CISA: Cơ sở hạ tầng thiết yếu phải làm chủ khả năng cách ly và phục hồi

Cơ quan An ninh Mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa đưa ra hướng dẫn mới, cảnh báo rằng các nhà khai thác cơ sở hạ tầng thiết yếu tại nước này đang phải đối mặt với những nỗ lực xâm nhập liên tục từ các tác nhân nhà nước. Những kẻ tấn công này có tham vọng vượt xa việc chỉ do thám, nhắm trực tiếp vào khả năng tê liệt hệ thống công nghệ vận hành (OT) - huyết mạch duy trì sự vận hành của xã hội Mỹ.

CISA nhấn mạnh rằng các đối thủ thù địch đã thực sự thâm nhập và ẩn mình bên trong các hệ thống thiết yếu cũng như mạng viễn thông. Họ đang định vị để sẵn sàng làm tê liệt công nghệ vận hành (OT) nếu một cuộc xung đột địa chính trị quy mô lớn bùng nổ.

Mạng công nghiệp

Để ứng phó với mối đe dọa này, CISA đã khởi xướng sáng kiến CI Fortify. Chương trình được thiết kế nhằm đảm bảo rằng các nhà cung cấp dịch vụ thiết yếu như y tế công cộng, quốc phòng và các hệ thống kinh tế vẫn có thể tiếp tục hoạt động ngay cả khi đang chịu sự tấn công mạng ồ ạt.

Chương trình hoạt động dựa trên giả định rằng trong kịch bản xung đột, quyền truy cập internet, sự hỗ trợ từ các nhà cung cấp và bên thứ ba có thể trở nên không đáng tin cậy. Trong khi đó, các tác nhân thù địch vẫn có thể giữ được vị thế vững chắc bên trong mạng lưới OT.

Trọng tâm của CI Fortify là hai năng lực cốt lõi mà các nhà khai thác được khuyến khích phát triển ngay lập tức. Đầu tiên là cách ly (isolation), bao gồm việc chủ động cắt đứt kết nối với các mạng bên ngoài và hệ thống kinh doanh để ngăn chặn sự lây lan của cuộc tấn công vào hệ thống OT. Mục tiêu ở đây là tránh việc đóng cửa hoàn toàn và thiết lập chế độ vận hành có thể duy trì cung cấp dịch vụ thiết yếu trong nhiều tuần hoặc thậm chí nhiều tháng trong trạng thái cô lập.

Năng lực thứ hai là phục hồi (recovery), tập trung vào các biện pháp khi việc cách ly đơn thuần là chưa đủ. Các nhà khai thác được khuyên nên ghi chép tài liệu kỹ lưỡng về hệ thống, duy trì các bản sao lưu cập nhật và thường xuyên diễn tập việc khôi phục các thành phần bị xâm phạm hoặc chuyển sang vận hành thủ công.

Hệ thống ICS

Giám đốc CISA Nick Andersen đã kêu gọi các nhà khai thác xem xét kỹ lưỡng hướng dẫn, đưa các khuyến nghị vào thực tế và làm việc trực tiếp với cơ quan để củng cố phòng thủ.

"Việc nhấn mạnh vào cách ly và phục hồi rất quan trọng để duy trì tính liên tục trong thời gian gián đoạn, đặc biệt khi cơ sở hạ tầng thiết yếu ngày càng trở thành mục tiêu của căng thẳng địa chính trị và AI tăng tốc độ khai thác lỗ hổng," Duncan Greatwood, CEO của Xage Security, nhận định.

Tuy nhiên, ông Greatwood cũng lưu ý thêm: "Nếu tổ chức không có quyền kiểm soát trong môi trường của mình, thì việc cách ly đơn thuần là chưa đủ. Các mối đe dọa thường di chuyển qua các kết nối đáng tin cậy, bên thứ ba hoặc thông tin xác thực bị xâm phạm rất lâu trước khi phản ứng khẩn cấp bắt đầu. Việc tập trung vào phân đoạn mạng (segmentation) và duy trì hoạt động ngay cả trong trạng thái suy giảm là một bước tiến có ý nghĩa và phù hợp hơn với cách thức hoạt động thực tế của các môi trường này."