Tin tức

Tại sao các cuộc tấn công vào hệ thống điều khiển công nghiệp ngày càng gia tăng?

Khi một cuộc tấn công mạng được cho là đã làm tổn hại máy ly tâm hạt nhân tại Natanz hơn một thập kỷ trước, các mối đe dọa mạng đối với hệ thống kiểm soát công nghiệp (ICS) vẫn còn là một hiện tượng ngầm. Khác xa với kịch bản hack mà bọn trẻ hay làm, cuộc tấn công này rất tinh vi và liên quan đến các nguồn lực và trí thông minh của (những) tác nhân quốc gia.

Tuy nhiên, trong thập kỷ qua, các cuộc tấn công mạng chống lại ICS đã tăng nhanh về số lượng và chủng loại. Đáng chú ý, nghiên cứu gần đây cho thấy hoạt động độc hại nhắm mục tiêu vào 1/3 hệ thống kiểm soát công nghiệp (ICS) trong nửa đầu năm 2021. Sự gia tăng này đặt ra những câu hỏi sau: Điều này có ý nghĩa gì đối với doanh nghiệp và xã hội, và tại sao điều này lại xảy ra?

Điều này có ý nghĩa gì đối với doanh nghiệp và xã hội?

Tác động của xu hướng này là đáng báo động. Các cổ phần bao gồm tổn thất tài chính tiềm ẩn và dữ liệu bị đánh cắp cũng như sự gián đoạn đối với xã hội và các mối đe dọa đối với sự an toàn của con người. Thật vậy, vụ vi phạm Đường ống thuộc địa chỉ là một cái nhìn thoáng qua về sự gián đoạn kinh tế và xã hội đáng kể mà các cuộc tấn công này có khả năng gây ra. Vi phạm đặc biệt đáng lo ngại vì công nghệ vận hành (OT) dường như thậm chí không phải là mục tiêu của cuộc tấn công. Tổ chức đã chọn tắt môi trường OT của mình theo cách thủ công vì không thể xác định liệu OT có bị xâm phạm sau khi CNTT bị lây nhiễm hay không.

Tại sao chuyện này đang xảy ra?

Nhiều yếu tố giải thích tại sao chúng ta thấy sự gia tăng của các mối đe dọa này. Thứ nhất, những cuộc tấn công này không còn là lĩnh vực duy nhất của các quốc gia-dân tộc với động cơ địa chính trị. Tội phạm mạng hiện cũng khởi động các cuộc tấn công này để tìm kiếm lợi nhuận, như lần đầu tiên được quan sát với cuộc tấn công ransomware EKANS.

Đầu tiên và quan trọng nhất, các cuộc tấn công ICS đang gia tăng do sự hội tụ của OT và CNTT, điều này làm lộ ra môi trường công nghiệp với các công nghệ hàng chục năm tuổi trên internet. Điều này được chứng minh bằng thực tế là các mối đe dọa dựa trên internet là phổ biến nhất trong số các thiết bị ICS bị xâm nhập vào năm 2021, vượt xa các cuộc tấn công qua email và phương tiện di động.

'Khoảng cách không khí' giữa OT và IT ngày càng trở thành dĩ vãng. Tuy nhiên, việc cố gắng duy trì nó sẽ cản trở các tổ chức áp dụng các công nghệ được kết nối như IIoT và khả năng truy cập từ xa giúp tăng đáng kể hiệu quả và an toàn của quy trình công nghiệp. Do đó, mặc dù sự hội tụ IT-OT làm tăng bề mặt của mối đe dọa, nhưng nó cũng cho phép các tổ chức duy trì lợi thế cạnh tranh hoặc chỉ ở lại cuộc chơi.

Ngay cả khi không có sự hội tụ rõ ràng, sự phụ thuộc lẫn nhau giữa các hệ thống OT và CNTT cũng đủ để thúc đẩy một tổ chức tắt OT theo cách thủ công trong trường hợp CNTT bị xâm phạm. Các hệ thống OT thường rất quan trọng về mặt an toàn và trừ khi doanh nghiệp có thể chứng minh rằng OT không bị ảnh hưởng, nếu không thì sẽ có lý do vững chắc để ngừng hoạt động nhằm giảm thiểu rủi ro hơn nữa.

"... Các cuộc tấn công ICS đang gia tăng do sự hội tụ của OT và CNTT, điều này làm lộ ra môi trường công nghiệp với các công nghệ hàng thập kỷ trước internet"

Hơn nữa, ngay cả khi một tổ chức có thể chứng minh rằng OT của họ không bị ảnh hưởng, các điểm hội tụ IT-OT không thể nhìn thấy là khá phổ biến. Ví dụ: trong một nghiên cứu ẩn danh, Darktrace đã phát hiện hơn 6.500 trường hợp nghi ngờ sử dụng giao thức ICS trên 1.000 môi trường doanh nghiệp. Do đó, ngay cả khi tổ chức có thể chứng minh rằng OT không bị ảnh hưởng, các điểm hội tụ IT-OT không xác định có nguy cơ cho phép cuộc tấn công CNTT 'tràn' vào OT.

Điều này sẽ tiếp tục?

Ngày càng có nhiều cuộc tấn công mạng hoặc xâm nhập vào OT từ CNTT hoặc tấn công thẳng vào OT và nhắm mục tiêu trực tiếp vào OT. Nghiên cứu gần đây cho thấy các lỗ hổng ICS đã tăng 41% trong sáu tháng tính đến tháng 8. Trong số này, 61% có thể khai thác từ xa và 66% không yêu cầu bất kỳ tương tác nào của người dùng để khai thác. Hơn nữa, gần ba phần tư lỗ hổng (74%) không yêu cầu các đặc quyền cụ thể.

Mặc dù điều này đáng lo ngại, nhưng cố gắng lập bản đồ và vá các lỗ hổng này cuối cùng là một quá trình khó chịu. Nhiều lời khuyên dành cho thiết bị ICS không có lời khuyên giảm thiểu thực tế và hơn một phần năm các lỗ hổng và mức độ phơi nhiễm phổ biến (CVE) được báo cáo không bao gồm bản vá, khiến hầu hết các quy trình quản lý lỗ hổng trở thành một quy trình có lợi nhuận giảm dần.

Hơn nữa, nghiên cứu được trích dẫn ở trên chỉ bao gồm các lỗ hổng đã biết, không phải các lỗ hổng chưa biết. Tuy nhiên, một phần ba lỗ hổng ICS được chỉ định là zero-day khi được tiết lộ. Do đó, phòng thủ mạng hiệu quả trong môi trường công nghiệp không thể chỉ theo dõi những điều đã biết mà cần đối phó với các cuộc tấn công khai thác những điều chưa biết khi chúng xuất hiện trong hệ sinh thái mạng của một tổ chức.

Các tổ chức nên ứng phó như thế nào?

An ninh công nghiệp (OT) đang trở nên gắn bó chặt chẽ với an ninh doanh nghiệp (CNTT). Thực hiện một cách tiếp cận im lặng để bảo vệ OT trong khả năng biệt lập hiện đã lỗi thời. Do đó, một cách tiếp cận mạnh mẽ đối với bảo mật công nghiệp cần phải bảo vệ 'CNTT trong OT' và phần còn lại của mạng doanh nghiệp, mở rộng đến tận hệ thống email và đám mây. Và sự bảo vệ này cần phải liền mạch. Với khả năng các cuộc tấn công lan rộng nhanh chóng, không có thời gian để một công cụ bảo mật OT tiêu hóa các cảnh báo từ một công cụ bảo mật CNTT.

May mắn thay, công nghệ trí tuệ nhân tạo (AI) tự học hiểu được toàn bộ hệ sinh thái mạng, từ máy tính xách tay và máy chủ trong mạng công ty đến HMI và PLC trong môi trường công nghiệp. Khả năng hiển thị này cho phép AI ngăn chặn các cuộc tấn công trong CNTT trước khi chúng có thể lan sang OT. Ví dụ: một nhà cung cấp năng lượng ở Bắc Mỹ đã ngăn chặn một cuộc tấn công bằng mã độc tống tiền đe dọa kép, không có chữ ký bằng AI tự học, ngăn không cho các quy trình vận hành ngừng hoạt động.

Trong một trường hợp khác, trí tuệ nhân tạo tự học đã phát hiện các PLC mới được cài đặt trên một dây chuyền lắp ráp tự động, từ từ thăm dò sự hội tụ CNTT và cố gắng truy cập vào các máy chủ tệp. Các thiết bị OT này đã bị nhiễm mã độc trong quá trình xây dựng. Vì AI tự học đã phát hiện ra hành vi bất thường này nên nó đã ngăn chặn mối đe dọa lan sang CNTT và giúp tổ chức tránh bị đóng cửa.

Chúng ta cần thu hẹp khoảng cách giữa bảo mật CNTT và OT bằng cách triển khai các công nghệ để giải quyết cả hai và bằng cách tăng cường giao tiếp và cộng tác giữa các nhóm. Tuy nhiên, chúng ta cũng cần theo kịp làn sóng đe dọa đang gia tăng — một cuộc đua mà không con người nào có thể chiến thắng một mình. May mắn thay, công nghệ AI tự học có thể thay mặt chúng ta hành động và tăng cường khả năng của chúng ta, giữ cho đèn sáng và bánh xe quay trong thế giới phức tạp của chúng ta.