Hai biện pháp cho An ninh mạng để xây dựng hạ tầng mạng an toàn

Ngày nay, ngày càng nhiều doanh nghiệp hiểu rằng sự số hóa là cần thiết để tồn tại và phát triển. Một nghiên cứu về nhà máy thông minh Deloitte năm 2019 cho thấy 86% các nhà sản xuất cảm thấy các sáng kiến ​​nhà máy thông minh của họ sẽ là động lực chính thúc đẩy khả năng cạnh tranh trong 5 năm tới. Vào năm 2020, các sáng kiến ​​này đã được đẩy mạnh do đại dịch toàn cầu. Trong một báo cáo gần đây của diễn đàn kinh tế thế giới, Xây dựng khả năng phục hồi trong các hệ thống cung ứng và sản xuất trong bối cảnh COVID-19 và hơn thế nữa, gợi ý rằng các nhà sản xuất áp dụng các mô hình làm việc mới và quản lý để tăng khả năng phục hồi sản xuất. Tuy nhiên, khi chúng ta đối mặt với cuộc khủng hoảng hiện nay, việc tăng tốc số hóa một mình là không còn đủ. Trong bài viết này, chúng ta sẽ tìm hiểu cách xây dựng các mạng công nghiệp có khả năng phục hồi và triển khai các biện pháp bảo vệ an ninh mạng, để duy trì các hoạt động công nghiệp liên tục.

Hành trình an ninh mạng công nghiệp

Khi số lượng các sự cố an ninh mạng xảy ra trong các hệ thống điều khiển công nghiệp (ICS-Industrial Control System) tiếp tục tăng lên, nhiều tổ chức đã bắt đầu phát triển các chiến lược an ninh mạng của riêng mình để bảo vệ tài sản mà họ coi là quan trọng đối với các thành công trong hoạt động của doanh nghiệp. "Có viên đạn bạc nào có thể giải quyết tất cả các lỗ hổng trong ICS không?" Thật không may, không có điều đó. An ninh mạng cần được xem xét từ các khía cạnh khác nhau. Bắt đầu hành trình an ninh mạng thường bắt đầu bằng việc đánh giá rủi ro. Sau đó, các công ty có thể thiết lập các chính sách bảo mật cho phù hợp. Để thực hiện các chính sách bảo mật, điều quan trọng là phải tạo ra một kiến ​​trúc bảo mật để giúp đạt được cơ sở hạ tầng mạng an toàn. Ví dụ: quy định ai có thể truy cập mạng bằng cách sử dụng danh sách kiểm soát truy cập. Cuối cùng, các công ty có thể chủ động theo dõi và ứng phó với các sự cố an ninh mạng bằng cách thực hiện các biện pháp đối phó an ninh mạng công nghiệp trên các mạng OT.

An ninh mạng cần phải trở nên toàn diện

Như đã đề cập trong phần trước, mọi hành trình an ninh mạng công nghiệp đều bao gồm các giai đoạn khác nhau với các biện pháp phòng chống có liên quan. Vì không có giải pháp duy nhất có thể bao gồm tất cả các khía cạnh, chúng tôi khuyên bạn nên xem xét an ninh mạng từ góc độ tổng thể. Các biện pháp phòng chống truyền thống như tường lửa tăng cường khả năng bảo vệ vành đai của các mạng công nghiệp. Những điều này cung cấp khả năng bảo vệ theo chiều dọc hiệu quả để ngăn chặn những người không có quyền truy cập vào mạng. Tuy nhiên, khi ai đó vượt qua được hàng bảo vệ đó hoặc các kỹ sư vô tình gửi sai lệnh bên trong mạng, không có biện pháp nào để giảm thiểu rủi ro có thể xảy ra do điều này. Do đó, việc triển khai bảo vệ theo chiều ngang như vá lỗi ảo và IDS hoặc IPS cũng rất quan trọng Trong các phần tiếp theo, chúng ta sẽ xem xét cách thức bảo vệ dọc và ngang đóng một vai trò quan trọng như thế nào đối với việc bảo mật các mạng công nghiệp. 

Bảo vệ theo chiều dọc - Xây dựng cơ sở hạ tầng mạng an toàn để thực hiện chính sách bảo mật

Quản lý mạng

Các mạng công nghiệp thường được ghép lại với nhau trong nhiều năm hoặc thậm chí nhiều thập kỷ. Do đó, có được khả năng hiển thị mô hình của mạng và các thành phần và kiến ​​trúc khác nhau của mạng đó có thể là bước thách thức đầu tiê. Từ kinh nghiệm của mình, chúng tôi đã phát triển và xây dựng công cụ quản lý mạng công nghiệp có thể quét mạng và tự động vẽ ra cấu trúc liên kết và sẽ cung cấp cho các kỹ sư OT rất nhiều thông tin hữu ích, từ đó cho phép họ phát triển kế hoạch hành động.

Bảo vệ mạng

Phân đoạn mạng là một biện pháp phòng ngừa cơ bản có thể đảm bảo chỉ một số lưu lượng dữ liệu nhất định có thể lưu thông trong các khu vực được chỉ định. Có một số phương pháp để đạt được phân đoạn mạng. Ví dụ, tường lửa trạng thái có thể giúp tạo tuyến bảo vệ đầu tiên mà không cần thay đổi cấu trúc liên kết mạng, cấu trúc này được coi là thân thiện với môi trường OT vì chúng cần hoạt động liên tục. Tạo mạng LAN ảo (VLAN) trong một mạng lớn hơn cũng có thể giúp phân đoạn mạng. Một nguyên tắc khác là thực hiện xác thực qua 802.1x (AAA/Radius TACACS) và kiểm soát truy cập thông qua ACL. Cuối cùng, nhưng không kém phần quan trọng, việc điều khiển, giám sát và bảo trì từ xa ngày càng trở nên phổ biến hơn trong các hoạt động hàng ngày của các kỹ sư OT. Do đó, cần luôn phải lưu ý rằng việc đảm bảo truy cập từ xa an toàn sẽ giảm nguy cơ vi phạm.

Bảo mật thiết bị

Khi các tổ chức bắt đầu coi trọng vấn đề an ninh mạng hơn, hai thách thức lớn nhất bao gồm việc phát triển và triển khai các chính sách bảo mật phù hợp và thiết thực xung quanh việc xác thực và phân đoạn mạng. Các tiêu chuẩn như IEC 62443 có thể rất hữu ích trong việc xác định các chính sách có ý nghĩa đối với mạng truyền thông công nghiệp. Tải white paper  để tìm hiểu thêm về tiêu chuẩn IEC 62443.

Bảo vệ theo chiều ngang - Triển khai bảo mật mạng công nghiệp để chủ động theo dõi và phản hồi

Khi các tổ chức bắt đầu triển khai các biện pháp an ninh mạng áp dụng vào mạng truyền thông công nghiệp, bước đầu tiên thường được thực hiện để bảo vệ lưu lượng dữ liệu mạng di chuyển theo chiều dọc là một cơ chế bảo vệ như phân đoạn mạng. Điều này có đủ không? Thật không may, câu trả lời là không. Mặc dù lưu lượng dữ liệu hướng được quản lý tốt và hệ thống bảo vệ được xây dựng tốt, nhân viên, nhà cung cấp và nhà thầu vẫn có quyền truy cập trực tiếp vào mạng. Nếu không có các biện pháp bảo vệ, điều này vô tình cho phép vượt qua các biện pháp bảo vệ truyền thống như tường lửa và có thể đưa virus hoặc phần mềm độc hại vào các mạng công nghiệp. Đây là lý do tại sao bảo vệ theo chiều ngang ngăn chặn xâm nhập là rất quan trọng để bảo vệ các thiết bị quan trọng như PLC và HMI.

Các biện pháp bảo vệ thiết bị quan trọng của IPS công nghiệp

Vì PLC và HMI được thiết kế để kiểm soát quy trình sản xuất, nếu giao tiếp giữa PLC và trung tâm điều khiển bị xâm phạm hoặc HMI bị trục trặc, nó có thể gây ra thiệt hại cho tài sản hoặc thậm chí cả con người. Do đó, điều quan trọng là phải ngăn chặn bất kỳ giao thức hoặc chức năng trái phép nào đi qua PLC và HMI. IPS công nghiệp (Intrusion Prevention System - Hệ thống ngăn chặn xâm nhập) có công nghệ kiểm tra gói tin dữ liệu chuyên sâu, có thể xác định nhiều giao thức công nghiệp và cho phép hoặc chặn các chức năng cụ thể, chẳng hạn như truy cập đọc/ ghi. Bằng cách này, bạn có thể tự tin hơn rằng lưu lượng truy cập trên mạng công nghiệp của bạn là đáng tin cậy và không nguy hiểm. 

Các bản vá lỗi ảo cho các thiết bị

Một quy tắc được biết đến là luôn cập nhật cho các thiết bị để ngăn chặn bất kỳ cuộc tấn công mạng nào. Tuy nhiên, trong các mạng công nghiệp, việc dừng các hoạt động để thực hiện cập nhật đôi khi không phải lý tưởng. Hơn nữa, các bản cập nhật có thể không có sẵn cho các nội dung quan trọng này. Ví dụ: một số HMI đang chạy trên Windows XP, không còn hỗ trợ các bản cập nhật. Trong những trường hợp như vậy, các bản vá ảo đóng một vai trò quan trọng để bảo vệ các tài sản quan trọng khỏi các mối đe dọa an ninh mạng mới nhất.

Quản lý bảo mật cung cấp khả năng hiển thị rõ ràng

Khi một mạng truyền thông đang hoạt động, việc duy trì và nhanh chóng điều chỉnh mạng có thể là một thách thức. Do đó, phần mềm quản lý bảo mật giúp ích rất nhiều cho việc quản lý thiết bị và các chính sách bảo mật, cũng như thực hiện các bản vá ảo. Vì không có giải pháp an ninh mạng nào là duy nhất, các tổ chức phải kiểm tra tình trạng của mình và lựa chọn kết hợp các giải pháp phù hợp. Cố gắng suy nghĩ từ cả hai khía cạnh của cơ sở hạ tầng mạng an toàn và an ninh mạng công nghiệp để xây dựng sự bảo vệ theo chiều dọc và chiều ngang.  Moxa kết hợp chuyên môn về mạng công nghiệp và an ninh mạng để cung cấp khả năng bảo vệ nhiều lớp cho các mạng công nghiệp của bạn. Truy cập www.moxa.com/Security để tìm hiểu thêm. Tham khảo bài viết gốc tại: https://www.moxa.com/en/articles/cybersecurity-countermeasures

Doanh nghiệp công và tư nhân tham gia bảo vệ môi trường mạng công nghiệp khỏi các cuộc tấn công

Các hệ thống điều khiển trong công nghiệp dưới sự tấn công mạng

Hiện nay, đã qua thời các cơ sở hạ tầng quan trọng và mạng lưới công nghiệp hoạt động như "hòn đảo tự động hóa" được cách ly với bên ngoài. Ngày nay, gần như mọi hệ thống mạng hoặc môi trường sản xuất quan trọng đều đang nằm trong tình thế phải chịu rủi ro về an ninh mạng khi tính liên kết giữa mạng IT và OT tăng lên. Vào tháng 8 năm 2018, nhà sản xuất chất bán dẫn lớn nhất thế giới, Công ty Sản xuất Chất bán dẫn Đài Loan (TSMC), đã buộc phải đóng cửa dây chuyền sản xuất để đối phó với cuộc tấn công bằng ransomware và thiệt hại gần 86 triệu đô la Mỹ trong 45 giờ. Vào tháng 3 năm 2019, một trong những nhà sản xuất nhôm lớn nhất thế giới, Hydro Norsk, đã trở thành mục tiêu của một cuộc tấn công bằng ransomware chuyên nghiệp và mất khoảng 35 triệu đô la Mỹ chỉ trong một tuần. Với khả năng kết nối cao hơn, khả năng tiếp xúc nhiều hơn với các mối đe dọa mạng. Thập kỷ qua đã chứng kiến nhiều sự cố an ninh mạng về công nghệ vận hành (OT) và hệ thống điều khiển công nghiệp (ICS) hơn bao giờ hết.

Năm	Sự cố bảo mật trong HT ISC	Mục tiêu tấn công/lĩnh vực/khu vực
2010	Stuxnet	PLC (Nuclear Power Plant tại Iran)
2011	Duqu	Computer/Server (Tiện ích công cộng- nhiều quốc gia)
2012	Disttrack/Shamoon	Computer/Server (Công ty dầu lửa ở Saudi Arabia)
2014	Sandworm	SCADA/HMI (nhà máy sản xuất ở nhiều quốc gia)
2015	BlackEnergy/KillDisk	HMI/Serial Device (Hệ thống lưới điện ở Ukraine)
2016	Industroyer	Circuit Breaker (trạm điện ở Ukraine)
2017	Dragonfly	Computer/Server (Tiện ích công cộng ở US/EU)
2018	WannaCry	Computer/Server (Máy sản xuất ở Asia)
2019	LockerGoga	Computer/Server (Nhà máy sản xuất nhôm ở Norway)
2019	DTrack	Computer/Server (Nuclear Power plant ở India)

Chiến trường

Nếu chúng ta xem xét kỹ mục tiêu của các cuộc tấn công này, có hai loại ngành công nghiệp xuất hiện chính: sản xuất thiết yếu và cơ sở hạ tầng quan trọng. Sản xuất thiết yếu bao gồm các công ty lớn như TSMC và Hydro Norsk, cả hai đều đóng vai trò quan trọng trong chuỗi cung ứng toàn thế giới. Hậu quả của các cuộc tấn công mạng vào sản xuất quan trọng vượt xa lợi nhuận doanh nghiệp của các tổ chức đó. Trên thực tế, bản thân chuỗi cung ứng toàn cầu có thể bị phá vỡ chỉ bằng một cú nhấp chuột hoặc chạm vào phím. Cơ sở hạ tầng quan trọng bao gồm các tiện ích cho hoạt động năng lượng, nước và giao thông vận tải của cả một quốc gia. Nếu cơ sở hạ tầng của một quốc gia bị ngừng hoạt động do một cuộc tấn công mạng, có thể có tác động tàn khốc đối với cuộc sống con người và môi trường. Ví dụ, một cuộc tấn công mạng vào một trạm biến áp điện của Ukraine vào năm 2016 đã khiến hơn 200.000 người chìm trong bóng tối tới 6 giờ vào giữa mùa đông.

Giải quyết vấn đề trên tất cả các mặt trận

Khi các mạng OT/ICS không còn bị cô lập khỏi các cuộc tấn công mạng, câu hỏi tiếp theo là: làm thế nào để chúng ta bảo vệ cơ sở hạ tầng quan trọng và hệ thống sản xuất khỏi mối đe dọa ngày càng tăng của các cuộc tấn công mạng? Rõ ràng là không có câu trả lời đơn giản. Thay vào đó, giải pháp yêu cầu tất cả các bên liên quan trong khu vực công và tư nhân phải cam kết lâu dài đối với tất cả các khía cạnh của an ninh mạng. Chúng ta xem xét sáu cách mà khu vực công và tư nhân có thể bảo vệ các mạng truyền thông công nghiệp.

Khu vực công đẩy mạnh hoạt động xây dựng tiêu chuẩn

Các chính phủ trên khắp thế giới đã trở thành một trong những nhân tố chính thúc đẩy cải thiện an ninh mạng trong các mạng OT/ICS trong những năm gần đây.

• Vào năm 2018, chính phủ Hoa Kỳ đã thành lập Cơ quan An ninh mạng và Cơ sở hạ tầng để điều phối các nỗ lực bảo vệ cơ sở hạ tầng quan trọng và các nguồn lực thiết yếu của quốc gia.
• Vào năm 2018, cơ quan lập pháp bang California đã thông qua luật mới, SB-327, luật này yêu cầu các nhà sản xuất thiết bị IoT cung cấp các tính năng bảo mật phù hợp để bảo vệ quyền riêng tư của người dùng và dữ liệu của người dùng được lưu trữ và thu thập trên thiết bị của họ.
• Năm 2018, Ủy ban Châu Âu đã thông qua Đạo luật An ninh mạng nhằm tăng cường khả năng của Cơ quan An ninh Mạng và Thông tin Liên minh Châu Âu (ENISA).
• Vào năm 2019, chính phủ Trung Quốc đã phát hành phiên bản mới của Đề án Bảo vệ Đa cấp, được gọi là MLPS 2.0, mở rộng phạm vi điều chỉnh của luật an ninh mạng từ hệ thống thông tin truyền thống đến hệ thống thông tin quan trọng, hệ thống kiểm soát công nghiệp và Internet vạn vật.

Khu vực tư nhân thực thi

Bất chấp sự cạnh tranh trong kinh doanh, người dùng OT và các nhà cung cấp giải pháp trong khu vực tư nhân cũng đã thành lập các hiệp hội và liên minh khác nhau để phát triển các phương pháp hay nhất hữu ích hơn cho bảo mật.

• Năm 2019, Hiệp hội Tự động hóa Quốc tế (ISA- International Society of Automation) đã khởi xướng Liên minh An ninh mạng Toàn cầu (GCA- Global Cybersecurity Alliance) để thảo luận về cách giải quyết các mối đe dọa mạng trong bối cảnh xu hướng hội tụ IT/OT đang diễn ra.
• Cũng trong năm 2019, Liên minh An ninh mạng Công nghệ Hoạt động (OTCSA- Operational Technology Cyber Security Alliance) được thành lập để cung cấp các hướng dẫn toàn diện về an ninh mạng cho hoạt động công nghệ. Các thành viên bao gồm các nhà khai thác OT, chẳng hạn như ABB và Wärtsilä, cùng với các nhà cung cấp giải pháp IT/OT, chẳng hạn như Check Point, Microsoft và Qualys.

Các tiêu chuẩn và hướng dẫn mở

• IEC 62443

Cho đến gần đây, các nhà cung cấp giải pháp khu vực tư nhân đã liên kết với nhau và áp dụng các tiêu chuẩn IEC 62443 về khả năng bảo mật cho các thành phần hệ thống điều khiển. Các tiêu chuẩn cung cấp một khuôn khổ linh hoạt để giải quyết các lỗ hổng bảo mật mạng hiện tại và tương lai trong các hệ thống điều khiển tự động hóa công nghiệp

• Báo cáo IISF

Hiệp hội Internet Công nghiệp (IIC- Industrial Internet Consortium) cũng xuất bản “Báo cáo Khuôn khổ An ninh Internet Công nghiệp (IISF)”, tập hợp trí tuệ chung của hơn 25 công ty và tổ chức học thuật trên khắp thế giới để cung cấp các hướng dẫn chuyên sâu cho các ngành công nghiệp khác nhau.

An ninh mạng là tương lai của OT/ICS

Như được minh họa bởi số lượng sự cố an ninh mạng ngày càng tăng liên quan đến cơ sở hạ tầng và sản xuất quan trọng trong những năm gần đây, vì thế cần có các nỗ lực phối hợp để đảm bảo an toàn cho hệ thống trong hiện tại và trong tương lai. Xét cho cùng, nếu chúng ta không giải quyết được những lo ngại về an ninh mạng đối với mạng OT/ICS, thì không có AI hoặc dữ liệu lớn nào có thể giúp chúng ta đạt được về chuyển đổi kỹ thuật số. Các chính phủ và các nhà cung cấp giải pháp khu vực tư nhân trên khắp thế giới đã nhận ra tính cấp thiết của vấn đề này và đang làm việc cùng nhau để thúc đẩy chương trình nghị sự về an ninh mạng trong toàn bộ ngành OT/ICS. Việc thâm nhập an ninh mạng vào DNA của OT/ICS đòi hỏi nhiều thứ hơn là áp dụng một ứng dụng phần mềm mới hoặc máy mới vào mạng truyền thông công nghiệp của bạn. An ninh mạng cần được gắn liền trong mọi khía cạnh của mỗi tổ chức. Tham khảo bài viết gốc tại: https://www.moxa.com/en/articles/joining-forces-to-protect-industrial-networks 

Bảo vệ chủ động cho mạng truyền thông công nghiệp

Trong những năm gần đây, các sự cố an ninh mạng gia tăng đã làm tê liệt cơ sở hạ tầng quan trọng và gây hại cho các doanh nghiệp. Một số là các cuộc tấn công có chủ đích, chẳng hạn như các cuộc tấn công ransomware (phần mềm chứa mã độc); tuy nhiên, một số sự cố không nhắm rõ mục tiêu, chẳng hạn như nhiễm thông qua phần mềm độc hại có quyền truy cập vào một máy tính trái phép và lây lan ra toàn bộ mạng kiểm soát công nghiệp. Để tiếp cận và tạo ra kiến trúc khu vực nền cho mạng công nghiệp sẽ làm giảm thiệt hại. Trong khi đó, các chuyên gia an ninh mạng cũng đang đề xuất các hành động chủ động hơn để bảo vệ các mạng công nghiệp. Những hành động này có thể được thực hiện bởi một hệ thống ngăn chặn xâm nhập công nghiệp (IPS), có thể chống lại sự xâm nhập một cách hiệu quả và giảm tác động của chúng đối với các hệ thống công nghiệp.

IPS là gì?

IPS là một hình thức an ninh mạng được thiết kế để phát hiện và chặn các mối đe dọa đã xác định bằng cách liên tục giám sát các mạng, tìm kiếm các phần mềm độc hại có thể xảy ra trên mạng và ghi lại thông tin về chúng. Nó có công nghệ kiểm tra chuyên sâu vào gói dữ liệu (DPI), tăng cường khả năng hiển thị an ninh mạng và cuối cùng giúp giảm thiểu rủi ro và bảo vệ mạng công nghiệp khỏi các mối đe dọa bảo mật.

IPS công nghiệp được thiết kế riêng cho các mạng công nghiệp

Mặc dù công nghệ IPS đã hoạt động rất tốt trên các mạng CNTT trong một thời gian, nhưng rất khó để triển khai trực tiếp IPS trong các mạng OT, vì ưu tiên hàng đầu của mạng OT là sẵn hàng và khả năng thực thi, trong khi ưu tiên hàng đầu của an ninh mạng CNTT là tính bảo mật. Việc triển khai IPS trong các mạng OT mà không xem xét các yêu cầu hoạt động hàng ngày của các kỹ sư OT có thể chặn các lệnh điều khiển quan trọng đối với sản xuất, do đó làm gián đoạn hoạt động sản xuất. Để đáp ứng các yêu cầu an ninh mạng OT, điều cần thiết là phải trao quyền cho công nghệ DPI tập trung vào OT. DPI tập trung vào OT có thể xác định nhiều giao thức công nghiệp và cho phép hoặc chặn các chức năng cụ thể, chẳng hạn như truy cập đọc hoặc ghi. Dựa trên giao thức được xác định, IPS công nghiệp sau đó có thể ngăn chặn bất kỳ giao thức hoặc chức năng trái phép nào. Điều này đảm bảo rằng lưu lượng truy cập trên các mạng công nghiệp là đáng tin cậy và không gây hại.

Kiểm soát danh sách trắng xác định kiểm soát truy cập chi tiết

Kiểm soát danh sách trắng là một cơ chế phê duyệt và di chuyển được thực hiện bằng cách chỉ cho phép truy cập các thiết bị, dịch vụ, định dạng giao thức và lệnh điều khiển được xác thực trong danh sách trắng. Cơ chế này đảm bảo rằng tất cả hoạt động mạng trên mạng công nghiệp đều được xác thực và các nhà khai thác mạng có thể xác định các biện pháp kiểm soát truy cập chi tiết ở các cấp độ khác nhau tùy thuộc vào yêu cầu hoạt động. Ví dụ: các kỹ sư OT có thể xác định danh sách trắng các thiết bị và dịch vụ hoặc cổng IP được phép truy cập tất cả hoặc một phần của toàn bộ mạng. Ngoài ra, cũng có thể xác định định dạng giao thức được xác thực để ngăn chặn các lệnh trái phép đi qua mạng. Hơn nữa, các kỹ sư OT thậm chí có thể xác định các lệnh điều khiển nào có thể đi qua mạng để giảm lỗi của con người liên quan đến việc gửi lệnh điều khiển sai. Với sự kiểm soát danh sách trắng, khả năng bị tấn công DoS bởi Trojan OT có thể giảm đáng kể.

Kiểm soát danh sách trắng được thực hiện bằng cách chỉ cho phép truy cập các thiết bị, dịch vụ, định dạng giao thức và lệnh điều khiển được ủy quyền trên danh sách trắng

Các tình huống bảo vệ của một IPS công nghiệp

1. Chặn và chứa lưu lượng truy cập độc hại

IPS công nghiệp được thiết kế để bảo vệ mạng công nghiệp bằng cách chặn lưu lượng truy cập độc hại từ mạng đến các thiết bị biên và bằng cách chứa lưu lượng truy cập độc hại tại các thiết bị biên. Nó có thể được đặt trước các thiết bị quan trọng như PLC và HMI để tăng cường an ninh mạng và đảm bảo tính khả dụng của mạng đồng thời bảo vệ các thiết bị quan trọng khỏi bị thao túng bởi các tác nhân độc hại. Ví dụ: khi có một máy trạm bị nhiễm phần mềm độc hại, phần mềm độc hại thường sẽ tìm cách lây lan đến càng nhiều thiết bị và mạng càng tốt. Nó có thể đã lan sang hầu hết các thiết bị trên mạng vào thời điểm một kỹ sư OT hoặc nhà điều hành mạng nhận thấy nó Do đó, cả hai hành động chủ động đều rất quan trọng để giảm thiểu rủi ro. Một hành động là chặn lưu lượng độc hại ngay từ đầu khi mạng bị nhiễm; cách khác là chứa nó ở một mức độ có thể quản lý được nếu nó không may xảy ra.

IPS công nghiệp có thể chặn lưu lượng độc hại từ mạng đến các thiết bị biên

2. Vá lỗi ảo để giảm tiếp xúc của hệ thống với các mối đe dọa trên mạng

Mối đe dọa mạng thường xuyên được vá lỗi làm giảm đáng kể khả năng tiếp xúc của hệ thống với các mối đe dọa mạng. Tuy nhiên, nó tiếp tục là một thách thức quan trọng trong môi trường OT. Các thiết bị trên hệ thống điều khiển công nghiệp không phải lúc nào cũng có sẵn để cập nhật khi các lỗ hổng được xác định. Ví dụ, một hoạt động sản xuất liên tục và hoạt động trong một khoảng thời gian trước lịch trình bảo trì tiếp theo của nó. Đôi khi, các bản cập nhật có thể không khả thi vì các thiết bị trên hệ thống điều khiển công nghiệp có thể đã trải qua vòng đời tương đối lâu và các nhà cung cấp không cung cấp bản cập nhật nữa. Công nghệ vá lỗi ảo có thể giúp bổ sung cho các quy trình quản lý bản vá hiện có bằng cách che chắn khỏi các lỗ hổng. Bản vá ảo hoạt động như một công cụ bảo mật khẩn cấp không cần tác nhân mà quản trị viên và vận hành viên OT có thể sử dụng để nhanh chóng khắc phục các lỗ hổng trên thiết bị OT bị ảnh hưởng. Để theo đuổi mục tiêu về hiệu quả hoạt động và tính khả dụng, điều quan trọng là phải xem xét an ninh mạng. Suy nghĩ rằng các mạng OT được cách ly và an toàn sẽ bị giảm đi về quy mô bởi một số sự cố an ninh mạng trong các nhà máy sản xuất. Hai hướng khác nhau có thể được thực hiện để tăng cường an ninh mạng. Một là đảm bảo rằng các mạng công nghiệp của bạn có một nền tảng an toàn - cơ sở hạ tầng mạng an toàn, cho phép lưu lượng truy cập được xác thực truyền đến đúng nơi. Ngoài ra, bạn có thể xác định các thiết bị quan trọng và cung cấp cho chúng sự bảo vệ chủ động, nhiều lớp với các IPS công nghiệp và kiểm soát danh sách trắng.

Bản vá ảo có thể giúp các kỹ sư OT nhanh chóng khắc phục các lỗ hổng của các thiết bị cũ

Bảo mật mạng OT của bạn với bảo mật tích hợp OT-IT

Với cam kết trong việc bảo vệ kết nối truyền thông liên tục ở môi trường công nghiệp, Moxa đã đầu tư vào việc phát triển các thiết bị mạng có tính bảo mật cao, bao gồm các bộ định tuyến an toàn và thiết bị chuyển mạch Ethernet. Và trước các mối đe dọa đối với mạng tryền thông ngày càng gia tăng, Moxa đã tăng cường danh mục sản phẩm an ninh mạng của mình với “Giải pháp an ninh mạng công nghiệp” của Moxa. Bằng cách tích hợp hiệu quả các công nghệ OT và CNTT, IPS công nghiệp của Moxa bảo vệ các tài sản quan trọng của bạn khỏi các mối đe dọa an ninh mạng mới nhất và giúp đẩy nhanh quá trình chuyển đổi của thế giới công nghiệp sang các kiến trúc tự động hóa an toàn. Truy cập www.moxa.com/Security để biết thêm thông tin. Tham khảo bài viết gốc tại: https://www.moxa.com/en/articles/proactively-protect-your-industrial-networks

Kiểm tra bảo mật trong mạng công nghiệp một cách nhất quán

Khi nói đến việc tăng cường an ninh mạng công nghiệp, câu hỏi đầu tiên thường đặt ra là "Bắt đầu như thế nào?" Tăng cường bảo mật mạng cho các ứng dụng công nghiệp cũng giống như tăng cường an ninh cho ngôi nhà của bạn. Bạn có thể khóa cửa ra vào và cửa sổ, thiết lập hệ thống giám sát IP và cất giữ các vật có giá trị của mình trong két an toàn. Bạn càng thực hiện nhiều hành động, ngôi nhà của bạn càng được đảm bảo an toàn. Tương tự như bảo mật một mạng công nghiệp, bạn càng muốn bảo mật hơn thì bạn phải thực hiện nhiều thủ tục hơn. Quyết định về mức độ bảo mật bạn muốn thường phụ thuộc vào mức độ rủi ro bạn có thể chấp nhận, mức độ bảo mật bạn hy vọng đạt được cũng như khả năng thực hiện bảo mật của bạn.

Vì các công ty khác nhau có các mức độ khác nhau về việc triển khai an ninh mạng (ARC, 2019), nên việc đề xuất một phương pháp duy nhất phù hợp với tất cả chúng là một thách thức. Chúng tôi dự định trình bày bộ tiêu chuẩn IEC 62443 làm hướng dẫn an ninh mạng phù hợp cho bất kỳ quy trình công nghiệp quan trọng nào. Chúng tôi sẽ chủ yếu tập trung vào các công nghệ được sử dụng với các tài sản cơ sở hạ tầng mạng và trình bày một cách tiếp cận có hệ thống và tự động để cấu hình giúp tránh lỗi do con người. Cách tiếp cận này giúp xác minh các chức năng hiện có của từng thiết bị được kết nối với mạng, bằng cách đảm bảo chúng phù hợp với các hướng dẫn do tiêu chuẩn IEC 62443 đề xuất và để cảnh báo người dùng nếu cấu hình thiết bị không đáp ứng các yêu cầu tối thiểu.

Tiếp cận một cách có hệ thống

Việc sử dụng phương pháp tiếp cận có hệ thống và chủ yếu là tự động để triển khai các cấu hình là điều cần thiết để đảm bảo tính đồng nhất và quan trọng hơn là khả năng lặp lại nhất quán và đáng tin cậy của các cấu hình. Cách tiếp cận này nhằm mục đích giảm thiểu số lượng nhiệm vụ mà con người phải thực hiện thủ công trong quá trình này, vì yếu tố con người được coi là nguyên nhân chính gây ra các sự cố mạng, bất kể họ có cố ý hay không. Vấn đề phức tạp hơn nữa là thực tế các lỗ hổng do lỗi do con người gây ra rất khó phát hiện. Do việc phát hiện lỗ hổng thường dựa vào quy trình kiểm toán mà một công ty đã thực hiện, quy trình này có thể không đáng tin cậy 100%. Cuối cùng, những người thực hiện các cấu hình có thể tin rằng họ đã triển khai đúng cách, điều này khiến các mạng dễ bị tấn công. Điều quan trọng là phải chú ý đến không chỉ bản thân các phương pháp luận, tức là 'Điều gì cần thực hiện', mà còn cả cách thức thực hiện chúng, 'Cách thức'. Bằng cách tiếp cận có hệ thống và tự động để triển khai các cấu hình, những rủi ro này có thể được giảm thiểu đáng kể, tăng độ tin cậy và bảo mật của mạng.

Triển khai có sự hỗ trợ của phần mềm

Phần mềm có thể là một trong những tùy chọn “cách thức” cho phép bạn triển khai thành công các quy trình bảo mật. Ngay cả những kỹ sư giàu kinh nghiệm nhất cũng không thể ghi nhớ tất cả các cấu hình cần thiết cho các quy trình bảo mật này. Một vấn đề khác làm phức tạp thêm vấn đề là khi các công ty muốn quản lý các cấu hình và giữ cho chúng nhất quán trong suốt vòng đời của mạng. Dưới đây là ba mẹo khi sử dụng phần mềm để thực hiện cấu hình.

Phát triển danh sách kiểm tra để thực hiện các biện pháp an ninh

Trước khi các kỹ sư bắt đầu thực hiện các cấu hình, điều cần thiết là phải cung cấp cho họ các nguyên tắc rõ ràng bằng cách soạn danh sách kiểm tra dựa trên chính sách bảo mật của công ty. Theo tiêu chuẩn IEC 62443, cần xem xét năm giai đoạn (Hình 2). Ví dụ: nên bật bảo vệ tên người dùng và mật khẩu để xác minh danh tính người dùng khi đăng nhập vào thiết bị, mặc dù không có biện pháp bảo mật vì việc truy cập thiết bị không có mật khẩu bảo vệ dễ dàng và nhanh chóng hơn nhiều.

Sử dụng hình ảnh thay vì danh sách

Một trong những cách hiệu quả nhất để hỗ trợ quá trình kiểm tra bảo mật mà không ảnh hưởng đến đánh giá của người dùng là sử dụng các biểu diễn đồ họa thay vì danh sách để xác định thiết bị trên mạng. Hình ảnh được xử lý nhanh hơn và não người dễ nhận ra hơn. Do đó, việc sử dụng các biểu diễn đồ họa giúp nhanh chóng xác định các cài đặt bảo mật của từng thiết bị.

Sử dụng màu sắc

Điểm cuối cùng mà chúng ta sẽ xem xét là sự khác biệt về màu sắc để làm nổi bật các mức độ bảo mật khác nhau. Bộ não con người có thể dễ dàng nhận ra các tông màu khác nhau (Engel S, Zhang X, Wandell B, 1997), có nghĩa là các màu khác nhau có thể được sử dụng để giúp người dùng nhận dạng nhanh tình trạng bảo mật của từng thiết bị và thông báo cho họ về các hành động có thể xảy ra. mà phải được thực hiện.

Tổng kết

Các phương pháp hệ thống và tự động đáng tin cậy hơn các quy trình lặp đi lặp lại và thủ công do con người thực hiện. Điều quan trọng là tất cả các tính năng an ninh mạng hiện có phải phù hợp với nhu cầu riêng của từng hệ thống và được thực hiện một cách chính xác. Tiếp cận có hệ thống có thể giúp bạn đối phó với các cấu hình bảo mật phức tạp, đồng thời giảm thiểu lỗi của con người. Phần mềm quản lý mạng Moxa’s MXview cung cấp cho bạn cái nhìn tổng thể về tình trạng bảo mật của các thiết bị mạng của bạn và phần mềm cấu hình MXconfig cho phép bạn định cấu hình hàng loạt các thông số bảo mật để tăng cường bảo mật mạng của bạn. Hơn nữa, Moxa cũng đã sản xuất danh sách kiểm tra bảo mật cho các thiết bị chuyển mạch Ethernet và máy chủ thiết bị nối tiếp của mình để giúp người dùng thực hiện các biện pháp bảo mật. Tham khảo bài viết gốc tại: https://www.moxa.com/en/articles/how-to-consistently-check-your-industrial-network-security

An ninh mạng: mạng S.M.A.R.T từ nhà tới nơi làm việc

Cuộc đại dịch gần đây đã thay đổi các cách thức tương tác thường ngày một cách mãnh liệt, biến các hoạt động trực tiếp trở nên xa vời, thế nhưng các cuộc gặp dựa trên nền tảng số đã trở thành trung tâm giải quyết vấn đề này. Từ việc phải làm việc từ xa đến giãn cách xã hội, các ngành công nghiệp đang thích nghi nhanh chóng với trạng thái bình thường mới. Các nhà máy cũng không ngoại lệ và hiện đang thích ứng với những nhu cầu thiết yếu mới sau sự bùng nổ của COVID-19. Dưới đây là hai ví dụ về thay đổi trong các nhà máy hoạt động riêng lẻ.

• Tăng tốc chuyển dịch sang tự động hóa: Các nhà máy dựa vào nhân công để hoạt động đang tăng tốc để chuyển dịch sang dây chuyền lắp ráp tự động với muc tiêu để giảm bớt tác động của đại dịch, do người lao động không thể đến nhà máy. Tuy nhiên, hệ thống tự động hóa yêu cầu nhiều hơn nữa các thiết bị được kết nối với Internet, và vì thế rủi ro bởi các cuộc tấn công vào hệ thống an ninh mạng tăng lên rất nhiều.
• Mở rộng quy mô bảo mật thông tin: Trước đây, tất cả các thiết bị phục vụ sản xuất và nhân viên đều làm việc gói gọn trong khuôn khổ nhà máy, nhưng ngày nay các nhà máy được vận hành từ xa. Khi mọi người bắt đầu làm việc từ xa, hệ thống bảo mật cho nhà máy cần phải được mở rộng để bảo vệ các thiết bị, vì những thiết bị này rất dễ bị tấn công mạng khi kết nối vào Internet.

Giải quyết các rủi ro này, Jesse Ku, một chuyên gia về bảo mật cho các hệ thống điều khiển trong công nghiệp làm việc tại Moxa, trước đó cũng đã làm việc cho hệ thống an ninh quốc gia, và đã được chứng nhận IEC 62443. Anh đưa ra 5 điểm “S.M.A.R.T” cho chiến lược an toàn thông tin:

• Kiểm tra tất cả những thứ bạn muốn bảo vệ (Scan what you want to secure): Trong lĩnh vực bảo mật, phương thức thông dụng nhất để năng cao bảo mật là năng cao hiệu quả bảo vệ. Bằng cách thưởng xuyên quét máy tính và thiết bị sản xuất trong nhà máy với phần mềm diệt virus để loại mã độc, phần mềm độc hại, nguy cơ về dừng hoạt động không mong muốn có thể giảm đáng kể. Làm việc từ xa ngày càng phổ biến trong lĩnh vực sản xuất, tuyến phòng thủ đầu tiên này phải được mở rộng để bao phủ bất kỳ thiết bị nào được sử dụng từ xa.
• Quản lý kiến trúc bảo mật (Manage security architecture): Điều cần thiết là các mạng trong nhà máy phải ổn định và dễ quản lý. Khái niệm bảo vệ theo chiều sâu được yêu thích bởi các chuyên gia an toàn thông tin, nó hỗ trợ nhiều giao thức bảo vệ đa lớp, thường bị bỏ qua do tính phức tạp của nó. Tuy nhiên, các nhà máy bắt đầu đầu tư mạnh vào tự động hóa, quản lý bảo mật, ví dụ như các mạng phân đoạn thường liên quan đến việc thiết lập giữa Firewall và thiết bị tự động hóa, trung tâm quản lý, trở nên cần thiết. Trong yêu cầu gia tăng bảo mật của bất kỳ thiết bị thông tin nào, các giao thức của chúng nên được thực hiện nhanh chóng.
• Tăng tốc việc vá lỗi (Accelerate patching): Trước đây, có hai nguyên tắc chỉ đạo chính để vận hành nhà máy: đảm bảo an toàn cho con người và duy trì sản xuất ổn định. Và không may, các bản cập nhật phần mềm do các nhà sản xuất thiết bị cung cấp thường bị bỏ qua nếu thiết bị sản xuất vẫn hoạt động. Sự giám sát này trong việc vá lỗi bảo mật có thể gây ra hậu quả thảm khốc vì phần mềm vẫn dễ bị tấn công và cho phép vi phạm an ninh mạng. Theo một báo cáo của Trend Micro [1], kể từ năm 2014, các vi phạm an ninh mạng liên quan đến cách thức lưu trữ thông tin trong thiết bị điều khiển công nghiệp đã gia tăng đáng kể. Điều quan trọng là phải luôn ghi nhớ rằng các lỗ hổng phần mềm có thể gây ra hậu quả nghiêm trọng nếu chúng không được xử lý ngay lập tức.
• Bảo mật kiểm soát từ xa (Remote control security): Khi làm việc tại nhà trở nên bình thường, việc kết nối từ xa máy tính gia đình với máy chủ của công ty diễn ra thường xuyên. Tuy nhiên, điều này gây ra những lo ngại đáng kể về an ninh mạng. Do đó, các cơ chế xác thực và bảo mật kết nối, chẳng hạn như ủy quyền đa yếu tố (MFA- multi-factor authorization) và xác thực người dùng, nên được triển khai để giảm đáng kể nguy cơ tấn công mạng
• Hướng dẫn mọi người (Teach everyone): Mạng an toàn nhất đòi hỏi sự tham gia của mỗi cá nhân truy cập mạng. Bằng cách đào tạo mọi người về tầm quan trọng của an ninh mạng thông qua các khóa đào tạo thích hợp, lý do đằng sau các quyết định và những thay đổi liên quan đối với các giao thức, sẽ làm tăng cơ hội thành công của chính sách bảo mật. Hơn nữa, được trang bị với sự hiểu biết đầy đủ về những thay đổi sắp tới, nhân viên có thể thích ứng một cách trơn tru với khuôn khổ và quy định bảo mật mới.

Khi các công nghệ tự động hóa tiếp tục được cải thiện, bất kỳ thiết bị mạng OT cũ nào sẽ trở thành gánh nặng hơn vì thiết bị này dễ bị tấn công bởi các lỗ hổng bảo mật hơn nhiều. Thật không may, những lỗ hổng bảo mật này cùng với việc thiếu đào tạo về bảo mật cho nhân viên nhà máy đã khiến các nhà máy dễ bị tấn công bởi mã độc. Vào tháng 6 năm 2020, một máy chủ của nhà sản xuất ô tô Honda, đã bị tấn công mạng. Cuộc tấn công đã đóng cửa nhiều nhà máy của công ty đặt tại các quốc gia khác nhau. Hàng nghìn nhân viên đã phải về nhà và chờ hệ thống hoạt động trở lại. Một ví dụ khác là Norsk Hydro, công ty hàng đầu toàn cầu về sản xuất nhôm, cũng bị tấn công bằng phần mềm độc hại vào năm 2019, dẫn đến việc chuyển đổi khẩn cấp từ hoạt động tự động sang thủ công tại dây chuyền sản xuất chính. Norsk Hydro đã mất hơn một tuần để hoạt động sản xuất của họ trở lại công suất bình thường, gây thiệt hại ước tính hơn 75 triệu USD. Khi các nhà máy dần trở nên tự động hơn và thông minh hơn, điều cần thiết là phải thực hiện xem xét cẩn thận chiến lược bảo mật hiện tại của họ. Đại dịch đã thay đổi không chỉ các chuẩn mực xã hội của chúng ta mà còn cả cách chúng ta làm việc. Khi làm việc từ xa trở thành tiêu chuẩn mới, tương lai của an ninh mạng sẽ là biên giới mới và quan trọng đối với mọi nhà quản lý của một nhà máy thông minh. Tham khảo bài viết gốc tại: https://www.moxa.com/en/articles/cybersecurity-get-smart-from-home-to-the-workplace

Các phương pháp tối ưu giúp Tăng cường an ninh mạng công nghiệp – Hệ thống lưu trữ năng lượng

Ngày càng có nhiều sự cố an ninh mạng tương tự nhau xảy ra trong các hệ thống OT (Operation Technology), chủ doanh nghiệp và các cơ quan quản lý muốn tìm kiếm các giải pháp tăng cường an ninh mạng công nghiệp đảm bảo các hoạt động của doanh nghiệp diễn ra ổn định. Trong các bài viết trước, chúng tôi đã giới thiệu về khái niệm bảo vệ chuyên sâu cho phép bạn tận dụng cơ sở hạ tầng mạng hiện có và đầu tư để xây dựng các bước đầu tiên trong hệ thống an ninh mạng của bạn. Trong bài viết này, chúng tôi sẽ chia sẻ các phương pháp tốt nhất, mà trong đó chúng tôi đã phối hợp tích cực với các khách hàng toàn cầu của mình, để đảm an toàn cho cơ sở hạ tầng quan trọng của họ – hệ thống lưu trữ năng lượng cho lĩnh vực năng lượng tái tạo.

Khi nói đến năng lượng tái tạo, chúng ta thường nghĩ đến các trang trại năng lượng mặt trời hoặc gió mang lại điện sạch hơn cho người sử dụng. Đây là một sáng kiến tuyệt vời tiếp tục thúc đẩy nền kinh tế toàn cầu trong khi giảm lượng khí thải carbon dioxide. Cả lĩnh vực công và tư nhân đều đang nghiên cứu cùng nhau để hướng tới tương lai lành mạnh này. Tuy nhiên, một trong những bất cập của năng lượng tái tạo là khó khăn trong việc kết nối cung với cầu. Mặt trời không phải lúc nào cũng chiếu sáng khi người tiêu dùng cần điện trong thời gian cao điểm và gió không ngừng thổi trong thời gian thấp điểm. Một trong những cách tốt nhất để ổn định lưới điện và cung cấp nguồn điện ổn định hơn là sử dụng pin có thể lưu trữ năng lượng dư thừa khi nguồn cung cấp cao và có thể xả điện khi nguồn cung cấp thấp.

Những thách thức bảo mật của hệ thống lưu trữ năng lượng

Hệ thống lưu trữ năng lượng (ESS) là gì?

Một hệ thống lưu trữ năng lượng có thể chuyển đổi năng lượng điện được tạo ra thành một dạng có thể được lưu trữ. Một ví dụ phổ biến về lưu trữ năng lượng trong lĩnh vực năng lượng tái tạo là pin có thể tái sạc. Một ESS (Enenergy Storage System) điển hình trong trang trại gió hoặc năng lượng mặt trời bao gồm hệ thống quản lý năng lượng (EMS- Energy Management System) và bộ điều khiển nhà máy điện để giám sát và kiểm soát hoạt động của ESS trong thời gian thực. Bộ điều khiển nhà máy điện tổng hợp dữ liệu được thu thập từ các hệ thống chuyển đổi điện năng (PCS- Power Converstion System) và hệ thống quản lý pin (BMS- Battery Management System). Tất cả các thiết bị được đặt trong các container thường được triển khai trong môi trường khắc nghiệt như sa mạc hoặc Bắc Cực, nơi các nguồn năng lượng tái tạo như ánh sang mặt trời và gió dồi dào.

Sơ đồ: Kịch bản điển hình của một hệ thống lưu trữ năng lượng

Những thách thức bảo mật

ESS, như đã đề cập trước đó, bao gồm nhiều hệ thống để đảm bảo tính ổn định của toàn bộ quá trình lưu trữ và cung cấp điện. Giao tiếp mạng giữa EMS, PCS và BMS cần được bảo vệ khỏi sự truy cập trái phép và bất kỳ hoạt động không mong muốn nào có thể làm gián đoạn hoạt động. Do đó, chúng tôi khuyên bạn nên xem xét các rủi ro bảo mật tiềm ẩn từ hai khía cạnh. Đầu tiên là ranh giới bảo mật mạng tổng thể: quyền truy cập có được xác thực và ủy quyền không, và các lệnh có được gửi như mong đợi không? Hai là bảo mật giao tiếp ở biên: giao tiếp và truy cập của thiết bị có được bảo vệ an toàn không? Các cơ chế bảo mật này cần được thiết kế khi các container được sản xuất tại các địa điểm sản xuất, cho phép toàn bộ hệ thống được phân phối và kết nối hiệu quả với trang trại và lưới điện.

Các phương pháp tốt nhất bảo vệ hệ thống lưu trữ năng lượng

Để đi sâu hơn vào hai quan điểm này, chúng ta sẽ xem xét các trường hợp điển hình sau đây để hiểu các phương pháp có thể bảo vệ cả cho mạng Ethernet và Nối tiếp (Serial) từ biên đến cấp độ mạng truyền thông.

Xây dựng ranh giới bảo mật theo chiều dọc và chiều ngang

Để bảo vệ truyền thông thông tin giữa hệ thống năng lượng tái tạo, bộ điều khiển nhà máy điện, hệ thống chuyển đổi điện và hệ thống trạm biến áp, chúng tôi khuyên bạn nên triển khai trạng thái tường lửa với khả năng kiểm tra gói tin chuyên sâu Modbus (DPI-Deep Packet Inspection).

• Bảo vệ dọc: tường lửa đóng một vai trò quan trọng như một người gác cổng để bảo vệ giao tiếp giữa các hệ thống.
• Bảo vệ ngang: công cụ kiểm tra gói Modbus có thể kiểm tra các lệnh đi qua và loại các gói không được ủy quyền hoặc không được liệt kê.

Sơ đồ: Tường lửa và công cụ kiểm tra gói Modbus xây dựng cả bảo vệ dọc và ngang. Cổng giao thức tạo điều kiện giao tiếp ở biên

Vì các trang trại năng lượng mặt trời hoặc gió thường được đặt ở các khu vực xa xôi, việc triển khai giải pháp tường lửa /NAT /VPN /switch tất cả trong một có tính năng dự phòng mạng, có thể giúp các nhà tích hợp hệ thống thiết kế hiệu quả kiến trúc mạng trước khi hệ thống được đưa vào vận hành tại hiện trường. Chức năng NAT cũng có thể giúp quản lý tính nhất quán của địa chỉ IP cho thiết bị trong mỗi container, giảm bớt sự phức tạp phát sinh từ các địa chỉ IP xung đột.

Tăng cường bảo mật kết nối từ xa cho hệ thống lưu trữ Li-ion

Để truyền thông liên tục và an toàn giữa ESS và trung tâm điều khiển, chúng tôi đề xuất một giải pháp kết nối biên đáng tin cậy được triển khai ở giữa.

• Tạo điều kiện giao tiếp ở biên: triển khai các cổng giao thức giữa pin dựa trên  Modbus Serial và RPU dựa trên Ethernet để đảm bảo giao tiếp liền mạch.
• Bảo mật thông tin liên lạc: tận dụng các tính năng bảo mật như HTTPS, quản lý SNMPv3 và Địa chỉ IP có thể truy cập để đảm bảo giao tiếp và truy cập của thiết bị được bảo vệ an toàn, giảm rủi ro và nâng cao độ tin cậy của thông tin liên lạc từ xa.

Sơ đồ: Tăng cường bảo mật kết nối từ xa ở biên

Để đảm bảo hoạt động trơn tru của ESS, bạn cần chú ý đến một số điều kiện hoạt động. Thông tin như mức pin, độ ổn định nguồn điện và điều kiện môi trường yêu cầu giám sát liên tục từ trung tâm điều khiển. Do đó, một cổng giao thức có các công cụ cấu hình dễ sử dụng có thể giúp các nhà khai thác thu thập dữ liệu từ nhiều loại thiết bị trường nối tiếp(serial-based) và kết hợp nó vào các hệ thống Ethernet (Ethernet-based) một cách trơn tru. Ngoài ra, các cổng giao thức được bảo mật cứng có tính năng bảo mật cùng với hướng dẫn bảo mật cứng (security hardening) từng bước có thể tăng cường bảo mật thiết bị nỗ lực tối thiểu. Moxa đã giúp khách hàng xây dựng các mạng truyền thông an toàn trên toàn thế giới. Tải xuống các Case study để tìm hiểu thêm thông tin.

Kết luận

Hệ thống lưu trữ năng lượng an toàn và tin cậy (ESS) có thể giúp mở rộng công suất điện của ngành năng lượng tái tạo để đáp ứng vấn đề tăng tỷ trọng năng lượng tái tạo và ổn định cung cấp điện. ESS cũng đóng một vai trò quan trọng để duy trì bảo mật của cơ sở hạ tầng quan trọng. Dựa trên toàn bộ hệ sinh thái điện, chúng tôi khuyên bạn nên bảo mật mạng và thông tin liên lạc bằng cách xác định ranh giới an ninh mạng để xác định ai có thể truy cập mạng và thông tin cách họ có thể xâm nhập vào mạng đó. Ngoài ra, để nâng cao độ tin cậy của hệ thống quản lý và lưu trữ điện, bắt buộc phải đảm bảo tính bảo mật của thông tin liên lạc giữa các thiết bị kết nối pin và cảm biến bên trong các container. Các dòng sản phẩm chuyển đổi giao thức MGate cung cấp nhiều tùy chọn chuyển đổi giao thức cho các ứng dụng ESS. Các thiết bị chuyển đổi giao thức của Moxa được thiết kế dựa trên tiêu chuẩn IEC 62443 để tăng cường bảo mật thiết bị và kết nối của bạn khi bạn kết nối dữ liệu trường quan trọng với mạng IP. Ngoài ra, các thiết bị chuyển đổi giao thức MGate của có các công cụ khắc phục sự cố và dễ cấu hình, cài đặt, giúp đơn giản hóa việc triển khai thiết bị và giúp bảo trì dễ dàng hơn cho các kỹ sư. Các bộ định tuyến công nghiệp dòng EDR-G9010 giúp tăng cường an ninh mạng không chỉ hình thành bảo vệ biên mà còn ngăn chặn sự di chuyển ngang của lưu lượng truy cập độc hại hoặc trái phép. Với công cụ kiểm tra gói tin chuyên sâu, dòng router/firewall EDR-G9010 có thể nhận diện các giao thức công nghiệp như Modbus TCP/UDP, DNP3 để bảo vệ truyền thông giữa ESS và trạm biến áp. Tham khảo bài viết gốc tại: https://www.moxa.com/en/articles/best-practices-enhance-industrial-cybersecurity-engergy-storage-system

Hai nguyên tắc cơ bản giúp đưa ra các quyết định tối ưu cho an ninh mạng truyền thông công nghiệp

Quản lý an ninh mạng hiệu quả là điều bắt buộc đối với tất cả các tổ chức. Có nhiều tiêu chuẩn và hướng dẫn có sẵn cho các tổ chức tham khảo để xây dựng hệ thống theo sự phát triển công nghệ. Trong bài viết này, chúng tôi sẽ giới thiệu các hạng mục hành động cụ thể dựa trên các khuôn khổ và tiêu chuẩn được xác định rõ khi xây dựng hệ thống quản lý an ninh mạng cho ICS (hệ thống điều khiển công nghiệp) của doanh nghiệp. Thực hiện phương pháp tiếp cận chuyên sâu về an ninh bảo mật để xây dựng mạng truyền thông và lựa chọn các giải pháp bảo mật theo thiết kế từ các nhà cung cấp đáng tin cậy có thể giúp đơn giản hóa quy trình ra quyết định về an ninh mạng của ICS.

Các yếu tố chính của Hệ thống quản lý an ninh mạng

Để hiểu các yếu tố chính của hệ thống quản lý an ninh mạng (CSMS), chúng ta có thể xem xét sâu hơn một trong những tiêu chuẩn ngành được xác định rõ ràng, loạt tiêu chuẩn IEC 62443, cung cấp cách tiếp cận toàn diện và rộng rãi đối với bảo mật hệ thống điều khiển công nghiệp (ICS). Mặc dù các tiêu chuẩn này cung cấp nhiều thông tin cho chủ sở hữu tài sản, người quản lý chuỗi cung ứng và nhóm phát triển sản phẩm trong phạm vi ứng dụng thực địa ngày càng mở rộng, nhưng có thể khó khăn để chắt lọc các mục hành động cụ thể để xây dựng hệ thống quản lý an ninh mạng ICS của riêng bạn. Ở đây, chúng tôi xác định các yếu tố chính trong quá trình phát triển CSMS do tiêu chuẩn IEC 62443 đề xuất.

Bảng 1: Các yếu tố quan trọng được đưa ra theo tiêu chuẩn IEC 62443

Các chủ sở hữu tài sản, các nhà tích hợp hệ thống và các nhà cung cấp sản phẩm đóng vai trò quan trọng trong toàn bộ hệ thống quản lý an ninh mạng như được đề xuất trong tiêu chuẩn IEC 62443. Cụ thể, tiêu chuẩn IEC 62443 khuyến nghị chủ sở hữu tài sản phân tích, giải quyết, giám sát và cải thiện khả năng tự bảo vệ của hệ thống quản lý an ninh mạng trước các rủi ro phù hợp với khả năng chịu rủi ro của công ty. Ngoài ra, tiêu chuẩn IEC 62443 khuyến nghị phát triển bảo mật trong suốt vòng đời sản phẩm để duy trì mức độ bảo mật có thể chấp nhận được trong các sản phẩm và hệ thống mà nhà cung cấp giải pháp hoặc nhà tích hợp hệ thống cung cấp.

Hình 1: Ví dụ về phạm vi về vòng đời sản phẩm

Có hai nguyên tắc được đề cập trong khuôn khổ ở trên khuyến khích bạn thực hiện các hành động cụ thể sau:

• Thực hiện cách tiếp cận theo chiều sâu hệ thống để xây dựng mạng.
• Chọn nhà cung cấp cung cấp các giải pháp bảo mật theo thiết kế, bao gồm dịch vụ sau bán hàng và các quy trình phản hồi bảo mật đã thiết lập.

Tuân thủ theo hai nguyên tắc này sẽ giúp bạn bảo vệ thiết bị trong hệ thống khỏi các lỗ hổng bảo mật và giúp quản lý các rủi ro bảo mật tốt hơn.

Xây dựng mạng chuyên sâu về phòng vệ

Một trong những điểm yếu bảo mật phổ biến nhất trong hệ thống ICS là việc sử dụng mạng “phẳng” cho phép tất cả các thiết bị trên mạng giao tiếp với nhau, ngay cả khi không cần thiết. Kiến trúc mạng “phẳng” góp phần vào việc thiếu kiểm soát thông tin trên mạng và tạo điều kiện cho cả việc lan truyền mối đe dọa và suy giảm thông tin liên lạc. Tham khảo cẩm nang của quân sự, chủ sở hữu tài sản có thể áp dụng phương pháp tiếp cận chuyên sâu khi xây dựng mạng lưới của họ. Trong danh sách bảo vệ, phòng vệ theo chiều sâu đề cập đến việc thực hiện nhiều cấp độ hoặc nhiều lớp bảo vệ để ngăn chặn kẻ xâm nhập tiến sâu vào trong. Tương tự, các mạng bảo vệ theo chiều sâu được phân chia thành nhiều khu vực và đường dẫn, mỗi khu vực được ấn định các cấp độ bảo mật khác nhau tùy thuộc vào các rủi ro liên quan.

Đánh giá mức độ bảo mật

Một phần quan trọng của chiến lược bảo vệ theo chiều sâu là xem xét các biện pháp đối phó với các khu vực và các sản phẩm nội bộ. Theo đó, tiêu chuẩn IEC 62443 đưa ra khái niệm về mức độ bảo mật có thể được áp dụng cho các vùng, ống dẫn, kênh và sản phẩm. Mức độ bảo mật (SL-Security Level) được xác định bằng cách nghiên cứu một thiết bị cụ thể, và sau đó xác định mức độ bảo mật mà nó phải có, tùy thuộc vào vị trí của nó trong hệ thống. Các cấp độ bảo mật có thể được phân loại thành bốn cấp độ riêng biệt từ 1 đến 4, (mặc dù tiêu chuẩn cũng đề cập đến cấp "mở" 0 hiếm khi được sử dụng):

• Mức độ bảo mật 1 (SL1): mức độ thông thường.
• Mức độ bảo mật 2 (SL2): một cuộc tấn công có chủ đích với tài nguyên thấp.
• Mức độ bảo mật 3 (SL3): một cuộc tấn công có chủ đích với tài nguyên vừa phải.
• Mức độ bảo mật 4 (SL4): một cuộc tấn công có chủ đích với các nguồn tài nguyên mở rộng.

Cân bằng rủi ro và chi phí

Khi mức độ bảo mật yêu cầu của một vùng được xác định, cần phải được phân tích xem các thiết bị bên trong vùng có thể đáp ứng mức độ bảo mật tương ứng hay không. Nếu không, cần phải lập kế hoạch các biện pháp đối phó có thể giúp đạt mức độ bảo mật yêu cầu. Các biện pháp đối phó này có thể là kỹ thuật (tường lửa), quy trình (chính sách và thủ tục) hoặc vật lý (khóa). Điều quan trọng cần lưu ý là không phải mọi khu vực, ống dẫn hoặc thiết bị đều yêu cầu bảo mật Cấp 4. Chủ sở hữu tài sản hoặc nhà tích hợp hệ thống cần tiến hành phân tích rủi ro chi tiết để xác định mức độ rủi ro thích hợp cho từng khu vực và đường dẫn trong hệ thống của họ. Nói cách khác, có sự cân bằng vốn có giữa rủi ro và chi phí mà chủ sở hữu tài sản và nhà tích hợp hệ thống cần phải xem xét.

Chọn lựa các thành phần phần cứng

Khái niệm về mức độ bảo mật cũng áp dụng cho các thành phần xây dựng hệ thống. Trên thực tế, tiêu chuẩn IEC 62443-4-2 xác định cụ thể các yêu cầu bảo mật cho bốn loại thành phần:

1. Phần mềm ứng dụng
2. Thiết bị nhúng
3. Các thiết bị thành phần trong mạng.
4. Thiết bị mạng

Đối với mỗi loại thành phần, tiêu chuẩn IEC 62443-4-2 cũng xác định bảy yêu cầu cơ bản:

1. Kiểm soát nhận diện và xác thực
2. Giám sát ứng dụng hoạt động
3. Tính toàn vẹn của hệ thống
4. Bảo mật dữ liệu
5. Luồng dữ liệu bị hạn chế
6. Phản ứng kịp thời với các sự kiện
7. Nguồn lực sẵn sàng

May mắn rằng, có một số phòng thí nghiệm, chẳng hạn như Bureau Veritas và ISA Secure, có thể chứng nhận sản phẩm để đảm bảo chúng tuân thủ các yêu cầu của IEC 62443-4-2. Các phòng thí nghiệm này có thể đơn giản hóa quá trình lựa chọn chủ sở hữu. Tất cả những gì bạn cần làm là xác định mức độ bảo mật cần thiết và chọn một sản phẩm được chứng nhận đáp ứng yêu cầu đó. Thành phần đảm bảo an ninh này, còn được hiểu là sự tăng cường, thêm một lớp bảo vệ khác vào hệ thống như một phần của chiến lược phòng vệ theo chiều sâu (Defense-in-depth).

Chọn các nhà cung cấp thiết kế bảo mật với các hỗ trợ sau bán hàng

Bên cạnh việc lựa chọn các thiết bị tăng cường bảo mật, chủ sở hữu tài sản cũng cần chú ý cẩn thận đến các phương pháp quản lý chuỗi cung ứng. Trên thực tế, hỗ trợ sau bán hàng và ứng phó với các lỗ hổng bảo mật cũng quan trọng như cách thiết bị được thiết kế và xây dựng. Đó là bởi vì các thành phần xây dựng hệ thống quản lý an ninh mạng thường đến từ các nhà cung cấp riêng biệt. Nếu thiết bị của nhà cung cấp bị xâm phạm, thì thiết bị và có thể là toàn bộ hệ thống của bạn cũng có thể bị xâm phạm. Vì vậy, bên cạnh bảo mật cấp độ thiết bị, bạn cũng sẽ muốn chọn các nhà cung cấp cung cấp bảo mật trong toàn bộ vòng đời sản phẩm, bao gồm hỗ trợ, kiểm soát chất lượng, xác nhận hiệu suất và phản hồi lỗ hổng bảo mật, trong số các khía cạnh khác. Nói cách khác, toàn bộ vòng đời sản phẩm cần được bảo mật theo từng thiết kế. Tiêu chuẩn IEC 62443 thậm chí còn dành riêng một tiểu mục cụ thể, IEC 62443-4-1, để chỉ rõ các yêu cầu để đảm bảo 'an toàn theo thiết kế' trong suốt vòng đời sản phẩm (nghĩa là thiết bị xây dựng, bảo trì và ngừng sản xuất). Các yêu cầu này thường được liên kết với sự hỗ trợ cần thiết cho quản lý bản vá, chính sách, thủ tục và thông tin liên lạc bảo mật về các lỗ hổng đã biết. Tương tự như tiêu chuẩn IEC 62443-4-2 về chứng nhận sản phẩm, có thể chứng nhận rằng nhà cung cấp giải pháp đang tuân thủ các thực tiễn quản lý an ninh tốt và tuân thủ các tiêu chí hữu hình trong tiêu chuẩn IEC 62443-4-1 giúp đơn giản hóa việc ra quyết định của chủ sở hữu tài sản quá trình. Hơn nữa, việc chọn một nhà cung cấp đáng tin cậy có cách tiếp cận chủ động để bảo vệ sản phẩm của họ khỏi các lỗ hổng bảo mật và giúp khách hàng của họ quản lý những rủi ro đó thông qua một nhóm phản hồi chuyên dụng, chẳng hạn như Moxa Cyber ​​Security Response Team (CSRT), cũng có thể giúp đảm bảo chuỗi cung ứng của bạn được bảo vệ ngay cả khi xuất hiện các lỗ hổng và mối đe dọa mới.

Kết luận

Bảo vệ các hệ thống kiểm soát công nghiệp để giữ cho cơ sở hạ tầng quan trọng trên toàn thế giới luôn hoạt động là nhiệm vụ khó khăn. Mặc dù có nhiều hướng dẫn và tiêu chuẩn để phát triển một hệ thống quản lý an ninh mạng toàn diện cho các mạng truyền thoogn công nghiệp, các chủ doanh nghiệp, các nhà tích hợp hệ thống và các nhà cung cấp sản phẩm cần phải làm việc cùng nhau khi xây dựng hệ thống và ứng dụng của riêng họ. Việc áp dụng phương pháp tiếp cận chuyên sâu để xây dựng mạng và lựa chọn các nhà cung cấp bảo mật theo thiết kế cung cấp các phản ứng chủ động đối với các lỗ hổng bảo mật có thể giúp đơn giản hóa sự phức tạp vốn có của việc xây dựng hệ thống quản lý an ninh mạng của riêng bạn. Tham khảo bài viết gốc tại: https://www.moxa.com/en/articles/fundamentals-great-decisions-for-industrial-cybersecurity

Bảo mật dịch vụ đám mây cho các máy truy cập từ xa

Các dịch vụ bảo trì và khắc phục sự cố từ xa đang cho phép các nhà sản xuất thiết bị gốc (OEM) và các nhà chế tạo máy hỗ trợ khách hàng của họ với hiệu quả cao hơn, cũng như giúp họ nâng cao năng suất. Các dịch vụ từ xa này không chỉ tạo điều kiện cho các quyết định nhanh hơn và thông minh hơn, mà còn giảm thời gian và chi phí hỗ trợ sau bán hàng và bảo trì cho máy móc và thiết bị đã cung cấp.

Mặc dù việc sử dụng mạng riêng ảo (VPN) để truy cập từ xa vào các máy móc và thiết bị công nghiệp từ bên ngoài vào hệ thống không phải là công nghệ mới, các nhà sản xuất OEM và chế tạo máy thường phải đối mặt thêm với những thách thức như: các mối quan tâm khác nhau về quyền riêng tư của khách hàng, cài đặt VPN phức tạp, quản lý địa chỉ IP, và tuân thủ các tiêu chuẩn bảo mật CNTT. Để vượt qua những thách thức này, các kết nối từ xa dựa trên đám mây có thể cung cấp khả năng truy cập từ xa dễ dàng, an toàn và linh hoạt vào máy móc và thiết bị của khách hàng. Bây giờ chúng ta sẽ xem xét hai tình huống phổ biến và xem chúng có thể hưởng lợi như thế nào từ các kết nối từ xa dựa trên đám mây an toàn.

Tình huống 1: Thu thập dữ liệu từ xa

Trong một nhà máy xử lý nước, nước thô phải trải qua quá trình xử lý và lọc để tạo ra nước uống an toàn cho con người. Để đạt được điều này, hàng nghìn cảm biến được triển khai để đo chất lượng nước. Các cảm biến được đặt tại hàng trăm cơ sở và tất cả đều cần được giám sát một cách đáng tin cậy. Ngoài việc xử lý và lọc nước, việc xử lý và phân phối nước sau khi được xử lý cũng quan trọng không kém để đảm bảo nước tiếp tục an toàn cho con người. Một thực tế phổ biến để tránh tái nhiễm bẩn nước trong hệ thống phân phối là giữ lại các chất khử trùng còn lại trong nước đã xử lý. Để đảm bảo rằng các chất khử trùng không đạt đến mức nguy hiểm, nước được giám sát liên tục bằng các cảm biến đặt trong đường ống. Các cảm biến trong đường ống gửi dữ liệu thông qua hệ thống SCADA đến thiết bị được lắp đặt bên trong tủ ven đường dọc theo đường phân phối. Một lợi ích khác của các hệ thống này là chúng cho phép giám sát lượng nước tiêu thụ của mỗi hộ gia đình hoặc cơ sở để đảm bảo tính phí phù hợp. Kết nối VPN truyền thống thường được sử dụng tại các cơ sở này, nhưng rất khó để mở rộng quy mô và quản lý vì ngày càng nhiều nhà hoặc cơ sở được xây dựng và cần được giám sát nguồn cấp nước của họ.

Tại sao nên kết nối từ xa dựa trên đám mây

Do cấu trúc liên kết phân tán cao, liên lạc từ xa dựa trên đám mây có thể cung cấp một cách dễ dàng và rẻ hơn cho các trung tâm xử lý nước và nước thải để trích xuất dữ liệu. Kết nối truyền thông từ xa dựa trên đám mây giúp giảm bớt gánh nặng thiết lập và mua thêm máy chủ và máy khách VPN khi có một địa điểm mới cần được giám sát, cũng như tránh chi phí lấy các địa chỉ IP công cộng cần thiết cho mỗi máy chủ và máy khách VPN. Hơn nữa, việc quản lý các chứng chỉ cho mỗi kết nối đơn giản hơn khi sử dụng truyền thông từ xa dựa trên đám mây.

Tình huống 2: Bảo trì từ xa

Máy chế biến thực phẩm được sử dụng để tự động hóa quá trình sản xuất và chế biến thực phẩm với quy mô lớn. Để các nhà sản xuất thực phẩm có thể mở rộng kinh doanh, điều cần thiết là máy móc của họ không gặp phải thời gian mạng ngừng hoạt động. Các công ty liên quan đến sản xuất thực phẩm hy vọng rằng OEM có thể cung cấp thời gian phản hồi rất nhanh khi cần bảo trì máy móc để đảm bảo mọi vấn đề xảy ra với máy móc không ảnh hưởng đến hoạt động. Để đảm bảo rằng thời gian phản hồi đủ nhanh để ngăn cản sự can thiệp vào hoạt động sản xuất bình thường, các nhà chế tạo máy cần một phương pháp an toàn và hiệu quả hơn để khắc phục sự cố và thực hiện các nhiệm vụ bảo trì mà không cần phải cử nhân viên đến từng địa điểm.

Tại sao nên kết nối từ xa dựa trên đám mây

Việc cấp quyền truy cập từ xa không hạn chế vào các máy trên sàn sản xuất sẽ khiến các chủ doanh nghiệp phải đối mặt với những rủi ro bảo mật không thể chấp nhận được và khiến họ dễ bị tấn công mạng. May mắn thay, truy cập từ xa dựa trên đám mây không chỉ cho phép các kỹ sư thực hiện nhiều nhiệm vụ bảo trì mà không cần phải trực tiếp đến nhà máy của từng khách hàng mà còn cho phép khách hàng kiểm soát quyền truy cập vào mạng của họ. Một tùy chọn có sẵn cho các nhà chế tạo máy là cung cấp cho khách hàng của họ một khóa vật lý, khóa này phải được kích hoạt để máy có thể được truy cập từ xa. Khách hàng cũng có thể hạn chế các chương trình trong máy có thể được sử dụng bởi các kỹ sư dịch vụ từ xa. Ngoài ra, khách hàng cũng có thể hạn chế các kết nối từ xa đến các phân đoạn mạng cụ thể để các kỹ sư hỗ trợ bên ngoài không có quyền truy cập vào toàn bộ mạng.

Thách thức hiện nay

Mặc dù truy cập từ xa dựa trên đám mây mang lại lợi ích rõ ràng cho khách hàng IIoT, nhưng các kỹ sư công nghệ vận hành (OT), người quản lý nước và xử lý nước thải và nhà sản xuất máy móc có thể thấy khó khăn khi thiết lập và duy trì các máy chủ đám mây của riêng họ để cung cấp các dịch vụ và ứng dụng mới. Thật vậy, có những nỗ lực đáng kể liên quan đến việc thiết lập cơ sở hạ tầng mới, ngay cả khi nó ở trên đám mây.

Dịch vụ đám mây bảo mật thuận tiện

Thật may mắn, các nhà sản xuất OEM và nhà chế tạo máy hiện có thể cung cấp các dịch vụ dựa trên đám mây an toàn và quyền truy cập từ xa cho khách hàng của họ mà không cần phải duy trì các máy chủ đám mây của riêng họ. Đặc biệt, các cổng kết nối từ xa (MRC) của Moxa cung cấp tùy chọn liên kết nhanh MRC để cung cấp khả năng truy cập từ xa dễ dàng, an toàn và linh hoạt vào máy móc và thiết bị qua đám mây. Chỉ cần kích hoạt MRC Quick Link bằng cách đăng ký cổng MRC của bạn trên Phần mềm Moxa bản quyền và bạn sẽ nhận được năm nút trực tuyến đồng thời và 5 GB dữ liệu mỗi tháng cho mỗi MRC Quick Link được kích hoạt. Tham khảo bài viết gốc tại: https://www.moxa.com/en/articles/secure-cloud-services-for-remote-machine-access