Trong bối cảnh phát triển không ngừng của các mối đe dọa an ninh mạng, các Giám đốc An ninh Thông tin (CISO) trong ngành công nghiệp vận hành (OT) đang phải đối mặt với những thách thức ngày càng lớn về bảo mật và tuân thủ. Các sự cố tấn công an ninh mạng gần đây đã minh họa rõ những điểm yếu trong bảo mật OT, và từ đó cho chúng ta bài học quý giá về việc xây dựng các biện pháp bảo vệ và khung tuân thủ. Bài viết này sẽ đưa ra ba ví dụ thực tế về các cuộc tấn công an ninh mạng và cách mà tuân thủ OT có thể giúp tăng cường khả năng phục hồi trong những trường hợp này.
Cuộc Tấn Công 1: Ransomware Tại Một Công Ty Dược Phẩm Ở Ấn Độ
Sự Cố
Vào tháng 3 năm 2023, một công ty dược phẩm Ấn Độ đã trở thành nạn nhân của một cuộc tấn công ransomware. Nhóm tội phạm mạng đã xâm nhập vào hệ thống, mã hóa dữ liệu và hệ thống quan trọng. Công ty quyết định không trả tiền chuộc, dẫn đến việc ngừng sản xuất và trì hoãn phân phối thuốc, gây thiệt hại tài chính lớn.
Nguyên Nhân
Cuộc tấn công bắt đầu từ một email lừa đảo, sau đó khai thác các lỗ hổng chưa được vá để di chuyển trong mạng. Việc thiếu các chính sách bảo mật nghiêm ngặt và phân đoạn mạng đã cho phép kẻ tấn công mã hóa dữ liệu quan trọng và kiểm soát từ xa.
Tầm Quan Trọng Của NIST CSF Đối Với Tuân Thủ OT
Khung NIST Cybersecurity Framework (CSF) 2.0 cung cấp một hướng dẫn quan trọng giúp tổ chức hiểu và quản lý rủi ro an ninh mạng một cách hệ thống. Các phần của khung này bao gồm:
- Đánh Giá Rủi Ro (ID.RA): Giúp CISO xác định và ưu tiên rủi ro bằng cách sử dụng thông tin tình báo về các mối đe dọa và các chỉ số sớm của các chiến dịch tấn công.
- Phát Hiện (DE): Tập trung vào việc giám sát liên tục để phát hiện các sự kiện tiêu cực. Công ty đã không phát hiện được cuộc tấn công, cho thấy cần cải thiện hệ thống giám sát.
- Bảo Vệ (PR): Đào tạo người dùng cuối là yếu tố quan trọng. Một chương trình nâng cao nhận thức có thể đã ngăn chặn cuộc tấn công lừa đảo.
Giải Pháp Thích Hợp
Một giải pháp an ninh mạnh mẽ có thể giúp tổ chức phát hiện và ứng phó với các mối đe dọa ngay lập tức. Các yếu tố quan trọng bao gồm:
- Thông tin tình báo có thể hành động: Sử dụng dữ liệu từ các nguồn đáng tin cậy để ưu tiên các nỗ lực khắc phục.
- Phân tích sự cố theo ngữ cảnh: Cải thiện quyết định và tăng tốc điều tra sự cố với phân loại rõ ràng và mô tả chi tiết.
- Phản ứng sự cố hiệu quả: Tích hợp cảnh báo từ nhiều nguồn phát hiện để có cái nhìn tổng quát về sự cố.
Cuộc Tấn Công 2: Ransomware Tại Nhà Máy Thép Ở Đức
Sự Cố
Vào tháng 12 năm 2022, một nhà sản xuất thép hàng đầu châu Âu đã bị tấn công mạng quy mô lớn, làm gián đoạn quy trình sản xuất tại hai nhà máy. Để ngăn chặn mối đe dọa, công ty đã phải ngừng một phần cơ sở hạ tầng IT, dẫn đến nhiều ngày gián đoạn kinh doanh.
Nguyên Nhân
Kẻ tấn công đã khai thác hai lỗ hổng đã biết trong mạng để có quyền truy cập ban đầu và triển khai ransomware. Mặc dù đội ngũ an ninh IT đã phát hiện sớm, nhưng do thiếu phân đoạn giữa các mạng IT và OT, các hệ thống công nghiệp quan trọng đã phải ngừng hoạt động.
Bài Học Cho CISO
Dù công ty đã trải qua các sự cố mạng trước đó, đội ngũ bảo mật đã không nhận ra các dấu hiệu sớm của cuộc tấn công.
- Quản Lý Quyền Truy Cập Yếu Kém: Thiếu kiểm soát truy cập dựa trên vai trò đã cho phép kẻ tấn công dễ dàng nâng cao quyền truy cập.
- Quản Lý Lỗ Hổng Không Hiệu Quả: Các lỗ hổng đã biết không được nhận diện và ưu tiên kịp thời, dẫn đến việc mạng trở nên dễ bị tấn công.
- Thiếu Phân Đoạn Mạng: Thiếu sự phân đoạn giữa mạng IT và OT cho phép kẻ tấn công di chuyển tự do.
Giải Pháp Thích Hợp
Áp dụng các khung tuân thủ như IEC 62443 có thể giúp tăng cường an ninh:
- Đánh Giá Rủi Ro Chi Tiết: Thực hiện đánh giá rủi ro thường xuyên để xác định các khu vực có rủi ro cao.
- Kiểm Soát Truy Cập và Sử Dụng: Thực hiện các tiêu chuẩn xác thực và kiểm soát truy cập để bảo vệ hệ thống.
- Phân Khu và Đường Ống: Sử dụng mô hình tham chiếu Purdue để phân chia các mức chức năng thành các vùng và đường ống.
Cuộc Tấn Công 3: Nhà Máy Xử Lý Nước
Sự Cố
Vào tháng 2 năm 2021, một nhà máy xử lý nước ở Florida đã bị tấn công, với những kẻ tấn công cố gắng thay đổi thành phần hóa học của nước.
Nguyên Nhân
Kẻ tấn công đã khai thác phần mềm truy cập từ xa không an toàn. Mặc dù đã phát hiện ra sự thay đổi, nhưng quá trình phản ứng đã bị chậm trễ do thiếu kế hoạch ứng phó sự cố.
Bài Học Cho CISO
Cuộc tấn công này đã cho thấy những yếu điểm trong quản lý an ninh trong ngành nước.
- Giám Sát Không Đầy Đủ: Không có hệ thống giám sát liên tục, chỉ dựa vào quan sát của con người.
- Quản Lý Lỗ Hổng Kém: Thiếu khả năng phát hiện các lỗ hổng tiềm tàng.
- Thiếu Kế Hoạch Ứng Phó: Kế hoạch ứng phó không rõ ràng, dẫn đến phản ứng chậm chạp.
Giải Pháp Thích Hợp
Một giải pháp toàn diện có thể giúp cải thiện tình hình:
- Tầm Nhìn Thiết Bị: Tăng cường khả năng nhìn thấy toàn bộ cơ sở hạ tầng từ các hệ thống OT đến IT.
- Quản Lý Rủi Ro và Tư Thế: Giúp xác định và ưu tiên các rủi ro và lỗ hổng.
- Phát Hiện Mối Đe Dọa và Bất Thường: Phát hiện các hành vi không mong muốn và đảm bảo an ninh tổng thể.
Tuân Thủ OT Là Một Phần Quan Trọng Của Giải Pháp
Tuân thủ các khung bảo mật như NIST CSF 2.0 và IEC 62443 không chỉ là bước đầu trong bảo vệ mà còn tạo nền tảng cho khả năng phục hồi. Bằng cách áp dụng các tiêu chuẩn này, cùng với các giải pháp bảo mật hiện đại, các tổ chức có thể tăng cường bảo mật, đáp ứng tuân thủ và xây dựng môi trường an toàn cho các hệ thống quan trọng. Hãy cùng Mi2 khám phá và tuân thủ các khung bảo mật trên nhé!
