Nhà lãnh đạo toàn cầu trong lĩnh vực năng lượng chuyển từ các lỗ hổng bảo mật truyền thống sang Industrial hiện đại

Industrial liên quan đến một chuỗi có hệ thống các quá trình hóa học, vật lý, điện và cơ học thường được bảo vệ bằng các hệ thống truyền thống, đã lỗi thời, vốn không bao giờ được thiết kế để đối phó với các mối đe dọa hiện đại trong lĩnh vực an ninh mạng.

Trong ngành sản xuất và chế biến năng lượng, các quy trình này tập trung vào việc chuyển hóa nguyên liệu thô thành năng lượng trên quy mô lớn. Các thiết bị OT khác nhau được sử dụng trong các nhà máy lọc dầu cần phải kết nối với nhau để các quy trình kỹ thuật có thể vận hành hiệu quả.

Và đây chính là nơi xuất hiện lỗ hổng bảo mật nghiêm trọng.

Các hệ thống điều khiển như PLC, DCS và SCADA thường giả định rằng bất kỳ thiết bị nào giao tiếp với chúng đều đáng tin cậy. Do đó, các hệ thống này có thể thiếu các cơ chế xác thực, mã hóa hoặc khả năng xác thực lệnh.

Nếu các hệ thống OT được đặt trên cùng một mạng với các hệ thống IT (các công cụ truy cập từ xa, kết nối của nhà thầu hoặc máy tính xách tay dùng cho bảo trì), bất kỳ sự xâm nhập nào vào những khu vực kém an toàn hơn này đều có thể trực tiếp ảnh hưởng đến môi trường điều khiển. Do đó, một sự cố an ninh bắt nguồn từ hệ thống IT có thể lan rộng sang hệ thống OT mà hầu như không gặp phải sự cản trở nào.

Các cuộc tấn công DoS/DDoS, phần mềm được cấu hình sai hoặc người dùng có ý đồ xấu có thể kết nối trực tiếp với các hệ thống điều khiển, từ đó có khả năng làm thay đổi các giá trị quá trình, ngừng sản xuất, gây hư hỏng thiết bị hoặc tạo ra các điều kiện vận hành không an toàn.

Các môi trường OT ưu tiên tính sẵn sàng và tính ổn định. Đây không phải là những hệ thống có thể được vá lỗi nhanh chóng, điều này có nghĩa là các lỗ hổng bảo mật vẫn có thể bị khai thác trong thời gian dài. Do đó, trong một mạng có cấu trúc phẳng hoặc phân đoạn kém, chỉ một sự cố duy nhất cũng có thể nhanh chóng leo thang và ảnh hưởng đến nhiều tài sản hoặc địa điểm.

Khách hàng của chúng tôi, một trong những tập đoàn năng lượng và hóa chất niêm yết lớn nhất thế giới, đã nhận thức được mức độ rủi ro mà mình phải đối mặt và quyết tâm khắc phục các lỗ hổng bảo mật do hệ thống cũ gây ra thông qua việc phân đoạn mạng.

Khi đã thực hiện phân đoạn hợp lý, các mạng sẽ được tách biệt dựa trên mức độ rủi ro và chức năng. Nhờ đó, các tài sản OT quan trọng chỉ có thể truy cập được thông qua các đường dẫn được kiểm soát chặt chẽ, trong khi việc giao tiếp được xác định rõ ràng và hạn chế, thay vì mặc định là an toàn.

Do các tường lửa CNTT truyền thống tỏ ra không hiệu quả trong việc xử lý các giao thức truyền thông đặc thù của mình, tổ chức này đã chuyển sang sử dụngFirewall Industrial MetaDefender OPSWATFirewall thiết lập sự phân vùng an toàn giữa các tài sản OT quan trọng và các khu vực có mức độ bảo mật thấp hơn.

Là một trong những nhà khai thác dầu khí hàng đầu châu Âu, các quy trình hoạt động của khách hàng phụ thuộc vào hệ thống cơ sở hạ tầng trải rộng trên nhiều nhà máy lọc dầu, giàn khoan ngoài khơi và trung tâm điều khiển đường ống.

Hạ tầng này phụ thuộc rất nhiều vào các hệ thống công nghiệp cũ như PLC, nền tảng SCADA và HMI.

Ban đầu, các hệ thống này được thiết kế nhằm đảm bảo độ tin cậy và tính sẵn sàng, chứ không phải để đảm bảo an ninh mạng. Chúng thiếu các tính năng xác thực, mã hóa và ghi nhật ký chi tiết được tích hợp sẵn.

Các tường lửa CNTT truyền thống trước đây không đủ hiệu quả trong việc xử lý các giao thức truyền thông đặc thù được sử dụng trong môi trường OT và CPS, khiến các hệ thống phải đối mặt với các rủi ro như:

• Lưu lượng mạng không cần thiết và rủi ro di chuyển ngang
• Các điểm xâm nhập tiềm ẩn của phần mềm tống tiền và các cuộc tấn công mạng có chủ đích
• Những khó khăn trong việc thực thi kiểm soát chi tiết đối với các giao thức công nghiệp

Đây không phải là những rủi ro mà một tổ chức hoạt động trong lĩnh vực sản xuất và lọc dầu có thể dễ dàng chấp nhận: các cuộc tấn công vào hệ thống năng lượng có thể đe dọa an toàn công cộng, làm gián đoạn các dịch vụ thiết yếu và làm suy yếu an ninh quốc gia.

Thay vì ngồi chờ điều tồi tệ nhất xảy ra, khách hàng đã chủ động giải quyết tình huống nguy cấp mà tổ chức đang phải đối mặt bằng cách triển khaiFirewallIndustrial MetaDefender OPSWAT.

Với giải phápFirewall Industrial Firewall hoạt động vận hành, khách hàng cũng đã nhận được sự hỗ trợ trong nỗ lực tuân thủ các yêu cầu của tiêu chuẩn IEC 62443 và Chỉ thị NIS2 dành cho các nhà khai thác dịch vụ thiết yếu tại châu Âu.

Firewall Industrial MetaDefender Firewall đóng vai trò là hệ thống kiểm soát bù đắp cho các tài sản cũ hoặc không thể cập nhật bản vá, vốn khá phổ biến trong các nhà máy lọc dầu và hệ thống đường ống.

Với Firewall, khách hàng giờ đây có thể:

• Ngăn chặn các lệnh vô tình hoặc trái phép gửi đến bộ điều khiển thông qua việc kiểm tra giao thức công nghiệp.
• Kiểm soát các sự cố ở cấp độ cơ sở, ngăn chặn sự lây lan sang nhiều địa điểm khác nhau giữa các cơ sở có liên kết với nhau.
• Hạn chế lưu lượng bất thường và các gói tin bị lỗi để duy trì tính sẵn sàng của bộ điều khiển.
• Tách các hệ thống an toàn ra khỏi mạng điều khiển tiêu chuẩn để giảm thiểu rủi ro vận hành.
• Đảm bảo việc thực thi các quy định về quản trị quyền truy cập đối với các nhà cung cấp và nhà thầu có thể được kiểm toán.