Các chiến lược bảo vệ hệ thống điều khiển và hệ SCADA

       Trong nhiều năm qua, hầu hết các công ty có cơ sở hạ tầng trọng yếu được điều khiển bởi các hệ SCADA, DCS và các hệ thống điều khiển quá trình khác đã sử dụng phương pháp nhóm tất cả các hệ thống thời gian thực vào trong một môi trường gọi là PCN hay mạng điều khiển quá trình, và cố gắng giữ cho môi trường đó tách biệt khỏi CNTT và các mạng kết hợp tới mức có thể.

Trong khi khái niệm này là một bước tiến đúng đắn thì việc coi môi trường PCN như một hộp đen và cố gắng điều khiển một firewall hay giải pháp bảo vệ máy tính tại ranh giới với IT là không thích hợp để bảo vệ khỏi việc thay đổi những mối đe dọa cả từ bên ngoài và bên trong. Đặc tính nhạy của các thiết bị DCS và PLC quản lý các tài sản trọng yếu cần một cấp độ phân chia mạng cao hơn và các giải pháp bảo vệ tiên tiến hơn mà hiện các doanh nghiệp cung cấp giải pháp an ninh và các nhà kinh doanh IT không giới thiệu hay không có sẵn.
Bài viết này nêu ra một số vấn đề cơ bản với hiện trạng bảo vệ hệ SCADA và hệ thống điều khiển, giới thiệu khái niệm khu vực bảo mật dễ bị nguy hiểm và giới thiệu ngắn gọn một vài giải pháp bảo vệ máy tính mới và độc nhất có khả năng ứng dụng tại mỗi khu vực bảo mật.

Trong nhiều năm qua, với sự im ắng và các cấp độ hoạt động ngày càng tăng của các loại sâu và virus như Blaster (aka MSBlast), người ta thừa nhận rằng các hệ thống độc quyền và biệt lập trước đây hiện được kết nối với các mạng kết hợp, và nhiều hệ thống còn bao gồm các điểm nối từ Internet. Một kiến thức phổ biến hiện nay là thiết bị điện tử kiểm soát cơ sở hạ tầng trọng yếu dễ bị hỏng qua DoS (Phủ nhận dịch vụ), các gói tin dị hình, và mã độc do virus, Trojan và sâu gây ra.

Những đánh giá về điểm yếu của hoạt động bảo mật máy tính trong hệ SCADA và hệ điều khiển quá trình đã làm nảy sinh một mô hình phương pháp mà nhiều công ty ứng dụng để bảo vệ các tài sản trọng yếu của mình. Hơn 80% các công ty cung cấp điện, ga, nước và năng lượng được đề cập tới sử dụng một firewall hay giải pháp bảo vệ máy tính giữa mạng kết hợp IT và mạng điều khiển quá trình có đủ khả năng để duy trì sự bảo mật cho các tài sản trọng yếu dưới sự kiểm soát của hệ SCADA và hệ điều khiển quá trình.

Các công ty này đặc biệt coi mạng điều khiển quá trình như một hộp đen lớn và có xu hướng bảo vệ những môi trường này bằng cách cố gắng tách biệt chúng khỏi bất cứ một mạng nào khác tới mức có thể. Đây là một sự cố gắng đầu tiên mang lại hiệu quả tốt và là một hướng đi đúng đắn. Ngoài ra, có thể xem xét một số giải pháp bảo vệ máy tính khác tạo điều kiện để những tài sản trọng yếu được kết nối qua các giao thức Ethernet và Internet có khả năng định tuyến có thể đối phó được với những mối đe dọa cả từ bên ngoài lẫn bên trong.

Phần dưới đây có hai sơ đồ, sơ đồ đầu tiên thể hiện mạng logic của một hệ SCADA và DCS điển hình được nối với mạng kết hợp. Sơ đồ thứ hai cho thấy hầu hết các công ty quan tâm đến tính bảo mật của các môi trường thời gian thực, môi trường SCADA và môi trường điều khiển quá trình của họ như thế nào. Họ chỉ phân chia mạng của mình thành hai môi trường - một cho hệ thống kết hợp/IT, và một cho hệ SCADA và hệ thống điều khiển quá trình.
Những điểm yếu SCADA điển hình và các giải pháp đổi mới

Với các mạng doanh nghiệp, việc thiếu những phương pháp kiểm soát sự truy nhập và sự phân chia mạng trong hệ SCADA và hệ thống điều khiển quá trình cũng gây nguy hiểm cho máy tính. Những sự nguy hiểm đó có thể xuất phát từ những mối đe dọa từ bên trong và bên ngoài. Những phần sau bao trùm các điểm yếu và những giải pháp đổi mới tiềm năng để giải quyết những vấn đề này.

Các mối đe dọa từ bên ngoài:

Sâu, virus, Trojan, và malware gây hại cho các mạng SCADA

Chỉ có một giải pháp bảo vệ máy tính tại vòng ngoài của môi trường SCADA hay môi trường PCN thường làm cho các trạm làm việc và các máy chủ SCADA, các mạng viễn thông và các bộ điều khiển PLC và RTU dễ bị tấn công bởi các loại sâu nhiều dạng tự nhân bản, sự biến đổi của chúng luôn nhanh hơn khả năng phản ứng của các hãng chống virus. Với các vùng bảo mật phụ thêm, tính bảo mật cấp độ cổng và các firewall đặt giữa mỗi vùng bảo mật, các loại sâu và virus có thể bị chặn lại bất kể là giải pháp chống virus có tệp chữ ký mới nhất hay không. Ngoài phương pháp phân chia môi trường SCADA bằng việc sử dụng các firewall, một giải pháp chống virus có thể được thiết lập mà không cần phải kết nối internet trực tiếp, tuy nhiên giải pháp này vẫn chưa tự động nhận những cập nhật chữ ký và chuyển chúng tới các máy tính trong môi trường SCADA.

Do việc kết nối trực tiếp môi trường SCADA với mạng IT kết hợp hay với mạng internet có thể làm cho môi trường SCADA dễ bị nguy hiểm và bị đe doạ, vì vậy tạo ra một môi trường bảo mật trung gian mới (vùng 2) trong chính DMZ của nó (Vùng đảo ngược quân sự hoá) được coi là một giải pháp tốt hơn. Data historian DMZ trung gian này sẽ tạo ra một bộ đệm giữa mạng IT kết hợp và môi trường SCADA, đồng thời thiết kế này cũng mang lại rất nhiều ích lợi.

Lợi ích chính cho vùng đệm mới này là dữ liệu có thể được sắp xếp ở đây từ môi trường SCADA và rồi di chuyển đến các môi trường IT khác. Thay vì có nhiều sự kết nối IT trực tiếp tới môi trường SCADA, tất cả việc thu thập và lưu trữ dữ liệu có thể được di chuyển ra khỏi Data historian DMZ này, do vậy việc hạn chế hơn nữa sự truy nhập vào môi trường SCADA và cho phép một tập hợp các luật firewall chặt chẽ hơn được viết giữa vùng này và môi trường SCADA. Khái niệm “đặc quyền tối thiểu” có thể được áp dụng ở đây do vậy chỉ có những người được yêu cầu truy nhập vào các hệ SCADA và các thành phần mới được phép vào trong môi trường SCADA. Còn tất cả những người sử dụng khác chỉ thực sự cần truy nhập vào dữ liệu thu thập được từ các hệ SCADA có thể được phép truy nhập vào những hệ thống này trong Data historian DMZ.
Một lợi ích khác của việc có Data historian DMZ mới này (hay Vùng 2) là việc cài đặt các máy chủ chuyển tiếp, chúng có thể chuyển tiếp hay gửi trên các hệ điều hành và những điểm nối tạm cập nhật chống virus từ phía IT của mạng vào môi trường SCADA hay môi trường các hệ điều khiển. Nếu có sự truy nhập vào một bộ mô phỏng hay mạng phát triển với việc cài đặt phần cứng và phần mềm SCADA, thì hệ điều hành mới và những điểm nối tạm chống virus này cần được thử nghiệm trong những môi trường thử nghiệm này trước khi di chuyển tiếp. Biểu đồ trong hình 5 thể hiện một hệ điều hành thứ cấp hay các hệ thống nối tạm chống virus có thể đặt trong Vùng 2, hay vùng DMZ dữ liệu, do vậy chúng ta có thể chuyển tiếp những sự nâng cấp hay những điểm nối tạm vào môi trường thử nghiệm, để chạy thử trong môi trường thử nghiệm trước khi ứng dụng những điểm nối tạm hay những nâng cấp vào các hệ thống sản xuất trực tiếp.

Một khi các điểm nối tạm được thử nghiệm để hoạt động trong mạng mô phỏng, mà không gây ảnh hưởng bất lợi cho bất cứ một chức năng nào của hệ SCADA thì các hệ thống tương tự trong Vùng 2 có thể được sử dụng để chuyển tiếp những điểm nối tạm này vào môi trường sản xuất trực tiếp.

Mặc dù những điểm nối tạm đã được thử nghiệm trên mạng mô phỏng nhưng việc tự động đẩy những điểm nối tạm ra khỏi những hệ thống chạy trong chế độ sản xuất vẫn có thể là một việc làm nguy hiểm. Có một sự lựa chọn đó là nối tạm các hệ thống thành một hệ thống tại một thời điểm. Một lựa chọn khác đó là dùng tay nối các hệ thống bằng cách lại gần trạm làm việc hay máy chủ và nâng cấp hệ điều hành hay các điểm nối tạm chống virus với việc xem lại các hệ thống trong Vùng 2 để tìm nguồn của các điểm nối tạm.

Mối đe doạ bên ngoài

Sự truy nhập từ xa không an toàn vào các môi trường SCADA.

Ngoài những mối đe doạ bên ngoài đang tiến gần qua firewall internet và firewall IT kết hợp, vẫn tồn tại mối đe doạ từ sự truy nhập trực tiếp đằng sau firewall qua truy nhập modem quay số. Những điểm nối modem quay số này chỉ yêu cầu biết một mật mã ngắn hay mã PIN 4 số cực kỳ đơn giản để có thể truy nhập trực tiếp vào trung tâm của môi trường SCADA. Sự kết hợp giữa một phương pháp thẩm định quyền đơn giản với khả năng truy nhập trực tiếp phần cứng và phần mềm SCADA chế tác - với rất ít hay hầu như không có sự theo dõi kiểm toán - làm cho những kết nối modem trở thành các điểm cửa ngõ cho những mối đe doạ từ bên ngoài.

Sơ đồ trong hình 7 miêu tả một số điểm vào môi trường SCADA qua việc sử dụng modem hay truy nhập VPN không an toàn. Cả hai phương pháp này đều cho phép hệ thống bên ngoài có thể kết nối trực tiếp với môi trường SCADA, và bất cứ một mã độc nào ở hệ thống bên ngoài hay các mạng bên ngoài đều có thể dễ dàng đi vào môi trường SCADA qua kết nối bắc cầu được tạo nên với kiểu truy nhập từ bên ngoài này.

Ngoài những mối nguy hiểm gây ra bởi sự truy nhập modem hiện tại vào các môi trường SCADA, việc truy nhập modem chỉ cung cấp một sự kết nối dải tần thấp để xử lý, sửa chữa hay duy trì các thành phần hệ SCADA. Một giải pháp mới yêu cầu có sự thẩm định quyền chặt chẽ hơn đồng thời hạn chế sự truy nhập trực tiếp vào môi trường SCADA. Nó cũng cung cấp một sự theo dõi kiểm toán với khả năng truy nhập hoàn toàn vào thời gian hệ thống được dán tem và được ghi bởi tên người sử dụng.

Bằng việc kết hợp một giải pháp OTP (một mật mã thời gian) 2 yếu tố với hoạt động tính toán máy khách mỏng (Các dịch vụ đầu cuối hay Citrix), sự truy nhập từ xa có thể được cung cấp, nó không chỉ thực hiện nhiều thao tác kiểm tra cho sự thẩm định quyền khi truy nhập mà còn hạn chế sự truy nhập vào môi trường SCADA bằng cách giữ người sử dụng từ xa trong một vùng DMZ và chỉ cung cấp sự truy nhập phiên máy khách mỏng vào môi trường SCADA.
Người sử dụng từ xa, sau khi cung cấp sự thay đổi mã 6 số từ mã thông báo rồi nhận được lời nhắc cho một mã PIN 4 số bí mật, và sự kết nối của cả hai mã 6 số và mã PIN 4 số tạo ra một OTP (một mật mã thời gian) vào trong hệ thống. Một khi đã được xác nhận vào trong môi trường máy khách mỏng, người sử dụng từ xa được trình diện với một phiên màn hình dựa trên thông tin truy nhập của người sử dụng. Những người sử dụng từ xa này với các thông tin của quản trị viên hệ thống có thể truy nhập vào phần mềm lập trình PLC hay phần mềm phát triển SCADA/HMI vì vậy có thể thực hiện những thay đổi và tải vào môi trường SCADA.
Sơ đồ trong hình 8 thể hiện kiểu truy nhập từ xa an toàn mới thẩm định quyền người sử dụng từ xa như thế nào rồi giữ người sử dụng trong Data Historian DMZ, trong khi cho phép phiên máy khách mỏng có khả năng truy nhập vào môi trường SCADA qua SCADA firewall.
Bên cạnh những đặc tính an toàn phụ trội của giải pháp truy nhập từ xa mới này, những lợi ích bao gồm cuộc theo dõi kiểm toán đầy đủ các tiêu chí của ai, như thế nào và khi nào có sự truy nhập vào môi trường SCADA. Hơn nữa, do giải pháp truy nhập từ xa độc lập về mặt truyền thông nên hoạt động truy nhập từ xa có thể được thực hiện với những sự kết nối băng rộng cao hơn do đó chất lượng kết nối cũng tốt hơn.

Mối đe doạ bên trong không định trước.

Những sự kiểm soát truy nhập lỏng lẻo làm lộ ra toàn bộ mạng SCADA.
Một điểm yếu bảo mật cơ bản khác với việc có một giải pháp bảo vệ ở vòng ngoài của mạng SCADA là tiềm năng cho những kiểm soát truy nhập lỏng lẻo. Vì chỉ có một lớp bảo vệ giữa LAN kết hợp và SCADA hay LAN điều khiển quá trình nên cần phải áp dụng một giải pháp bảo vệ dưới một dạng thức âm thanh và cần được chạy thử. Trong những đánh giá gần đây về khả năng bị nguy hiểm do các công ty năng lượng, và công ty sản xuất thực hiện có một vấn đề chung đó là các ACL yếu (Danh sách điều khiển truy nhập) được bổ sung trong bộ định tuyến hay firewall giữa IT kết hợp và các môi trường SCADA.

Những công cụ hacker tự động ngày nay và các thiết bị quét có thể được lắp đặt để tự động thử một loạt địa chỉ IP cho mục vào ép buộc thô bạo. Thậm chí không có những công cụ tự động này, một thành viên nội bộ với sự truy nhập tự nhiên vào mạng kết hợp có thể đặt một bộ phân tích mạng vào mạng và ghi tất cả các gói, do vậy có khả năng nhìn thấy khoảng địa chỉ được phép để đi qua thiết bị bảo mật vành đai.

Những kiểm soát truy nhập chặt chẽ hơn tại thiết bị bảo vệ vòng ngoài (bộ định tuyến hay firewall), và sự phân chia mạng phụ thêm sẽ phải đi một đường dài để ngăn cản sự truy nhập không định trước vào môi trường SCADA. Trong hình vẽ 9 thể hiện những sự kiểm soát truy nhập lỏng lẻo và các ALC yếu trong giải pháp bảo vệ vòng ngoài giữa các mạng IT và SCADA có thể để lộ toàn bộ môi trường SCADA cho sự truy nhập không định trước bởi nhân viên nội bộ và các nhà thầu.

Giải pháp bảo vệ điển hình tại vòng ngoài chỉ thành công trong việc cung cấp một giải pháp bảo vệ hạn hẹp cho những sự tấn công từ bên ngoài môi trường SCADA. Dường như toàn bộ môi trường SCADA là một mạng phẳng. Bất cứ ai với sự truy nhập vào bất cứ hệ thống nào trong môi trường SCADA phải truy nhập vào toàn bộ môi trường SCADA. Ví dụ, nếu không có những giải pháp bảo mật phụ thêm và các lớp bảo vệ được thực hiện trong mạng SCADA, thì một công ty làm thế nào để ngăn cản một cố vấn viên về cơ sở dữ liệu historian khỏi việc tải mã về các PLC Ethernet của họ, hay truy nhập vào các tệp tin trên các máy chủ SCADA khác? Kiểu cấu trúc mạng SCADA không cung cấp chính sách ngăn chặn hiệu quả trong các thành phần SCADA khác nhau này được thể hiện trong hình 10.

Nên có một phương pháp làm hạn chế sự truy nhập vào các thiết bị cuối SCADA cấp thấp, các thiết bị này điều khiển quá trình vật lý. Việc truy nhập vào các trạm SCADA và trạm máy tính điều khiển quá trình và thiết bị máy tính phòng điều khiển không có nghĩa là truy nhập tự động vào các bộ điều khiển vận hành thiết bị vật lý.

Ngoài ra, nếu các máy tính SCADA bị ảnh hưởng bởi một loại virus, dường như quá trình dưới sự điều khiển của PLC, RTU hay IED có thể tiếp tục hoạt động dưới chế độ tự động với điểm đặt cuối cùng trong khi các quản trị viên máy tính khôi phục các trạm làm việc SCADA hay các máy chủ bị ảnh hưởng. Nếu không có một phân khu truy nhập khác giữa thiết bị máy tính SCADA và các thiết bị cuối SCADA điều khiển thiết bị nhà máy thực, thì những mối đe doạ tiềm năng từ những loại virus tự nhân giống, sâu, và Trojan có thể có một ảnh hưởng lớn hơn tới các thiết bị cuối và đã chứng tỏ một vài trường hợp trong số chúng đã bị thất bại dưới các điều kiện phòng thí nghiệm.

Mối đe doạ từ bên trong có chủ ý
Phần mềm SCADA và thiết bị dễ có khả năng bị nguy hiểm bởi lưu lượng mạng cao
Các thiết bị như PLC, RTU và IED điều khiển thiết bị vật lý nên đặt trong một vùng bảo mật khác với những điều khiển truy nhập phụ trội để hạn chế sự truy nhập vào những thiết bị này. Các máy chủ SCADA và các bàn giao tiếp của người điều hành nên đặt trong một vùng khác. Nó đã được chứng minh trong một số nghiên cứu, và trong hoạt động thử nghiệm thiết bị SCADA của chúng tôi, những bộ điều khiển này dễ bị vỡ khi mạng ở cấp dải thông cao, hay nếu các gói mạng dị hình được gửi tới thiết bị hay phần mềm SCADA.

Hiện nay, chỉ với một mạng SCADA phẳng lớn, những thiết bị cuối không được bảo vệ trong trường hợp mà các trạm làm việc và các máy tính SCADA bị ảnh hưởng. Một trong những cách tốt nhất để bảo vệ những thiết bị cuối này là phân chia môi trường SCADA thành các vùng hoạt động phụ thêm và triển khai các firewall phân tán khắp môi trường SCADA để cung cấp những sự kiểm soát truy nhập giữa mỗi vùng.

Kết luận

Với sự thay đổi và xuất hiện những mối đe doạ cho các hệ SCADA và điều khiển quá trình, chủ nhân và những người điều hành các hệ thống này cần quan tâm hơn tới những kiểm soát truy nhập máy tính hiện đang được sử dụng để bảo vệ các hệ thống này khỏi những mối đe doạ bên trong và bên ngoài. Ngành công nghiệp bao gồm những liên lạc TCP/IP Ethernet trong những năm cuối 1990 đã đưa vào thương trường hệ SCADA và hệ điều khiển quá trình với những khả năng liên lạc Ethernet. Hiện nay việc tìm thấy những liên lạc IP trong khắp môi trường các hệ điều khiển quá trình và SCADA là rất phổ biến.

Chủ các doanh nghiệp và các nhà điều hành các hệ SCADA có xu hướng tiếp tục cung cấp chỉ một giải pháp bảo vệ máy tính vòng ngoài tại điểm nối giữa các mạng SCADA và IT. Một giải pháp bảo vệ như một firewall là một sự khởi đầu tốt đẹp nhưng để lại bên trong của môi trường SCADA sự không an toàn và nguy hiểm.

Thiết kế mạng phẳng trong môi trường SCADA cho phép cả những mối đe doạ bên trong và bên ngoài phát triển và ảnh hưởng tới những thiết bị cuối điều khiển thiết bị vật lý. Một số kỹ thuật mới sẵn sàng để sử dụng trong việc bảo mật phần bên trong của môi trường SCADA cũng như cung cấp sự truy nhập từ xa an toàn vào môi trường đó.

Việc biết được những điểm yếu nào nằm trong các hệ SCADA và hệ điều khiển quá trình, những mối đe doạ bên trong và bên ngoài có thể lợi dụng những điểm yếu này như thế nào, và biết làm thế nào để thực hiện những giải pháp bảo vệ mới để ngăn cản, bảo vệ và dò những mối đe doạ máy tính là chìa khoá để bảo vệ những hệ thống quan trọng này.

 
Nguồn: Thu Phương

Tự động hóa ngày nay