Hướng dẫn gần đây từ Cục Điều tra Liên bang (FBI) và Cơ quan An ninh Mạng và Cơ sở hạ tầng (CISA) đã nhấn mạnh một mối đe dọa cấp bách và đang ngày càng gia tăng đối với các môi trường OT. Trong một thông báo chung, các cơ quan này cảnh báo rằng các tác nhân đe dọa có liên quan đến Iran đã tích cực khai thác các bộ điều khiển logic lập trình (PLC) kết nối internet trong cơ sở hạ tầng trọng yếu của Hoa Kỳ, bao gồm hệ thống cấp nước và xử lý nước thải, năng lượng, và các cơ sở chính phủ. Thông báo AA26-097A nêu bật một mô hình mà nhiều người trong ngành đã nghi ngờ từ lâu nhưng hiện đang được quan sát thấy trong các sự cố thực tế: Các tác nhân này không còn dựa vào các lỗ hổng phần mềm hoặc các khai thác zero-day để tác động đến các môi trường công nghiệp. Thay vào đó, họ đang tận dụng các đường dẫn truy cập hợp pháp, các giao thức công nghiệp bản địa và các công cụ kỹ thuật tiêu chuẩn để tương tác trực tiếp với các hệ thống điều khiển.
Các đường dẫn điều khiển bị lộ, không phải lỗ hổng bảo mật
Các đường dẫn điều khiển bị lộ, chứ không phải các lỗ hổng chưa được vá, mới là mối đe dọa chính đối với các môi trường OT. Các chiến lược truyền thống tập trung vào việc phát hiện lỗ hổng, vá hệ thống và giám sát hành vi độc hại vẫn giữ vai trò quan trọng, nhưng thông báo mới nhất đã chỉ ra rõ ràng: nếu kẻ tấn công có thể xâm nhập vào môi trường OT của bạn, chúng có thể hoạt động bên trong đó.
Trong nhiều trường hợp được ghi nhận, các kẻ tấn công đã có thể kết nối trực tiếp với các PLC kết nối internet thông qua các cổng giao tiếp công nghiệp tiêu chuẩn như 44818, 2222, 102 và 502. Bằng cách sử dụng phần mềm kỹ thuật phổ biến, chúng đã thiết lập các phiên kết nối hợp lệ với các thiết bị này và tương tác với chúng như thể chúng là những người vận hành được ủy quyền.
Sự khác biệt giữa “có thể tiếp cận” và “dễ bị tấn công” là một sự thay đổi mang tính căn bản. Vấn đề không còn chỉ là liệu một hệ thống có dễ bị tấn công hay không, mà là liệu nó có thể tiếp cận được hay không. Nếu một hệ thống điều khiển có thể được truy cập qua mạng, thì nó có thể bị điều khiển. Và nếu nó có thể bị điều khiển, thì nó có thể bị làm gián đoạn.
Cách thức thực hiện các cuộc tấn công OT hiện đại
Mô hình tấn công được nêu trong thông báo này diễn ra theo một quy trình đơn giản:
- Điểm tiếp cận ban đầu: Việc các hệ thống PLC hoặc OT tiếp xúc với các mạng bên ngoài, trực tiếp hoặc thông qua các kênh truy cập từ xa như VPN hoặc máy chủ trung gian
- Tương tác qua các phương thức hợp pháp: Từ đó, những kẻ tấn công sử dụng các công cụ kỹ thuật hợp pháp như Studio 5000 Logix Designer để thiết lập kết nối với thiết bị. Việc sử dụng các trạm làm việc kỹ thuật, công cụ của nhà cung cấp hoặc các giao thức gốc (ví dụ: Modbus, EtherNet/IP)
- Thực hiện:
- Sửa đổi logic điều khiển
- Tải lên/tải xuống tệp dự án
- Việc đưa ra các lệnh cho các quá trình vật lý
- Tác động: Gián đoạn hoạt động, rủi ro an toàn và khả năng xảy ra tổn thất tài chính
Điều khiến phương pháp này trở nên hiệu quả là nó có thể vượt qua nhiều biện pháp kiểm soát an ninh truyền thống. Về bản chất, không có yếu tố “độc hại” nào ở cấp độ giao thức hay công cụ để kích hoạt cơ chế phát hiện.
Các phương pháp điều khiển truyền thống không còn đủ nữa
Hầu hết các môi trường OT hiện nay đều dựa vào sự kết hợp giữa tường lửa, mạng riêng ảo (VPN), các chiến lược phân đoạn mạng và các biện pháp kiểm soát truy cập từ xa. Mặc dù là cần thiết, nhưng các biện pháp này vẫn có những hạn chế cố hữu:
- Tường lửa phụ thuộc vào việc cấu hình chính xác và quản lý quy tắc; đồng thời, theo thiết kế, chúng cũng cho phép các giao thức cần thiết hoạt động.
- VPN và truy cập từ xa phụ thuộc vào tính toàn vẹn của thông tin đăng nhập
- Các hệ thống phát hiện/giám sát hoạt động sau khi kết nối đã được thiết lập
Trong các tình huống mà CISA nêu ra, những kẻ tấn công không cần phải vượt qua các biện pháp kiểm soát này theo cách thông thường. Chúng chỉ đơn giản là tận dụng quyền truy cập vốn đã có sẵn.
Đó là lý do tại sao thông báo này đặc biệt nhấn mạnh đến việc loại bỏ các rủi ro không cần thiết và tăng cường phân đoạn mạng.
Kết hợp phân đoạn và cách ly xác định
Phân khúc khách hàng từ lâu đã được coi là một phương pháp hay được khuyến nghị, nhưng không phải mọi hình thức phân khúc đều mang lại hiệu quả như nhau.
Việc phân đoạn logic, được thực thi thông qua phần mềm và chính sách, có thể giảm thiểu rủi ro nhưng không thể loại bỏ hoàn toàn rủi ro. Các lỗi cấu hình, việc thông tin đăng nhập bị xâm phạm hoặc các đường dẫn truy cập gián tiếp vẫn có thể tạo ra sự kết nối ngoài ý muốn giữa môi trường CNTT và OT.
Điều cần thiết trong các môi trường có rủi ro cao là biện pháp cách ly có tính xác định.
Loại bỏ đường dẫn tấn công bằng giao tiếp một chiều
Một phương pháp hiệu quả hơn là loại bỏ hoàn toàn khả năng truy cập từ bên ngoài.
Các đi-ốt dữ liệu đảm bảo giao tiếp một chiều dựa trên phần cứng giữa các mạng. Điều này cho phép dữ liệu vận hành được truyền ra khỏi môi trường điều khiển để phục vụ mục đích giám sát, phân tích hoặc tuân thủ, đồng thời khiến việc truyền ngược lại bất kỳ dữ liệu, lệnh hoặc kết nối nào trở nên không thể về mặt kỹ thuật.
Trong bối cảnh các mô hình tấn công mà CISA đã mô tả, điều này có tác động trực tiếp:
- Không có lệnh điều khiển từ xa nào có thể kết nối với các PLC
- Không có công cụ kỹ thuật nào có thể kết nối từ các mạng bên ngoài
- Không có phần mềm độc hại hay lưu lượng truy cập trái phép nào có thể xâm nhập vào môi trường điều khiển
Đây không phải là vấn đề phát hiện hay chặn các hoạt động độc hại. Mà là việc loại bỏ hoàn toàn con đường đó.
Tuân thủ các khuyến nghị của CISA
Hướng dẫn giảm thiểu rủi ro của CISA nhấn mạnh ba biện pháp chính:
- Loại bỏ các tài sản OT khỏi sự tiếp xúc trực tiếp với internet
- Tăng cường phân tách giữa mạng CNTT và mạng OT
- Hạn chế và kiểm soát truy cập từ xa
Các kiến trúc truyền thông một chiều triển khai các khuyến nghị này ở mức độ đảm bảo cao hơn bằng cách đảm bảo rằng các hệ thống điều khiển quan trọng không thể bị truy cập, ngay cả khi các mạng ở phía trên bị xâm nhập.
Xem xét lại OT Security: Từ phòng thủ sang thiết kế
Thông báo AA26-097A nêu rõ rằng các giả định phòng thủ phải không ngừng phát triển song song với những mối đe dọa mà chúng nhằm đối phó. Nếu kẻ tấn công không còn cần phải khai thác các lỗ hổng bảo mật, thì việc chỉ tập trung vào phát hiện và ngăn chặn là chưa đủ. Ưu tiên phải chuyển sang các biện pháp kiểm soát về mặt kiến trúc nhằm loại bỏ toàn bộ các nhóm rủi ro. Việc đảm bảo các hệ thống OT không thể truy cập được từ các mạng bên ngoài là một trong những biện pháp kiểm soát như vậy.
Ưu tiên an ninh
Thông báo mới nhất của CISA nhấn mạnh một thực tế mà các tổ chức không thể tiếp tục phớt lờ:
- Mức độ tiếp xúc tương đương với mức độ rủi ro trong môi trường công nghệ thông tin
- Khi các kẻ tấn công ngày càng tận dụng quyền truy cập hợp pháp và các tính năng tích hợp sẵn, biện pháp phòng thủ hiệu quả nhất không chỉ là tăng cường giám sát hay áp dụng các chính sách nghiêm ngặt hơn, mà là loại bỏ hoàn toàn các kết nối không cần thiết.
- Việc thiết kế các môi trường OT sao cho không thể xâm nhập từ ban đầu không còn chỉ là một phương pháp hay trên lý thuyết. Điều này đang trở thành một yêu cầu thực tiễn nhằm đảm bảo khả năng phục hồi hoạt động.
