xa dựa trên phần mềm |
| Trường hợp sử dụng | An ninh CNTT nói chung | Bảo vệ hệ thống OT/ICS với mức độ bảo mật cao |
Các quy định và hướng dẫn toàn cầu
Do đặc tính bảo mật không thể vượt qua của các thiết bị Data Diodes, các cơ quan quản lý trên toàn cầu đang khuyến nghị và, trong một số trường hợp, bắt buộc phải sử dụng chúng để phân đoạn cơ sở hạ tầng trọng yếu .
Một số tiêu chuẩn, chẳng hạn như NRC, NERC CIP (ngành năng lượng), IEC 62443 (ngành công nghiệp) và các chỉ thị của TSA (ngành đường sắt/đường ống), quy định bắt buộc hoặc khuyến nghị mạnh mẽ việc áp dụng lưu lượng một chiều được thực thi bằng phần cứng đối với cơ sở hạ tầng trọng yếu. Tuy nhiên, có nhiều ví dụ về việc triển khai điốt trong các ngành công nghiệp hiện chưa bắt buộc phải sử dụng chúng, chẳng hạn như:
- Các tổ chức dịch vụ tài chính, đặc biệt là trong các ngân hàng, hiện đang sử dụng chúng để bảo vệ các mạng lưới giao dịch có giá trị cao và phục vụ cho việc báo cáo theo quy định, nhằm đảm bảo dữ liệu nhạy cảm được chuyển ra khỏi ngân hàng mà không tạo cơ hội cho tin tặc xâm nhập. Chúng cũng được sử dụng để bảo vệ các kho lưu trữ và trung tâm khắc phục thảm họa.
- Các cơ sở y tế và dược phẩm sử dụng Data Diodes để bảo vệ quyền sở hữu trí tuệ và tách biệt các mạng công nghệ lâm sàng, chẳng hạn như thiết bị theo dõi bệnh nhân và chẩn đoán hình ảnh, khỏi mạng CNTT của doanh nghiệp.
- Các tổ chức trong ngành hàng hải sử dụng bộ chuyển mạch dữ liệu để cách ly và giám sát dữ liệu từ phòng máy và hệ thống điều khiển lái, đồng thời bảo vệ quá trình truyền dữ liệu giữa tàu và bờ.
Các khung pháp lý quy định bắt buộc hoặc khuyến nghị việc sử dụng bộ lọc dữ liệu
Dưới đây là bản tóm tắt các quy định và hướng dẫn chính trên toàn cầu quy định hoặc khuyến nghị mạnh mẽ việc sử dụng các cổng kết nối một chiều.
Tiêu chuẩn quốc tế
IEC 62443
Phần 3-3 (SR 5.2) tập trung vào “Tính sẵn có của tài nguyên” và khuyến nghị sử dụng các cổng một chiều trong các khu vực có mức độ bảo mật cao (Cấp độ 3 và 4) để ngăn chặn sự lây lan của phần mềm độc hại và đảm bảo tính toàn vẹn của dữ liệu.
ISO 27019
Đối với ngành năng lượng, hướng dẫn này nhấn mạnh sự cần thiết của việc phân đoạn mạng an toàn, đồng thời đề cập đến các thiết bị "data diodes" như một "phương pháp hay nhất" để tách biệt các hệ thống điều khiển quy trình khỏi các mạng bên ngoài.
Tại Bắc Mỹ
NERC CIP
Các quy định của NERC (Tập đoàn Đảm bảo Độ tin cậy Hệ thống Điện Bắc Mỹ) về bảo vệ lưới điện thuộc hàng nghiêm ngặt nhất. Mặc dù các tiêu chuẩn từ CIP-002 đến CIP-013 cho phép sử dụng tường lửa, việc sử dụng cổng kết nối một chiều có thể giúp một công ty điện lực "miễn trừ" khỏi một số yêu cầu tuân thủ (chẳng hạn như 21 trong số 26 quy tắc trong một số bối cảnh của NERC) vì cổng kết nối này ngăn chặn vật lý việc truy cập điện tử từ bên ngoài, từ đó giảm thiểu rủi ro "Vùng an ninh điện tử" (ESP).
NIST SP 800-82 (Bản sửa đổi lần thứ 3)
Hướng dẫn về an ninh Hệ thống Industrial (ICS Industrial của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã nêu rõ các cổng một chiều là một biện pháp phòng thủ chính. Hướng dẫn này khuyến nghị sử dụng các cổng này để truyền dữ liệu từ vùng OT có mức độ bảo mật cao sang vùng IT có mức độ bảo mật thấp hơn, chẳng hạn như truyền dữ liệu cảm biến đến cơ sở dữ liệu đám mây, đồng thời không cho phép kẻ tấn công có bất kỳ đường truyền ngược nào.
NRC RG 5.71
Khung quy định của Ủy ban Điều tiết Hạt nhân (NRC) này yêu cầu phải áp dụng biện pháp cách ly cấp cao đối với các hệ thống kỹ thuật số tại các nhà máy điện hạt nhân. Khung quy định này xác định luồng dữ liệu một chiều là phương pháp được ưu tiên để giám sát các hệ thống an toàn hạt nhân từ các mạng bên ngoài.
Tại châu Âu
ANSSI (Pháp) - PSSI-IV
Cơ quan An ninh Hệ thống Thông tin Quốc gia Pháp (ANSSI) là một trong những đơn vị đi đầu trên thế giới trong việc thúc đẩy việc sử dụng các thiết bị chuyển mạch dữ liệu (data diodes). Đối với các đơn vị vận hành có tầm quan trọng chiến lược (OIV), ANSSI thường yêu cầu bắt buộc phải sử dụng các thiết bị chuyển mạch dữ liệu đã được chứng nhận (theo tiêu chuẩn CSPN) cho mọi kết nối giữa các mạng công nghiệp quan trọng nhất thuộc “Loại 3” và internet, hoặc các mạng “Loại 1” có mức độ bảo mật thấp hơn.
Chỉ thị NIS2 (áp dụng trên toàn Liên minh Châu Âu)
Mặc dù Chỉ thị NIS2 (An ninh Mạng và Thông tin) không quy định cụ thể về phần cứng, nhưng nó yêu cầu các “tổ chức” phải triển khai các biện pháp quản lý rủi ro “tiên tiến nhất”. Trong các lĩnh vực như năng lượng và nước, các cơ quan quản lý quốc gia, chẳng hạn như BSI ở Đức và CCN ở Tây Ban Nha, đã chuyển đổi các quy định của NIS2 thành các yêu cầu kỹ thuật, trong đó ưu tiên việc phân đoạn mạng được thực thi bằng phần cứng hơn là các tường lửa dựa trên phần mềm.
Tại châu Á và Trung Đông
Ả Rập Xê Út (NCA)
Cơ quan An ninh Mạng Quốc gia Ả Rập Xê Út đã ban hànhData Diode ” cụ thể dành cho các lĩnh vực then chốt, nêu rõ cách thức áp dụng các tiêu chuẩn này để bảo vệ các tài sản dầu mỏ, khí đốt và hạ tầng công cộng của Vương quốc.
Hàn Quốc (KISA)
Tương tự như Singapore, các hướng dẫn của Hàn Quốc về Mạng lưới thông minh và An ninh hạt nhân đặc biệt nhấn mạnh việc sử dụng các cổng kết nối một chiều để truyền dữ liệu ra ngoài, nhằm ngăn chặn sự lây lan ngang từ mạng Internet công cộng.
Các thiết bị Data Diode hàng đầu trong ngành vàOT Security tích hợp
Các giải pháp MetaDefender Diode™ cung cấp khả năng truyền dữ liệu một chiều được bảo đảm bằng phần cứng giữa các mạng CNTT và OT, hỗ trợ sao chép dữ liệu an toàn và khả năng giám sát hoạt động mà không làm ảnh hưởng đến tính cách ly của mạng.
Để tìm hiểu thêm về cách OPSWAT có thể giúp giảmOPSWAT hỗ trợ việc tuân thủ các khung pháp lý khu vực và toàn cầu, hãy liên hệ với chuyên gia ngay hôm nay.
