Những câu chuyện "đau lòng" về bảo mật hệ thống điều khiển công nghiệp (ICS) từ thực tế

Hệ thống điều khiển công nghiệp (ICS) và môi trường công nghệ vận hành (OT) thường được mô tả là những thế giới yên tĩnh và được kiểm soát chặt chẽ. Tuy nhiên, thực tế lại hoàn toàn khác biệt. Chúng chứa đựng hàng loạt rủi ro, cấu hình bất ngờ và sự phức tạp trong vận hành mà các bài kiểm thử xâm nhập tiêu chuẩn hay đánh giá rủi ro thông thường khó có thể phát hiện hết.

SecurityWeek đã có cuộc trò chuyện với một số chuyên gia và công ty hàng đầu trong lĩnh vực bảo mật ICS về những trải nghiệm đáng nhớ nhất của họ tại hiện trường. Đây không phải là các kịch bản lý thuyết hay mô phỏng trong phòng thí nghiệm, mà là những tình huống thực tế họ gặp phải khi làm việc trực tiếp với các tổ chức.

Những câu chuyện này làm nổi bật khoảng cách thường tồn tại giữa các chính sách bảo mật được viết trên giấy và những gì thực sự diễn ra trên sàn nhà máy.

Dưới đây là những câu chuyện thú vị và đầy răn đe được chia sẻ bởi các chuyên gia bảo mật ICS, ngay từ "tuyến đầu" của cuộc chiến an ninh mạng:

Môi trường ICS/OT phức tạp

Cuộc tấn công APT vào hệ thống năng lượng

John Simmons từ đội Phản hồi sự cố FortiGuard (Fortinet) chia sẻ về một vụ việc tại Trung Đông:

"Trong một đợt phản hồi sự cố, đội của chúng tôi đã phát hiện một tác nhân đe dọa APT có liên quan đến Iran đang cố gắng di chuyển ngang từ môi trường IT của khách hàng sang hệ thống OT của họ. Mỗi lần khách hàng cố gắng cô lập hoạt động này, kẻ tấn công lại thích nghi, triển khai phần mềm độc hại mới, thiết lập hạ tầng mới và tái thiết lập quyền truy cập gần như ngay lập tức.

Chúng tôi đã tạm dừng việc cô lập các vấn đề riêng lẻ và chuyển sang điều tra toàn diện để hiểu rõ vị thế, mô hình di chuyển và mục tiêu của kẻ tấn công. Trong quá trình điều tra, chúng tôi phát hiện một cơ chế tồn tại dai dẳng bất ngờ: một lỗ hổng 'n-day' chưa được ghi nhận công khai là đang bị khai thác trong tự nhiên. Nó cung cấp cho kẻ tấn công một con đường đáng tin cậy để tái nhập mạng, ngay cả sau khi dọn dẹp dường như đã hoàn tất.

Cuối cùng, mục tiêu của kẻ tấn công rất rõ ràng: thiết lập quyền truy cập bền vững vào mạng OT. Chúng tôi quan sát thấy nhiều nỗ lực di chuyển ngang từ mạng IT bằng các máy chủ nhảy (jump boxes) và đường hầm độc hại, nhưng chúng chưa bao giờ xâm nhập hoàn toàn vào mạng OT. Bằng cách phối hợp chặt chẽ với khách hàng và thực hiện kế hoạch khắc phục toàn diện, chúng tôi đã cắt đứt quyền truy cập, loại bỏ sự tồn tại dai dẳng và ổn định môi trường trước khi mạng OT bị ảnh hưởng."

Bài học đắt giá khi dùng công cụ IT trong OT

Brian Proctor, nhà sáng lập và CEO của Frenos, kể lại một sự cố kinh hoàng tại nhà máy điện:

"Làm việc tại một nhà máy phát điện chu trình kết hợp, một nhân viên tuân thủ an ninh mạng đã bước vào phòng và nói: 'Tôi sẽ thực hiện quét lỗ hổng trên mạng tuabin'. Tôi trả lời: 'Ôi không, ông không làm đâu; đây không phải là môi trường IT doanh nghiệp, ông không thể dùng những công cụ đó'.

Ông ấy đã leo thang vấn đề và cho tôi xem email từ các giám đốc yêu cầu quét. Và ông ấy đã làm vậy. Chỉ 2 phút 11 giây sau khi nhấn nút quét, cả hai tuabin đã dừng hoàn toàn, tạo ra một âm thanh có thể nghe thấy từ cách đó hơn một dặm.

Họ ngay lập tức dẫn chúng tôi ra khỏi khu vực và đội an ninh mạng của chúng tôi không được phép quay lại trong nhiều năm. Bài học rút ra là: Đừng sử dụng công cụ IT trong môi trường OT."

Phần mềm trái phép trong cơ sở an ninh cao

Morey Haber, Cố vấn An ninh Chính của BeyondTrust, chia sẻ một câu chuyện về sự cẩu thả trong một cơ sở an ninh tại Florida:

"Ngay sau sự kiện 11/9, tôi được yêu cầu có mặt tại một cơ sở an ninh ở Nam Florida. Một nhà thầu mà tôi làm việc cùng hoàn toàn không quen thuộc với các công cụ của tôi và thích một sản phẩm mã nguồn mở hơn. Ông ấy đã cài đặt nó và cho tôi thấy các tính năng mà ông ấy thích.

Sau khi cài đặt giải pháp mà khách hàng yêu cầu, chúng tôi bắt đầu sử dụng. Cơ sở này an ninh đến mức tôi không được phép chạm vào bàn phím. Nhà thầu cần tự gõ mọi thứ, nhưng những thứ đơn giản như mật khẩu dường như không hoạt động. Ông ấy đổ lỗi cho công cụ của tôi và khẳng định công cụ của ông ấy tốt hơn.

Sau hơn một ngày khắc phục sự cố, tôi cuối cùng đã yêu cầu ông ấy nhập lại thông tin đăng nhập và mọi thứ bắt đầu hoạt động. Trước khi rời đi, tôi có buổi báo cáo với một quan chức cấp cao. Tôi đã đề cập đến phần mềm mã nguồn mở mà nhà thầu đã cài đặt. Vị quan chức hoàn toàn bối rối và khẳng định không ai được phép cài đặt phần mềm chưa được phê duyệt. Nhà thầu đó đã bị sa thải ngay lập tức."

Hệ thống "ma" bị lãng quên

Kevin Paige, Field CISO tại C1, kể về việc phát hiện một cụm máy chủ bí ẩn:

"Tôi được thuê để đánh giá một cơ quan kỹ thuật liên bang trước một cuộc kiểm toán sắp tới. Trong quá trình khám phá mạng, tôi tìm thấy một cụm máy chủ không thể giải thích được. Chúng nằm ở một tầng khác, phía sau một cánh cửa ít người mở. Cùng phòng đó cũng chứa các camera mạng, cũng không được ghi nhận và đang sử dụng thông tin đăng nhập mặc định của nhà sản xuất.

Các máy chủ Solaris chưa được vá lỗi trong nhiều năm và các tài khoản cục bộ cũng đang dùng mật khẩu mặc định. Tôi được told rằng chúng rất quan trọng: chúng chạy hệ thống điều khiển công nghiệp hiện trường của cơ quan. Học thuyết là để chúng yên tĩnh; chúng là Solaris, bị cô lập vật lý và chỉ có một vài kỹ sư biết cách vận hành. Không có đường vào nào cả, ngoại trừ qua cánh cửa đó.

Từ một máy trạm doanh nghiệp ở vài tầng trên, và sau đó được chứng minh từ bất kỳ đâu trên internet công cộng, tôi có thể tiếp cận các máy chủ và camera, đăng nhập bằng thông tin mặc định, nâng quyền root và đưa ra lệnh trực tiếp vào hệ thống điều khiển hiện trường. Không có gì trong môi trường này là cô lập. Nhà phát triển ban đầu đã nghỉ hưu; hợp đồng bảo trì đã hết hạn. Trong khoảng thời gian đó, 'bị khóa kín' chỉ là một câu chuyện mà tổ chức tự nói với mình."

Giám sát an ninh mạng trong môi trường công nghiệp

Shadow IT trong ngành dược phẩm

Agnidipta Sarkar từ ColorTokens chia sẻ thách thức trong quá trình chuyển đổi số tại OT:

"Thách thức lớn nhất của tôi là xây dựng khả năng sẵn sàng trước vi phạm trong quá trình chuyển đổi số OT. Một trong những công ty dược phẩm lớn nhất đất nước đã bị tấn công, và họ thông báo với cơ quan quản lý thị trường chứng khoán về việc mất doanh thu do một cuộc tấn công mạng từ nước ngoài.

Một yếu tố nổi bật là Xác thực Hệ thống Máy tính (CSV) - một quy trình được tài liệu hóa để đảm bảo hệ thống hoạt động chính xác nhằm duy trì tính toàn vẹn dữ liệu và an toàn bệnh nhân. CSV có thể mất từ 4 tuần đến 18 tháng.

Tôi nhận ra rằng việc các hệ thống GMP của chúng tôi bị hack sẽ là một cơn ác mộng. Chúng tôi đã đi săn tìm các thiết bị và kết nối 'bóng tối'. Chúng tôi tìm thấy những mạng ngắt kết nối đầy rẫy các hệ thống cũ, dễ bị tổn thương. Chúng tôi tìm thấy các cổng USB mở trên một máy dán nhãn cũ đang hoạt động. Chúng tôi tìm thấy các bảng điều khiển Windows XP không kết nối với mạng IT nhưng có cổng LAN ở gần. Bài học là chúng tôi đã may mắn khi không bị tấn công."

Tường lửa không hoạt động như mong đợi

Một đại diện từ Tenable kể về một công ty sản xuất vừa đầu tư hàng triệu đô la vào tường lửa:

"Đội ngũ kỹ thuật cho biết họ đã triển khai tường lửa thành công và mục tiêu là chúng tôi không thể phát hiện ra các hệ thống điều khiển và thiết bị OT nhạy cảm từ môi trường trung tâm. Tuy nhiên, khi triển khai giải pháp và hướng dẫn nó thực hiện khám phá từ xa, nó đã trả về hàng nghìn thiết bị. Chúng tôi có thể lấy thông tin sâu vì có thể giao tiếp với các giao thức độc quyền của thiết bị qua mạng đến cơ sở từ xa.

Rõ ràng là các tường lửa không chặn hoặc cản trở lưu lượng trong mạng công ty. Việc có một danh mục tài sản hoàn chỉnh trước khi áp dụng quy tắc tường lửa là rất quan trọng. Nó cho phép chúng tôi xác nhận rằng khi thêm và điều chỉnh quy tắc, chúng tôi vẫn duy trì mức độ hiển thị và kiểm soát tương tự."

Malware ẩn nấp trong DNS tunneling

Jose Bonilla từ Nozomi Networks phát hiện một cảnh báo lạ:

"Sau khi cài đặt cảm biến tại một cơ sở sản xuất, khách hàng nhận thấy cảnh báo lưu lượng bị lỗi thường xuyên từ một máy tính Windows. Ban đầu, họ nghi ngờ đây là dương tính giả do tuổi đời và cấu hình của hệ thống. Tuy nhiên, khi xem xét sự kiện, chúng tôi phát hiện cảm biến kích hoạt do các truy vấn DNS chứa các nhãn cực dài.

Các tên miền phụ có vẻ được mã hóa và tần suất truy vấn bất thường. Hành vi này thể hiện tất cả các đặc điểm của phần mềm độc hại đang giao tiếp với máy chủ điều khiển và thực hiện rút ruột dữ liệu qua đường hầm DNS. Phân tích sau sự cố đã làm nổi bật các khoảng trống trong khả năng hiển thị và phát hiện trong môi trường OT."

Kết luận

Nicholas DiCola từ Zero Networks tóm tắt lại vấn đề cốt lõi:

"Tại một công ty sản xuất toàn cầu, đánh giá rủi ro bắt đầu với một câu hỏi đơn giản: nếu kẻ tấn công xâm nhập, chúng có thể lây lan không? Giả định là các hệ thống vận hành được cô lập hiệu quả. Nhưng khi ánh xạ kết nối thực tế, họ thấy điều ngược lại. Môi trường IT và OT được kết nối với nhau nhiều hơn dự kiến và các đường di chuyển ngang rộng mở.

Bài học là nhiều tổ chức tin rằng họ đã phân đoạn (segment) mạng, nhưng trong thực tế, mạng của họ cho phép nhiều hơn mức dự định. Chỉ cần một vị trí duy nhất để một vấn đề trong IT tiếp cận các hệ thống giữ cho sản xuất chạy, đó là lý do tại sao kiểm soát di chuyển ngang trở nên trung tâm cho khả năng phục hồi kinh doanh."