-
08/10/2013
-
401
-
989 bài viết
Những mối đe dọa an ninh đối với hệ thống OT
Ở các bài viết trước đã nêu lên những lỗ hổng bảo mật của hệ thống OT. Bài viết này nêu lên những mối đe dọa an ninh mà hệ thống OT có thể phải đối mặt.
Với sự hội tụ của OT và IT các hệ thống OT đang được sử dụng cho những tình huống công việc chưa lường trước so với thiết kế ban đầu. Cụ thể là các hệ thống OT đang được tích hợp và kết nối với các mạng IT và kết nối với Internet. Điều này làm tăng tính tiện lợi cho công việc khi nhân viên vận hành hệ thống OT có thể ngồi ngay ở văn phòng để vận hành hệ thống đó. Tuy nhiên mặt trái của nó thì các bạn đã biết là sự tiện lợi sẽ đi ngược với tính an ninh. Ngoài ra hầu hết các hệ thống OT sử dụng phần mềm cũ và lỗi thời mà không có bảo mật, để lại một lỗ hổng tiềm tàng cho tội phạm mạng truy cập vào các mạng IT của công ty. Các mạng OT kết nối tất cả các máy móc và cơ sở hạ tầng sản xuất, dẫn đến các cuộc tấn công mạng phức tạp và tinh vi gây ra thiệt hại vật chất thậm chí nguy hiểm tính mạng cho công nhân đang làm việc trong các dây chuyền sản xuất đó.
Thảo luận dưới đây là một số mối đe dọa quan trọng mà các mạng OT phải đối mặt:
1. Tấn công vào hệ thống bảo trì và quản trị
Những kẻ tấn công khai thác lỗ hổng zero-day để nhắm mục tiêu hệ thống bảo trì và quản trị mạng OT. Bằng cách khai thác các lỗ hổng này, những kẻ tấn công đưa và phát tán phần mềm độc hại vào các hệ thống IT và nhắm mục tiêu vào các hệ thống điều khiển công nghiệp được kết nối như SCADA và PLC
2. Rò rỉ dữ liệu
Những kẻ tấn công có thể khai thác các hệ thống IT được kết nối với mạng OT để có quyền truy cập vào thiết bị IT/OT gateway và đánh cắp dữ liệu quan trọng như các tệp cấu hình
3. Khai thác điểm yếu giao thức OT
Do các vấn đề tương thích, nhiều hệ thống OT sử dụng các giao thức và giao diện cũ đã lỗi thời như Modbus và CAN bus. Những kẻ tấn công khai thác các giao thức này để thực hiện các cuộc tấn công khác nhau vào các hệ thống OT. Ví dụ, những kẻ tấn công có thể lạm dụng tính năng dừng khẩn cấp (e-stop), là một cơ chế an toàn được sử dụng để tắt các máy móc đang hoạt động.
4. Khả năng phá hủy tài nguyên ICS
Những kẻ tấn công khai thác các lỗ hổng trong hệ thống OT để phá vỡ hoặc hạ cấp chức năng của cơ sở hạ tầng OT (thông qua down-grade firmware), dẫn đến các vấn đề nghiêm trọng về tính an toàn.
5. Các cuộc tấn công do thám
Hệ thống OT cho phép giao tiếp từ xa với cơ chế mã hóa hoặc xác thực tối thiểu hoặc không có. Những kẻ tấn công có thể thực hiện do thám và dò quét cơ sở hạ tầng OT để thu thập thông tin cần thiết cho các giai đoạn sau của cuộc tấn công.
6. Tấn công từ chối dịch vụ
Những kẻ tấn công khai thác các giao thức truyền thông như Giao thức Công nghiệp Chung (CIP) để thực hiện các cuộc tấn công DoS vào các hệ thống OT mục tiêu. Ví dụ, kẻ tấn công có thể gửi một yêu cầu kết nối CIP độc hại đến một thiết bị mục tiêu; khi kết nối được thiết lập, kẻ đó có thể gửi cấu hình IP giả đến thiết bị, nếu thiết bị chấp nhận cấu hình, khả năng lỗi kết nối có thể xảy ra giữa thiết bị và các hệ thống được kết nối khác.
7. Cuộc tấn công dựa trên HMI
Giao diện Người-Máy (Human-Machine Interface) thường được gọi vui là là giao diện Hacker-Máy. Ngay cả với sự tiến bộ và tự động hóa của OT, sự tương tác và kiểm soát của con người đối với quá trình hoạt động vẫn là những thách thức do các lỗ hổng tiềm ẩn. Việc thiếu các tiêu chuẩn toàn cầu để phát triển phần mềm HMI mà không có bất kỳ biện pháp bảo mật chuyên sâu nào về quốc phòng dẫn đến nhiều vấn đề về bảo mật. Những kẻ tấn công khai thác các lỗ hổng này để thực hiện các cuộc tấn công khác nhau như làm hỏng bộ nhớ, chèn mã, v.v. vào các hệ thống OT mục tiêu.
8. Khai thác các hệ thống và công cụ dành riêng cho doanh nghiệp
Những kẻ tấn công có thể nhắm mục tiêu vào các thiết bị ICS như Hệ thống Công cụ An toàn (SIS) để đưa phần mềm độc hại vào bằng cách khai thác các giao thức, ví dụ giao thức tự động phát hiện phần cứng, đồng thời làm gián đoạn hoặc làm hỏng các dịch vụ.
9. Spear Phishing (giả danh để lừa đảo)
Những kẻ tấn công gửi các email giả mạo có chứa các liên kết hoặc tệp đính kèm độc hại, có địa chỉ nguồn gửi trông hợp lệ và tin cậy cho nạn nhân. Khi nạn nhân nhấp vào liên kết hoặc tải xuống tệp đính kèm, nó sẽ đưa phần mềm độc hại vào, bắt đầu làm hỏng tài nguyên và tự lây lan sang các hệ thống khác. Ví dụ, kẻ tấn công gửi một email lừa đảo với tệp đính kèm độc hại đến một hệ thống nạn nhân, mà người này đang duy trì phần mềm bán hàng của nhà máy đang hoạt động. Khi nạn nhân tải xuống tệp đính kèm, phần mềm độc hại sẽ được đưa vào phần mềm bán hàng, tự lây lan sang các hệ thống nối mạng khác và cuối cùng làm hỏng các thành phần tự động hóa công nghiệp.
10. Tấn công dùng phần mềm độc hại
Những kẻ tấn công đang sử dụng lại các bộ phần mềm độc hại trước đây đã được sử dụng để khai thác các hệ thống IT, để bây giờ khai thác các hệ thống OT. Chúng thực hiện các cuộc tấn công do thám để xác định các lỗ hổng trong các hệ thống OT mới được kết nối. Khi phát hiện ra các lỗ hổng, họ sẽ sử dụng lại các phiên bản phần mềm độc hại phiên bản cũ để thực hiện các cuộc tấn công khác nhau vào hệ thống OT. Tại sao lại dùng phiên bản cũ, lý do là các hệ thống OT thường được update chậm hơn so với hệ thống IT.
11. Khai thác các lỗ hổng chưa được khắc phục
Những kẻ tấn công khai thác các lỗ hổng phần mềm chưa được vá trong các sản phẩm ICS. Các nhà cung cấp ICS thường chỉ tập trung phát triển các sản phẩm đạt tính tin cậy, hiệu suất, tốc độ cao, thời gian thực mà thường không chú ý đến tính năng bảo mật tích hợp. Ngoài ra, các nhà cung cấp này không có khả năng phát triển các bản vá lỗi nhanh như các nhà phát triển phần mềm IT. Vì những lý do này, những kẻ tấn công nhắm mục tiêu và khai thác các lỗ hổng ICS để thực hiện các cuộc tấn công khác nhau trên mạng OT.
12. Các cuộc tấn công kênh bên (Side-channel attack)
Những kẻ tấn công thực hiện các cuộc tấn công kênh bên để lấy thông tin quan trọng từ một hệ thống OT bằng cách quan sát quá trình thực hiện vật lý của nó. Bằng cách sử dụng các kỹ thuật khác nhau, chẳng hạn như phân tích thời gian và phân tích tín hiệu nguồn điện, để thực hiện các cuộc tấn công kênh bên.
13. Tấn công tràn bộ đệm
Kẻ tấn công khai thác các lỗ hổng tràn bộ đệm khác nhau tồn tại trong phần mềm ICS, chẳng hạn như giao diện web HMI, ứng dụng khách web ICS, giao diện truyền thông, v.v., để đưa dữ liệu độc hại và các lệnh nhằm sửa đổi hành vi và hoạt động bình thường của hệ thống.
14. Khai thác bộ điều khiển từ xa RF (Radio Frequency)
Mạng OT sử dụng công nghệ RF để điều khiển các hoạt động công nghiệp khác nhau từ xa. Các giao thức truyền thông thường thiếu tính bảo mật do vậy các giao thức này có thể bị kẻ tấn công lợi dụng để thực hiện các cuộc tấn công khác nhau vào các máy công nghiệp dẫn đến phá hoại sản xuất, kiểm soát hệ thống và truy cập trái phép.
Nguồn tham khảo
CEH
Với sự hội tụ của OT và IT các hệ thống OT đang được sử dụng cho những tình huống công việc chưa lường trước so với thiết kế ban đầu. Cụ thể là các hệ thống OT đang được tích hợp và kết nối với các mạng IT và kết nối với Internet. Điều này làm tăng tính tiện lợi cho công việc khi nhân viên vận hành hệ thống OT có thể ngồi ngay ở văn phòng để vận hành hệ thống đó. Tuy nhiên mặt trái của nó thì các bạn đã biết là sự tiện lợi sẽ đi ngược với tính an ninh. Ngoài ra hầu hết các hệ thống OT sử dụng phần mềm cũ và lỗi thời mà không có bảo mật, để lại một lỗ hổng tiềm tàng cho tội phạm mạng truy cập vào các mạng IT của công ty. Các mạng OT kết nối tất cả các máy móc và cơ sở hạ tầng sản xuất, dẫn đến các cuộc tấn công mạng phức tạp và tinh vi gây ra thiệt hại vật chất thậm chí nguy hiểm tính mạng cho công nhân đang làm việc trong các dây chuyền sản xuất đó.
Thảo luận dưới đây là một số mối đe dọa quan trọng mà các mạng OT phải đối mặt:
Những kẻ tấn công khai thác lỗ hổng zero-day để nhắm mục tiêu hệ thống bảo trì và quản trị mạng OT. Bằng cách khai thác các lỗ hổng này, những kẻ tấn công đưa và phát tán phần mềm độc hại vào các hệ thống IT và nhắm mục tiêu vào các hệ thống điều khiển công nghiệp được kết nối như SCADA và PLC
2. Rò rỉ dữ liệu
Những kẻ tấn công có thể khai thác các hệ thống IT được kết nối với mạng OT để có quyền truy cập vào thiết bị IT/OT gateway và đánh cắp dữ liệu quan trọng như các tệp cấu hình
3. Khai thác điểm yếu giao thức OT
Do các vấn đề tương thích, nhiều hệ thống OT sử dụng các giao thức và giao diện cũ đã lỗi thời như Modbus và CAN bus. Những kẻ tấn công khai thác các giao thức này để thực hiện các cuộc tấn công khác nhau vào các hệ thống OT. Ví dụ, những kẻ tấn công có thể lạm dụng tính năng dừng khẩn cấp (e-stop), là một cơ chế an toàn được sử dụng để tắt các máy móc đang hoạt động.
4. Khả năng phá hủy tài nguyên ICS
Những kẻ tấn công khai thác các lỗ hổng trong hệ thống OT để phá vỡ hoặc hạ cấp chức năng của cơ sở hạ tầng OT (thông qua down-grade firmware), dẫn đến các vấn đề nghiêm trọng về tính an toàn.
5. Các cuộc tấn công do thám
Hệ thống OT cho phép giao tiếp từ xa với cơ chế mã hóa hoặc xác thực tối thiểu hoặc không có. Những kẻ tấn công có thể thực hiện do thám và dò quét cơ sở hạ tầng OT để thu thập thông tin cần thiết cho các giai đoạn sau của cuộc tấn công.
6. Tấn công từ chối dịch vụ
Những kẻ tấn công khai thác các giao thức truyền thông như Giao thức Công nghiệp Chung (CIP) để thực hiện các cuộc tấn công DoS vào các hệ thống OT mục tiêu. Ví dụ, kẻ tấn công có thể gửi một yêu cầu kết nối CIP độc hại đến một thiết bị mục tiêu; khi kết nối được thiết lập, kẻ đó có thể gửi cấu hình IP giả đến thiết bị, nếu thiết bị chấp nhận cấu hình, khả năng lỗi kết nối có thể xảy ra giữa thiết bị và các hệ thống được kết nối khác.
7. Cuộc tấn công dựa trên HMI
Giao diện Người-Máy (Human-Machine Interface) thường được gọi vui là là giao diện Hacker-Máy. Ngay cả với sự tiến bộ và tự động hóa của OT, sự tương tác và kiểm soát của con người đối với quá trình hoạt động vẫn là những thách thức do các lỗ hổng tiềm ẩn. Việc thiếu các tiêu chuẩn toàn cầu để phát triển phần mềm HMI mà không có bất kỳ biện pháp bảo mật chuyên sâu nào về quốc phòng dẫn đến nhiều vấn đề về bảo mật. Những kẻ tấn công khai thác các lỗ hổng này để thực hiện các cuộc tấn công khác nhau như làm hỏng bộ nhớ, chèn mã, v.v. vào các hệ thống OT mục tiêu.
8. Khai thác các hệ thống và công cụ dành riêng cho doanh nghiệp
Những kẻ tấn công có thể nhắm mục tiêu vào các thiết bị ICS như Hệ thống Công cụ An toàn (SIS) để đưa phần mềm độc hại vào bằng cách khai thác các giao thức, ví dụ giao thức tự động phát hiện phần cứng, đồng thời làm gián đoạn hoặc làm hỏng các dịch vụ.
9. Spear Phishing (giả danh để lừa đảo)
Những kẻ tấn công gửi các email giả mạo có chứa các liên kết hoặc tệp đính kèm độc hại, có địa chỉ nguồn gửi trông hợp lệ và tin cậy cho nạn nhân. Khi nạn nhân nhấp vào liên kết hoặc tải xuống tệp đính kèm, nó sẽ đưa phần mềm độc hại vào, bắt đầu làm hỏng tài nguyên và tự lây lan sang các hệ thống khác. Ví dụ, kẻ tấn công gửi một email lừa đảo với tệp đính kèm độc hại đến một hệ thống nạn nhân, mà người này đang duy trì phần mềm bán hàng của nhà máy đang hoạt động. Khi nạn nhân tải xuống tệp đính kèm, phần mềm độc hại sẽ được đưa vào phần mềm bán hàng, tự lây lan sang các hệ thống nối mạng khác và cuối cùng làm hỏng các thành phần tự động hóa công nghiệp.
10. Tấn công dùng phần mềm độc hại
Những kẻ tấn công đang sử dụng lại các bộ phần mềm độc hại trước đây đã được sử dụng để khai thác các hệ thống IT, để bây giờ khai thác các hệ thống OT. Chúng thực hiện các cuộc tấn công do thám để xác định các lỗ hổng trong các hệ thống OT mới được kết nối. Khi phát hiện ra các lỗ hổng, họ sẽ sử dụng lại các phiên bản phần mềm độc hại phiên bản cũ để thực hiện các cuộc tấn công khác nhau vào hệ thống OT. Tại sao lại dùng phiên bản cũ, lý do là các hệ thống OT thường được update chậm hơn so với hệ thống IT.
11. Khai thác các lỗ hổng chưa được khắc phục
Những kẻ tấn công khai thác các lỗ hổng phần mềm chưa được vá trong các sản phẩm ICS. Các nhà cung cấp ICS thường chỉ tập trung phát triển các sản phẩm đạt tính tin cậy, hiệu suất, tốc độ cao, thời gian thực mà thường không chú ý đến tính năng bảo mật tích hợp. Ngoài ra, các nhà cung cấp này không có khả năng phát triển các bản vá lỗi nhanh như các nhà phát triển phần mềm IT. Vì những lý do này, những kẻ tấn công nhắm mục tiêu và khai thác các lỗ hổng ICS để thực hiện các cuộc tấn công khác nhau trên mạng OT.
12. Các cuộc tấn công kênh bên (Side-channel attack)
Những kẻ tấn công thực hiện các cuộc tấn công kênh bên để lấy thông tin quan trọng từ một hệ thống OT bằng cách quan sát quá trình thực hiện vật lý của nó. Bằng cách sử dụng các kỹ thuật khác nhau, chẳng hạn như phân tích thời gian và phân tích tín hiệu nguồn điện, để thực hiện các cuộc tấn công kênh bên.
13. Tấn công tràn bộ đệm
Kẻ tấn công khai thác các lỗ hổng tràn bộ đệm khác nhau tồn tại trong phần mềm ICS, chẳng hạn như giao diện web HMI, ứng dụng khách web ICS, giao diện truyền thông, v.v., để đưa dữ liệu độc hại và các lệnh nhằm sửa đổi hành vi và hoạt động bình thường của hệ thống.
14. Khai thác bộ điều khiển từ xa RF (Radio Frequency)
Mạng OT sử dụng công nghệ RF để điều khiển các hoạt động công nghiệp khác nhau từ xa. Các giao thức truyền thông thường thiếu tính bảo mật do vậy các giao thức này có thể bị kẻ tấn công lợi dụng để thực hiện các cuộc tấn công khác nhau vào các máy công nghiệp dẫn đến phá hoại sản xuất, kiểm soát hệ thống và truy cập trái phép.
Nguồn tham khảo
CEH