Trong nhiều năm qua, hầu hết các công ty có cơ sở hạ tầng trọng yếu được
điều khiển bởi các hệ SCADA, DCS và các hệ thống điều khiển quá trình
khác đã sử dụng phương pháp nhóm tất cả các hệ thống thời gian thực vào
trong một môi trường gọi là PCN hay mạng điều khiển quá trình, và cố gắng
giữ cho môi trường đó tách biệt khỏi CNTT và các mạng kết hợp tới mức có
thể.
10 trang |
Chia sẻ: maiphuongtt | Lượt xem: 1594 | Lượt tải: 3
Bạn đang xem nội dung tài liệu Các chiến lược bảo vệ hệ thống điều khiển và hệ SCADA, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Các chiến lược bảo vệ hệ thống điều
khiển và hệ SCADA
Trong nhiều năm qua, hầu hết các công ty có cơ sở hạ tầng trọng yếu được
điều khiển bởi các hệ SCADA, DCS và các hệ thống điều khiển quá trình
khác đã sử dụng phương pháp nhóm tất cả các hệ thống thời gian thực vào
trong một môi trường gọi là PCN hay mạng điều khiển quá trình, và cố gắng
giữ cho môi trường đó tách biệt khỏi CNTT và các mạng kết hợp tới mức có
thể.
Trong khi khái niệm
này là một bước tiến
đúng đắn thì việc coi
môi trường PCN như
một hộp đen và cố
gắng điều khiển một
firewall hay giải pháp
bảo vệ máy tính tại
ranh giới với IT là
không thích hợp để
bảo vệ khỏi việc thay
đổi những mối đe dọa
cả từ bên ngoài và bên
trong. Đặc tính nhạy
của các thiết bị DCS
và PLC quản lý các
tài sản trọng yếu cần
một cấp độ phân chia
mạng cao hơn và các
giải pháp bảo vệ tiên
tiến hơn mà hiện các
doanh nghiệp cung
cấp giải pháp an ninh
và các nhà kinh doanh
IT không giới thiệu
hay không có sẵn.
Bài viết này nêu ra một số vấn đề cơ bản với hiện trạng bảo vệ hệ SCADA
và hệ thống điều khiển, giới thiệu khái niệm khu vực bảo mật dễ bị nguy
hiểm và giới thiệu ngắn gọn một vài giải pháp bảo vệ máy tính mới và độc
nhất có khả năng ứng dụng tại mỗi khu vực bảo mật.
Trong nhiều năm qua, với sự im ắng và các cấp độ hoạt động ngày càng tăng
của các loại sâu và virus như Blaster (aka MSBlast), người ta thừa nhận rằng
các hệ thống độc quyền và biệt lập trước đây hiện được kết nối với các mạng
kết hợp, và nhiều hệ thống còn bao gồm các điểm nối từ Internet. Một kiến
thức phổ biến hiện nay là thiết bị điện tử kiểm soát cơ sở hạ tầng trọng yếu
dễ bị hỏng qua DoS (Phủ nhận dịch vụ), các gói tin dị hình, và mã độc do
virus, Trojan và sâu gây ra.
Những đánh giá về điểm yếu của hoạt động bảo mật máy tính trong hệ
SCADA và hệ điều khiển quá trình đã làm nảy sinh một mô hình phương
pháp mà nhiều công ty ứng dụng để bảo vệ các tài sản trọng yếu của mình.
Hơn 80% các công ty cung cấp điện, ga, nước và năng lượng được đề cập tới
sử dụng một firewall hay giải pháp bảo vệ máy tính giữa mạng kết hợp IT và
mạng điều khiển quá trình có đủ khả năng để duy trì sự bảo mật cho các tài
sản trọng yếu dưới sự
kiểm soát của hệ
SCADA và hệ điều
khiển quá trình.
Các công ty này đặc
biệt coi mạng điều
khiển quá trình như
một hộp đen lớn và có
xu hướng bảo vệ
những môi trường này
bằng cách cố gắng
tách biệt chúng khỏi
bất cứ một mạng nào
khác tới mức có thể.
Đây là một sự cố gắng
đầu tiên mang lại hiệu
quả tốt và là một
hướng đi đúng đắn.
Ngoài ra, có thể xem
xét một số giải pháp bảo vệ máy tính khác tạo điều kiện để những tài sản
trọng yếu được kết nối qua các giao thức Ethernet và Internet có khả năng
định tuyến có thể đối phó được với những mối đe dọa cả từ bên ngoài lẫn
bên trong.
Phần dưới đây có hai sơ đồ, sơ đồ đầu tiên thể hiện mạng logic của một hệ
SCADA và DCS điển hình được nối với mạng kết hợp. Sơ đồ thứ hai cho
thấy hầu hết các công ty quan tâm đến tính bảo mật của các môi trường thời
gian thực, môi trường SCADA và môi trường điều khiển quá trình của họ
như thế nào. Họ chỉ phân chia mạng của mình thành hai môi trường - một
cho hệ thống kết hợp/IT, và một cho hệ SCADA và hệ thống điều khiển quá
trình.
Những điểm yếu SCADA điển hình và các giải pháp đổi mới
Với các mạng doanh nghiệp, việc thiếu những phương pháp kiểm soát sự
truy nhập và sự phân chia mạng trong hệ SCADA và hệ thống điều khiển
quá trình cũng gây nguy hiểm cho máy tính. Những sự nguy hiểm đó này có
thể xuất phát từ những mối đe dọa từ bên trong và bên ngoài. Những phần
sau bao trùm các điểm yếu và những giải pháp đổi mới tiềm năng để giải
quyết những vấn đề này.
Các mối đe dọa từ bên ngoài
Sâu, virus, Trojan, và malware gây hại cho các mạng SCADA
Chỉ có một giải pháp bảo vệ máy tính tại vòng ngoài của môi trường
SCADA hay môi trường PCN thường làm cho các trạm làm việc và các máy
chủ SCADA, các mạng viễn thông và các bộ điều khiển PLC và RTU dễ bị
tấn công bởi các loại sâu nhiều dạng tự nhân bản, sự biến đổi của chúng luôn
nhanh hơn khả năng phản ứng của các hãng chống virus. Với các vùng bảo
mật phụ thêm, tính bảo mật cấp độ cổng và các firewall đặt giữa mỗi vùng
bảo mật, các loại sâu và virus có thể bị chặn lại bất kể là giải pháp chống
virus có tệp chữ ký mới nhất hay không. Ngoài phương pháp phân chia môi
trường SCADA bằng việc sử dụng các firewall, một giải pháp chống virus
có thể được thiết lập mà không cần phải kết nối internet trực tiếp, tuy nhiên
giải pháp này vẫn chưa tự động nhận những cập nhật chữ ký và chuyển
chúng tới các máy tính trong môi trường SCADA.
Do việc kết nối trực tiếp môi trường SCADA với mạng IT kết hợp hay với
mạng internet có thể làm cho môi trường SCADA dễ bị nguy hiểm và bị đe
doạ, vì vậy tạo ra một môi trường bảo mật trung gian mới (vùng 2) trong
chính DMZ của nó (Vùng đảo ngược quân sự hoá) được coi là một giải pháp
tốt hơn. Data historian DMZ trung gian này sẽ tạo ra một bộ đệm giữa mạng
IT kết hợp và môi trường SCADA, đồng thời thiết kế này cũng mang lại rất
nhiều ích lợi.
Lợi ích chính cho
vùng đệm mới này là
dữ liệu có thể được
sắp xếp ở đây từ môi
trường SCADA và rồi
di chuyển đến các môi
trường IT khác. Thay
vì có nhiều sự kết nối
IT trực tiếp tới môi
trường SCADA, tất cả
việc thu thập và lưu
trữ dữ liệu có thể
được di chuyển ra
khỏi Data historian
DMZ này, do vậy
việc hạn chế hơn nữa
sự truy nhập vào môi
trường SCADA và
cho phép một tập hợp
các luật firewall chặt
chẽ hơn được viết
giữa vùng này và môi
trường SCADA. Khái
niệm “đặc quyền tối
thiểu” có thể được áp
dụng ở đây do vậy chỉ
có những người được
yêu cầu truy nhập vào
các hệ SCADA và các
thành phần mới được
phép vào trong môi trường SCADA. Còn tất cả những người sử dụng khác
chỉ thực sự cần truy nhập vào dữ liệu thu thập được từ các hệ SCADA có thể
được phép truy nhập vào những hệ thống này trong Data historian DMZ.
Một lợi ích khác của việc có Data historian DMZ mới này (hay Vùng 2) là
việc cài đặt các máy chủ chuyển tiếp, chúng có thể chuyển tiếp hay gửi trên
các hệ điều hành và những điểm nối tạm cập nhật chống virus từ phía IT của
mạng vào môi trường SCADA hay môi trường các hệ điều khiển. Nếu có sự
truy nhập vào một bộ mô phỏng hay mạng phát triển với việc cài đặt phần
cứng và phần mềm SCADA, thì hệ điều hành mới và những điểm nối tạm
chống virus này cần được thử nghiệm trong những môi trường thử nghiệm
này trước khi di chuyển tiếp. Biểu đồ trong hình 5 thể hiện một hệ điều hành
thứ cấp hay các hệ thống nối tạm chống virus có thể đặt trong Vùng 2, hay
vùng DMZ dữ liệu, do vậy chúng ta có thể chuyển tiếp những sự nâng cấp
hay những điểm nối tạm vào môi trường thử nghiệm, để chạy thử trong môi
trường thử nghiệm trước khi ứng dụng những điểm nối tạm hay những nâng
cấp vào các hệ thống sản xuất trực tiếp.
Một khi các điểm nối tạm được thử nghiệm để hoạt động trong mạng mô
phỏng, mà không gây ảnh hưởng bất lợi cho bất cứ một chức năng nào của
hệ SCADA thì các hệ thống tương tự trong Vùng 2 có thể được sử dụng để
chuyển tiếp những điểm nối tạm này vào môi trường sản xuất trực tiếp.
Mặc dù những điểm nối tạm đã được thử nghiệm trên mạng mô phỏng
nhưng việc tự động đẩy những điểm nối tạm ra khỏi những hệ thống chạy
trong chế độ sản xuất vẫn có thể là một việc làm nguy hiểm. Có một sự lựa
chọn đó là nối tạm các hệ thống thành một hệ thống tại một thời điểm. Một
lựa chọn khác đó là dùng tay nối các hệ thống bằng cách lại gần trạm làm
việc hay máy chủ và nâng cấp hệ điều hành hay các điểm nối tạm chống
virus với việc xem lại các hệ thống trong Vùng 2 để tìm nguồn của các điểm
nối tạm.
Trang 2 của 2
Mối đe doạ bên ngoài
Sự truy nhập từ xa
không an toàn vào
các môi trường
SCADA
Ngoài những mối đe
doạ bên ngoài đang
tiến gần qua firewall
internet và firewall IT
kết hợp, vẫn tồn tại
mối đe doạ từ sự truy
nhập trực tiếp đằng sau firewall qua truy nhập modem quay số. Những điểm
nối modem quay số này chỉ yêu cầu biết một mật mã ngắn hay mã PIN 4 số
cực kỳ đơn giản để có thể truy nhập trực tiếp vào trung tâm của môi trường
SCADA. Sự kết hợp giữa một phương pháp thẩm định quyền đơn giản với
khả năng truy nhập trực tiếp và phần cứng và phần mềm SCADA chế tác-
với rất ít hay hầu như không có sự theo dõi kiểm toán - làm cho những kết
nối modem trở thành các điểm cửa ngõ cho những mối đe doạ từ bên ngoài.
Sơ đồ trong hình 7 miêu tả một số điểm vào môi trường SCADA qua việc sử
dụng modem hay truy nhập VPN không an toàn. Cả hai phương pháp này
đều cho phép hệ thống bên ngoài có thể kết nối trực tiếp với môi trường
SCADA, và bất cứ một mã độc nào ở hệ thống bên ngoài hay các mạng bên
ngoài đều có thể dễ dàng đi vào môi trường SCADA qua kết nối bắc cầu
được tạo nên với kiểu
truy nhập từ bên ngoài
này.
Ngoài những mối
nguy hiểm gây ra bởi
sự truy nhập modem
hiện tại vào các môi
trường SCADA, việc
truy nhập modem chỉ
cung cấp một sự kết
nối dải tần thấp để xử
lý, sửa chữa hay duy
trì các thành phần hệ
SCADA. Một giải
pháp mới yêu cầu có
sự thẩm định quyền chặt chẽ hơn đồng thời hạn chế sự truy nhập trực tiếp
vào môi trường SCADA. Nó cũng cung cấp một sự theo dõi kiểm toán với
khả năng truy nhập hoàn toàn vào thời gian hệ thống được dán tem và được
ghi bởi tên người sử dụng.
Bằng việc kết hợp một giải pháp OTP (một mật mã thời gian) 2 yếu tố với
hoạt động tính toán máy khách mỏng (Các dịch vụ đầu cuối hay Citrix), sự
truy nhập từ xa có thể được cung cấp, nó không chỉ thực hiện nhiều thao tác
kiểm tra cho sự thẩm đinhhj quyền khi truy nhập mà còn hạn chế sự truy
nhập vào môi trường SCADA bằng cách giữ người sử dụng từ xa trong một
vùng DMZ và chỉ cung cấp sự truy nhập phiên máy khách mỏng vào môi
trường SCADA.
Người sử dụng từ xa, sau khi cung cấp sự thay đổi mã 6 số từ mã thông báo
rồi nhận được lời nhắc cho một mã PIN 4 số bí mật, và sự kết nối của cả hai
mã 6 số và mã PIN 4 số tạo ra một OTP (một mật mã thời gian) vào trong hệ
thống. Một khi đã được xác nhận vào trong môi trường máy khách mỏng,
người sử dụng từ xa được trình diện với một phiên màn hình dựa trên thông
tin truy nhập của người sử dụng. Những người sử dụng từ xa này với các
thông tin của quản trị viên hệ thống có thể truy nhập vào phần mềm lập trình
PLC hay phần mềm phát triển SCADA/HMI vì vậy có thể thực hiện những
thay đổi và tải vào môi trường SCADA.
Sơ đồ trong hình 8 thể hiện kiểu truy nhập từ xa an toàn mới thẩm định
quyền người sử dụng từ xa như thế nào rồi giữ người sử dụng trong Data
Historian DMZ, trong khi cho phép phiên máy khách mỏng có khả năng truy
nhập vào môi trường SCADA qua SCADA firewall.
Bên cạnh những đặc tính an toàn phụ trội của giải pháp truy nhập từ xa mới
này, những lợi ích bao gồm cuộc theo dõi kiểm toán đầy đủ các tiêu chí của
ai, như thế nào và khi nào có sự truy nhập vào môi trường SCADA. Hơn
nữa, do giải pháp truy nhập từ xa độc lập về mặt truyền thông nên hoạt động
truy nhập từ xa có thể được thực hiện với những sự kết nối băng rộng cao
hơn do đó chất lượng
kết nối cũng tốt hơn.
Mối đe doạ bên trong
không định trước
Những sự kiểm soát
truy nhập lỏng lẻo
làm lộ ra toàn bộ
mạng SCADA
Một điểm yếu bảo
mật cơ bản khác với
việc có một giải pháp
bảo vệ ở vòng ngoài
của mạng SCADA là
tiềm năng cho những
kiểm soát truy nhập
lỏng lẻo. Vì chỉ có một lớp bảo vệ giữa LAN kết hợp và SCADA hay LAN
điều khiển quá trình nên cần phải áp dụng một giải pháp bảo vệ dưới một
dạng thức âm thanh và cần được chạy thử. Trong những đánh giá gần đây về
khả năng bị nguy hiểm do các công ty năng lượng, và công ty sản xuất thực
hiện có một vấn đề chung đó là các ACL yếu (Danh sách điều khiển truy
nhập) được bổ sung trong bộ định tuyến hay firewall giữa IT kết hợp và các
môi trường SCADA.
Những công cụ hacker tự động ngày nay và các thiết bị quét có thể được lắp
đặt để tự động thử một loạt địa chỉ IP cho mục vào ép buộc thô bạo. Thậm
chí không có những công cụ tự động này, một thành viên nội bộ với sự truy
nhập tự nhiên vào mạng kết hợp có thể đặt một bộ phân tích mạng vào mạng
và ghi tất cả các gói, do vậy có khả năng nhìn thấy khoảng địa chỉ được phép
để đi qua thiết bị bảo mật vành đai.
Những kiểm soát truy nhập chặt chẽ hơn tại thiết bị bảo vệ vòng ngoài (bộ
định tuyến hay firewall), và sự phân chia mạng phụ thêm sẽ phải đi một
đường dài để ngăn cản sự truy nhập không định trước vào môi trường
SCADA. Trong hình vẽ 9 thể hiện những sự kiểm soát truy nhập lỏng lẻo và
các ALC yếu trong giải pháp bảo vệ vòng ngoài giữa các mạng IT và
SCADA có thể để lộ toàn bộ môi trường SCADA cho sự truy nhập không
định trước bởi nhân
viên nội bộ và các nhà
thầu.
Giải pháp bảo vệ điển
hình tại vòng ngoài
chỉ thành công trong
việc cung cấp một
giải pháp bảo vệ hạn
hẹp cho những sự tấn
công từ bên ngoài môi
trường SCADA.
Dường như toàn bộ
môi trường SCADA
là một mạng phẳng.
Bất cứ ai với sự truy
nhập vào bất cứ hệ
thống nào trong môi trường SCADA phải truy nhập vào toàn bộ môi trường
SCADA. Ví dụ, nếu không có những giải pháp bảo mật phụ thêm và các lớp
bảo vệ được thực hiện trong mạng SCADA, thì một công ty làm thế nào để
ngăn cản một cố vấn viên về cơ sở dữ liệu historian khỏi việc tải mã về các
PLC Ethernet của họ, hay truy nhập vào các tệp tin trên các máy chủ
SCADA khác? Kiểu cấu trúc mạng SCADA không cung cấp chính sách
ngăn chặn hiệu quả trong các thành phần SCADA khác nhau này được thể
hiện trong hình 10.
Nên có một phương pháp làm hạn chế sự truy nhập vào các thiết bị cuối
SCADA cấp thấp, các thiết bị này điều khiển quá trình vật lý. Việc truy nhập
vào các trạm SCADA và trạm máy tính điều khiển quá trình và thiết bị máy
tính phòng điều khiển không có nghĩa là truy nhập tự động vào các bộ điều
khiển vận hành thiết bị vật lý.
Ngoài ra, nếu các máy tính SCADA bị ảnh hưởng bởi một loại virus, dường
như quá trình dưới sự điều khiển của PLC, RTU hay IED có thể tiếp tục hoạt
động dưới chế độ tự động với điểm đặt cuối cùng trong khi các quản trị viên
máy tính khôi phục các trạm làm việc SCADA hay các máy chủ bị ảnh
hưởng. Nếu không có một phân khu truy nhập khác giữa thiết bị máy tính
SCADA và các thiết bị cuối SCADA điều khiển thiết bị nhà máy thực, thì
những mối đe doạ tiềm năng từ những loại virus tự nhân giống, sâu, và
Trojan có thể có một ảnh hưởng lớn hơn tới các thiết bị cuối và đã chứng tỏ
một vài trường hợp trong số chúng đã bị thất bại dưới các điều kiện phòng
thí nghiệm.
Mối đe doạ từ bên
trong có chủ ý
Phần mềm SCADA
và thiết bị dễ có khả
năng bị nguy hiểm
bởi lưu lượng mạng
cao
Các thiết bị như PLC,
RTU và IED điều
khiển thiết bị vật lý
nên đặt trong một
vùng bảo mật khác
với những điều khiển
truy nhập phụ trội để
hạn chế sự truy nhập
vào những thiết bị này. Các máy chủ SCADA và các bàn giao tiếp của người
điều hành nên đặt trong một vùng khác. Nó đã được chứng minh trong một
số nghiên cứu, và trong hoạt động thử nghiệm thiết bị SCADA của chúng
tôi, những bộ điều khiển này dễ bị vỡ khi mạng ở cấp dải thông cao, hay nếu
các gói mạng dị hình được gửi tới thiết bị hay phần mềm SCADA.
Hiện nay, chỉ với một mạng SCADA phẳng lớn, những thiết bị cuối không
được bảo vệ trong trường hợp mà các trạm làm việc và các máy tính
SCADA bị ảnh hưởng. Một trong những cách tốt nhất để bảo vệ những thiết
bị cuối này là phân chia môi trường SCADA thành các vùng hoạt động phụ
thêm và triển khai các firewall phân tán khắp môi trường SCADA để cung
cấp những sự kiểm soát truy nhập giữa mỗi vùng.
Kết luận
Với sự thay đổi và xuất hiện những mối đe doạ cho các hệ SCADA và điều
khiển quá trình, chủ nhân và những người điều hành các hệ thống này cần
quan tâm hơn tới những kiểm soát truy nhập máy tính hiện đang được sử
dụng để bảo vệ các hệ thống này khỏi những mối đe doạ bên trong và bên
ngoài. Ngành công nghiệp bao gồm những liên lạc TCP/IP Ethernet trong
những năm cuối 1990 đã đưa vào thương trường hệ SCADA và hệ điều
khiển quá trình với những khả năng liên lạc Ethernet. Hiện nay việc tìm thấy
những liên lạc IP trong khắp môi trường các hệ điều khiển quá trình và
SCADA là rất phổ biến.
Chủ các doanh nghiệp và các nhà điều hành các hệ SCADA có xu hướng
tiếp tục cung cấp chỉ một giải pháp bảo vệ máy tính vòng ngoài tại điểm nối
giữa các mạng SCADA và IT. Một giải pháp bảo vệ như một firewall là một
sự khởi đầu tốt đẹp nhưng để lại bên trong của môi trường SCADA sự
không an toàn và nguy hiểm.
Thiết kế mạng phẳng trong môi trường SCADA cho phép cả những mối đe
doạ bên trong và bên ngoài phát triển và ảnh hưởng tới những thiết bị cuối
điều khiển thiết bị vật lý. Một số kỹ thuật mới sẵn sàng để sử dụng trong
việc bảo mật phần bên trong của môi trường SCADA cũng như cung cấp sự
truy nhập từ xa an toàn vào môi trường đó.
Việc biết được những điểm yếu nào nằm trong các hệ SCADA và hệ điều
khiển quá trình, những mối đe doạ bên trong và bên ngoài có thể lợi dụng
những điểm yếu này như thế nào, và biết làm thế nào để thực hiện những
giải pháp bảo vệ mới để ngăn cản, bảo vệ và dò những mối đe doạ máy tính
là chìa khoá để bảo vệ những hệ thống quan trọng này.v