Working Smarter by IoT & Digital Transformation

An ninh mạng SCADA / ICS / IoT trong doanh nghiệp với giải pháp SIEM

Cybersecu
0 64

Mọi người đang nói về sự hội tụ IT / OT, ​​nhưng điều này thực sự có ý nghĩa gì từ quan điểm bảo mật thông tin ? Và làm thế nào các doanh nghiệp có thể tận dụng và điều chỉnh các khoản đầu tư an ninh mạng hiện tại của mình để đáp ứng thách thức mới này ?

SIEM (Security Information and Event Management) là thành phần chính của cơ sở hạ tầng doanh nghiệp. Một số tập đoàn đầu tư vào giải pháp SIEM vì các yêu cầu quy định trong khi các công ty khác được yêu cầu phát triển và duy trì giải pháp SIEM để duy trì quyền riêng tư và tính toàn vẹn của giải pháp. Tăng trưởng lớn nhất từ ​​năm 2016 đến 2020 dự kiến ​​sẽ là ở các doanh nghiệp vừa và nhỏ.

Có sự gia tăng các công nghệ của các tổ chức, điều đó có nghĩa là có sự gia tăng về số lượng và loại sự cố liên quan đến bảo mật và chính sách. Công cụ quản lý sự kiện và thông tin bảo mật (công cụ SIEM) giám sát nhật ký và sự kiện từ nhiều nguồn khác nhau để cung cấp giám sát mối đe dọa, mối tương quan sự kiện và đề xuất ứng phó sự cố. Điều cần thiết là mang lại nhiều nguồn sự kiện hơn dưới sự giám sát với sự gia tăng áp dụng công nghệ này.

Việc áp dụng công nghệ quy mô lớn này được thúc đẩy bởi Internet of Things (IoT). Xe được kết nối, Nhà máy thông minh hoặc Nơi làm việc thông minh là những ví dụ. Một số sự cố liên quan đến bảo mật có thể được phát hiện từ dữ liệu được tạo bởi các thiết bị IoT nhúng, đây là nguồn quản lý mới cho công cụ SIEM. Các sự kiện từ các thiết bị này thường được tổng hợp trên Platform IoT. Việc giám sát các sự kiện SCADA/ICS/IoT trên một công cụ SIEM đòi hỏi sự tích hợp giữa hai công cụ.

Quảng cáo

An ninh mạng IT/OT

Trước đây tách biệt với các bộ phận khác của tổ chức hoặc mạng, các mạng OT ngày nay trong các cơ sở hạ tầng công nghiệp và quan trọng, giờ đây có thể bao gồm hàng ngàn thiết bị, được kết nối với các hệ thống IT và doanh nghiệp. Kết nối này có nghĩa là một liên kết yếu trong chuỗi từ thiết bị được kết nối IOT hoặc IIOT là đủ để một hacker quyết tâm giành được chỗ đứng và tạo ra sự tàn phá cho doanh nghiệp.

Như vậy, bề mặt tấn công cho môi trường công nghiệp đã mở rộng; không chỉ từ quan điểm của các thiết bị PLC và SCADA truyền thống mà còn từ các máy trạm, thiết bị mạng, máy ảnh, máy quét và nhiều thiết bị được kết nối khác là một phần của hệ thống sản xuất hoặc an toàn. Sự gia tăng của bộ điều khiển công nghiệp và các thiết bị quan trọng khác đối với phần mềm độc hại, các cuộc tấn công mạng, các mối đe dọa trong nội bộ, cấu hình sai và thậm chí bảo trì thất bại đặt ra những thách thức nghiêm trọng cho các nhóm bảo mật.

Các cuộc tấn công vượt xa các cuộc tấn công nhắm mục tiêu đơn giản đến các cuộc tấn công lén lút nhiều giai đoạn xâm nhập vào mạng IT và đi qua mạng OT hoặc đi từ phía OT để tấn công các hệ thống IT .

Chúng ta đều biết rằng để cho một hacker chiếm đoạt một tài sản quan trọng trong bệnh viện, lưới điện hoặc cơ sở quân sự có thể có kết quả thảm hại. Nhưng vấn đề lớn là gì nếu tin tặc chiếm camera an ninh hoặc máy điều nhiệt? Rủi ro gì nếu ai đó đang mày mò kiểm soát môi trường của bạn hoặc xem bãi đậu xe của bạn? Và làm thế nào một hacker thậm chí truy cập vào một trong những thiết bị này?

Nhiều thiết bị IoT chưa kết nối với các mạng công ty thông qua các nhà cung cấp dịch vụ internet tiêu chuẩn. Một tổ chức có ý thức bảo mật có thể sẽ loại bỏ các thiết bị này thông qua các bộ định tuyến bị cô lập, đảm bảo rằng không có con đường nào từ thiết bị đến tài sản  được bảo vệ.

Nhưng tin tặc có thể sử dụng các công cụ có sẵn để dễ dàng xác định vị trí các thiết bị được kết nối công khai với các lỗ hổng bảo mật được ghi lại. Khi họ tìm thấy mục tiêu, họ có thể thử khôi phục cài đặt gốc và nhận quyền truy cập root vào thiết bị thông qua các danh sách được công bố từ trang web Lỗ hổng và Phơi nhiễm (CVE). Nếu thành công, giờ đây hacker có thể điều khiển thiết bị, chẳng hạn như xem nguồn cấp dữ liệu video.

Quảng cáo

Nếu một camera bị xâm nhập nằm trong sảnh của tổ chức, kẻ tấn công có thể xem nhân viên và khách đến và đi, và có khả năng nhìn thấy những gì đang được gõ trên máy tính của nhân viên tiếp tân. Hơn nữa, họ có thể bắt đầu một cuộc tấn công DDoS trên nhiều loại thiết bị, khiến chúng không khả dụng hoặc không phản hồi trong một khoảng thời gian dài.

Indegy_Assets_Map_Sc mãi
Hệ thống SIEM

Trong bối cảnh các loại mối đe dọa mạng tinh vi mới, việc có được tầm nhìn vào môi trường mạng OT vừa là nhu cầu cấp thiết vừa là thách thức lớn đối với các doanh nghiệp công nghiệp.

Một vài ví dụ về bảo mật SCADA-ICS-IoT

Mặc dù rất khó thực hiện một cuộc tấn công mạng vào các hệ thống thiết bị đầu cuối, nhưng kinh nghiệm cho thấy chúng tôi các tổ chức này thiếu việc thực hiện chi tiết các quy trình bảo mật công nghệ và bảo mật thông tin. Môi trường ICS OT thực sự tách biệt với IT doanh nghiệp truyền thống và truy cập qua internet bởi một nhóm tường lửa. Tuy nhiên, chúng thường bị lỗi thời hoặc bị hạn chế về khả năng hiển thị và kẻ tấn công có khả năng vào được “bên trong”.

Vào năm 2015, các máy tính của một công ty cung cấp nước (giấu tên) đã bị tấn công do sử dụng lỗ hổng chưa được vá trên trang web của họ, đóng vai trò là cổng thanh toán truyền thông cho khách hàng của công ty. Thông qua SQL và lừa đảo, trong đó thông tin đăng nhập cho hệ thống điều khiển được lưu trữ trên máy chủ web front-end. Hệ thống được kết nối với internet theo cách này cho phép kẻ tấn công điều khiển PLC và sau đó, kẻ tấn công có thể thay đổi dòng chảy của nước và thành phần hóa học của nó.

Các nhà nghiên cứu từ GIT (Viện công nghệ Georgia) đã tạo ra ransomware với nhiệm vụ “kiểm tra” các hệ thống quan trọng của các nhà máy xử lý nước. Bước hợp lý tiếp theo tất nhiên là thỏa hiệp các PLC. Kẻ tấn công chỉ cần vượt qua tường lửa thông qua lừa đảo, phá hoại PLC buộc kết nối với internet và quay lại tường lửa để liên lạc với kẻ tấn công (ví dụ: thông qua máy chủ C & C).

Kẻ tấn công xâm nhập môi trường SCADA
Tấn công xâm nhập môi trường SCADA

Một điểm yếu khác có thể là sự ra đời của phần mềm độc hại “từ bên trong” thông qua phương tiện được kết nối với mạng (máy tính xách tay, USB, v.v.). Phần mềm độc hại có thể giao tiếp với kẻ tấn công từ xa thậm chí còn dễ dàng hơn. Điều này cuối cùng dẫn đến việc có được thông tin về các hệ thống khác nhau hoặc thiết bị đầu cuối không an toàn.

Một ví dụ về điều này là nói nhiều về  Stuxnet, được thiết kế để tấn công Siemens ICS. Ở đỉnh cao của sự nổi tiếng vào năm 2010, nó đã khai thác một lỗ hổng không xác định trong HĐH Windows và thông qua một thiết bị USB bị xâm phạm giữa các máy tính. Khi máy tính bị nhiễm, Stuxnet đã sử dụng mật khẩu mặc định để truy cập các hệ thống PLC hoạt động cho WinCC và PCS 7. Kẻ tấn công có thể kiểm soát PLC thông qua các máy chủ SCADA và sau đó lập trình lại chúng cho một mục đích cụ thể. Hoạt động gián điệp công nghiệp trong trường hợp này luôn là bước đầu tiên hướng tới một cuộc tấn công thành công có thể, có thể gây ra sự cố hoặc phá hủy cơ sở hạ tầng vật lý.

Botnet xâm nhập hệ thống SCADA qua đĩa USB bị nhiễm
Botnet xâm nhập hệ thống SCADA thông qua đĩa USB bị nhiễm

Rủi ro bảo mật trong môi trường SCADA / ISC:

  • Không an toàn / hoặc chỉ một vài điểm cuối an toàn
  • Bản vá không thường xuyên của hệ thống IT
  • Thiết bị và hệ điều hành lỗi thời
  • Thiếu tầm nhìn của mạng
  • Sự vắng mặt của thiết kế và quy trình bảo mật công nghệ

Tương tác SCADA/ICS/IoT với SIEM để Tối đa hóa hiệu quả an ninh mạng

Trong lĩnh vực IT , các giải pháp Bảo mật sự kiện và Quản lý sự kiện (SIEM) là công cụ phổ biến nhất được các doanh nghiệp sử dụng để chống lại các cuộc tấn công mạng phức tạp. Các giải pháp SIEM nhận được nhiều nguồn cấp dữ liệu từ nhiều công cụ bảo mật (AV, IDS / IPS, v.v.), phân tích hàng núi dữ liệu và xác định chính xác các cảnh báo / tình huống cần sự chú ý ngay lập tức từ nhóm bảo mật. Bằng cách theo dõi các sự kiện thời gian thực và phân tích dữ liệu lịch sử, SIEMs phát hiện ra các mô hình sử dụng bất thường, đủ điều kiện bảo mật và các mối đe dọa tuân thủ để giảm tích cực sai và cảnh báo nhân viên an ninh khi cần.

Thách thức về phía OT là các công cụ bảo mật AV, IDS IT truyền thống mà SIEM dựa vào dữ liệu không hoạt động trong môi trường OT. Các đại lý, quét và các giao thức mạng dựa trên IP tiêu chuẩn không bao gồm cảnh quan của các thiết bị trong mạng công nghiệp. Do đó, SIEM và quy trình công việc liên quan như được xác định ngày hôm nay không thể phân tích và cung cấp cái nhìn sâu sắc về các cuộc tấn công sinh ra hoặc vượt qua môi trường OT.

Để giải quyết khoảng cách an ninh mạng này, các tổ chức công nghiệp cần một cách để trao quyền cho các hệ thống SIEM của họ để làm nhiều hơn. Nhìn vào chỉ một phần của bề mặt tấn công sẽ không phát hiện ra tất cả các cuộc tấn công. Họ cần có được tầm nhìn về các mối đe dọa từ phía OT, cũng như những mối đe dọa xâm nhập vào mạng IT và truy cập mạng OT. Để có hiệu quả, dữ liệu được thu thập từ phía OT cần phải sống trong cùng một ô kính với dữ liệu IT để đảm bảo khả năng hiển thị 360 độ và phát hiện các mối đe dọa tiềm ẩn trên cả hai môi trường.

Có rất nhiều giá trị có thể được nhận ra bằng cách tích hợp giải pháp ICS/IoT vào kiến ​​trúc SIEM hiện có. Các giải pháp này có thể dễ dàng được tích hợp với một số kế hoạch phù hợp trong giai đoạn thiết kế các ứng dụng SCADA/ICS/IoT.

Bằng cách tích hợp các giải pháp SIEM của doanh nghiệp với các công cụ bảo mật lĩnh vực mạng cụ thể của OT, các tổ chức công nghiệp có thể tối đa hóa khả năng hiển thị, bảo mật và kiểm soát trên cả hoạt động IT và OT.

Một mô hình tích hợp SIEM và IoT Platform

Sự phối hợp giữa SIEM và An ninh mạng OT phục vụ để nâng cao giá trị tổng thể của hệ thống SIEM. Bằng cách đạt được khả năng hiển thị vào mạng OT, các phân tích SIEM có thể khám phá thêm các mối đe dọa mạng (đặc biệt là các mối đe dọa qua mạng). Đưa tất cả dữ liệu có liên quan cho IT và OT vào một kho lưu trữ trung tâm sẽ giúp “giải phóng” các khu vực mạng nơi các sự cố bảo mật tiềm ẩn có thể bị che giấu. Kiểu tích hợp này cho phép bạn tận dụng khoản đầu tư SIEM hiện tại của mình để đạt được nhiều hơn.

Khả năng tương tác SIEM liền mạch có thể đạt được thông qua một mô đun tích hợp hoặc nguồn cấp dữ liệu quan trọng cho hệ thống SIEM có liên quan, được sử dụng để chuyển tiếp cảnh báo, sự kiện và thông tin chi tiết từ mạng OT vào hệ thống SIEM. Bảo mật OT nâng cao kết hợp với các khả năng riêng của SIEM mang lại sự thông minh cần thiết để bảo mật cả môi trường OT và IT .

Việc tích hợp nền tảng bảo mật ICS-IoT với SIEM cho phép các tổ chức cơ sở hạ tầng quan trọng và công nghiệp:

  • Phát hiện và giảm thiểu hiệu quả các mối đe dọa đối với sự an toàn, độ tin cậy và tính liên tục của các quy trình công nghiệp bằng cách sử dụng phát hiện hành vi nghi vấn.
  • Đạt được khả năng hiển thị 360 độ trên các môi trường IT và OT thông qua một góc nhìn duy nhất
  • Thực hiện theo dõi tài sản tự động đi xa đến tận các thiết bị không hoạt động và sâu như cấu hình bảng nối đa năng của PLC
  • Nhận thông báo về mọi thay đổi đối với mã, HĐH & chương trình cơ sở bất kể việc đó được thực hiện qua mạng hay cục bộ
  • Cải thiện việc ra quyết định, giảm thời gian phản hồi và thực hiện bảo trì chủ động dựa trên thông tin chính xác và chi tiết

Giá trị chính của giải pháp ICS-IoT / SIEM tích hợp là nó giúp loại bỏ điểm mù IT-OT có thể gây nguy hiểm cho cả hai mạng. Giải pháp an ninh mạng như vậy giúp các tổ chức công nghiệp đạt được sự giám sát và phát hiện thống nhất cả các mối đe dọa IT và OT để khắc phục và ứng phó nhanh hơn.

Đăng ký để nhận ebook
Đăng ký để nhận ebook "Những điều cơ bản cần biết về Smart Factory và công nghệ IoT" từ chúng tôi.
Đăng ký để được nhận ebook "Những điều cơ bản cần biết về Smart Factory và công nghệ IoT".

Để lại bình luận

Địa chỉ email của bạn sẽ không được công bố.