Managed File Transfer Trên các mạng CNTT, OT và DMZ

Việc truyền tệp IT/OT qua vùng DMZ công nghiệp trở thành một vấn đề về an ninh và vận hành, bởi vì việc trao đổi tệp trong quá trình vận hành phải vượt qua các ranh giới phân vùng vốn được thiết lập nhằm giảm thiểu rủi ro an ninh mạng. Industrial vẫn cần các bản vá lỗi, công thức, nhật ký, tài liệu từ nhà cung cấp, bản sao lưu và báo cáo được chuyển giữa các vùng theo lịch trình cố định.

Các kênh tạm thời như email, ổ đĩa chia sẻ, máy chủ trung gian và phương tiện lưu trữ di động làm tăng nguy cơ lây nhiễm phần mềm độc hại qua tệp tin và làm giảm khả năng truy vết. Các quy trình làm việc trong Industrial (IDMZ) cũng đòi hỏi phải có bằng chứng kiểm toán, sự đồng bộ trong kiểm soát thay đổi và việc thực thi nhất quán trên tất cả các cơ sở để tránh các trường hợp ngoại lệ mang tính nhất thời.

Các trường hợp sử dụng phổ biến trong việc truyền tệp từ hệ thống CNTT sang hệ thống OT bao gồm các gói công việc kỹ thuật, cập nhật PLC và HMI, trích xuất dữ liệu từ hệ thống lưu trữ lịch sử, cập nhật chữ ký phần mềm diệt virus, sao lưu và các gói phần mềm nhúng của nhà cung cấp. Các tài liệu kỹ thuật và bản cập nhật phần mềm nhúng thường đòi hỏi bằng chứng về chuỗi lưu giữ chặt chẽ hơn so với các báo cáo thường xuyên hoặc việc xuất nhật ký định kỳ.

Các luồng dữ liệu định kỳ thường bao gồm việc sao lưu theo lịch trình, cập nhật phần mềm diệt virus và việc gửi báo cáo tiêu chuẩn. Các luồng dữ liệu khẩn cấp thường bao gồm các bản vá firmware khẩn cấp, việc trích xuất dữ liệu để ứng phó sự cố hoặc các thay đổi công thức có tính thời gian. Yêu cầu về chuỗi lưu giữ dữ liệu sẽ tăng lên khi các tệp có thể thay đổi hành vi quan trọng đối với an toàn hoặc ảnh hưởng đáng kể đến chất lượng sản xuất.

Mô hình DMZ truyền thống của doanh nghiệp không hoàn toàn phù hợp với hệ thống công nghệ vận hành (OT) bởi vì một vùng DMZ tiếp xúc với Internet chủ yếu đóng vai trò trung gian cho các truy cập từ bên ngoài, trong khi vùng DMZ công nghiệp chủ yếu đảm bảo các hoạt động có tính xác định, kiểm soát thay đổi nghiêm ngặt và bảo vệ các quy trình quan trọng đối với an toàn. Mục tiêu của việc phân vùng theo Cấp độ 3.5 của Purdue là hạn chế các đường dẫn vào hệ thống OT và giảm bớt sự tin cậy ngầm giữa các vùng. 

Rủi ro từ các tệp tin trở nên nghiêm trọng hơn trong hệ thống OT do các hệ thống cũ, thời gian cập nhật bản vá hạn chế và các ràng buộc về tính sẵn sàng làm giảm khả năng chấp nhận các biện pháp khắc phục mang tính phản ứng. Industrial cũng đòi hỏi các đường dẫn truyền tải có thể dự đoán được và các quy trình phê duyệt có thể lặp lại, đồng thời có thể được kiểm toán mà không cần thiết lập các phiên kết nối trực tiếp giữa hệ thống CNTT và OT. 

Việc tất cả các kết nối đều kết thúc tại vùng DMZ có nghĩa là các hoạt động truyền tệp giữa hệ thống CNTT và hệ thống OT phải tránh các phiên kết nối trực tiếp từ đầu này sang đầu kia giữa các điểm cuối của doanh nghiệp và các điểm cuối OT qua ranh giới tin cậy. Việc tất cả các kết nối đều kết thúc tại vùng DMZ cũng có nghĩa là các thiết kế phải tránh sử dụng máy chủ có hai kết nối mạng (dual-homed) làm cầu nối giữa các vùng và tránh các quy tắc tường lửa cho phép kết nối khách hàng xuyên vùng.

Nguyên tắc này được cụ thể hóa thành các giới hạn có cơ sở: các hệ thống CNTT chỉ giao tiếp với các dịch vụ trong vùng DMZ, các hệ thống OT chỉ giao tiếp với các dịch vụ trong vùng DMZ, và việc di chuyển tệp tin diễn ra thông qua các quy trình trung gian lưu trữ và chuyển tiếp. Các điểm kết thúc trong vùng DMZ công nghiệp trở thành các điểm kiểm soát để thực hiện kiểm tra, cách ly, phê duyệt và ghi nhật ký kiểm toán.

Để ngăn chặn các phiên kết nối trực tiếp từ IT sang OT mà không làm gián đoạn quy trình tự động hóa, cần áp dụng các mô hình chuyển tiếp qua trung gian, trong đó máy chủ gửi chỉ kết nối với các dịch vụ chuyển tiếp đặt trong vùng DMZ, còn máy chủ nhận OT chỉ kết nối với các dịch vụ truy xuất đặt trong vùng DMZ. Quá trình chuyển tiếp tệp qua trung gian thường bao gồm bước “đẩy” (push) vào vùng DMZ, tiếp theo là bước “kéo” (pull) sang OT, do đó không có phiên kết nối xuyên vùng nào tồn tại.

Việc tiếp xúc cổng vẫn được giữ ở mức tối thiểu nhờ sử dụng các cổng được khóa cố định, danh sách cho phép nghiêm ngặt và các danh tính dịch vụ được giới hạn phạm vi theo từng quy trình làm việc. Các tài khoản dịch vụ dành riêng cho từng quy trình làm việc giúp giảm thiểu rủi ro di chuyển ngang và hỗ trợ việc xác nhận lại các quy tắc truy cập trong các đợt rà soát định kỳ.

Cấu hình kết nối kép và lưu trữ chung có thể vô tình tạo ra các cầu nối xuyên vùng, bởi vì một máy chủ có hai card mạng (NIC) có thể trở thành điểm trung chuyển cho việc định tuyến hoặc thông tin xác thực qua các ranh giới phân vùng. Các thư mục chia sẻ SMB chung và thông tin xác thực được sao chép cũng có thể làm suy yếu mục đích phân vùng bằng cách tạo ra các đường dẫn truy cập xuyên vùng ngầm, vốn rất khó để liệt kê và xác thực lại.

Các mô hình cần tránh bao gồm các máy chủ tệp có kết nối kép (dual-homed) tiếp xúc đồng thời với mạng CNTT và mạng OT, các thư mục SMB chia sẻ được sử dụng làm điểm “chuyển giao” giữa các vùng, và việc truyền tệp qua máy chủ trung gian (jump-host) nhằm né tránh các cổng kiểm tra. Việc thực thi ranh giới phụ thuộc vào việc ngắt kết nối, kiểm tra và ủy quyền rõ ràng, thay vì các đường dẫn thuận tiện.

Kiến trúc DMZ công nghiệp cấp 3.5 theo tiêu chuẩn Purdue dành cho việc di chuyển tệp đặt IDMZ làm ranh giới kiểm tra và thực thi chính sách giữa mạng CNTT và mạng OT của doanh nghiệp. Kiến trúc DMZ công nghiệp cấp 3.5 theo tiêu chuẩn Purdue cũng đảm bảo các thiết bị đầu cuối CNTT và OT tích hợp với các dịch vụ DMZ thay vì tích hợp trực tiếp với nhau.

Các dịch vụ DMZ cơ bản thường bao gồm cổng chuyển tệp hoặc máy chủ chuyển tệp được quản lý, kho lưu trữ cách ly, các tầng kiểm tra và ghi nhật ký tập trung. Cơ chế chuyển tiếp lưu trữ (store-and-forward) được điều phối giúp đảm bảo các hoạt động diễn ra một cách xác định đồng thời vẫn duy trì nguyên vẹn mục tiêu phân đoạn.

Các dịch vụ thuộc vùng DMZ công nghiệp nhằm đảm bảo trao đổi tệp tin an toàn bao gồm cổng chuyển tệp hoặc máy chủ chuyển tệp được quản lý, các tầng quét phần mềm độc hại và môi trường cách ly, các tầng vô hiệu hóa và tái tạo nội dung (CDR), kho lưu trữ cách ly, cùng với hệ thống thu thập nhật ký tập trung. Các dịch vụ Industrial còn bao gồm các thành phần quản lý quy trình làm việc và thực thi chính sách để kiểm soát việc phê duyệt và phát hành.

Các thiết bị đầu cuối CNTT nên gửi tệp tin vào các vùng lưu trữ tạm thời trong DMZ, còn các thiết bị đầu cuối OT nên lấy các gói phần mềm đã được phê duyệt từ các vị trí trung chuyển trong DMZ. Ranh giới DMZ trở thành điểm kiểm tra nhất quán cho việc quét phần mềm độc hại, khử trùng dữ liệu, đánh giá chính sách và ghi chép chuỗi lưu giữ.

Mô hình tường lửa và định tuyến trong thiết kế qua trung gian thường sử dụng kiến trúc IDMZ hai lớp tường lửa, trong đó lưu lượng từ mạng nội bộ đến DMZ và lưu lượng từ hệ thống vận hành (OT) đến DMZ được kiểm soát riêng biệt. Danh sách cho phép được áp dụng cho nguồn, đích, giao thức và danh tính dịch vụ, do đó mỗi luồng công việc đều có một lộ trình rõ ràng và có thể kiểm tra được.

Số lượng luồng dữ liệu ít hơn và được xác định rõ ràng giúp giảm bớt độ phức tạp của tường lửa so với việc sử dụng nhiều đường dẫn tùy chỉnh. Các thiết kế dựa trên trung gian cũng hỗ trợ các cổng cố định và các điểm cuối dịch vụ nhất quán, giúp đơn giản hóa quá trình xác nhận lại quy tắc và giảm nguy cơ các quy tắc quá rộng sẽ mở rộng theo thời gian.

Quy trình làm việc “đẩy vào DMZ rồi kéo vào OT” trên thực tế hoạt động như một chuỗi các bước lặp lại: nhập dữ liệu, cách ly, kiểm tra, làm sạch, phê duyệt, phát hành và phân phối. Quy trình này cũng duy trì sự phân đoạn mạng vì cả hai phía chỉ kết nối với các dịch vụ trong DMZ.

Phương thức "Push" thường được áp dụng khi các hệ thống CNTT tạo ra các gói dữ liệu, trong khi phương thức "Pull" thường được áp dụng khi các hệ thống OT truy xuất nội dung đã được phê duyệt theo lịch trình được kiểm soát. Một quy trình làm việc tiêu chuẩn có thể được áp dụng thống nhất trên nhiều nhà máy khi các quy ước đặt tên, việc thu thập siêu dữ liệu và các quyết định về chính sách được duy trì nhất quán cho từng luồng dữ liệu.

Các mô hình truyền dữ liệu từ mạng CNTT sang DMZ giúp duy trì tính bảo mật của ranh giới OT bằng cách giới hạn khả năng kết nối của các thiết bị gửi từ mạng CNTT tới các dịch vụ thu thập dữ liệu và vùng lưu trữ trong DMZ. Các mô hình phổ biến bao gồm tải lên theo lịch trình, tải lên do sự kiện kích hoạt và gửi dữ liệu API kèm theo siêu dữ liệu cần thiết cho việc ra quyết định chính sách và làm bằng chứng kiểm toán.

Hướng dẫn vận hành bao gồm các quy ước đặt tên nhất quán, các trường siêu dữ liệu bắt buộc cho hệ thống nguồn và vùng đích dự kiến, cũng như mã hóa trong quá trình truyền tải bằng TLS. Việc gửi dữ liệu từ phía CNTT cũng cần bao gồm cơ chế liên kết danh tính để vùng DMZ có thể ghi lại người dùng hoặc dịch vụ nào đã khởi tạo quá trình chuyển dữ liệu.

Các mô hình kết nối từ DMZ sang OT giúp giảm thiểu rủi ro và đơn giản hóa cấu hình tường lửa bằng cách cho phép các tác nhân truy xuất OT hoặc các tác vụ được lên lịch thiết lập kết nối đi từ OT qua DMZ để chỉ tải về các gói dữ liệu đã được phê duyệt. Việc truy xuất từ OT cần được giới hạn trong các hàng đợi hoặc thư mục dành riêng cho từng đích đến, nhằm đảm bảo các điểm cuối OT không thể truy cập vào nội dung đang bị cách ly chưa được phê duyệt.

Chức năng Pull giúp giảm thiểu rủi ro bằng cách ngăn chặn các kết nối đến hệ thống OT và hạn chế các cổng và dịch vụ tiếp xúc với OT. Việc truy xuất dữ liệu từ hệ thống OT cũng hỗ trợ các khung thời gian thực hiện thay đổi, vì các hệ thống OT chỉ có thể thực hiện truy xuất khi lịch trình vận hành cho phép cài đặt hoặc triển khai.

Các biện pháp kiểm soát bắt buộc đối với việc truyền tệp trong vùng DMZ công nghiệp bao gồm kiểm tra, làm sạch dữ liệu, cách ly, phê duyệt, nguyên tắc quyền truy cập tối thiểu, mã hóa và ghi nhật ký kiểm toán hỗ trợ chuỗi lưu giữ. Các biện pháp kiểm soát bắt buộc này cần được áp dụng chủ yếu trong vùng DMZ vì đây là điểm kết thúc và ranh giới chính sách cho việc di chuyển tệp giữa các vùng.

Endpoint và kiểm soát điểm đến vẫn giữ vai trò quan trọng, nhưng vùng DMZ cần đóng vai trò là cổng kiểm tra nhất quán nhằm ngăn chặn các hành vi lách luật. Mỗi biện pháp kiểm soát cần được liên kết với một giai đoạn cụ thể trong quy trình làm việc để bộ phận vận hành có thể dự đoán kết quả và đội ngũ an ninh có thể xác minh bằng chứng.

Việc quét phần mềm độc hại trong vùng DMZ mà không phụ thuộc vào một công cụ quét duy nhất đòi hỏi phải áp dụng phương pháp quét đa công cụ và phát hiện theo lớp, nhằm đảm bảo tỷ lệ phát hiện các mối đe dọa đã biết và mới nổi được nâng cao. Kết quả từ việc quét đa công cụ cần đưa ra các kết luận rõ ràng như “đạt”, “không đạt” và “không xác định”, để quy trình làm việc vẫn duy trì tính xác định.

Các kết quả thất bại cần tiếp tục được cách ly cùng với các lộ trình xử lý sự cố. Các kết quả chưa xác định cần tiếp tục được cách ly cho đến khi có phân tích bổ sung, chẳng hạn như thử nghiệm trong môi trường sandbox hoặc các chính sách kiểm tra chi tiết hơn. Chính sách DMZ cần quy định thời gian chờ, các bước xem xét của chuyên viên phân tích và các quy tắc giải phóng để việc cách ly không trở thành một lượng công việc tồn đọng ngoài tầm kiểm soát.

Phương pháp vô hiệu hóa và tái cấu trúc nội dung (CDR) vượt trội hơn các phương pháp chỉ dựa trên phát hiện khi cần thực hiện quá trình làm sạch ưu tiên phòng ngừa để loại bỏ nội dung hoạt động, ngay cả khi kết quả phát hiện phần mềm độc hại cho thấy hệ thống an toàn. CDR giúp giảm thiểu rủi ro bằng cách tái cấu trúc tệp để duy trì khả năng sử dụng trong hoạt động kinh doanh đồng thời loại bỏ các thành phần hoạt động như macro hoặc đối tượng nhúng, tùy thuộc vào chính sách.

Các loại tệp thường được hưởng lợi từ quá trình làm sạch bao gồm tài liệu văn phòng, tệp PDF và các tệp lưu trữ có thể chứa mã lệnh hoặc tải trọng nhúng. Các chính sách ưu tiên làm sạch cũng giúp giảm sự phụ thuộc vào phạm vi bao phủ của chữ ký số và giảm rủi ro vận hành do các tài liệu “trông sạch sẽ nhưng đã bị biến thành công cụ tấn công” xâm nhập vào hệ thống OT.

Sandbox đối với các hoạt động chuyển dữ liệu có rủi ro cao hoặc tác động lớn giúp bổ sung phân tích động để phát hiện các hành vi mà quét tĩnh có thể bỏ sót. Sandbox nên dựa trên loại tệp, mức độ tin cậy của nguồn, mức độ quan trọng của đích đến, cũng như các mẫu mối đe dọa đã được ghi nhận trong môi trường.

Sandbox cần được sử dụng làm cơ sở cho các quyết định chính sách với các mốc thời gian cụ thể, để các bộ phận vận hành có thể dự đoán được các sự chậm trễ. Chính sách DMZ cần quy định cách thức các kết quả đánh giá từ môi trường thử nghiệm được áp dụng cho thời gian lưu giữ trong vùng cách ly, các yêu cầu xem xét của chuyên gia phân tích, cũng như các quy trình xử lý khẩn cấp trong các tình huống bảo trì cấp bách.

Hệ thống phòng ngừa mất dữ liệu (DLP) đối với việc di chuyển tệp giữa các vùng cần áp dụng các biện pháp kiểm soát chủ động như so khớp từ khóa và mẫu, xử lý phân loại, cũng như hạn chế điểm đến. Việc thực thi DLP cần tuân thủ các chính sách theo luồng dữ liệu để đảm bảo dữ liệu nhạy cảm không bị di chuyển vào các vùng hoặc điểm đến không được phép.

Rủi ro do chặn quá mức cần được quản lý thông qua việc thực thi theo từng giai đoạn và danh sách cho phép cụ thể cho từng luồng dữ liệu, phản ánh nhu cầu vận hành. Các trường thông tin cần ghi lại các quy tắc DLP đã áp dụng, kết quả khớp và kết quả xử lý để báo cáo tuân thủ có thể chứng minh việc xử lý nhất quán.

Nguyên tắc "quyền truy cập tối thiểu" và quy trình phê duyệt cho việc chuyển tệp giữa các vùng đòi hỏi phải áp dụng kiểm soát truy cập dựa trên vai trò, phân tách nhiệm vụ, cũng như quyền truy cập có thời hạn phù hợp với khung thời gian thực hiện thay đổi và các hạn chế về thời gian ngừng hoạt động. Các chính sách về "quyền truy cập tối thiểu" cần ngăn chặn việc sử dụng tài khoản chung và phải xác định phạm vi quyền truy cập theo từng quy trình làm việc, điểm đến và loại tệp.

Các mô hình phê duyệt cần được triển khai đồng bộ trên các cơ sở thông qua việc áp dụng các vai trò nhất quán, quy trình thu thập bằng chứng thống nhất và tự động hóa đối với các luồng công việc có rủi ro thấp. Cơ chế quản trị cũng cần xác định các quy trình khẩn cấp kèm theo yêu cầu ghi nhật ký chi tiết và đánh giá sau sự cố.

Hệ thống kiểm soát truy cập dựa trên vai trò (RBAC) dành cho các máy chủ trung gian tệp tin IT-OT-DMZ phân chia nhiệm vụ thành các vai trò như người gửi, người xem xét, người phê duyệt và người truy xuất OT. Hệ thống RBAC phải đảm bảo rằng người gửi không thể đơn phương phê duyệt nội dung vào hệ thống OT và người truy xuất OT không thể truy cập vào nội dung đang bị cách ly.

Việc tích hợp hệ thống xác thực với các nhà cung cấp dịch vụ xác thực hiện có có thể giúp giảm bớt gánh nặng quản trị, nhưng rủi ro liên quan đến xác thực trong môi trường OT vẫn cần được kiểm soát thông qua việc xác định phạm vi, phân đoạn hệ thống và áp dụng nguyên tắc “quyền truy cập tối thiểu”. Các tài khoản dịch vụ nên được tạo riêng biệt cho từng quy trình làm việc để hỗ trợ công tác kiểm toán và ngăn chặn việc tái sử dụng quyền truy cập giữa các quy trình không liên quan.

Quyền truy cập có thời hạn dành cho nhà cung cấp và các tình huống khẩn cấp cần sử dụng thông tin đăng nhập có thời hạn, quyền truy cập trong thời gian giới hạn và phạm vi truy cập được thu hẹp theo từng quy trình làm việc. Quyền truy cập có thời hạn giúp giảm thiểu rủi ro an ninh kéo dài và đồng bộ hóa các khung thời gian truy cập với lịch bảo trì cũng như các khung thời gian phê duyệt thay đổi.

Các yêu cầu về ghi nhật ký cần bao gồm thông tin về người yêu cầu quyền truy cập, người phê duyệt quyền truy cập, phạm vi quyền được cấp, cũng như các tệp đã được chuyển giao theo chính sách có thời hạn. Các biện pháp khẩn cấp cần tạo ra một bộ bằng chứng rõ ràng để xem xét, nhằm đảm bảo trách nhiệm giải trình trong các tình huống khẩn cấp.

Việc ghi nhật ký kiểm toán cho hoạt động chuyển tệp giữa hệ thống CNTT, DMZ và OT nhằm đảm bảo tuân thủ phải cung cấp bằng chứng về chuỗi lưu giữ dữ liệu từ đầu đến cuối trên toàn bộ hệ thống CNTT, DMZ và OT mà không cần dựa vào việc tạo phiếu yêu cầu thủ công. Việc ghi nhật ký kiểm toán cần hỗ trợ các hoạt động điều tra, báo cáo tuân thủ và khắc phục sự cố vận hành thông qua việc sử dụng các mã định danh nhất quán xuyên suốt các giai đoạn của quy trình làm việc.

Bằng chứng về chuỗi lưu giữ phải bao gồm thông tin về người đã gửi tệp, các hoạt động kiểm tra và khử trùng đã được thực hiện, người phê duyệt việc phát hành, cũng như việc giao hàng đã được xác nhận hay chưa. Việc ghi nhật ký tập trung vào DMZ giúp giảm sự phụ thuộc vào khả năng hiển thị các điểm cuối OT và duy trì sự phân đoạn.

Các trường nhật ký tối thiểu để xác định ai đã gửi tệp nào và tệp đó được gửi đi đâu bao gồm: thông tin nhận dạng người dùng và dịch vụ, vùng nguồn và vùng đích, tên tệp, mã băm tệp (ví dụ: SHA-256), dấu thời gian cho từng giai đoạn quy trình làm việc, chính sách được áp dụng, kết quả kiểm tra và làm sạch, hồ sơ phê duyệt, và xác nhận giao hàng. Các mã định danh tương quan cần liên kết các sự kiện nhập liệu, cách ly, kiểm tra, giải phóng và giao hàng.

Các trường nhật ký nhất quán giúp đảm bảo khả năng truy vết trong các triển khai đa địa điểm. Cơ chế băm (hashing) hỗ trợ tính không chối cãi và hỗ trợ công tác ứng phó sự cố bằng cách chứng minh tính toàn vẹn của tệp trên toàn bộ đường truyền.

Việc giám sát hoạt động và cảnh báo cần được thực hiện dựa trên nhật ký kiểm tra, thông qua các điều kiện cảnh báo như lỗi lặp lại, vi phạm chính sách, các loại tệp bất thường, lưu lượng truyền tải bất thường và các kết quả xử lý không xác định lặp lại từ các công cụ kiểm tra. Các bảng điều khiển hoạt động cần theo dõi thông lượng, lượng công việc tồn đọng trong vùng cách ly và tỷ lệ xác nhận giao hàng để duy trì độ tin cậy.

Tích hợp SIEM hỗ trợ việc phân tích tương quan an ninh, trong khi các bảng điều khiển vận hành giúp theo dõi tình trạng hoạt động của dịch vụ và đảm bảo tính dự đoán được của quy trình làm việc. Các ngưỡng cảnh báo cần được điều chỉnh theo từng luồng dữ liệu để các điểm đến quan trọng được ưu tiên xử lý nhanh hơn so với việc gửi báo cáo có mức độ quan trọng thấp.

Sự khác biệt chính giữa dịch vụ truyền tệp được quản lý và máy chủ SFTP độc lập trong vùng DMZ của hệ thống vận hành (OT) nằm ở các khía cạnh quản trị, tích hợp kiểm tra và khả năng kiểm toán, chứ không phải ở khả năng hỗ trợ giao thức. Dịch vụ truyền tệp được quản lý cung cấp một lớp điều khiển cho các mạng được phân đoạn bằng cách điều phối chính sách theo từng luồng dữ liệu, thực thi các biện pháp cách ly và phê duyệt, đồng thời tập trung hóa việc thu thập bằng chứng.

SFTP độc lập thường trở thành một điểm cuối truyền tải phải phụ thuộc vào các quy trình bên ngoài để thực hiện quét, phê duyệt và lập báo cáo. Các triển khai Industrial thường đòi hỏi các điểm kiểm soát nhất quán, đảm bảo độ tin cậy khi mở rộng quy mô trên nhiều địa điểm.

Hệ thống SFTP độc lập trong vùng DMZ thường gặp sự cố trong giờ cao điểm do phải thông qua phê duyệt thủ công, quy trình quét phần mềm độc hại không nhất quán, việc sử dụng tài khoản chung, khả năng thu thập siêu dữ liệu hạn chế và nhật ký bị phân mảnh trên nhiều hệ thống. Các bước thủ công cũng làm tăng nguy cơ xảy ra hành vi lách quy định, đặc biệt là trong các khung thời gian bảo trì khẩn cấp.

Mô hình hoạt động trên nhiều địa điểm làm gia tăng khoảng cách do mỗi địa điểm thường áp dụng các biện pháp quét, lưu trữ và kiểm soát truy cập có chút khác biệt. Bằng chứng bị phân mảnh cũng làm chậm quá trình điều tra vì việc chứng minh chuỗi lưu giữ bằng chứng đòi hỏi phải đối chiếu thủ công giữa các bản ghi và hệ thống quản lý phiếu yêu cầu hỗ trợ khác nhau.

Dịch vụ truyền tệp được quản lý có khả năng nhận diện ranh giới cần cung cấp khả năng điều phối chính sách theo từng luồng dữ liệu, các biện pháp kiểm soát cách ly và giải phóng, Bảo mật tập tin đa lớp tích hợp, cùng khả năng giám sát tập trung trên các vùng. Dịch vụ này cũng cần hỗ trợ các cấp độ kiểm tra bao gồm quét đa lớp, CDR, phân tích trong môi trường ảo (sandbox) và thực thi chính sách DLP trong quá trình truyền tệp.

OPSWAT MetaDefender File Transfer™ (MFT) là một ví dụ điển hình về nền tảng truyền tải tệp tin được quản lý với ưu tiên hàng đầu là bảo mật, tích hợp các tính năng Metascan™ Multiscanning, công nghệ Deep CDR™, Proactive DLP™ và phân tích trong môi trường sandbox trong một quy trình làm việc thống nhất. Cơ chế quản trị tập trung giúp đảm bảo việc thực thi các chính sách một cách nhất quán trên các môi trường CNTT, IDMZ và OT.

Việc so sánh giữa quá trình làm sạch tệp CDR và quét chống vi-rút đối với các tệp được đưa vào môi trường OT thể hiện sự khác biệt giữa phương pháp tái cấu trúc ưu tiên phòng ngừa và phương pháp xác định nội dung độc hại ưu tiên phát hiện. Các biện pháp kiểm soát nhiều lớp giúp giảm thiểu rủi ro từ các mối đe dọa chưa biết và do trí tuệ nhân tạo (AI) tạo ra bằng cách kết hợp quét đa công cụ, làm sạch các định dạng có rủi ro cao và phân tích trong môi trường sandbox (tùy chọn) đối với các trường hợp đáng ngờ.

Các tiêu chí lựa chọn cần phải cân đối giữa loại tệp và mức độ quan trọng của đích đến để điều chỉnh mức độ kiểm soát. Các chính sách cần xác định rõ những loại tệp nào cần được xử lý làm sạch theo mặc định và những loại tệp nào chỉ cần quét thông thường nhưng phải có cơ chế kích hoạt nâng cấp.

Quá trình quét virus có thể chứng minh rằng công cụ quét đã không phát hiện ra nội dung độc hại đã biết dựa trên các bản dấu vân tay và thuật toán heuristic có sẵn tại thời điểm quét, nhưng quá trình này không thể chứng minh rằng một tệp tin là an toàn khi sử dụng trong môi trường OT. Các trường hợp bỏ sót (false negatives) và các mối đe dọa mới vẫn có tác động đáng kể về mặt vận hành trong các môi trường quan trọng.

Các trường hợp được xác định là “sạch” nhưng vẫn đáng ngờ cần tiếp tục được cách ly để chờ phân tích đa tầng, bao gồm quét nhiều lần, kích hoạt trong môi trường sandbox hoặc áp dụng các chính sách làm sạch. Thiết kế quy trình làm việc cần đảm bảo rằng ngay cả khi kết quả được xác định là “sạch”, hệ thống vẫn ghi lại bằng chứng và hỗ trợ cho việc điều tra sau này trong trường hợp xảy ra các bất thường trong hoạt động.

Chế độ khử trùng theo công nghệ Deep CDR™ là tùy chọn mặc định an toàn hơn khi cần giảm thiểu rủi ro từ nội dung có hoạt tính, ngay cả khi kết quả phát hiện cho thấy nội dung đó an toàn. Quá trình khử trùng giúp giảm thiểu rủi ro bằng cách loại bỏ hoặc vô hiệu hóa các thành phần có hoạt tính, đồng thời vẫn giữ lại nội dung có thể sử dụng được để đáp ứng các nhu cầu vận hành.

Các ví dụ về chính sách bao gồm việc làm sạch dữ liệu theo mặc định đối với các tài liệu văn phòng và tệp PDF khi được đưa vào các khu vực trung chuyển OT có mức độ quan trọng cao, quy trình xử lý kho lưu trữ nghiêm ngặt hơn đối với các kho lưu trữ lồng nhau, và quy trình xử lý có kiểm soát đối với các sản phẩm kỹ thuật dựa trên mức độ quan trọng của điểm đến. Các chính sách làm sạch dữ liệu cần ghi lại các thao tác biến đổi đã diễn ra để bảo toàn bằng chứng về chuỗi lưu giữ.

Việc lựa chọn giữa mô hình Data Diode và mô hình DMZ với hai tường lửa cho việc truyền tệp trong hệ thống OT là sự lựa chọn thiết kế giữa việc áp dụng chế độ một chiều và các luồng công việc hai chiều được kiểm soát nhưng vẫn kết thúc tại vùng DMZ. Các thiết kế Data Diode đảm bảo tính một chiều ngay từ bản chất, trong khi các thiết kế IDMZ với hai tường lửa đảm bảo tính một chiều thông qua chính sách và danh sách cho phép.

Việc thực thi một chiều làm thay đổi các kỳ vọng về quy trình làm việc do việc xác nhận và khắc phục sự cố tương tác bị hạn chế. Việc truyền dữ liệu hai chiều có kiểm soát vẫn có thể được chấp nhận khi các trường hợp sử dụng yêu cầu tính hai chiều và các biện pháp kiểm soát bù đắp vẫn được quy định rõ ràng và có thể kiểm toán được.

Diode dữ liệu là thiết bị bắt buộc trong quá trình truyền dữ liệu từ hệ thống OT sang hệ thống IT khi mức độ chấp nhận rủi ro, các quy định pháp lý hoặc các môi trường có hậu quả nghiêm trọng yêu cầu phải đảm bảo truyền dữ liệu một chiều nghiêm ngặt và giảm thiểu diện tích tấn công. Các trường hợp sử dụng diode dữ liệu thường bao gồm giám sát một chiều, sao chép dữ liệu lịch sử ra bên ngoài, hoặc các môi trường tuân thủ quy định hạn chế mọi đường dẫn dữ liệu vào hệ thống OT.

Các nhược điểm về mặt vận hành bao gồm khả năng xác nhận việc nhận dữ liệu thông qua các thông báo xác nhận tương tác bị hạn chế và khả năng khắc phục sự cố theo thời gian thực bị giảm sút. Thiết kế quy trình làm việc nên bao gồm các phương pháp chứng minh thay thế như xác nhận giao hàng từ phía DMZ và nhật ký không thể thay đổi.

Hệ thống tường lửa kép trong vùng DMZ công nghiệp hỗ trợ các nhu cầu kết nối hai chiều có kiểm soát bằng cách đảm bảo rằng mỗi hướng kết nối vẫn được kết thúc tại vùng DMZ thông qua các cổng kiểm tra, cơ chế cách ly và việc thực thi chính sách nghiêm ngặt. Các luồng công việc hai chiều nên được giới hạn trong các trường hợp sử dụng hợp lý, chẳng hạn như việc phân phối bản cập nhật từ nhà cung cấp, xuất dữ liệu có kiểm soát hoặc các tài liệu đối chiếu bắt buộc.

Các biện pháp kiểm soát bù đắp cần được lập thành văn bản, bao gồm danh sách cho phép nghiêm ngặt, các cổng được cố định, danh tính dịch vụ theo luồng và các yêu cầu phê duyệt. Tài liệu này cũng cần bao gồm việc tái xác nhận định kỳ các quy tắc tường lửa nhằm ngăn chặn tình trạng quy tắc lan tràn.

Việc chuyển giao tệp tin từ nhà cung cấp vào mạng OT thông qua vùng DMZ cần tuân theo quy trình làm việc thuận tiện cho nhà cung cấp, trong đó quyền truy cập của nhà cung cấp trong vùng DMZ sẽ bị ngắt kết nối, đồng thời thực thi các biện pháp kiểm tra, cách ly, giới hạn thời gian truy cập và ghi nhật ký kiểm toán. Các quy trình làm việc dành cho nhà cung cấp phải ngăn chặn việc nhà cung cấp truy cập trực tiếp vào các tài sản mạng OT, đồng thời đảm bảo thời gian chuyển giao có thể dự đoán được để phục vụ công tác lập kế hoạch vận hành.

Việc xác thực và cấp quyền cần được giới hạn trong phạm vi các vùng lưu trữ và các loại tệp cụ thể của nhà cung cấp. Việc phát hành vào DMZ phải có sự phê duyệt được ghi lại và phải cung cấp xác nhận việc chuyển giao vào môi trường thử nghiệm OT.

Việc xác thực nhà cung cấp mà không sử dụng tài khoản chung hoặc quyền truy cập vĩnh viễn cần áp dụng các danh tính riêng biệt cho từng nhà cung cấp, xác thực đa yếu tố khi có thể, và thiết lập quyền truy cập có thời hạn phù hợp với khung thời gian bảo trì. Các danh tính của nhà cung cấp cần được giới hạn trong các vùng lưu trữ cụ thể và tuân thủ các chính sách về loại tệp để giảm thiểu rủi ro.

Quyền truy cập nên được giới hạn ở việc gửi và xem trạng thái, thay vì truy xuất trực tiếp các gói OT. Quyền truy cập của nhà cung cấp cũng cần bao gồm việc thực thi chính sách về các điểm đến được phép, để các gói của nhà cung cấp không thể được định tuyến ra ngoài các vị trí trung chuyển OT đã được phê duyệt.

Các tệp của nhà cung cấp được chuyển từ vùng cách ly sang trạng thái được phê duyệt để phát hành thông qua các bước sau: nhập vào kho lưu trữ cách ly DMZ, quét phần mềm độc hại, thực hiện khử trùng khi cần thiết và phân tích trong môi trường sandbox khi các điều kiện kích hoạt chính sách được áp dụng. Việc truy xuất dữ liệu OT chỉ nên được phép sau khi đã được phê duyệt phát hành và sau khi chính sách xử lý đã đánh dấu gói dữ liệu là đã được phê duyệt.

Việc phê duyệt phải do các vai trò được chỉ định thực hiện, với sự phân tách nhiệm vụ rõ ràng, chẳng hạn như người kiểm duyệt và người phê duyệt. Việc ghi lại bằng chứng phải bao gồm kết quả kiểm tra, các biện pháp xử lý dữ liệu, dấu thời gian và danh tính của người phê duyệt.

Các sai sót trong cấu hình chuyển tệp qua DMZ có thể gây ra rủi ro do khôi phục kết nối giữa các vùng, làm suy yếu các cơ chế kiểm tra hoặc làm mất khả năng theo dõi trách nhiệm trong việc phê duyệt và cấp quyền truy cập. Để ngăn chặn các sai sót này, cần thiết lập các quy tắc cấm rõ ràng, thực hiện đánh giá định kỳ và triển khai các cơ chế giám sát để phát hiện sớm các hành vi lách quy định.

Các mô hình dễ gây rủi ro bao gồm việc chia sẻ tài khoản người dùng, mở rộng chia sẻ SMB, sự phình to của các quy tắc tường lửa và các bước sao chép thủ công bỏ qua giai đoạn cách ly. Các tiêu chuẩn cần chuyển đổi các phương thức gây lỗi thành các yêu cầu về kiến trúc và vận hành có thể thực thi.

Việc sử dụng tài khoản chung và các bước sao chép thủ công làm suy yếu tính minh bạch, bởi vì thông tin đăng nhập chung loại bỏ tính không thể chối cãi và cản trở việc xác định nguồn gốc một cách đáng tin cậy trong quá trình điều tra. Các bước sao chép thủ công cũng làm tăng nguy cơ các bước kiểm tra bị bỏ qua do áp lực về thời gian.

Việc phân tách vai trò và xác định danh tính cá nhân cần được áp dụng đối với các hoạt động nộp, xem xét, phê duyệt và truy xuất. Các quy trình làm việc tự động có cơ chế phê duyệt giúp giảm sự phụ thuộc vào các thực hành không chính thức và tạo ra bằng chứng nhất quán để hỗ trợ công tác kiểm toán và ứng phó sự cố.

Sự gia tăng không kiểm soát của các kết nối SMB và quy tắc tường lửa tạo ra những lối đi ẩn, bởi vì các mô hình truy cập SMB có xu hướng mở rộng theo thời gian và các quy tắc tường lửa quá rộng sẽ trở nên khó kiểm tra. Những lối đi ẩn này làm suy yếu mục đích phân đoạn mạng bằng cách tạo điều kiện cho các hoạt động di chuyển ngang không được theo dõi.

Việc cố định dịch vụ và áp dụng danh sách cho phép nghiêm ngặt giúp hạn chế việc mở rộng hệ thống một cách vô ý. Việc xác nhận lại định kỳ các quy tắc tường lửa cần đảm bảo rằng mỗi quy tắc đều tương ứng với một quy trình làm việc đã được phê duyệt và các quy tắc này vẫn được giới hạn trong các điểm kết thúc tại vùng DMZ, thay vì cho phép truy cập từ đầu đến cuối.

Danh sách kiểm tra tăng cường bảo mật cho việc truyền tệp trong vùng DMZ công nghiệp giúp chuẩn hóa các quy trình đánh giá kiến trúc, triển khai tại cơ sở và quản lý thay đổi bằng cách chuyển các biện pháp kiểm soát IDMZ thành các mục kiểm tra có thể lặp lại. Danh sách kiểm tra này cần phù hợp với các yêu cầu về kết nối DMZ, cổng kiểm tra, quy trình quản trị và bằng chứng kiểm toán.

Việc chuẩn hóa dựa trên danh sách kiểm tra giúp giảm thiểu sự chênh lệch giữa các cơ sở và tăng cường sự thống nhất giữa các bên liên quan về an ninh. Các mục trong danh sách kiểm tra cần được trình bày dưới dạng các tuyên bố có thể kiểm chứng, có thể được kiểm tra trong quá trình triển khai và được xác nhận lại trong các đợt đánh giá định kỳ.

Các kiểm tra Firewall tăng cường bảo mật dịch vụ đối với các kết nối kết thúc tại DMZ cần xác minh các cổng được cố định, danh sách cho phép nghiêm ngặt, không có phiên kết nối trực tiếp giữa IT và OT, cũng như không có hệ thống cầu nối hai kết nối. Các mô hình truy cập quản trị cũng cần được hạn chế để đảm bảo rằng quyền truy cập quản lý không tạo ra các kênh truy cập ngầm vào mạng OT.

Chiến lược vá lỗi cho các hệ thống DMZ cần phải phù hợp với khung thời gian bảo trì và ưu tiên giảm thiểu tối đa sự gián đoạn dịch vụ. Quá trình xác nhận lại quy tắc cần đảm bảo rằng mỗi quy tắc đều tương ứng với một quy trình làm việc đã được ghi chép rõ ràng và rằng việc ngắt kết nối vẫn diễn ra trong vùng DMZ.

Các kiểm tra tăng cường về kiểm tra và khử trùng đối với các loại tệp có rủi ro cao cần xác minh phạm vi quét đa lớp, phạm vi áp dụng chính sách CDR, các điều kiện kích hoạt hộp cát, giới hạn xử lý tệp nén, cũng như hành vi cách ly trong trường hợp thất bại hoặc kết quả không xác định. Việc xử lý tệp nén cần bao gồm giới hạn giải nén tệp nén lồng nhau và các kiểm tra xác định chính xác loại tệp.

Việc xử lý các trường hợp ngoại lệ phải được ghi chép lý do, có sự phê duyệt rõ ràng và lưu giữ các bằng chứng liên quan. Các trường hợp ngoại lệ cũng cần được xem xét định kỳ để tránh việc các biện pháp tạm thời trở thành những lối đi tắt cố định.

Các yêu cầu trong hồ sơ mời thầu (RFP) về truyền tải tệp tin được quản lý qua các mạng CNTT, OT và DMZ cần ưu tiên việc thực thi ranh giới, Bảo mật tập tin đa lớp, quản trị tập trung và khả năng kiểm toán cho các môi trường được phân đoạn. Ngôn ngữ trong hồ sơ mời thầu cần tập trung vào quy trình làm việc để các yêu cầu phản ánh việc kết thúc kết nối tại DMZ, các cổng kiểm tra, quy trình phê duyệt và việc thu thập bằng chứng, thay vì chỉ tập trung vào các tính năng truyền tải.

Các yêu cầu trong hồ sơ mời thầu (RFP) cũng cần bao gồm khả năng sẵn sàng cao, khả năng vận hành ngoại tuyến hoặc trong điều kiện mạng bị hạn chế, cũng như việc triển khai chính sách nhất quán trên các cơ sở. Các yêu cầu cần xác định cách nền tảng thực thi quy trình làm việc “đẩy dữ liệu đến DMZ rồi kéo về OT” mà không tạo ra các phiên kết nối xuyên vùng.

Các yêu cầu về giao thức và đầu nối cần bao gồm các giao thức phổ biến được sử dụng trong cả môi trường doanh nghiệp và công nghiệp, đồng thời không nên quá chú trọng vào lớp truyền tải. Các yêu cầu về tích hợp cần bao gồm khả năng hỗ trợ cơ chế lưu trữ và chuyển tiếp (store-and-forward) cũng như khả năng hoạt động trong các mạng có băng thông hạn chế hoặc bị ngắt kết nối.

Các yêu cầu trong hồ sơ mời thầu (RFP) cần nêu rõ cơ chế thử lại có thể dự đoán được, khả năng tiếp tục truyền tải đối với các tệp tin có dung lượng lớn, cũng như các biện pháp kiểm soát băng thông phù hợp với hoạt động của nhà máy. Các yêu cầu đối với bộ kết nối cũng cần đề cập đến việc quản lý danh tính dịch vụ và tích hợp với các hệ thống quản lý danh tính khi có thể.

Các yêu cầu về điều phối chính sách cần nêu rõ định nghĩa chính sách cho từng luồng dữ liệu, quy trình cách ly và giải phóng, định tuyến tự động, cũng như nguyên tắc phân tách nhiệm vụ. Việc điều phối chính sách cần bao gồm các điểm tích hợp cụ thể cho các chức năng quét đa lớp, CDR, môi trường thử nghiệm (sandboxing) và thực thi DLP trong đường dẫn truyền dữ liệu.

Các yêu cầu về quy trình phê duyệt cần quy định rõ cơ chế phê duyệt theo cấp bậc và tự động hóa đối với các luồng công việc có rủi ro thấp, kèm theo quy trình xử lý các trường hợp ngoại lệ được ghi chép đầy đủ. Các yêu cầu này cũng cần nêu rõ các trường dữ liệu cần thu thập tại mỗi giai đoạn để phục vụ cho công tác kiểm toán và điều tra.

Các yêu cầu về khả năng hiển thị và nhật ký kiểm tra cần nêu rõ các yêu cầu về báo cáo, trường nhật ký, các biện pháp kiểm soát lưu trữ, cũng như việc xuất dữ liệu sang các nền tảng SIEM hoặc nền tảng nhật ký tập trung. Các yêu cầu về nhật ký không thể thay đổi cần nêu rõ các biện pháp kiểm soát chống giả mạo và kiểm soát truy cập nhằm phục vụ việc thu thập bằng chứng.

Các yêu cầu về xác nhận giao hàng cần nêu rõ bằng chứng cho thấy các gói hàng đã được phê duyệt đã đến khu vực trung chuyển OT và được các đối tượng được ủy quyền nhận lại. Các yêu cầu về bằng chứng gói hàng cần nêu rõ các giá trị băm, dấu thời gian, kết quả kiểm tra, các phê duyệt và mã định danh tương quan.

Được hỗ trợ bởi công nghệ Metascan Multiscanning, Deep CDR™, Proactive DLP và sandboxing, MetaDefender Managed File Transfer MFT) là giải pháp truyền tệp được quản lý (MFT) OPSWAT, giúp giảm thiểu rủi ro từ tệp thông qua việc kiểm soát tập trung đối với hoạt động truyền tệp IT/OT được trung gian qua vùng DMZ công nghiệp.