Báo cáo mới đây của FireEye cho thấy các hãng sản xuất đã đầu tư rất lớn vào các hệ thống điều khiển công nghiệp [ICS] để vận hành các quy trình công nghiệp một cách hiệu quả, tin cậy và an toàn, nhưng họ lại không biết rằng công nghệ được triển khai tại hoạt động kinh doanh cốt lõi thường dẫn tới sự phá hoại khó phát hiện. Hiện nay, các cuộc tấn công mạng diễn ra với quy mô và mức độ lớn, phạm vi ảnh hưởng mở rộng ảnh hưởng đến hoạt động của các hệ thống công nghiệp tại các quốc gia trên thế giới. Vào tháng 11/2011, báo cáo đầu tiên về cuộc tấn công mạng vào hệ thống cung cấp điện, nước của Mỹ được công bố. Tháng 6/2012, Bộ An ninh Nội địa công bố rằng các công ty cung cấp dịch vụ tiện ích của Mỹ hàng ngày phải đối mặtvới các mối nguy cơ gián điệp không gian mạng và tấn công từ chối dịch vụ. Tháng 6/2014, một chiến dịch phát tán mã độc từ một nhóm có tên là Dragonfly đến nhiều nhà máy điện bị phát hiện. Các tin tặc tiếp tục nhằm tới các cơ sở hạ tầng trọng yếu của các quốc gia nhằm gây ra những thiệt hại ở quy mô lớn.
Đặc biệt, dữ liệu từ hệ thống FireEye iSIGHT Intelligence cho thấy trong giai đoạn từ tháng 1/2000 đến tháng 12/2010 chỉ có 149 lỗ hổng ICS được phát hiện. Nhưng đến giữa năm 2016, con số này đã lên tới 1.552. Với sự gia tăng theo cấp số nhân của các thiết bị trên mạng như hiện nay, những lỗ hổng trong các hệ thống ICS có thể trở thành thảm họa lớn đối với các doanh nghiệp.
Bài viết đưa ra 6 điểm yếu chính trong các hệ thống ICS mà tin tặc có thể sử dụng, khai thác để tấn công một nhà máy công nghiệp cũng như giải pháp khắc phục.
1. Các giao thức chưa được xác thực
Khi một giao thức ICS thiếu xác thực, bất kỳ máy tính nào trên mạng có thể gửi lệnh làm thay đổi quá trình vật lý. Điều này có thể dẫn tới vận hành quy trình không chính xác, làm hư hỏng hàng hoá, phá huỷ thiết bị của nhà máy, gây tai nạn cho nhân viên hoặc làm suy thoái môi trường.
Để giải quyết vấn đền này, các tổ chức, doanh nghiệp cần:
- Xác định tất cả các giao thức chưa được xác thực được sử dụng trên các mạng điều khiển quy trình để cung cấp sự hiểu biết về mức độ dễ bị tổn thương
- Đánh giá xem các thiết bị hiện tại có thể hỗ trợ các tùy chọn xác thực hay không.
- Thực thi các tùy chọn xác thực khi khả thi, như xác thực an toàn DNP3
- Đánh giá xem quy trình điều khiển có thể chịu được độ trễ do các hệ thống xác thực gây ra
- Thực thi các hệ thống xác thực đưa vào lõi [bump-in-the-wire authentication system] hoặc VPN.
- Kết hợp tường lửa ICS ứng dụng công nghệ phân tích sâu gói tin để chặn các lệnh trái phép từ các địa chỉ IP nhất định.
- Cấu hình danh sách kiểm soát truy cập hạn chế và các quy tắc tường lửa.
- Yêu cầu các tính năng xác thực từ nhà cung cấp.
2. Sử dụng phần cứng lạc hậu
Phần cứng ICS có thể hoạt động trong nhiều thập kỷ. Phần cứng này có thể vận hành quá đơn giản hoặc thiếu năng lực xử lý và bộ nhớ để đối phó với môi trường mối đe dọa được tạo ra từ công nghệ mạng hiện đại.
Công ty an ninh FireEye đề nghị các tổ chức xem xét nâng cấp cho các thiết bị cũ, lạc hậu tham gia kết nối mạng và hỗ trợ các chức năng điều khiển quá trình quan trọng; đồng thời thực thi các quy tắc tường lửa để giảm thiểu kết nối mạng từ các thiết bị tới phần cứng lạc hậu
3. Xác thực người dùng yếu
Điểm yếu trong việc xác thực người dùng đối với các hệ thống điều khiển truyền thống thường bao gồm mật khẩu được gán cố định, mật khẩu dễ bị phát hiện, mật khẩu được lưu trữ trong các định dạng dễ phục hồi và mật khẩu được gửi trong văn bản. Một khi kẻ tấn công có được mật khẩu này, chúng có thể thao tác với quy trình điều khiển theo ý muốn.
FireEye khuyên cáo các tổ chức phải kiểm kê thiết bị ICS nội bộ với danh sách các thiết bị có mật khẩu gán cố định, giám sát các bản ghi thiết bị và lưu lượng mạng đối với những nỗ lực tìm cách khai thác các điểm yếu của mật khẩu
4. Kiểm tra tính toàn vẹn tập tin yếu
Thiếu chứng thực số Code Signing [là một sản phẩm dành cho các nhà phát triển phần mềm muốn đảm bảo tính toàn vẹn của sản phẩm từ lúc biên dịch cho đến khi người sử dụng cài đặt vào máy tính hoặc thiết bị di động của họ] để đảm bảo mã không bị thay đổi hoặc bị lỗi cho phép kẻ tấn công lừa đảo người dùng cài đặt phần mềm không bắt nguồn từ nhà cung cấp. Nó cũng cho phép kẻ tấn công để thay thế các tập tin hợp pháp với những tập tin độc hại.
Theo công ty FireEye, các tổ chức cần:
- Cấu hình hệ điều hành để chỉ chạy mã được cấp
- Kiểm tra phần mềm và cập nhật trong một môi trường mô phỏng trước khi triển khai sản xuất.
- Sử dụng software/firmware được cấp trực tiếp từ nhà cung cấp chứ không phải bên thứ ba.
- Làm việc chặt chẽ với các nhà cung cấp hỗ trợ để có được tập tin băm và kiểm tra băm thủ công.
- Cấu hình bảo vệ truy cập cho các bộ điều khiển logic lập trình [PLC] nếu có.
5. Sử dụng các hệ điều hành Windows dễ bị tổn thương
Các hệ thống công nghiệp thường chạy các hệ điều hành Microsoft Windows chưa được vádo đó tồn tại các lỗ hổng mà mọi người đều biết. FireEye khuyến cáo các tổ chức cần duy trì một bản kiểm kê các hệ điều hành được sử dụng trong một môi trường công nghiệp chưa được vá/hoặc không còn được hỗ trợ. Từ đó, xây dựng kế hoạch nâng cấp hoặc triển khai các bản vá lỗi vào thời gian ngừng hoạt động để bảo trì theo hướng dẫn của nhà cung cấp ICS.
6. Các mối quan hệ với bên thứ ba không rõ
Nhiều nhà cung cấp ICS có thể không biết rõ các thành phần bên thứ ba mà họ sử dụng trong hệ thống ICS của mình, khiến họ khó thông báo cho khách hàng về các lỗ hổng. Do đó, những tin tặc hiểu rõ vềmối quan hệ phụ thuộc này có thể nhắm mục tiêu vào phần mềm mà công ty công nghiệp thậm chí không biết.
FireEye khuyến cáo các tổ chức nên:
- Yêu cầu các nhà cung cấp ICS cung cấp danh sách các phần mềm và phiên bản của bên thứ ba được sử dụng trong các sản phẩm của họ, bao gồm cả phần mềm nguồn mở.
- Kiểm tra sản phẩm ICS để xác định phần mềm của bên thứ ba trước khi triển khai hoạt động.
- Xem xét các nơi có thể có lỗ hổng, như cơ sở dữ liệu để xác định các lỗ hổng ảnh hưởng đến phần mềm của bên thứ ba.
- Nhận nguồn cấp dữ liệu dễ bị tổn thương có cấu trúc để nhận thông báo về các sự tiết lộ dễ bị tổn thương ảnh hưởng đến các sản phẩm của bên thứ ba.
- Yêu cầu hoặc đòi hỏi nhà cung cấp cung cấp thông báo về các lỗ hổng ảnh hưởng đến phần mềm bên thứ ba.
- Yêu cầu các nhà cung cấp xác nhận bản vá lỗi đối với phần mềm bên thứ ba để đảm bảo khả năng tương thích
Ông Sean McBride, chuyên gia phân tích tấn công của FireEye cho biết: "Các nhà máy công nghiệp ngày càng trở nên phụ thuộc vào các hệ thống và các cảm biến được kết nối cho hoạt động của mình, nhưng các giải pháp an ninh mạng của hầu hết các nhà máy gần như không đủ mạnh như đòi hỏi ởmức cần thiết". Theo ông, việc hiểu biết toàn diện về những điểm yếu chung trong môi trường này giúp các ban giám đốc, giám đốc điều hành và nhân viên an ninh sẽ có những đầu tư và giải pháp sáng suốt để giảm thiểu rủi ro từ không gian mạng.