Nội dung chính
Những năm gần đây, nhu cầu về tự động hóa, điện toán đám mây và số hóa trong các ngành công nghiệp ngày càng gia tăng. Điều này tạo điều kiện cho việc truy cập và điều khiển từ xa qua Internet, đặc biệt trong các môi trường công nghệ thông tin (IT). Sự chuyển dịch này mang lại nhiều lợi ích đáng kể, nhưng cũng đặt ra một thách thức lớn, bởi việc tích hợp các hệ thống điều khiển công nghiệp với các mạng bên ngoài đã mở rộng bề mặt tấn công, khiến các hệ thống dễ bị đe dọa mạng và đòi hỏi các biện pháp bảo vệ thích hợp.
TỔNG QUAN VẤN ĐỀ BẢO MẬT CỦA HỆ THỐNG ICS/SCADA
Việc tích hợp ICS với mạng TCP/IP và Ethernet, cùng với việc áp dụng các giao thức mở đã làm tăng đáng kể nguy cơ an ninh mạng và tạo ra các điểm yếu trong kiến trúc ICS/SCADA. Các hệ thống ICS thường bị khai thác thông qua các lỗ hổng trong kiến trúc, thiết kế và cấu hình. Về kiến trúc và thiết kế, các vấn đề thường gặp bao gồm xác thực, phân quyền yếu, kiểm soát truy cập kém và thiếu dữ liệu sự kiện để điều tra sự cố. Lỗi cấu hình bao gồm không cập nhật bản vá bảo mật, không duy trì phần mềm chống malware, mật khẩu yếu và thiếu quản lý cấu hình phần cứng, firmware, phần mềm. Hệ thống ICS dễ bị tấn công DoS do tài nguyên hạn chế, chịu ảnh hưởng bởi các mối đe dọa vật lý và thiếu hệ thống phát hiện xâm nhập (IDS/IPS) khiến dữ liệu có thể bị chặn, sửa đổi, hoặc xóa. Về phần mềm, các tính năng bảo mật thường không được kích hoạt và xác thực dữ liệu không đầy đủ, trong khi lỗ hổng về cấu hình mạng và giao tiếp gồm nhật ký tường lửa và bộ định tuyến không đầy đủ, thiếu mã hóa và cơ chế xác thực trong giao thức truyền thông, dễ dẫn đến tấn công nghe lén, chiếm quyền điều khiển phiên hoặc man-in-themiddle. Ngoài ra, nhiều giao thức ICS không có cơ chế kiểm tra tính toàn vẹn dữ liệu hay xác thực giữa máy khách và điểm truy cập không dây, làm tăng nguy cơ bị tấn công.
GIẢI PHÁP TĂNG CƯỜNG AN TOÀN THÔNG TIN CHO MẠNG ĐIỀU KHIỂN
ICS không chỉ cần có khả năng đối phó với các cuộc tấn công đã biết mà còn phải có khả năng chống lại bất kỳ chiến thuật lẩn tránh nào có thể xảy ra, đồng thời duy trì sự liên tục của các ICS. Các giải pháp được đưa ra bao gồm:
– Quản lý rủi ro và an ninh mạng bao gồm xác định các mối đe dọa, đánh giá thiết bị và quy trình để đảm bảo tính sẵn sàng và an toàn. Đồng thời, phát triển chính sách an ninh mạng, đào tạo nhân sự và xây dựng các kịch bản tấn công để ứng phó với sự cố kết hợp giữa IT và OT.
– Kiến trúc mạng ICS được thiết kế bằng cách phân đoạn thành các khu vực dựa trên vai trò và rủi ro, sử dụng tường lửa và thiết bị lọc để bảo vệ từng khu vực. Cấu trúc nhiều lớp và sử dụng diot dữ liệu giúp kiểm soát lưu lượng một chiều, trong khi DMZ đóng vai trò ngăn các kết nối trực tiếp.
– Bảo vệ vùng biên mạng thông qua việc cấu hình tường lửa và thiết lập danh sách kiểm soát truy cập để ngăn các kết nối trái phép, đồng thời giám sát hoặc hạn chế truy cập từ xa.
– Bảo mật máy chủ cần thường xuyên cập nhật bản vá, sử dụng danh sách trắng trên HMI, vô hiệu hóa các dịch vụ không cần thiết và mã hóa an toàn. Dữ liệu cũng nên được sao lưu thường xuyên.
– Giám sát an ninh mạng thông qua giám sát thụ động, áp dụng máy học và triển khai hệ thống IDS để phát hiện bất thường. Giám sát thông tin và theo dõi bản ghi giúp phản ứng nhanh chóng với các hành vi xâm nhập.
GIẢI PHÁP GIÁM SÁT AN TOÀN THÔNG TIN CHO HỆ THỐNG ĐIỀU KHIỂN
Do sự khác biệt giữa ICT và ICS, không thể áp dụng một giải pháp chung cho việc bảo đảm An toàn thông tin (ATTT). Giải pháp giám sát mạng để phát hiện và ngăn chặn mối đe dọa là hiệu quả nhất hiện nay. Suricata được biết đến là một công cụ IDS/IPS mạnh mẽ trong IT đã gặp nhiều thách thức khi triển khai trong ICS, như việc yêu cầu cấu hình đặc biệt cho các giao thức ICS (Modbus, DNP3, OPC) và khả năng gây gián đoạn hoạt động do tính ổn định yêu cầu cao. Ngoài ra, yêu cầu sử dụng Suricata cần thời gian và công sức để tùy chỉnh cho môi trường ICS phức tạp. Do vậy, yêu cầu đặt ra hiện nay là xây dựng hệ thống giám sát dựa trên Suricata cho mạng điều khiển.
Hình 1. Sơ đồ triển khai hệ thống giám sát
Hệ thống giám sát ATTT trong mạng điều khiển
Hệ thống gián sát ATTT được đề xuất tích hợp vào hệ thống ICS như Hình 1 và Hình 2. Cổng SPAN sao chép lưu lượng từ các phân đoạn mạng khác nhau đến hệ thống giám sát, cho phép phân tích dữ liệu theo thời gian thực và phát hiện các sự kiện. Cấu hình hệ thống phát hiện xâm nhập (IDS) và ngăn chặn xâm nhập (IPS) bao gồm các luật liên quan đến địa chỉ IP, MAC, cổng, các giao thức truyền thông, lệnh điều khiển cụ thể. Từ đó, hệ thống thực hiện các hành động như cảnh báo, ngăn chặn và ghi log khi phát hiện các sự kiện mạng.
Hình 2. Sơ đồ khối các thành phần chính của hệ thống giám sát
Chức năng giám sát mạng thiết yếu của hệ thống
– Phát hiện kết nối mới vào mạng: Giám sát phát hiện thiết bị mới kết nối vào mạng, phát hiện hành vi giả mạo IP, MAC, tấn công DDoS và các hoạt động dò quét mạng thông qua giám sát gói tin như ICMP và DHCP, từ đó phát hiện và phản ứng kịp thời với các mối đe dọa.
– Phát hiện tấn công khai thác lỗ hổng hệ điều hành, phần mềm ứng dụng dịch vụ trong mạng: Hệ thống giám sát phát hiện khai thác lỗ hổng trong hệ điều hành và phần mềm dịch vụ, ngăn mã độc lây lan và phát hiện dịch vụ mới hoặc hành động leo thang đặc quyền. Chức năng này đóng vai trò quan trọng trong giám sát an toàn mạng do tính liên tục và tích hợp của hệ thống ICS.
– Giám sát các giao tiếp trên các giao thức ICS: Giải mã và phân tích lưu lượng từ các giao thức ICS như Modbus, DNP3, IEC 60870-5-104 để phát hiện các kết nối và hành vi bất thường, nhận diện các cuộc tấn công như Man-in-the-middle hoặc lệnh độc hại và phát hiện các thay đổi trong tham số hoặc cấu hình thiết bị. Hiểu rõ cấu trúc và nguyên lý các giao thức ICS giúp giám sát đảm bảo an toàn và hoạt động chính xác của các thiết bị PLC/RTU.
– Quản lý nhật ký (logs): Giám sát và quản lý tập trung nhật ký từ thiết bị mạng và ứng dụng, cung cấp thông tin về mẫu lưu lượng và điểm mù tiềm ẩn trong mạng. Điều này giúp hệ thống dựng các kịch bản tấn công và quy trình ứng cứu sự cố hiệu quả hơn.
– Hỗ trợ phản ứng sự cố: Cung cấp các thông tin ngữ cảnh, dữ liệu lịch sử khi xảy ra sự cố mạng, hệ thống giám sát ATTT có thể giúp phân tích, điều tra nguyên nhân và tác nhân một cách nhanh chóng.
Các tính năng giám sát mạng nâng cao
– Phản ứng tự động: Tự động hóa quá trình thu thập giám sát phát hiện ngăn chặn với các mối đe dọa. Tuy nhiên, các quy trình này cần được cấu hình cẩn thận để tránh gián đoạn hoạt động bình thường của hệ thống ICS.
– Tích hợp, cập nhật thông tin về mối đe dọa: Cập nhật thường xuyên các luật giám sát để đảm bảo khả năng phản ứng nhanh với các mối đe dọa mới và thay đổi kỹ thuật.
– Hiển thị ở cấp độ ứng dụng: Phân loại lưu lượng mạng theo ứng dụng và dịch vụ, đơn giản hóa việc điều tra các cuộc tấn công ở lớp ứng dụng.
– Học máy và AI: Dùng học máy và AI để phân tích lưu lượng mạng quy mô lớn, phát hiện mối đe dọa với độ chính xác cao.
KẾT QUẢ THỬ NGHIỆM
Bước đầu xây dựng tập luật và kiểm thử trên mạng diễn tập tại Hiện trường đào tạo, thực hành TBA của Công ty truyền tải điện 1 tại xã Thái Đô, Huyện Thái Thụy, tỉnh Thái Bình đã đạt được một số kết quả.
Kiểm tra việc gửi, nhận gmail
– Phát hiện, theo dõi lưu lượng truyền nhận gmail bằng 2 giao thức phổ biến IMAP và SMTP.
– Phát hiện khả năng xảy ra một cuộc tấn công brute force vào IMAP qua các kết nối nhanh.
– Giám sát người dùng truy vấn đến máy chủ mail.google.com
Hình 3: Sơ đồ thử nghiệm kết nối SCADA
Phát hiện thiết bị mới kết nối vào mạng
– Phát hiên lưu lượng gói tin ARP bất thường cho thấy dấu hiệu của một cuộc tấn công từ chối dịch vụ.
– Phân tích gói tin ARP, phát hiện thiết bị mới được kết nối với mạng, cũng như hành vi giả mạo địa chỉ IP hay địa chỉ MAC.
– Phát hiện thiết bị mới trong mạng nhờ gói tin DHCP để cấp địa chỉ IP động.
– Phát hiện thiết bị mới trong mạng SCADA bằng cách phát hiện các truy vấn sử dụng giao thức mDNS hoặc SSDP.
Cảnh báo liên quan các giao tiếp đặc thù của hệ thống ICS/SCADA
– Phát hiện các thông điệp và gói tin đi và đến từ thiết bị ngoài mạng sử dụng giao thức IEC-104 trên port 2404: thông điệp kiểm tra kết nối, thông điệp bắt đầu truyền và dừng truyền dữ liệu, chỉ định yêu cầu gửi dữ liệu từ tất cả các thiết bị đến server nằm ở ngoài hệ thống.
– Phát hiện khai thác lỗ hổng bảo mật trong thiết bị Siemens SIPROTEC trong một cuộc tấn công DDOS (ET EXPLOIT Win32/Industroyer DDoS Siemens SiPROTEC ̣CVE-2015-5374).
– Phát hiện sự kiện ứng dụng lớp SSH: banner không hợp lệ; phát hiện giao thức SSH phiên bản cũ trong các kết nối; phát hiện phần mềm client SSH đáng ngờ, được biết đến là thường được sử dụng trong các cuộc tấn công SCADA.
KẾT LUẬN
Bài báo đã trình bày hiện trạng nguy cơ bị tấn công mạng của ICS hiện nay và khó khăn trong công tác đảm bảo ATTT cho các hệ thống này. Qua đó, đề xuất xây dựng hệ thống giám sát ATTT phù hợp với các đặc điểm của hệ thống như giao thức ICS đặc thù cũng như điểm yếu lỗ hổng phần mềm và phần cứng thiết bị.
Nguồn: Tạp chí ATTT
