Hai nguyên tắc cơ bản giúp đưa ra các quyết định tối ưu cho an ninh mạng truyền thông công nghiệp

fundamentals-great-decisions-for-industrial-cybersecurity

Quản lý an ninh mạng hiệu quả là điều bắt buộc đối với tất cả các tổ chức. Có nhiều tiêu chuẩn và hướng dẫn có sẵn cho các tổ chức tham khảo để xây dựng hệ thống theo sự phát triển công nghệ. Trong bài viết này, chúng tôi sẽ giới thiệu các hạng mục hành động cụ thể dựa trên các khuôn khổ và tiêu chuẩn được xác định rõ khi xây dựng hệ thống quản lý an ninh mạng cho ICS (hệ thống điều khiển công nghiệp) của doanh nghiệp. Thực hiện phương pháp tiếp cận chuyên sâu về an ninh bảo mật để xây dựng mạng truyền thông và lựa chọn các giải pháp bảo mật theo thiết kế từ các nhà cung cấp đáng tin cậy có thể giúp đơn giản hóa quy trình ra quyết định về an ninh mạng của ICS.

Các yếu tố chính của Hệ thống quản lý an ninh mạng

Để hiểu các yếu tố chính của hệ thống quản lý an ninh mạng (CSMS), chúng ta có thể xem xét sâu hơn một trong những tiêu chuẩn ngành được xác định rõ ràng, loạt tiêu chuẩn IEC 62443, cung cấp cách tiếp cận toàn diện và rộng rãi đối với bảo mật hệ thống điều khiển công nghiệp (ICS). Mặc dù các tiêu chuẩn này cung cấp nhiều thông tin cho chủ sở hữu tài sản, người quản lý chuỗi cung ứng và nhóm phát triển sản phẩm trong phạm vi ứng dụng thực địa ngày càng mở rộng, nhưng có thể khó khăn để chắt lọc các mục hành động cụ thể để xây dựng hệ thống quản lý an ninh mạng ICS của riêng bạn. Ở đây, chúng tôi xác định các yếu tố chính trong quá trình phát triển CSMS do tiêu chuẩn IEC 62443 đề xuất.

Bảng 1: Các yếu tố quan trọng được đưa ra theo tiêu chuẩn IEC 62443

Các chủ sở hữu tài sản, các nhà tích hợp hệ thống và các nhà cung cấp sản phẩm đóng vai trò quan trọng trong toàn bộ hệ thống quản lý an ninh mạng như được đề xuất trong tiêu chuẩn IEC 62443. Cụ thể, tiêu chuẩn IEC 62443 khuyến nghị chủ sở hữu tài sản phân tích, giải quyết, giám sát và cải thiện khả năng tự bảo vệ của hệ thống quản lý an ninh mạng trước các rủi ro phù hợp với khả năng chịu rủi ro của công ty. Ngoài ra, tiêu chuẩn IEC 62443 khuyến nghị phát triển bảo mật trong suốt vòng đời sản phẩm để duy trì mức độ bảo mật có thể chấp nhận được trong các sản phẩm và hệ thống mà nhà cung cấp giải pháp hoặc nhà tích hợp hệ thống cung cấp.

fundamentals-great-decisions-for-industrial-cybersecurity

Hình 1: Ví dụ về phạm vi về vòng đời sản phẩm

Có hai nguyên tắc được đề cập trong khuôn khổ ở trên khuyến khích bạn thực hiện các hành động cụ thể sau:

  • Thực hiện cách tiếp cận theo chiều sâu hệ thống để xây dựng mạng.
  • Chọn nhà cung cấp cung cấp các giải pháp bảo mật theo thiết kế, bao gồm dịch vụ sau bán hàng và các quy trình phản hồi bảo mật đã thiết lập.

Tuân thủ theo hai nguyên tắc này sẽ giúp bạn bảo vệ thiết bị trong hệ thống khỏi các lỗ hổng bảo mật và giúp quản lý các rủi ro bảo mật tốt hơn.

Xây dựng mạng chuyên sâu về phòng vệ

Một trong những điểm yếu bảo mật phổ biến nhất trong hệ thống ICS là việc sử dụng mạng “phẳng” cho phép tất cả các thiết bị trên mạng giao tiếp với nhau, ngay cả khi không cần thiết. Kiến trúc mạng “phẳng” góp phần vào việc thiếu kiểm soát thông tin trên mạng và tạo điều kiện cho cả việc lan truyền mối đe dọa và suy giảm thông tin liên lạc.

Tham khảo cẩm nang của quân sự, chủ sở hữu tài sản có thể áp dụng phương pháp tiếp cận chuyên sâu khi xây dựng mạng lưới của họ. Trong danh sách bảo vệ, phòng vệ theo chiều sâu đề cập đến việc thực hiện nhiều cấp độ hoặc nhiều lớp bảo vệ để ngăn chặn kẻ xâm nhập tiến sâu vào trong. Tương tự, các mạng bảo vệ theo chiều sâu được phân chia thành nhiều khu vực và đường dẫn, mỗi khu vực được ấn định các cấp độ bảo mật khác nhau tùy thuộc vào các rủi ro liên quan.

Đánh giá mức độ bảo mật

Một phần quan trọng của chiến lược bảo vệ theo chiều sâu là xem xét các biện pháp đối phó với các khu vực và các sản phẩm nội bộ. Theo đó, tiêu chuẩn IEC 62443 đưa ra khái niệm về mức độ bảo mật có thể được áp dụng cho các vùng, ống dẫn, kênh và sản phẩm. Mức độ bảo mật (SL-Security Level) được xác định bằng cách nghiên cứu một thiết bị cụ thể, và sau đó xác định mức độ bảo mật mà nó phải có, tùy thuộc vào vị trí của nó trong hệ thống. Các cấp độ bảo mật có thể được phân loại thành bốn cấp độ riêng biệt từ 1 đến 4, (mặc dù tiêu chuẩn cũng đề cập đến cấp “mở” 0 hiếm khi được sử dụng):

  • Mức độ bảo mật 1 (SL1): mức độ thông thường.
  • Mức độ bảo mật 2 (SL2): một cuộc tấn công có chủ đích với tài nguyên thấp.
  • Mức độ bảo mật 3 (SL3): một cuộc tấn công có chủ đích với tài nguyên vừa phải.
  • Mức độ bảo mật 4 (SL4): một cuộc tấn công có chủ đích với các nguồn tài nguyên mở rộng.

Cân bằng rủi ro và chi phí

Khi mức độ bảo mật yêu cầu của một vùng được xác định, cần phải được phân tích xem các thiết bị bên trong vùng có thể đáp ứng mức độ bảo mật tương ứng hay không. Nếu không, cần phải lập kế hoạch các biện pháp đối phó có thể giúp đạt mức độ bảo mật yêu cầu. Các biện pháp đối phó này có thể là kỹ thuật (tường lửa), quy trình (chính sách và thủ tục) hoặc vật lý (khóa).

Điều quan trọng cần lưu ý là không phải mọi khu vực, ống dẫn hoặc thiết bị đều yêu cầu bảo mật Cấp 4. Chủ sở hữu tài sản hoặc nhà tích hợp hệ thống cần tiến hành phân tích rủi ro chi tiết để xác định mức độ rủi ro thích hợp cho từng khu vực và đường dẫn trong hệ thống của họ. Nói cách khác, có sự cân bằng vốn có giữa rủi ro và chi phí mà chủ sở hữu tài sản và nhà tích hợp hệ thống cần phải xem xét.

Chọn lựa các thành phần phần cứng

Khái niệm về mức độ bảo mật cũng áp dụng cho các thành phần xây dựng hệ thống. Trên thực tế, tiêu chuẩn IEC 62443-4-2 xác định cụ thể các yêu cầu bảo mật cho bốn loại thành phần:

  1. Phần mềm ứng dụng
  2. Thiết bị nhúng
  3. Các thiết bị thành phần trong mạng.
  4. Thiết bị mạng

Đối với mỗi loại thành phần, tiêu chuẩn IEC 62443-4-2 cũng xác định bảy yêu cầu cơ bản:

  1. Kiểm soát nhận diện và xác thực
  2. Giám sát ứng dụng hoạt động
  3. Tính toàn vẹn của hệ thống
  4. Bảo mật dữ liệu
  5. Luồng dữ liệu bị hạn chế
  6. Phản ứng kịp thời với các sự kiện
  7. Nguồn lực sẵn sàng

May mắn rằng, có một số phòng thí nghiệm, chẳng hạn như Bureau Veritas và ISA Secure, có thể chứng nhận sản phẩm để đảm bảo chúng tuân thủ các yêu cầu của IEC 62443-4-2. Các phòng thí nghiệm này có thể đơn giản hóa quá trình lựa chọn chủ sở hữu. Tất cả những gì bạn cần làm là xác định mức độ bảo mật cần thiết và chọn một sản phẩm được chứng nhận đáp ứng yêu cầu đó.

Thành phần đảm bảo an ninh này, còn được hiểu là sự tăng cường, thêm một lớp bảo vệ khác vào hệ thống như một phần của chiến lược phòng vệ theo chiều sâu (Defense-in-depth).

Chọn các nhà cung cấp thiết kế bảo mật với các hỗ trợ sau bán hàng

Bên cạnh việc lựa chọn các thiết bị tăng cường bảo mật, chủ sở hữu tài sản cũng cần chú ý cẩn thận đến các phương pháp quản lý chuỗi cung ứng. Trên thực tế, hỗ trợ sau bán hàng và ứng phó với các lỗ hổng bảo mật cũng quan trọng như cách thiết bị được thiết kế và xây dựng. Đó là bởi vì các thành phần xây dựng hệ thống quản lý an ninh mạng thường đến từ các nhà cung cấp riêng biệt. Nếu thiết bị của nhà cung cấp bị xâm phạm, thì thiết bị và có thể là toàn bộ hệ thống của bạn cũng có thể bị xâm phạm. Vì vậy, bên cạnh bảo mật cấp độ thiết bị, bạn cũng sẽ muốn chọn các nhà cung cấp cung cấp bảo mật trong toàn bộ vòng đời sản phẩm, bao gồm hỗ trợ, kiểm soát chất lượng, xác nhận hiệu suất và phản hồi lỗ hổng bảo mật, trong số các khía cạnh khác.

Nói cách khác, toàn bộ vòng đời sản phẩm cần được bảo mật theo từng thiết kế. Tiêu chuẩn IEC 62443 thậm chí còn dành riêng một tiểu mục cụ thể, IEC 62443-4-1, để chỉ rõ các yêu cầu để đảm bảo ‘an toàn theo thiết kế’ trong suốt vòng đời sản phẩm (nghĩa là thiết bị xây dựng, bảo trì và ngừng sản xuất). Các yêu cầu này thường được liên kết với sự hỗ trợ cần thiết cho quản lý bản vá, chính sách, thủ tục và thông tin liên lạc bảo mật về các lỗ hổng đã biết. Tương tự như tiêu chuẩn IEC 62443-4-2 về chứng nhận sản phẩm, có thể chứng nhận rằng nhà cung cấp giải pháp đang tuân thủ các thực tiễn quản lý an ninh tốt và tuân thủ các tiêu chí hữu hình trong tiêu chuẩn IEC 62443-4-1 giúp đơn giản hóa việc ra quyết định của chủ sở hữu tài sản quá trình.

Hơn nữa, việc chọn một nhà cung cấp đáng tin cậy có cách tiếp cận chủ động để bảo vệ sản phẩm của họ khỏi các lỗ hổng bảo mật và giúp khách hàng của họ quản lý những rủi ro đó thông qua một nhóm phản hồi chuyên dụng, chẳng hạn như Moxa Cyber ​​Security Response Team (CSRT), cũng có thể giúp đảm bảo chuỗi cung ứng của bạn được bảo vệ ngay cả khi xuất hiện các lỗ hổng và mối đe dọa mới.

Kết luận

Bảo vệ các hệ thống kiểm soát công nghiệp để giữ cho cơ sở hạ tầng quan trọng trên toàn thế giới luôn hoạt động là nhiệm vụ khó khăn. Mặc dù có nhiều hướng dẫn và tiêu chuẩn để phát triển một hệ thống quản lý an ninh mạng toàn diện cho các mạng truyền thoogn công nghiệp, các chủ doanh nghiệp, các nhà tích hợp hệ thống và các nhà cung cấp sản phẩm cần phải làm việc cùng nhau khi xây dựng hệ thống và ứng dụng của riêng họ. Việc áp dụng phương pháp tiếp cận chuyên sâu để xây dựng mạng và lựa chọn các nhà cung cấp bảo mật theo thiết kế cung cấp các phản ứng chủ động đối với các lỗ hổng bảo mật có thể giúp đơn giản hóa sự phức tạp vốn có của việc xây dựng hệ thống quản lý an ninh mạng của riêng bạn.

Tham khảo bài viết gốc tại: https://www.moxa.com/en/articles/fundamentals-great-decisions-for-industrial-cybersecurity

backtotop
hai-nguyn-tc-c-bn-gip-a-ra-cc-quyt-nh-ti-u-cho-an-ninh-mng-truyn-thng-cng-nghip-safenergy-i-din-moxa-ti-vit-nam