Các chiến lược bảo vệ hệ thống điều khiển và hệ SCADA Trong nhiều năm qua, hầu hết các công ty có cơ sở hạ tầng trọng yếu được điều khiển bởi các hệ SCADA, DCS và các hệ thống điều khiể
Trang 1Các chiến lược bảo vệ hệ thống điều
khiển và hệ SCADA
Trong nhiều năm qua, hầu hết các công ty có cơ sở hạ tầng trọng yếu được điều khiển bởi các hệ SCADA, DCS và các hệ thống điều khiển quá trình khác đã sử dụng phương pháp nhóm tất cả các hệ thống thời gian thực vào trong một môi trường gọi là PCN hay mạng điều khiển quá trình, và cố gắng giữ cho môi trường đó tách biệt khỏi CNTT và các mạng kết hợp tới mức có thể
Trong khi khái niệm
này là một bước tiến
đúng đắn thì việc coi
môi trường PCN như
một hộp đen và cố
gắng điều khiển một
firewall hay giải pháp
bảo vệ máy tính tại
ranh giới với IT là
không thích hợp để
bảo vệ khỏi việc thay
đổi những mối đe dọa
cả từ bên ngoài và bên
trong Đặc tính nhạy
của các thiết bị DCS
và PLC quản lý các
tài sản trọng yếu cần
một cấp độ phân chia
mạng cao hơn và các
giải pháp bảo vệ tiên
tiến hơn mà hiện các
doanh nghiệp cung
cấp giải pháp an ninh
và các nhà kinh doanh
IT không giới thiệu
hay không có sẵn
Bài viết này nêu ra một số vấn đề cơ bản với hiện trạng bảo vệ hệ SCADA
và hệ thống điều khiển, giới thiệu khái niệm khu vực bảo mật dễ bị nguy
Trang 2hiểm và giới thiệu ngắn gọn một vài giải pháp bảo vệ máy tính mới và độc nhất có khả năng ứng dụng tại mỗi khu vực bảo mật Trong nhiều năm qua, với sự im ắng và các cấp độ hoạt động ngày càng tăng của các loại sâu và virus như Blaster (aka MSBlast), người ta thừa nhận rằng các hệ thống độc quyền và biệt lập trước đây hiện được kết nối với các mạng kết hợp, và nhiều hệ thống còn bao gồm các điểm nối từ Internet Một kiến thức phổ biến hiện nay là thiết bị điện tử kiểm soát cơ sở hạ tầng trọng yếu
dễ bị hỏng qua DoS (Phủ nhận dịch vụ), các gói tin dị hình, và mã độc do virus, Trojan và sâu gây ra Những đánh giá về điểm yếu của hoạt động bảo mật máy tính trong hệ SCADA và hệ điều khiển quá trình đã làm nảy sinh một mô hình phương pháp mà nhiều công ty ứng dụng để bảo vệ các tài sản trọng yếu của mình Hơn 80% các công ty cung cấp điện, ga, nước và năng lượng được đề cập tới
sử dụng một firewall hay giải pháp bảo vệ máy tính giữa mạng kết hợp IT và mạng điều khiển quá trình có đủ khả năng để duy trì sự bảo mật cho các tài sản trọng yếu dưới sự
kiểm soát của hệ
SCADA và hệ điều
khiển quá trình
Các công ty này đặc
biệt coi mạng điều
khiển quá trình như
một hộp đen lớn và có
xu hướng bảo vệ
những môi trường này
bằng cách cố gắng
tách biệt chúng khỏi
bất cứ một mạng nào
khác tới mức có thể
Đây là một sự cố gắng
đầu tiên mang lại hiệu
quả tốt và là một
hướng đi đúng đắn
Ngoài ra, có thể xem
xét một số giải pháp bảo vệ máy tính khác tạo điều kiện để những tài sản trọng yếu được kết nối qua các giao thức Ethernet và Internet có khả năng định tuyến có thể đối phó được với những mối đe dọa cả từ bên ngoài lẫn
Phần dưới đây có hai sơ đồ, sơ đồ đầu tiên thể hiện mạng logic của một hệ
Trang 3SCADA và DCS điển hình được nối với mạng kết hợp Sơ đồ thứ hai cho thấy hầu hết các công ty quan tâm đến tính bảo mật của các môi trường thời gian thực, môi trường SCADA và môi trường điều khiển quá trình của họ như thế nào Họ chỉ phân chia mạng của mình thành hai môi trường - một cho hệ thống kết hợp/IT, và một cho hệ SCADA và hệ thống điều khiển quá trình
Những điểm yếu SCADA điển hình và các giải pháp đổi mới Với các mạng doanh nghiệp, việc thiếu những phương pháp kiểm soát sự truy nhập và sự phân chia mạng trong hệ SCADA và hệ thống điều khiển quá trình cũng gây nguy hiểm cho máy tính Những sự nguy hiểm đó này có thể xuất phát từ những mối đe dọa từ bên trong và bên ngoài Những phần sau bao trùm các điểm yếu và những giải pháp đổi mới tiềm năng để giải quyết những vấn đề này Các mối đe dọa từ bên ngoài Sâu, virus, Trojan, và malware gây hại cho các mạng SCADA Chỉ có một giải pháp bảo vệ máy tính tại vòng ngoài của môi trường SCADA hay môi trường PCN thường làm cho các trạm làm việc và các máy chủ SCADA, các mạng viễn thông và các bộ điều khiển PLC và RTU dễ bị tấn công bởi các loại sâu nhiều dạng tự nhân bản, sự biến đổi của chúng luôn nhanh hơn khả năng phản ứng của các hãng chống virus Với các vùng bảo mật phụ thêm, tính bảo mật cấp độ cổng và các firewall đặt giữa mỗi vùng bảo mật, các loại sâu và virus có thể bị chặn lại bất kể là giải pháp chống virus có tệp chữ ký mới nhất hay không Ngoài phương pháp phân chia môi trường SCADA bằng việc sử dụng các firewall, một giải pháp chống virus
có thể được thiết lập mà không cần phải kết nối internet trực tiếp, tuy nhiên giải pháp này vẫn chưa tự động nhận những cập nhật chữ ký và chuyển chúng tới các máy tính trong môi trường SCADA
Do việc kết nối trực tiếp môi trường SCADA với mạng IT kết hợp hay với mạng internet có thể làm cho môi trường SCADA dễ bị nguy hiểm và bị đe doạ, vì vậy tạo ra một môi trường bảo mật trung gian mới (vùng 2) trong chính DMZ của nó (Vùng đảo ngược quân sự hoá) được coi là một giải pháp tốt hơn Data historian DMZ trung gian này sẽ tạo ra một bộ đệm giữa mạng
IT kết hợp và môi trường SCADA, đồng thời thiết kế này cũng mang lại rất nhiều ích lợi
Trang 4Lợi ích chính cho
vùng đệm mới này là
dữ liệu có thể được
sắp xếp ở đây từ môi
trường SCADA và rồi
di chuyển đến các môi
trường IT khác Thay
vì có nhiều sự kết nối
IT trực tiếp tới môi
trường SCADA, tất cả
việc thu thập và lưu
trữ dữ liệu có thể
được di chuyển ra
khỏi Data historian
DMZ này, do vậy
việc hạn chế hơn nữa
sự truy nhập vào môi
trường SCADA và
cho phép một tập hợp
các luật firewall chặt
chẽ hơn được viết
giữa vùng này và môi
trường SCADA Khái
niệm “đặc quyền tối
thiểu” có thể được áp
dụng ở đây do vậy chỉ
có những người được
yêu cầu truy nhập vào
các hệ SCADA và các
thành phần mới được
phép vào trong môi trường SCADA Còn tất cả những người sử dụng khác chỉ thực sự cần truy nhập vào dữ liệu thu thập được từ các hệ SCADA có thể được phép truy nhập vào những hệ thống này trong Data historian DMZ Một lợi ích khác của việc có Data historian DMZ mới này (hay Vùng 2) là việc cài đặt các máy chủ chuyển tiếp, chúng có thể chuyển tiếp hay gửi trên các hệ điều hành và những điểm nối tạm cập nhật chống virus từ phía IT của mạng vào môi trường SCADA hay môi trường các hệ điều khiển Nếu có sự truy nhập vào một bộ mô phỏng hay mạng phát triển với việc cài đặt phần cứng và phần mềm SCADA, thì hệ điều hành mới và những điểm nối tạm chống virus này cần được thử nghiệm trong những môi trường thử nghiệm
Trang 5này trước khi di chuyển tiếp Biểu đồ trong hình 5 thể hiện một hệ điều hành thứ cấp hay các hệ thống nối tạm chống virus có thể đặt trong Vùng 2, hay vùng DMZ dữ liệu, do vậy chúng ta có thể chuyển tiếp những sự nâng cấp hay những điểm nối tạm vào môi trường thử nghiệm, để chạy thử trong môi trường thử nghiệm trước khi ứng dụng những điểm nối tạm hay những nâng cấp vào các hệ thống sản xuất trực tiếp Một khi các điểm nối tạm được thử nghiệm để hoạt động trong mạng mô phỏng, mà không gây ảnh hưởng bất lợi cho bất cứ một chức năng nào của
hệ SCADA thì các hệ thống tương tự trong Vùng 2 có thể được sử dụng để chuyển tiếp những điểm nối tạm này vào môi trường sản xuất trực tiếp Mặc dù những điểm nối tạm đã được thử nghiệm trên mạng mô phỏng nhưng việc tự động đẩy những điểm nối tạm ra khỏi những hệ thống chạy trong chế độ sản xuất vẫn có thể là một việc làm nguy hiểm Có một sự lựa chọn đó là nối tạm các hệ thống thành một hệ thống tại một thời điểm Một lựa chọn khác đó là dùng tay nối các hệ thống bằng cách lại gần trạm làm việc hay máy chủ và nâng cấp hệ điều hành hay các điểm nối tạm chống virus với việc xem lại các hệ thống trong Vùng 2 để tìm nguồn của các điểm nối tạm
Trang 2 của 2
Mối đe doạ bên ngoài
Sự truy nhập từ xa
không an toàn vào
các môi trường
SCADA
Ngoài những mối đe
doạ bên ngoài đang
tiến gần qua firewall
internet và firewall IT
kết hợp, vẫn tồn tại
mối đe doạ từ sự truy
nhập trực tiếp đằng sau firewall qua truy nhập modem quay số Những điểm nối modem quay số này chỉ yêu cầu biết một mật mã ngắn hay mã PIN 4 số cực kỳ đơn giản để có thể truy nhập trực tiếp vào trung tâm của môi trường SCADA Sự kết hợp giữa một phương pháp thẩm định quyền đơn giản với khả năng truy nhập trực tiếp và phần cứng và phần mềm SCADA chế tác-với rất ít hay hầu như không có sự theo dõi kiểm toán - làm cho những kết nối modem trở thành các điểm cửa ngõ cho những mối đe doạ từ bên ngoài
Sơ đồ trong hình 7 miêu tả một số điểm vào môi trường SCADA qua việc sử dụng modem hay truy nhập VPN không an toàn Cả hai phương pháp này
Trang 6đều cho phép hệ thống bên ngoài có thể kết nối trực tiếp với môi trường SCADA, và bất cứ một mã độc nào ở hệ thống bên ngoài hay các mạng bên ngoài đều có thể dễ dàng đi vào môi trường SCADA qua kết nối bắc cầu được tạo nên với kiểu
truy nhập từ bên ngoài
này
Ngoài những mối
nguy hiểm gây ra bởi
sự truy nhập modem
hiện tại vào các môi
trường SCADA, việc
truy nhập modem chỉ
cung cấp một sự kết
nối dải tần thấp để xử
lý, sửa chữa hay duy
trì các thành phần hệ
SCADA Một giải
pháp mới yêu cầu có
sự thẩm định quyền chặt chẽ hơn đồng thời hạn chế sự truy nhập trực tiếp vào môi trường SCADA Nó cũng cung cấp một sự theo dõi kiểm toán với khả năng truy nhập hoàn toàn vào thời gian hệ thống được dán tem và được ghi bởi tên người sử dụng Bằng việc kết hợp một giải pháp OTP (một mật mã thời gian) 2 yếu tố với hoạt động tính toán máy khách mỏng (Các dịch vụ đầu cuối hay Citrix), sự truy nhập từ xa có thể được cung cấp, nó không chỉ thực hiện nhiều thao tác kiểm tra cho sự thẩm đinhhj quyền khi truy nhập mà còn hạn chế sự truy nhập vào môi trường SCADA bằng cách giữ người sử dụng từ xa trong một vùng DMZ và chỉ cung cấp sự truy nhập phiên máy khách mỏng vào môi
Người sử dụng từ xa, sau khi cung cấp sự thay đổi mã 6 số từ mã thông báo rồi nhận được lời nhắc cho một mã PIN 4 số bí mật, và sự kết nối của cả hai
mã 6 số và mã PIN 4 số tạo ra một OTP (một mật mã thời gian) vào trong hệ thống Một khi đã được xác nhận vào trong môi trường máy khách mỏng, người sử dụng từ xa được trình diện với một phiên màn hình dựa trên thông tin truy nhập của người sử dụng Những người sử dụng từ xa này với các thông tin của quản trị viên hệ thống có thể truy nhập vào phần mềm lập trình PLC hay phần mềm phát triển SCADA/HMI vì vậy có thể thực hiện những thay đổi và tải vào môi trường SCADA
Sơ đồ trong hình 8 thể hiện kiểu truy nhập từ xa an toàn mới thẩm định
Trang 7quyền người sử dụng từ xa như thế nào rồi giữ người sử dụng trong Data Historian DMZ, trong khi cho phép phiên máy khách mỏng có khả năng truy nhập vào môi trường SCADA qua SCADA firewall Bên cạnh những đặc tính an toàn phụ trội của giải pháp truy nhập từ xa mới này, những lợi ích bao gồm cuộc theo dõi kiểm toán đầy đủ các tiêu chí của
ai, như thế nào và khi nào có sự truy nhập vào môi trường SCADA Hơn nữa, do giải pháp truy nhập từ xa độc lập về mặt truyền thông nên hoạt động truy nhập từ xa có thể được thực hiện với những sự kết nối băng rộng cao hơn do đó chất lượng
kết nối cũng tốt hơn
Mối đe doạ bên trong
không định trước
Những sự kiểm soát
truy nhập lỏng lẻo
làm lộ ra toàn bộ
mạng SCADA
Một điểm yếu bảo
mật cơ bản khác với
việc có một giải pháp
bảo vệ ở vòng ngoài
của mạng SCADA là
tiềm năng cho những
kiểm soát truy nhập
lỏng lẻo Vì chỉ có một lớp bảo vệ giữa LAN kết hợp và SCADA hay LAN điều khiển quá trình nên cần phải áp dụng một giải pháp bảo vệ dưới một dạng thức âm thanh và cần được chạy thử Trong những đánh giá gần đây về khả năng bị nguy hiểm do các công ty năng lượng, và công ty sản xuất thực hiện có một vấn đề chung đó là các ACL yếu (Danh sách điều khiển truy nhập) được bổ sung trong bộ định tuyến hay firewall giữa IT kết hợp và các
Những công cụ hacker tự động ngày nay và các thiết bị quét có thể được lắp đặt để tự động thử một loạt địa chỉ IP cho mục vào ép buộc thô bạo Thậm chí không có những công cụ tự động này, một thành viên nội bộ với sự truy nhập tự nhiên vào mạng kết hợp có thể đặt một bộ phân tích mạng vào mạng
và ghi tất cả các gói, do vậy có khả năng nhìn thấy khoảng địa chỉ được phép
để đi qua thiết bị bảo mật vành đai Những kiểm soát truy nhập chặt chẽ hơn tại thiết bị bảo vệ vòng ngoài (bộ định tuyến hay firewall), và sự phân chia mạng phụ thêm sẽ phải đi một đường dài để ngăn cản sự truy nhập không định trước vào môi trường
Trang 8SCADA Trong hình vẽ 9 thể hiện những sự kiểm soát truy nhập lỏng lẻo và các ALC yếu trong giải pháp bảo vệ vòng ngoài giữa các mạng IT và SCADA có thể để lộ toàn bộ môi trường SCADA cho sự truy nhập không định trước bởi nhân
viên nội bộ và các nhà
thầu
Giải pháp bảo vệ điển
hình tại vòng ngoài
chỉ thành công trong
việc cung cấp một
giải pháp bảo vệ hạn
hẹp cho những sự tấn
công từ bên ngoài môi
trường SCADA
Dường như toàn bộ
môi trường SCADA
là một mạng phẳng
Bất cứ ai với sự truy
nhập vào bất cứ hệ
thống nào trong môi trường SCADA phải truy nhập vào toàn bộ môi trường SCADA Ví dụ, nếu không có những giải pháp bảo mật phụ thêm và các lớp bảo vệ được thực hiện trong mạng SCADA, thì một công ty làm thế nào để ngăn cản một cố vấn viên về cơ sở dữ liệu historian khỏi việc tải mã về các PLC Ethernet của họ, hay truy nhập vào các tệp tin trên các máy chủ SCADA khác? Kiểu cấu trúc mạng SCADA không cung cấp chính sách ngăn chặn hiệu quả trong các thành phần SCADA khác nhau này được thể
Nên có một phương pháp làm hạn chế sự truy nhập vào các thiết bị cuối SCADA cấp thấp, các thiết bị này điều khiển quá trình vật lý Việc truy nhập vào các trạm SCADA và trạm máy tính điều khiển quá trình và thiết bị máy tính phòng điều khiển không có nghĩa là truy nhập tự động vào các bộ điều khiển vận hành thiết bị vật lý Ngoài ra, nếu các máy tính SCADA bị ảnh hưởng bởi một loại virus, dường như quá trình dưới sự điều khiển của PLC, RTU hay IED có thể tiếp tục hoạt động dưới chế độ tự động với điểm đặt cuối cùng trong khi các quản trị viên máy tính khôi phục các trạm làm việc SCADA hay các máy chủ bị ảnh hưởng Nếu không có một phân khu truy nhập khác giữa thiết bị máy tính SCADA và các thiết bị cuối SCADA điều khiển thiết bị nhà máy thực, thì những mối đe doạ tiềm năng từ những loại virus tự nhân giống, sâu, và
Trang 9Trojan có thể có một ảnh hưởng lớn hơn tới các thiết bị cuối và đã chứng tỏ một vài trường hợp trong số chúng đã bị thất bại dưới các điều kiện phòng thí nghiệm
Mối đe doạ từ bên
trong có chủ ý
Phần mềm SCADA
và thiết bị dễ có khả
năng bị nguy hiểm
bởi lưu lượng mạng
cao
Các thiết bị như PLC,
RTU và IED điều
khiển thiết bị vật lý
nên đặt trong một
vùng bảo mật khác
với những điều khiển
truy nhập phụ trội để
hạn chế sự truy nhập
vào những thiết bị này Các máy chủ SCADA và các bàn giao tiếp của người điều hành nên đặt trong một vùng khác Nó đã được chứng minh trong một
số nghiên cứu, và trong hoạt động thử nghiệm thiết bị SCADA của chúng tôi, những bộ điều khiển này dễ bị vỡ khi mạng ở cấp dải thông cao, hay nếu các gói mạng dị hình được gửi tới thiết bị hay phần mềm SCADA Hiện nay, chỉ với một mạng SCADA phẳng lớn, những thiết bị cuối không được bảo vệ trong trường hợp mà các trạm làm việc và các máy tính SCADA bị ảnh hưởng Một trong những cách tốt nhất để bảo vệ những thiết
bị cuối này là phân chia môi trường SCADA thành các vùng hoạt động phụ thêm và triển khai các firewall phân tán khắp môi trường SCADA để cung cấp những sự kiểm soát truy nhập giữa mỗi vùng
Với sự thay đổi và xuất hiện những mối đe doạ cho các hệ SCADA và điều khiển quá trình, chủ nhân và những người điều hành các hệ thống này cần quan tâm hơn tới những kiểm soát truy nhập máy tính hiện đang được sử dụng để bảo vệ các hệ thống này khỏi những mối đe doạ bên trong và bên ngoài Ngành công nghiệp bao gồm những liên lạc TCP/IP Ethernet trong những năm cuối 1990 đã đưa vào thương trường hệ SCADA và hệ điều khiển quá trình với những khả năng liên lạc Ethernet Hiện nay việc tìm thấy những liên lạc IP trong khắp môi trường các hệ điều khiển quá trình và SCADA là rất phổ biến
Trang 10Chủ các doanh nghiệp và các nhà điều hành các hệ SCADA có xu hướng tiếp tục cung cấp chỉ một giải pháp bảo vệ máy tính vòng ngoài tại điểm nối giữa các mạng SCADA và IT Một giải pháp bảo vệ như một firewall là một
sự khởi đầu tốt đẹp nhưng để lại bên trong của môi trường SCADA sự không an toàn và nguy hiểm Thiết kế mạng phẳng trong môi trường SCADA cho phép cả những mối đe doạ bên trong và bên ngoài phát triển và ảnh hưởng tới những thiết bị cuối điều khiển thiết bị vật lý Một số kỹ thuật mới sẵn sàng để sử dụng trong việc bảo mật phần bên trong của môi trường SCADA cũng như cung cấp sự truy nhập từ xa an toàn vào môi trường đó Việc biết được những điểm yếu nào nằm trong các hệ SCADA và hệ điều khiển quá trình, những mối đe doạ bên trong và bên ngoài có thể lợi dụng những điểm yếu này như thế nào, và biết làm thế nào để thực hiện những giải pháp bảo vệ mới để ngăn cản, bảo vệ và dò những mối đe doạ máy tính
là chìa khoá để bảo vệ những hệ thống quan trọng này.v
