Nếu bạn đang làm việc trong lĩnh vực an ninh, bạn hẳn đã biết rõ: khả năng theo dõi là điều không thể thiếu.
Điều này phù hợp với “Các biện pháp kiểm soát quan trọng thứ 3 dành cho Hệ thống điều khiển công nghiệp (ICS) – Khả năng quan sát và giám sát mạng” của SANS, cũng như các tiêu chuẩn NIST CSF và ISA/IEC 62443, vốn nêu rõ các yêu cầu về khả năng quan sát.
Tuy nhiên, việc tích hợp khả năng quan sát mạng một cách an toàn vào các môi trường OT và ICS cho tất cả các đội ngũ có nhu cầu là một thách thức:
- Các đội ngũ an ninh CNTT và OT cần nhật ký để theo dõi các sự kiện.
- Những người ứng phó sự cố cần có dữ liệu để đưa ra các quyết định sáng suốt trong quá trình xảy ra các cuộc tấn công.
- Các chuyên gia phân tích điều tra số cần dữ liệu để hiểu rõ cách thức một cuộc tấn công trong môi trường OT diễn ra cũng như trình tự các sự kiện.
- Ngay cả các đội ngũ phụ trách tuân thủ cũng cần có hồ sơ để chứng minh đã thực hiện đầy đủ các biện pháp thận trọng.
Vấn đề không phải là “làm thế nào” để cấp quyền truy cập OT cho các nhóm này, mà là làm sao để cấp quyền truy cập mà không vô tình để ngỏ cửa cho những kẻ tấn công.
Đây chính là lúc OPSWAT MetaDefender NetWall tác dụng.
Thay vì để các nhóm này truy cập trực tiếp vào môi trường OT,thiết bị truyền dữ liệu một chiều MetaDefender NetWall sẽ chuyển các bản ghi từ OT sang IT, giúp các nhóm theo dõi tình hình mà không tạo cơ hội cho các mối đe dọa xâm nhập.
Ai cần nhật ký OT (và tại sao họ không thể chỉ cần “đăng nhập”)
Các khung tiêu chuẩn như “3 biện pháp kiểm soát quan trọng dành cho Hệ thống Kiểm soát Công nghiệp (ICS)” của SANS, Khung An ninh Hệ thống Thông tin (CSF) của NIST và tiêu chuẩn ISA/IEC 62443 đều có các quy tắc về khả năng hiển thị rõ ràng.
Các biện pháp kiểm soát khả năng hiển thị là yếu tố thiết yếu để xác định tài sản, phát hiện lỗ hổng và giám sát mối đe dọa theo thời gian thực, mà không làm gián đoạn các quy trình công nghiệp quan trọng và nhạy cảm.
Trong một tổ chức có nhiều bộ phận khác nhau, việc truy cập dữ liệu OT theo thời gian thực đối với các bộ phận này là điều không thể thiếu.
Chuyên viên phân tích SOC (Trung tâm Điều hành An ninh)
Các chuyên viên phân tích SOC có nhiệm vụ theo dõi, phát hiện, điều tra và xử lý các cảnh báo an ninh.
Nói tóm lại, nhiệm vụ của họ là phát hiện các mối đe dọa trước khi chúng gây ra thảm họa. Để làm được điều đó, họ cần các bản ghi OT theo thời gian thực nhằm phát hiện các vụ xâm nhập, phần mềm độc hại hoặc lưu lượng truy cập bất thường.
Tuy nhiên, nếu kẻ tấn công có được quyền truy cập trực tiếp vào môi trường CNTT, chúng có thể nhanh chóng xâm nhập vào các hệ thống OT, gây ra nguy cơ nghiêm trọng về việc hệ thống OT bị xâm phạm.
Vì lý do đó, các nhóm SOC không thể chỉ dựa vào các phương thức đăng nhập đơn giản để truy cập dữ liệu OT thời gian thực nhằm mục đích giám sát.
Nếu hệ thống SOC bị xâm nhập, kẻ tấn công có thể lợi dụng kết nối đó làm đường vào môi trường OT.
OT Security Đội
Các đội ngũ an ninh OT bảo vệ các hệ thống điều khiển công nghiệp và công nghệ OT như SCADA, PLC và robot sản xuất, vốn quản lý cơ sở hạ tầng vật lý.
Các đội này cần nhật ký bảo mật để phục vụ cho việc phân tích điều tra số và phát hiện các bất thường.
Việc cho phép các hệ thống trong môi trường CNTT sử dụng các công cụ bảo mật dành riêng cho ICS và OT truy cập vào môi trường OT cũng không phải là một ý tưởng hay.
Tương tự như trường hợp của SOC, nếu các hệ thống CNTT đó bị xâm nhập, chúng có thể tạo ra một lối vào trực tiếp cho kẻ tấn công xâm nhập vào các hoạt động OT.
Các đội ứng phó sự cố và phân tích điều tra số
Nếu phát hiện sự cố bất thường hoặc vi phạm an ninh, các đội ứng phó sự cố và phân tích điều tra số sẽ được huy động để điều tra và khắc phục.
Họ cần các bản ghi nhật ký để xác định, ngăn chặn và loại bỏ các cuộc tấn công vào hệ thống OT, từ đó tạo cơ sở cho việc phòng ngừa và ngăn chặn các sự cố tương tự tái diễn.
Tuy nhiên, các đội này thường chỉ được huy động sau khi sự cố đã được xác nhận, khi đó mức độ rủi ro lại càng cao hơn.
Nếu các công cụ phản ứng hoặc thông tin đăng nhập bị xâm phạm, một lỗ hổng cho phép truy cập vào hệ thống OT sẽ cung cấp cho kẻ tấn công chính xác những gì chúng cần.
Do đó, các đội ứng phó sự cố và điều tra kỹ thuật số không nên có quyền truy cập trực tiếp vào môi trường OT thông qua tài khoản đăng nhập.
Đội ngũ tuân thủ và kiểm tra
Nếu không có nhật ký, các tiêu chuẩn tuân thủ sẽ không được đáp ứng.
Các đội ngũ tuân thủ và kiểm toán cần có khả năng lưu trữ nhật ký dài hạn và theo dõi sự kiện đáng tin cậy để đáp ứng các yêu cầu về quy định và báo cáo.
Tuy nhiên, việc cấp quyền truy cập trực tiếp vào môi trường OT cho các kiểm toán viên là điều không cần thiết và cũng không nên làm.
Việc cung cấp cho họ các bản ghi và báo cáo cần thiết từ bên ngoài sẽ an toàn và dễ kiểm soát hơn nhiều so với việc mở một đường dẫn truy cập trực tiếp vào các hệ thống OT.
Tại sao lại cần Data Diode? Bởi vì việc truy cập từ bên ngoài thực sự là một cơn ác mộng
Tại thời điểm này, rõ ràng việc cho phép các hệ thống doanh nghiệp truy vấn trực tiếp nhật ký OT sẽ gây ra những rủi ro an ninh nghiêm trọng.
Một kết nối không được bảo mật tốt là tất cả những gì kẻ tấn công cần để:
- Chuyển hướng từ CNTT sang OT.
- Trích xuất dữ liệu nhạy cảm từ môi trường OT và ICS, bao gồm thông tin về hệ thống điều khiển như nhãn hiệu và mẫu mã PLC, các giá trị quá trình, v.v.
- Can thiệp vào nhật ký hệ thống để che giấu dấu vết.
MetaDefender Netwall loại bỏ những rủi ro này bằng cách áp dụng cơ chế lưu lượng dữ liệu một chiều thông qua phần cứng.
Ghi nhật ký được gửi đi, nhưng không có gì được nhận lại.
Các nhóm của chúng tôi có được dữ liệu cần thiết, đồng thời hệ thống OT vẫn được bảo mật chặt chẽ và an toàn.
Cách thức hoạt động
Hệ thống Splunk trong môi trường OT thu thập nhật ký bảo mật từ khắp môi trường OT.
- Bộ sưu tập này bao gồm nhật ký tường lửa,IPS , nhật ký sự kiện Windows và cả các sự kiện PLC.
Thay vì cho phép người dùng hoặc hệ thống doanh nghiệp truy cập vào mạng OT, OPSWAT NetWall sẽ đẩy các bản ghi ra ngoàiNetWall từ bộ thu thập Splunk của mạng OT.
Sau đó, phiên bản Splunk của doanh nghiệp sẽ nhận được bản sao các sự kiện đó từ Splunk sang Splunk.
Nhờ đó, các nhóm an ninh và tuân thủ có được khả năng theo dõi cần thiết mà không cần thiết lập các đường dẫn truy cập vào hệ thống, vốn có thể khiến môi trường OT phải đối mặt với rủi ro.
Những suy nghĩ cuối cùng: An ninh mà không phải đánh đổi
Nếu đội ngũ an ninh của doanh nghiệp bạn yêu cầu cung cấp nhật ký OT, đừng vội từ chối một cách dứt khoát.
Bạn có thể cấp cho họ quyền truy cập cần thiết, nhưng không được làm theo cách khiến toàn bộ môi trường bị lộ.
Thiết bịdiode dữ liệu OPSWAT Netwall giúp họ có được khả năng giám sát cần thiết đồng thời đảm bảoan toàncho hệ thống OT.
Khi không có quyền truy cập từ bên ngoài, sẽ không có nguy cơ bị xâm nhập.
OPSWAT NetWall dữ liệu phù hợp sẽ đến tay đúng người, theo cách đúng đắn.
Bạn không cần phải lựa chọn giữa khả năng quan sát và an toàn.
Với một bộ chuyển đổi dữ liệu, bạn có thể đạt được cả hai.
Hãy liên hệ với chúng tôi để tìm hiểu cách OPSWAT NetWall đội ngũ an ninh của bạnNetWall hiệu quả làm việc, đồng thời đảm bảo môi trường OT của bạn luôn an toàn và được bảo vệ.
