Trong những năm gần đây, các sự cố an ninh mạng gia tăng đã và đang làm tê liệt cơ sở hạ tầng quan trọng và gây hại cho các doanh nghiệp. Một số là các cuộc tấn công có chủ đích, chẳng hạn như các cuộc tấn công ransomware; tuy nhiên, một số là sự cố không có mục đích, chẳng hạn như nhiễm phần mềm độc hại và lây lan sang toàn bộ mạng điều khiển. Thực hiện cách tiếp cận của việc tạo ra kiến trúc khu vực mạng công nghiệp, có thể làm giảm thiệt hại. Trong khi đó, các chuyên gia an ninh mạng cũng đang đề xuất các hành động chủ động hơn để bảo vệ mạng công nghiệp. Những hành động này có thể thực hiện với hệ thống ngăn chặn xâm nhập công nghiệp (IPS), có thể chống lại sự xâm nhập một cách hiệu quả và giảm tác động của chúng đến các hệ thống công nghiệp.

IPS là gì?

IPS là một dạng bảo mật mạng được thiết kế để phát hiện và ngăn chặn các mối đe dọa bằng cách liên tục theo dõi các mạng, tìm kiếm các phần mềm độc hại và ghi lại thông tin về chúng. Nó có công nghệ kiểm tra gói tin sâu (DPI), tăng cường khả năng hiển thị an ninh mạng và cuối cùng giúp giảm thiểu rủi ro và bảo vệ mạng công nghiệp khỏi các mối đe dọa bảo mật.

 

IPS được thiết kế riêng cho mạng công nghiệp

Mặc dù công nghệ IPS đã hoạt động rất tốt trên các mạng CNTT trong một thời gian, nhưng rất khó để triển khai trực tiếp IPS trong mạng OT vì ưu tiên đầu tiên của mạng OT là tính khả dụng và hiệu suất, trong khi ưu tiên đầu tiên của an ninh mạng CNTT là tính bảo mật. Việc triển khai IPS trong mạng OT mà không xem xét các yêu cầu hoạt động hàng ngày của các kỹ sư OT, có thể chặn các lệnh điều khiển quan trọng đối với sản xuất, do đó làm gián đoạn hoạt động. Để đáp ứng các yêu cầu an ninh mạng của OT, điều cần thiết là phải trao quyền cho công nghệ DPI lấy OT làm trung tâm. DPI tập trung vào OT có thể xác định nhiều giao thức công nghiệp và cho phép hoặc chặn các chức năng cụ thể, chẳng hạn như truy cập đọc hoặc ghi. Dựa trên giao thức đã xác định, IPS công nghiệp sau đó có thể ngăn chặn bất kỳ giao thức hoặc chức năng trái phép nào. Điều này đảm bảo rằng lưu lượng truy cập trên các mạng công nghiệp là đáng tin cậy và không nguy hiểm.

Kiểm soát danh sách trắng và truy cập

Kiểm soát danh sách trắng là một cơ chế phê duyệt và di chuyển, được thực hiện bằng cách chỉ cho phép truy cập với các thiết bị được phép,dịch vụ, định dạng giao thức và các lệnh điều khiển trên danh sách trắng. Cơ chế đảm bảo rằng tất cả các hoạt động mạng trên các mạng công nghiệp đều được ủy quyền và các nhà khai thác mạng có thể xác định các điều khiển truy cập chi tiết ở các cấp độ khác nhau, tùy thuộc vào yêu cầu hoạt động. Ví dụ: các kỹ sư OT có thể xác định danh sách trắng các thiết bị và dịch vụ hoặc các cổng IP được phép truy cập tất cả hoặc một phần của toàn bộ mạng. Ngoài ra, cũng có thể xác định định dạng giao thức được ủy quyền, để ngăn chặn các lệnh trái phép truyền qua mạng. Hơn nữa, các kỹ sư OT thậm chí có thể xác định lệnh điều khiển nào có thể truyền qua mạng để giảm lỗi do gửi sai lệnh điều khiển. Với kiểm soát danh sách trắng, khả năng tấn công DoS bởi OT Trojan sẽ giảm đáng kể.

Kiểm soát danh sách trắng được thực hiện bằng cách chỉ cho phép truy cập với các thiết bị được phép, dịch vụ, định dạng giao thức và lệnh điều khiển trên danh sách trắng

 

Các tình huống bảo vệ của IPS công nghiệp

1. Ngăn chặn lưu lượng truy cập độc hại

IPS công nghiệp được thiết kế để bảo vệ các mạng công nghiệp bằng cách chặn lưu lượng độc hại từ mạng tới các thiết bị biên và chứa lưu lượng độc hại tại đó. Nó có thể được đặt trước các tài sản quan trọng như PLC và HMI để tăng cường an ninh mạng và đảm bảo tính khả dụng của mạng, đồng thời bảo vệ các tài sản quan trọng khỏi bị thao túng bởi các tác nhân độc hại. Ví dụ, khi có một máy trạm bị nhiễm phần mềm độc hại, phần mềm độc hại thường sẽ tìm cách lây lan sang nhiều thiết bị và mạng nhất có thể. Nó có thể đã lây lan đến hầu hết các thiết bị trên mạng vào thời điểm một kỹ sư OT hoặc nhà điều hành mạng nhận thấy nó.

Do đó, cả hai hành động chủ động đều quan trọng để giảm thiểu rủi ro. Một hành động là chặn lưu lượng độc hại ngay từ đầu khi mạng bị nhiễm độc; hai là chứa nó ở một mức độ có thể quản lý được nếu không may đã xảy ra.

IPS công nghiệp có thể chặn lưu lượng độc hại từ mạng đến các thiết bị biên

 

2. Bản vá ảo giảm khả năng tiếp xúc của hệ thống với các mối đe dọa trực tuyến

Việc vá lỗi thường xuyên làm giảm đáng kể khả năng tiếp xúc của hệ thống với các mối đe dọa trực tuyến. Tuy nhiên, nó tiếp tục là một thách thức lớn trong môi trường OT. Các thiết bị trên hệ thống điều khiển công nghiệp không phải lúc nào cũng có sẵn để cập nhật khi các lỗ hổng được xác định. Ví dụ: một hoạt động sản xuất duy trì chạy trong một khoảng thời gian trước lịch bảo trì tiếp theo. Đôi khi, các bản cập nhật có thể không khả thi vì các thiết bị trên hệ thống điều khiển công nghiệp có thể đã vượt qua vòng đời lâu dài của chúng và các nhà cung cấp sẽ không cung cấp các bản cập nhật nữa. Công nghệ vá lỗi ảo có thể giúp bổ sung các quy trình quản lý bản vá hiện có bằng cách che chắn chống lại các lỗ hổng. Bản vá ảo hoạt động như một công cụ bảo mật khẩn cấp không cần tác nhân mà quản trị viên và nhà điều hành OT có thể sử dụng để nhanh chóng khắc phục các lỗ hổng trên thiết bị OT bị ảnh hưởng.

Để theo đuổi hiệu quả hoạt động và tính khả dụng, điều quan trọng luôn là phải tính đến vấn đề an ninh mạng. Suy nghĩ rằng các mạng OT được cô lập và an toàn sẽ bị cắt giảm quy mô bởi một số sự cố an ninh mạng trong các nhà máy sản xuất. Hai hướng khác nhau có thể thực hiện để tăng cường an ninh mạng. Một là đảm bảo rằng các mạng công nghiệp của bạn có một cơ sở hạ tầng mạng nền tảng an toàn bảo mật, cho phép lưu lượng truy cập được phép chuyển đến những nơi chính xác. Ngoài ra, bạn có thể xác định các tài sản quan trọng và cung cấp cho chúng sự bảo vệ chủ động, nhiều lớp, chẳng hạn như IPS công nghiệp và kiểm soát danh sách trắng.

https://www.moxa.com/Moxa/media/Article/virtual-patching.jpg

Bản vá ảo có thể giúp các kỹ sư OT nhanh chóng khắc phục các lỗ hổng của các thiết bị cũ

 

Bảo mật mạng OT của bạn với Bảo mật tích hợp OT-IT

Với cam kết không ngừng bảo vệ kết nối trong môi trường công nghiệp, Moxa đã đầu tư phát triển các thiết bị mạng được tăng cường bảo mật, bao gồm bộ định tuyến an toàn và bộ chuyển mạch Ethernet. Do các mối đe dọa mạng ngày càng gia tăng mà các mạng công nghiệp phải đối mặt, Moxa đã nâng cao danh mục bảo mật mạng của mình với Giải pháp An ninh mạng Công nghiệp của Moxa. Bằng cách tích hợp hiệu quả các công nghệ OT và CNTT, IPS công nghiệp của Moxa bảo vệ các tài sản quan trọng của bạn khỏi các mối đe dọa an ninh mạng mới nhất và giúp đẩy nhanh quá trình chuyển đổi thế giới công nghiệp sang các kiến trúc tự động hóa an toàn.

Visit www.moxa.com/Security for more information.