Ngày nay, ngày càng nhiều doanh nghiệp hiểu rằng số hóa là cần thiết để họ tồn tại và phát triển. Một nghiên cứu về Nhà máy Thông minh Deloitte năm 2019 cho thấy, 86% nhà sản xuất cảm thấy các sáng kiến nhà máy thông minh của họ sẽ là động lực chính thúc đẩy khả năng cạnh tranh trong 5 năm tới. Vào năm 2020, các sáng kiến này đã được đẩy mạnh do đại dịch toàn cầu. Trong một báo cáo gần đây của Diễn đàn Kinh tế Thế giới, Xây dựng khả năng phục hồi trong các hệ thống cung ứng và sản xuất trong bối cảnh COVID-19 và hơn thế nữa, gợi ý rằng các nhà sản xuất áp dụng các mô hình làm việc mới và quản lý để tăng khả năng phục hồi sản xuất. Trong bài viết này, chúng ta sẽ tìm hiểu cách xây dựng các mạng công nghiệp có khả năng phục hồi và triển khai các biện pháp phòng thủ an ninh mạng, để duy trì liên tục các hoạt động công nghiệp.

Hành trình an ninh mạng công nghiệp

Khi số lượng các sự cố an ninh mạng xảy ra trong các hệ thống kiểm soát công nghiệp (ICS) tiếp tục gia tăng, nhiều tổ chức đã bắt đầu phát triển các chiến lược an ninh mạng của riêng mình để bảo vệ tài sản mà họ coi là quan trọng. "Có viên đạn bạc nào có thể giải quyết tất cả các lỗ hổng trong ICS không?" Thật không may, không có điều đó. An ninh mạng cần được xem xét từ các khía cạnh khác nhau. Bắt đầu hành trình an ninh mạng thường bắt đầu bằng việc đánh giá rủi ro. Sau đó, các công ty có thể thiết lập các chính sách bảo mật cho phù hợp. Để thực hiện các chính sách bảo mật, điều quan trọng là phải tạo ra một kiến ​​trúc bảo mật để giúp đạt được cơ sở hạ tầng mạng an toàn. Ví dụ: quy định ai có thể truy cập mạng bằng cách sử dụng danh sách kiểm soát truy cập. Cuối cùng, các công ty có thể chủ động theo dõi và ứng phó với các sự cố an ninh mạng bằng cách thực hiện các biện pháp đối phó trên các mạng OT.

https://www.moxa.com/Moxa/media/Article/2020/cybersecurity-maturity-model-web_1.png

Diagram: A cybersecurity journey
Source: ARC Advisory Group, 
https://www.arcweb.com/industry-concepts/cybersecurity-maturity-model

An ninh mạng cần phải trở nên toàn diện

Như đã đề cập trong phần trước, mọi quy trình an ninh mạng công nghiệp đều bao gồm các giai đoạn khác nhau với các biện pháp đối phó có liên quan. Vì không có giải pháp duy nhất có thể bao gồm tất cả các khía cạnh, chúng tôi khuyên bạn nên xem xét an ninh mạng từ góc độ tổng thể. Các biện pháp đối phó truyền thống như tường lửa, tăng cường khả năng phòng thủ của các mạng công nghiệp. Những điều này cung cấp khả năng bảo vệ theo chiều dọc hiệu quả, ngăn chặn những người không có quyền truy cập vào mạng. Tuy nhiên, khi ai đó vượt qua được lớp phòng thủ hoặc các kỹ sư vô tình gửi sai lệnh, không có biện pháp nào để giảm thiểu rủi ro có thể xảy ra do điều này. Do đó, việc triển khai bảo vệ theo chiều ngang như vá lỗi ảo và IDS hoặc IPS cũng rất quan trọng. Trong các phần tiếp theo, chúng ta sẽ xem xét cách thức bảo vệ theo chiều dọc và chiều ngang đóng một vai trò quan trọng như thế nào đối với việc bảo mật các mạng công nghiệp.

https://www.moxa.com/Moxa/media/Article/2020/cybersecurity-horizontal-vertical-protection-web.png 

Sơ đồ: Cả lưu lượng truy cập ngang và dọc cần được xem xét để tạo ra các biện pháp đối phó an ninh mạng toàn diện.

Bảo vệ theo chiều dọc - Xây dựng cơ sở hạ tầng mạng an toàn để thực hiện chính sách bảo mật

Quản lý mạng

Các mạng công nghiệp thường được ghép nối với nhau trong nhiều năm hoặc thậm chí nhiều thập kỷ. Do đó, đạt được khả năng hiển thị của mạng, các thành phần và kiến ​​trúc khác nhau có thể là một bước đầu tiên đầy thách thức. Từ kinh nghiệm của mình, chúng tôi đã phát hiện ra rằng một công cụ quản lý mạng công nghiệp có thể quét mạng và tự động vẽ ra cấu trúc liên kết ,sẽ cung cấp cho các kỹ sư OT rất nhiều thông tin hữu ích, từ đó cho phép họ phát triển một kế hoạch hành động.

Bảo vệ mạng

Phân đoạn mạng là một biện pháp phòng ngừa cơ bản có thể đảm bảo chỉ một số lưu lượng nhất định có thể lưu thông trong các khu vực được chỉ định. Có một số phương pháp để phân đoạn mạng. Ví dụ: tường lửa trạng thái có thể giúp tạo tuyến phòng thủ đầu tiên mà không cần thay đổi cấu trúc liên kết mạng, cấu trúc này được coi là thân thiện với môi trường OT vì chúng cần hoạt động liên tục. Tạo mạng LAN ảo (VLAN) trong một mạng lớn hơn cũng có thể giúp phân đoạn mạng. Một nguyên tắc chung khác là thực hiện xác thực qua 802.1x (AAA / Radius TACACS) và kiểm soát truy cập thông qua ACL. Cuối cùng nhưng không kém phần quan trọng, điều khiển, giám sát và bảo trì từ xa ngày càng trở nên phổ biến hơn trong các hoạt động hàng ngày của các kỹ sư OT. Do đó, cần phải luôn nhớ rằng việc đảm bảo truy cập từ xa an toàn sẽ giảm nguy cơ vi phạm.

Bảo mật thiết bị

Khi các tổ chức bắt đầu coi trọng vấn đề an ninh mạng hơn, hai thách thức lớn nhất bao gồm việc phát triển và triển khai các chính sách bảo mật phù hợp và thiết thực xung quanh xác thực và phân đoạn mạng. Các tiêu chuẩn như IEC 62443 có thể rất hữu ích trong việc xác định các chính sách có ý nghĩa đối với mạng công nghiệp của họ.

Bảo vệ theo chiều ngang - Triển khai bảo mật mạng công nghiệp để chủ động theo dõi và phản hồi

Khi các tổ chức bắt đầu triển khai các biện pháp an ninh mạng vào các mạng công nghiệp của họ, bước đầu tiên thường được thực hiện để bảo vệ lưu lượng mạng di chuyển theo chiều dọc là một cơ chế phòng vệ, chẳng hạn như phân đoạn mạng. Điều này có đủ không? Câu trả lời, thật không may, là không. Mặc dù giao thông hướng Bắc-Nam được quản lý tốt và hệ thống phòng thủ được xây dựng tốt, nhân viên, nhà cung cấp và nhà thầu vẫn có quyền truy cập trực tiếp vào mạng. Nếu không có các biện pháp bảo vệ, điều này vô tình cho phép chúng vượt qua các biện pháp bảo vệ truyền thống như tường lửa và có thể đưa vi-rút hoặc phần mềm độc hại vào các mạng công nghiệp. Đây là lý do tại sao bảo vệ theo chiều ngang như vá ảo và ngăn chặn xâm nhập là rất quan trọng để bảo vệ các tài sản quan trọng như PLC và HMI.

Các biện pháp bảo vệ IPS công nghiệp đối với các tài sản quan trọng

Vì PLC và HMI được thiết kế để kiểm soát quy trình sản xuất, nếu giao tiếp giữa PLC và trung tâm điều khiển bị xâm phạm hoặc HMI bị trục trặc, nó có thể gây ra thiệt hại cho tài sản hoặc thậm chí cả nhân sự. Do đó, điều quan trọng là phải ngăn chặn bất kỳ giao thức hoặc chức năng trái phép nào đi qua PLC và HMI. IPS công nghiệp (Hệ thống ngăn chặn xâm nhập) có công nghệ Kiểm tra sâu lấy OT làm trung tâm, có thể xác định nhiều giao thức công nghiệp và cho phép hoặc chặn các chức năng cụ thể, chẳng hạn như truy cập đọc / ghi. Bằng cách này, bạn có thể tự tin hơn rằng lưu lượng truy cập trên các mạng công nghiệp của bạn là đáng tin cậy và không nguy hiểm.

Bản vá ảo bảo vệ các thiết bị chưa được vá

Đó là một quy tắc nổi tiếng là luôn cập nhật thiết bị để ngăn chặn bất kỳ cuộc tấn công mạng nào. Tuy nhiên, trong các mạng công nghiệp, việc dừng các hoạt động để thực hiện cập nhật đôi khi ít lý tưởng hơn. Hơn nữa, các bản cập nhật có thể không có sẵn. Ví dụ: một số HMI đang chạy trên Windows XP, không còn hỗ trợ các bản cập nhật. Trong những trường hợp như vậy, các bản vá ảo đóng một vai trò quan trọng để bảo vệ các tài sản quan trọng khỏi các mối đe dọa an ninh mạng mới nhất.

Quản lý bảo mật cung cấp khả năng hiển thị rõ ràng

Khi mạng đang hoạt động, việc duy trì và nhanh chóng điều chỉnh mạng có thể là một thách thức. Do đó, phần mềm quản lý bảo mật giúp ích rất nhiều cho việc quản lý thiết bị và chính sách bảo mật, cũng như thực hiện các bản vá ảo.

Vì không có giải pháp an ninh mạng duy nhất, các tổ chức phải kiểm tra tình trạng của mình và lựa chọn kết hợp các giải pháp phù hợp. Cố gắng suy nghĩ từ cả hai khía cạnh của cơ sở hạ tầng mạng an toàn và an ninh mạng công nghiệp để xây dựng sự bảo vệ theo chiều dọc và chiều ngang.

https://www.moxa.com/Moxa/media/Article/2020/moxa-network-security-solution-framework-web_2.png

Moxa kết hợp chuyên môn về mạng công nghiệp và an ninh mạng để cung cấp khả năng bảo vệ nhiều lớp cho các mạng công nghiệp của bạn. Visit www.moxa.com/Security to learn more.