Tầm quan trọng của bảo mật OT và cách NDR có thể giúp ích
Hướng dẫn thị trường Gartner XDR
XDR là công nghệ tiên tiến có thể cung cấp khả năng phòng ngừa, phát hiện và ứng phó với mối đe dọa thống nhất...
Trải nghiệm hoạt động bảo mật được hỗ trợ bởi AI!
Khám phá AI tiên tiến của Stellar Cyber để phát hiện mối đe dọa ngay lập tức...
Vậy thì OT quan trọng đến mức nào?
OT làm cho thế giới chuyển động. Thể loại công nghệ này bao gồm các hệ thống điều khiển công nghiệp và các đơn vị đầu cuối từ xa – các thiết bị tự động hóa cho phép các nhà máy, nhà kho và các nhà máy công nghiệp khác giám sát và kiểm soát sản lượng của họ.
Để đưa ra một ví dụ đơn giản về OT, chúng ta hãy tháo rời một máy rửa chén thông thường. Khi bạn nhấn nút đầu vào ở mặt trước, một CPU nhỏ sẽ xác nhận chương trình bạn đã chọn và cửa đã đóng đúng cách chưa. Từ đó, một bộ điều khiển nhỏ sẽ khởi tạo một chu kỳ đầu vào và đầu ra. Mở và đóng van nạp, kích hoạt bộ phận làm nóng nước và bơm nước qua các vòi phun. Mỗi quy trình này đều diễn ra đúng thời điểm nhờ một bộ vi xử lý. Về cơ bản, đây là cách Bộ điều khiển logic lập trình (PLC) hoạt động: Chúng ghi lại đầu vào, thực hiện logic trên đầu vào đó và bật hoặc tắt đầu ra.
Khi lần đầu tiên xuất hiện vào giữa những năm 1960, PLC là một trong số ít dạng OT. Chúng hầu như luôn có khoảng cách không khí, với tất cả các đầu vào và đầu ra tồn tại độc lập với các thiết bị khác. Với biện pháp bảo mật tối ưu này, OT đã tự do trải qua giai đoạn tăng trưởng mạnh mẽ. Từ những PLC ban đầu, chuyên biệt, các nhà sản xuất đã nhanh chóng nhận thấy những lợi ích tiềm năng của công nghệ này trên quy mô rộng hơn. Ban đầu, các PLC này được điều khiển tổng hợp thông qua một bảng điều khiển lớn, đòi hỏi sự giám sát liên tục của con người. Mặc dù tất cả các điều khiển đều nằm ở một nơi, nhưng mỗi vòng điều khiển vẫn yêu cầu nút hoặc công tắc riêng trên bảng điều khiển. Trong suốt những năm 90, sự phát triển của Hệ thống điều khiển phân tán (DCS) đã cho phép các bộ điều khiển này được thay thế bằng một mạng lưới các giá đỡ đầu vào/đầu ra, được điều khiển bằng thuật toán và tương tác thông qua màn hình đồ họa. Thậm chí gần đây hơn, các hệ thống điều khiển giám sát và thu thập dữ liệu (SCADA) cho phép các bộ điều khiển kỹ thuật số quản lý ngay cả các tài sản tách biệt về mặt địa lý.
Bảo mật OT đã lỗi thời
OT vẫn đang phát triển vượt ra khỏi cách tiếp cận cũ của nó. Trong khi CNTT ngày nay được xây dựng xung quanh tính bảo mật, tính toàn vẹn và tính khả dụng, thì OT thường ưu tiên kiểm soát và tính khả dụng theo thời gian thực hơn tất cả mọi thứ khác. Điều này đã hiệu quả trong nhiều thập kỷ khi OT không kết nối với lưới điện, nhưng phần lớn OT đã được hưởng lợi từ kết nối trực tuyến kể từ đầu những năm 2010. Và trong khi OT cũng được bảo vệ bằng sự mơ hồ của nó, thì sự xuất hiện của các cuộc tấn công động lực mạng - và việc triển khai OT quan trọng trong các cơ sở hạ tầng quan trọng - nên là một lời cảnh tỉnh.
Năm 2021, một nhân viên làm việc tại phòng điều khiển tại một cơ sở xử lý nước ở Florida nhận thấy điều gì đó lạ: con chuột của anh ấy di chuyển quanh màn hình một cách thất thường. Nghĩ rằng đó là nhóm hỗ trợ kỹ thuật từ xa đang kết nối thông qua TeamViewer, mối lo ngại của anh chỉ dấy lên khi con chuột bắt đầu điều hướng qua các bộ điều khiển của nhà máy xử lý – và cố gắng thay đổi lượng natri hydroxit được bơm vào nước từ 100 phần triệu thành 11,100 trang/phút. Điều này sẽ làm cho nước ăn mòn mô người.
Mặc dù cuối cùng không thành công nhưng cuộc tấn công nêu bật tầm quan trọng tuyệt đối của OT – và cách một lỗ hổng trong các hệ thống CNTT không liên quan có thể gây ra phản ứng dây chuyền với những hậu quả chết người.
Cách NDR bảo vệ OT trước các mối đe dọa ngày nay
Nền tảng của bảo mật là khả năng hiển thị. Tương tự như vậy, bảo mật OT được hưởng lợi rất nhiều từ các hoạt động kiểm kê tài sản. Điều này cho phép bạn ưu tiên các lĩnh vực đáng quan tâm nhất: Con voi trong phòng điều khiển thường là số lượng lớn các thiết bị cũ tạo nên một ngăn xếp công nghệ OT. Nếu không kinh tế khi thay đổi chúng, hãy phân đoạn chúng.
Mặc dù bảo mật tập trung vào vành đai đã có danh tiếng kém trong vài năm qua, nhưng phân khúc vẫn đóng một vai trò quan trọng trong việc bảo mật các thiết bị OT có rủi ro cao. Đó là lý do vì sao Ủy ban Điều tiết Hạt nhân (NRC) yêu cầu các trang web phân tách tài sản của mình thành năm vùng bảo mật, dựa trên mức độ quan trọng. Điều này cũng hạn chế nơi dữ liệu có thể được gửi từ bên trong mỗi vùng phân đoạn. Tuy nhiên, một số tổ chức muốn thêm phiền toái khi phải xử lý số lượng tường lửa NRC; chúng nổi tiếng là ồn ào và thường làm đục nước bảo mật hạ lưu bằng các bản ghi vô tận.
Và trong khi phân đoạn là rất quan trọng, thì đó chỉ là lớp đầu tiên của bảo mật OT. Đối với các thiết bị nằm ngoài các phân đoạn quan trọng, chúng cần tất cả các hỗ trợ bảo mật giống như CNTT. Điều này có thể đạt được một phần nhờ các hệ thống Phát hiện và Phản hồi Mạng (NDR). NDR đào sâu hơn là chỉ bảo trì thường xuyên bằng cách phân tích hoạt động mạng trên các thiết bị trực tuyến. NDR cho OT cung cấp một cách thụ động để giám sát hoạt động mạng và các yêu cầu có thể chỉ ra một tác nhân xấu. Mặc dù là một bước đi đúng hướng, nhưng cần lưu ý rằng các sự cố ở cấp độ mạng không phải là điều duy nhất cần chú ý.
Bảo vệ tương lai cho OT của bạn với Stellar Cyber
Càng đào sâu vào bảo mật OT, ranh giới giữa IT và OT càng mờ nhạt. Thật không may, nhiều tổ chức vẫn tiếp tục dựa vào một nhóm bảo mật CNTT duy nhất, vì vậy, việc yêu cầu họ gánh vác trách nhiệm của OT không phải lúc nào cũng khả thi - hoặc công bằng.
Thay vào đó, hãy chấp nhận sự thật rằng IT và OT ngày càng được kết nối. Nhóm bảo mật của bạn có thể tập trung vào việc đưa hai lĩnh vực lên cùng một mức độ bảo vệ. Một công cụ thống nhất, duy nhất tích hợp với mạng SCADA và CNTT doanh nghiệp, nền tảng Open XDR của Stellar Cyber thu thập tất cả dữ liệu đo từ xa chảy qua mạng OT và CNTT của bạn, kết nối với tường lửa nhiễu và tổng hợp các Cảnh báo vô tận thành các Trường hợp có thể hành động. Kết hợp khả năng nhận dạng của NDR với hành động thực tế của IDS, các quy tắc bảo mật tùy chỉnh của Stellar Cyber phát hiện các giao thức và đường dẫn truyền thông không chuẩn, cho phép tìm ra các khai thác và phần mềm độc hại đang hoạt động. Stellar Cyber có vị trí độc đáo để cho các nhà phân tích bảo mật của bạn thấy những lỗ hổng trên toàn bộ bề mặt tấn công của bạn.
