BẢO MẬT HỆ THỐNG MẠNG SCADA

  1. Trang chủ
  2. BẢO MẬT HỆ THỐNG MẠNG SCADA

BẢO MẬT HỆ THỐNG MẠNG SCADA

SCADA: Supervisory Control And Data Acquisition - Hệ thống Thu thập dữ liệu và Điều khiển giám sát

CÁC HIỂM HỌA HIỆN HỮU

Các hệ thống quản lý ngành công nghiệp, sản xuất và cung cấp dịch vụ tiện ích như điện, dầu, nước... được vận hành bởi các thiết bị điện-điện tử, cơ khí, thủy lực và các loại thiết bị chuyên dụng khác.

Do đặc thù của ngành, các hệ thống này được vận hành liên tục 24/7, tự động và có cơ chế tự điều khiển theo các tình huống giả định được thiết lập sẵn. Do vậy, các hệ thống này thông thường được vận hành và giám sát bởi các hệ thống máy tính chuyên dụng được gọi là bộ điều khiển và cảm biến. Tích hợp với các hệ thống quản lý, chúng cung cấp các giải pháp của SCADA (kiểm soát và thu thập dữ liệu), cho phép thu thập và phân tích dữ liệu hiệu quả và giúp tự động kiểm soát các thiết bị chuyên dụng trong hệ thống như máy bơm, van và rơle.

Sử dụng trong các hệ thống yêu cầu mức độ tin cậy cao, hoạt động liên tục trong môi trường công nghiệp khắc nghiệt, không dễ dàng trong thay thế, lắp đặt, nên các thiết bị trong giải pháp SCADA phải đảm bảo yếu tố bền vững và bền bỉ trong thời gian dài, từ 5 năm hay thậm chí hơn 10 năm.

Với tầm quan trọng và ảnh hưởng tới cộng đồng và xã hội, các cơ sở cung cấp dịch vụ công cộng, các hệ thống kiểm soát giao thông đô thị, đã trở thành mục tiêu tấn công và gần đây đã bị tấn công bởi hàng loạt các vi phạm mạng, trộm cắp dữ liệu và từ chối dịch vụ... Tất nhiên, chúng ta nhận biết việc này nhiều nhất qua truyện và phim ảnh của Hollywood, nhưng thực sự nó đã xảy ra trong thực tế.

Gần gũi chúng ta hơn, ở Việt Nam, bề ngoài, đó là việc hacker tấn công và chiếm quyền điều khiển hệ thống hiển thị màn hình ở sân bay. Nhưng thực sự, hệ thống CSDL khách hàng của hàng không có còn đảm bảo an toàn, toàn vẹn?

Với thực tế như vậy, bên cạnh vấn đề đảm bảo yêu cầu cung cấp liên tục của dịch vụ xã hội, tính toàn vẹn dữ liệu, chính xác trong kiểm soát giao thông đường không/đường bộ, điều kiện tiên quyết là chúng ta cần giải quyết triệt để những lo ngại về bảo mật của hệ thống SCADA, với đặc thù thiết bị vận hành lâu dài, sử dụng các thiết bị, hệ thống và công nghệ có tuổi đời từ 5-10 năm trước. Còn công nghệ thế giới đang được nghiên cứu, phát triển và ứng dụng với tốc độ phi mã. Quả là 1 cuộc chiến không cân sức.

ĐẶC THÙ MẠNG SCADA VÀ YÊU CẦU BẢO MẬT

Mặc dù việc thiết kế và chế tạo các bộ điều khiển SCADA cũng như thiết bị cài đặt hệ thống quản lý là theo yêu cầu riêng của người dùng tùy theo yêu cầu hệ thống, nhưng vẫn không tách rời thực tế là sử dụng trên nền tảng các máy trạm làm việc (workstation) cài đặt hệ điều hành chuẩn được tùy biến (Windows/Linux hay Unix), cùng với các ứng dụng phần mềm, các giao thức truyền thông và đăng nhập phổ thông.

Do đó, dù có vẻ khác biệt, các hệ thống SCADA sẽ gặp đủ các vấn đề như hệ thống IT thông thường, các lỗ hổng, khác biệt giữa các sản phẩm được kiểm tra, backdoor, thiếu chứng thực và mã hóa, chưa cập nhật các bản vá và lưu trữ mật khẩu yếu sẽ cho phép kẻ tấn công truy cập vào hệ thống. Như vậy nguy cơ dẫn đến thiết bị có thể gây treo hoặc dừng chúng và can thiệp vào những quy trình quan trọng được kiểm soát bởi chúng, chẳng hạn như việc mở và đóng van, gây rối loạn hệ thống điều khiển giao thông.

Tuy vậy, do nhiệm vụ, mạng SCADA được tách biệt về mặt vật lý với các mạng IT của doanh nghiệp/tổ chức, hay sử dụng cùng một mạng IT (LAN và WAN) nhưng mã hóa lưu lượng mạng SCADA của họ trên một cơ sở hạ tầng chia sẻ. Và, cả 2 mạng có sự trao đổi để truy xuất thông tin dữ liệu cũng như gửi yêu cầu vận hành giữa chúng.

Bên cạnh yếu tố là 1 mạng kết nối với mạng IT, các thiết bị và mạng SCADA có thêm các đặc điểm khác biệt so với các thiết bị và mạng IT:

  • Lắp đặt ở các vị trí không tiện cho nhân công lắp đặt (tháp, trên giàn khoan dầu, robot đang hoạt động, nhà máy điện/nước/dầu, cột đèn giao thông), yêu cầu về môi trường hơn các hệ thống CNTT thông thường (ví dụ như ngoài trời, nhiệt độ quá cao, môi trường có độ acid/kiềm hóa cao, xung lắc) hoặc yêu cầu đầu vào/đầu ra đặc thù.
  • Sử dụng các hệ điều hành thông thường, nhưng được tùy biến/nhúng để tương thích với hệ thống, nhưng lại ít để ý tới sự an toàn về an ninh.
  • Phần mềm được thiết kế riêng, ưu tiến tính tới sự sẵn sàng, bền bỉ của hệ thống, do đó, lại ít được cập nhật hoặc vá lỗi thường xuyên, do hạn chế truy cập hay e ngại sự ảnh hưởng khi phải gián đoạn cho nâng cấp hệ thống.
  • Sử dụng các giao thức độc quyền hoặc đặc biệt như MODBUS, DNP3

Các đơn vị cung cấp dịch vụ bảo mật với nhiều kinh nghiệm trong việc bảo vệ mạng IT trước vấn đề hiểm họa đe dọa hệ thống ngày càng tăng theo cấp số, từ lỗi của hệ điều hành, lỗ hổng phần mềm ứng dụng hay sự không tương thích giữa phần cứng-phần mềm tới firmware, liên tục tối ưu, phát triển các quy trình cho phép xậy dựng hệ thống tiệm cận mức vận hành một cách an toàn.

Việc tái sử dụng tri thức, liên tục nghiên cứu, áp dung công nghệ phát triển qua nhiều năm có thể xây dựng 1 hệ thống an toàn, đồng thời tiết kiệm thời gian và chi phí. Điều này chỉ có khi đạt được điều kiện cần là hiểu và đánh giá được sự khác biệt giữa SCADA và môi trường IT, trước khi ứng dụng dụng các thực tiễn và công nghệ bảo mật chuyên biệt như là một phần của giải pháp.

NGUYÊN TẮC THIẾT KẾ HỆ THỐNG BẢO MẬT CHO MẠNG SCADA

Thiết kế giải pháp bảo mật tổng thể cho mạng SCADA, cũng như kết nối mạng SCADA và mạng IT cần đáp ứng cả về thiết bị và giải pháp, các nguyên tắc chính như sau:

  • Đảm bảo sự an toàn của thiết bị mạng SCADA và giao diện kết nối giữa mạng IT và SCADA:
    • Có tách biệt vật lý giữa các bộ điều khiển vận hành theo thời gian thực của SCADA và mạng khác (Corporate Network – mạng IT của doanh nghiệp, SCADA Monitoring Network – mạng giám sát SCADA).
    • Đặt các thiết bị bảo mật Gateway tại kết nối giữa các mạng, đảm bảo chỉ có lưu lượng truy cập được xác thực và cho phép vào/ra khỏi mạng. Việc xác nhận này phải được thực hiện trên tất cả các giao tiếp, giao thức, phương pháp, truy vấn và phản hồi và payloads bằng tường lửa, kiểm soát ứng dụng, IPS và antivirus.
    • Sử dụng giải pháp chống các cuộc tấn công dạng Bot nhằm giải quyết các phần mềm độc hại có thể đã xâm nhập và nằm trong mạng thiết bị.
    • Ứng dụng công nghệ sandboxing (ảo hóa phần mềm) giúp cách ly/ xác định và xử lý các phần mềm độc hại được nhúng trong các tệp tin ứng dụng như Excel, Word, Power Point, PDF, EXE…
  • Đảm bảo rằng tất cả máy trạm được sử dụng để quản lý và bảo dưỡng không có phần mềm độc hại và tuân theo yêu cầu sau:
    • Sử dụng máy trạm riêng biệt cho phần mềm quản lý SCADA
    • Với các máy trạm hoạt động ở cả mạng IT, SCADA và cả Internet thì có chính sách rõ ràng với người dùng, với phần mềm và cấu hình máy  và cần giám sát lưu lượng/file cũng như tải của hệ thống theo thời gian thực
    • Tất cả các máy trạm đều phải được kiểm soát bởi các thiết bị đầu cuối bao gồm tường lửa, điều khiển ứng dụng, điều khiển cổng, xác thực/mã hóa truyền thông, IPS và antivirus.

 

GIẢI PHÁP BẢO MẬT CHO MẠNG SCADA

Mô hình giải pháp bảo mật tổng thể đề xuất cho hệ thống mạng SCADA và mạng IT của khách hàng

Giải pháp bảo mật gồm 2 nhiệm vụ chính:

  • Cung cấp giải pháp bảo mật giữa mạng SCADA và mạng liên quan (mạng IT doanh nghiệp, mạng giám sát hệ thống SCADA). Như vậy, tại mỗi gateway giữa các mạng, cũng như trước các thiết bị SCADA có đặt các thiết bị bảo vệ mạng.
  • Thiết bị bảo mật được thiết kế đảm bảo khả năng hoạt động trong môi trường công nghiệp. Các tính năng bảo mật chính được active trên thiết bị bao gồm: FW, IPS, application control, Identity Awareness, Antibot & Anti Virus, điều này cho phép các các traffic hợp pháp được trao đổi giữa các thành phần khác nhau của hệ thống SCADA, đồng thời cho phép phát hiện các bots trong hệ thống SCADA (postinfection) và từ đó ngăn chặn các kết nối đó ra ngoài Internet.

Các thiết bị bảo mật cần phải có bao gồm:

  • Firewall bảo vệ biên mạng SCADA
    • Được thiết kế với chức năng bảo mật cho các thiết bị SCADA như bộ điều khiển các trạm, các tủ điều khiển…, tùy theo mức độ quan trọng của thiết bị, có thể thiết lập chế độ Standalone hay High Availability.
    • Thiết bị không chỉ được thiết kế hoạt động trong môi trường công nghiệp khắc nghiệp mà còn được thiết kế hỗ trợ bảo mật toàn diện cho hệ thống SCADA. Thiết bị có thiết kế vật lý chắc chắn. Phải tuân thủ các quy định về bụi, nhiệt độ cực đại, độ ẩm và độ rung để đảm bảo độ bền vật lý.
    • Thiết bi cần đảm bảo mức MTBF cực kỳ cao (thời gian trung bình giữa các lỗi) và các phụ kiện quạt và ổ đĩa cứng có độ tin cậy cao, đảm bảo sử dụng lâu dài mà ít phải bảo dưỡng, sửa chữa hay thay thế.
  • Firewall bảo vệ mạng trung tâm giám sát và các trạm điện ở các mức hoạt động L3.5 đến L4.5. Thiết bị có đầy đủ tính năng bảo mật và chống lại các hiểm họa cho mạng SCADA và mạng liên quan, có thông lượng xử lý lớn đảm bảo tốc độ xử lý cho các ứng dụng điều khiển và ứng dụng quản lý vận hành. Với mức độ quan trọng, tường lửa này được thiết lập ở chế độ ưu tiên cao High Availability, Cluster hay ActiveStandby

  • Thiết bị quản lý tập trung
    • Quản lý tất cả các thiết bị tường lửa bảo mật, cung cấp chức năng quản lý tổng thể, thống nhất về trạng thái, log và chính sách bảo mật của tất cả các tường lửa kết nối trên mạng IT và mạng SCADA để đảm bảo tính thống nhất của các chính sách, phản ứng nhanh với các sự kiện, sự cố an toàn thông tin.
    • Vì an ninh của các tổ chức bao gồm nhiều lớp, điều quan trọng là phải có một cái nhìn duy nhất về tất cả sự cố an ninh ở một nơi. Chuẩn hóa và thống nhất các giải pháp bảo mật có thể cho phép sử dụng các chuyên gia đã có mặt trong tổ chức và cung cấp cái nhìn toàn cảnh tốt hơn về thái độ bảo mật trên các thiết bị bảo mật, các thiết bị bảo mật hệ thống IT và các máy tính đầu cuối

 

 

 

 

 

 

 

 

 

NHỮNG TÍNH NĂNG BẢO MẬT CHÍNH CHO HỆ THỐNG SCADA

Tính năng IPS dành cho hệ thống SCADA

Tính năng IPS dành cho hệ thống SCADA dựa trên signature-base và được cập nhật thường xuyên.

Đặc biệt với hệ thống SCADA, IPS có lưu trữ hàng signature-base khác nhau được viết ra dành riêng cho hệ thống.

Các mẫu có 4 tiêu chí chính:

  • Type: Signature Tên thông tin chi tiết về lỗ hổng bảo mật mà signature này bảo vệ. ví dụ: Schneider Electric Interactive Graphical SCADA System (IGSS) Buffer Overflow
  • Severity: Critical Phân cấp mực độ nguy hiểm của hệ thống, chỉ ra rõ là với loại tấn công này điều gì sẽ xảy ra vơi hệ thống.
  • Confidence level: Medium Mức độ chỉ ra khả năng bắt nhầm các traffic không mong muốn
  • Performance impact: Critical Mức độ đo đếm khả năng ảnh hưởng tới năng suất khi tính năng bảo vệ này được bật lên

IPS có thể hoạt động ở các chế độ:

  • Prevent: ngăn chặn traffic nếu signature của tấn công được phát hiện.
  • Detect: phát hiện lưu lại log về tấn công nhưng không ngăn chặn traffic tấn công đó
  • Inactive: không sử dụng tính năng bảo mật này.

Tính năng kiểm soát ứng dụng

Tính năng kiểm soát ứng dụng (Application Control) bổ trợ cho tính năng IPS, có khả năng lọc các lưu lượng khi đi qua hệ thống tường lửa gateway ở mức ứng dụng, từ đó có khả năng quản lý ở mức độ chi tiết cao đối với các giao thức SCADA.

 

 

 

Đồng thời ngoài nhũng giao thức được tự viết signature, hệ thống cũng cần hỗ trợ khách hàng bằng việc bổ sung các giao thức chưa có trong database.

Tính năng Antibot & Anti Virus

Anti Virus: có khả năng lọc và quét các loại virus/malware trong các traffic vào ra thiết bị bảo mật gateway.

Anti Bot: có khả năng phát hiện các bots-net đã/đang tồn tại trong hệ thống, từ đó đưa ra cảnh bảo cho người quản trị và đồng thời tự ngăn chặn các kết nối đó ra ngoài tới C&C nhằm giảm thiểu tối đa nguy cơ đối với hệ thống SCADA

 

Ngăn chặn các hiểm họa từ AntiBot và Antivirus

 

Phát hiện và chặn các tấn công từ máy tính ma (Bot)

 

Cơ chế phét hiện các hiểm họa từ máy tính ma

Quản lý tập trung thống nhất các thiết bị bảo mật

Thiết bị quản lý tập trung có khả năng quản lý tất cả các thiết bị gateway thành viên cùng với khả năng cấu hình chính sách bảo mật cho các thành viên đó như FW, IPS, Application Control, AV&AB.

Sơ đồ vận hành có thể đơn giản hóa như sau:

Một mô hình quản lý trong thực tế được đề xuất:

 

Với thiết kế phân lớp này, thiết bị quản trị nằm sâu trong hệ thống trung tâm dữ liệu (DC)  hoặc trung tâm dữ liệu dự phòng (DR) đảm bảo tính an toàn cao, có khả năng thu thập toàn bộ log của hệ thống để đưa ra các cảnh bảo khác nhau đối với người quản trị viên,

Ngoài ra tính năng Smart-Event trong các module quản trị với chức năng đánh chỉ mục và phân loại log giúp cho người quản trị tiếp cận các bản ghi log 1 cách đơn giản và nhanh chóng. Bằng cách tóm lược những sự kiện (Event) quan trong đã diễn ra trong hệ thống, từ đó đưa ra cảnh báo cũng như có thể tạo các báo cáo hàng hang hàng qu‎y theo nhu cầu của người quản trị.

ADINTEK