MỸ – Giám đốc Kỹ thuật khu vực châu Mỹ tại Công ty TX One Networks, ông Austen Byers đã chia sẻ tầm quan trọng của việc thiết lập bảo vệ an ninh mạng ở các doanh nghiệp sản xuất.

Các cuộc tấn công mạng vào ngành sản xuất ô tô đang gia tăng

Vấn đề an ninh mạng rất quan trọng đối với một nhà máy sản xuất ô tô. Bề mặt tấn công đã phát triển quá lớn và môi trường công nghệ vận hành (OT – operational technology) quá phức tạp, đến mức ngay cả những người quản lý nhà máy và an ninh thường lo lắng khi phát hiện ra phạm vi lỗ hổng an ninh mạng nghiêm trọng dưới sự giám sát của họ.

Có nhiều kết nối hơn giữa các xe, các công nghệ ngày càng sáng tạo và mạnh mẽ, cùng các nhà cung cấp mới trên toàn bộ hệ sinh thái đa dạng đang cùng tham gia với nhà sản xuất. Những lỗ hổng an ninh mạng nào đang hiện diện trong quá trình này? Và quan trọng nhất là, làm thế nào các cơ sở sản xuất trong ngành công nghiệp nhiều lớp này có thể kiểm soát được môi trường OT và nhanh chóng đưa ra các biện pháp bảo vệ một cách thiết thực và hiệu quả?

Một mục tiêu hấp dẫn đối với nhóm tấn công mạng
Ngành công nghiệp ô tô là một lĩnh vực có phạm vi tiếp cận rộng lớn và giá trị thường cao. Nó được đánh dấu bằng chuỗi cung ứng tích hợp chặt chẽ của các nhà cung cấp lớn và nhỏ. Các môi trường sản xuất này dựa vào các hệ điều hành (OS – operating systems) đa dạng và riêng biệt với các thế hệ khác nhau để đáp ứng các yêu cầu của nhà máy sản xuất. Bất kỳ điểm nào trong số này cũng sẽ khiến ngành công nghiệp ô tô trở thành mục tiêu hấp dẫn và có khả năng tống tiền đối với những nhóm tấn công mạng.

Không có gì ngạc nhiên khi các cuộc tấn công mạng vào ngành sản xuất ô tô đang gia tăng. Các cuộc tấn công nhắm vào đối tác của ngành công nghiệp – nhà sản xuất phụ tùng gốc (OEM – original equipment manufacturer), nhà cung cấp, đơn vị tích hợp, đại lý, … Các mối đe dọa liên quan đến phần mềm tống tiền chiếm ưu thế, với những nhóm tấn công mạng như LockBit, Black Basta và Qilin đã nhắm mục tiêu vào các nhà sản xuất ô tô trong hai năm qua bằng các cuộc tấn công có động cơ tài chính và không phân biệt. Trong một số trường hợp, những nhóm tấn công mạng đã thực hiện các hoạt động tống tiền kép, những tệp dữ liệu có giá trị cao đều bị mã hóa và dữ liệu nhạy cảm bị đánh cắp. Theo những cách tấn công mạng như vậy, thiệt hại đối với các doanh nghiệp đã tăng lên, bao gồm gián điệp doanh nghiệp và tổn thất tài chính.

Thông thường, các cuộc tấn công bằng mã độc tống tiền (ransomware) khai thác các lỗ hổng phổ biến, các cuộc tấn công 1-day hoặc n-day (1) diễn ra trong khoảng thời gian giữa thời điểm lỗ hổng hệ thống được biết đến nhưng phiên bản khắc phục của nó vẫn chưa được triển khai. Trong nhiều trường hợp này, kỹ thuật xã hội được sử dụng để xâm nhập vào các mạng nội bộ. Nhưng hai năm trở lại đây cũng chứng kiến ​​các sự cố vượt ra ngoài phạm vi của các chiến lược ransomware phổ biến này. Các nhóm tấn công APT (advanced persistent threat) (2) đã sử dụng các chiến thuật tinh vi hơn để xâm nhập vào các nhà sản xuất ô tô.
(1) 1-day: là thuật ngữ đề cập đến khoảng thời gian khi lỗ hổng được tiết lộ đến khi các hệ thống bị ảnh hưởng được sửa chữa. Đôi khi các lỗ hổng này được gọi là lỗ hổng “n-day”, vì khoảng thời gian này thường dài hơn 1 ngày, và thời gian trung bình để sửa chữa (MTTP – mean time to path) là từ 60 đến 150 ngày.
(2) APT: là thuật ngữ dùng để mô tả một cuộc tấn công mạng có chủ đích. Trong đó, hacker hoặc nhóm hacker sẽ thiết lập một sự hiện diện bất hợp pháp và lâu dài trên mạng nhằm khai thác những dữ liệu rất nhạy cảm.

Những sự cố mang tính chiến lược hơn thường liên quan đến các lỗ hổng phần mềm chưa được biết đến trước đó, được gọi là các cuộc tấn công ‘zero-day’. Một nhân viên vô tình đưa phần mềm độc hại vào hệ thống của một doanh nghiệp, và đột nhiên doanh nghiệp đó bị tấn công mạng, ví dụ, ứng dụng giả lập tấn công Cobalt Strike có khả năng khai thác các lỗ hổng, ngụy trang các tệp độc hại, đánh cắp dữ liệu và hành động theo hướng dẫn từ các máy chủ chỉ huy và kiểm soát (C&C – command-and-control) bên ngoài của nhóm tấn công APT. Theo cách này, những kẻ tấn công có thể được định vị để di chuyển ngang qua mạng của doanh nghiệp mục tiêu, để xâm phạm một loạt các hệ thống OT quan trọng trong môi trường tự động hóa nhiều quy trình sản xuất khác nhau.

Đối với các công ty sản xuất ô tô, rủi ro rất cao. Bí mật thương mại và sở hữu trí tuệ (IP – intellectual property) của công ty có thể bị tiết lộ, và doanh thu duy trì hoạt động của doanh nghiệp có thể bị gián đoạn khi toàn bộ dây chuyền sản xuất bị đe dọa bởi tình trạng đình trệ kéo dài. Nhiều sự kiện an ninh mạng trong hai năm qua đã ghi nhận sự tàn phá và đa dạng mà các nhóm tấn công mạng gây ra cho các công ty trong lĩnh vực này.

Môi trường công nghệ vận hành (OT) phức tạp, khó kiểm soát
Đồng thời, các lỗ hổng tiềm ẩn đang ngày càng mở rộng khi môi trường OT của các nhà sản xuất ô tô ngày càng phức tạp hơn, mà không bổ sung các biện pháp bảo mật cần thiết. Có nhiều yếu tố góp phần vào vấn đề này, bao gồm cả mạng phẳng (flat networks) (3). Ở hầu hết các nhà máy sản xuất, mạng OT rất phẳng. Các cơ chế như phân cấp mạng là không phổ biến. Điều này có nghĩa là, nếu một cuộc tấn công xâm nhập vào mạng, nó có thể chạy tự do trên môi trường OT phẳng – thậm chí có khả năng tiếp cận cơ sở hạ tầng của các đối tác và nhà cung cấp được kết nối trong chuỗi cung ứng tích hợp cao.
(3) Mạng phẳng: được thiết kế nhằm giảm số lượng bộ định tuyến và bộ chuyển mạch trên mạng máy tính, bằng cách kết nối các thiết bị với một bộ chuyển mạch duy nhất thay vì các bộ chuyển mạch riêng biệt. Không giống như thiết kế mạng phân cách, mạng không được phân tách vật lý bằng các bộ chyển mạch khác nhau.

Môi trường OT trong ngành ô tô được đánh dấu bằng các hệ thống nhiều thế hệ khác nhau. Một số hệ thống robot là những sản phẩm tiên tiến; các hệ thống khác đã có từ hàng thập kỷ trước. Và thường thì các hệ thống mới và cũ được triển khai song song trong các dây chuyền sản xuất tại cùng một nhà máy. Các hệ thống mới hơn phụ thuộc vào các hệ điều hành mới với các yêu cầu sửa chữa lỗi và chương trình cơ sở mạnh mẽ; các hệ thống cũ hơn có thể dựa vào các hệ điều hành quá cũ đến mức chúng thậm chí không còn được nhà sản xuất hỗ trợ nữa.

Sau đó là sự thiếu rõ ràng trong các vai trò. Các công ty sản xuất ô tô thường có mạng công nghệ thông tin (IT – information technology) truyền thống và hỗ trợ hệ điều hành, nhưng không có gì lạ khi có ít hoặc không có sự giám sát và kiểm soát trực tiếp đối với những hệ thống nào đang được kết nối vào mạng OT của công ty. Việc mở các tủ điện thường tiết lộ một lượng lớn quyền truy cập từ xa do nhà cung cấp cài đặt cho các hệ thống đã được đưa vào nhà máy. Đó là một cái bẫy kết nối internet rộng mở thường bị bỏ qua và nằm trong bóng tối của nhân viên OT và công nghệ thông tin của công ty.

Cần có một cách tiếp cận an ninh mạng chủ động cho lĩnh vực sản xuất

Các chuyên gia an ninh mạng thường cho rằng khả năng hiển thị là bước đầu tiên quan trọng và khả năng hiển thị trên toàn bộ môi trường OT là có giá trị. Nhưng sẽ là một sai lầm nghiêm trọng nếu một nhà sản xuất ô tô nỗ lực tập trung vào bất cứ điều gì ngoài việc bảo vệ – ngay cả khi mới bắt đầu công việc bảo vệ môi trường sản xuất của mình. Khả năng hiển thị riêng lẻ không bảo vệ được tài sản OT và dữ liệu nhạy cảm của công ty khỏi các cuộc tấn công mạng. Ngành sản xuất ô tô là mục tiêu quá hấp dẫn và được tích hợp quá chặt chẽ. Các doanh nghiệp thường dựa vào các chiến lược an ninh mạng và thiết bị cần sửa chữa hoặc xác nhận thông tin sau khi xảy ra một cuộc tấn công mạng.

Một con đường khả thi và ít rủi ro phía trước
Tin tốt là có những bước thực tế, ít rủi ro mà các nhà quản lý nhà máy và an ninh mạng có thể thực hiện ngay hôm nay để bắt đầu kiểm soát môi trường công nghệ vận hành (OT) của công ty. Các tổ chức phải chống lại quan niệm về các thế trận an ninh hoàn hảo và hành động với biện pháp bảo vệ cơ bản – ít nhất là những thiết bị quan trọng đối với nhiệm vụ đó và ngăn chặn việc ngưng hoạt động hoàn toàn các dây chuyền sản xuất.

Đảm bảo rằng các tài sản ngoại vi được cập nhật và đào tạo an ninh mạng phù hợp, đủ để một nhà sản xuất ô tô ngăn chặn thiệt hại từ các cuộc tấn công 1-day và n-day. Việc ngăn chặn các mối đe dọa tinh vi hơn như các cuộc tấn công zero-day do các nhóm tấn công APT khởi xướng, sẽ cần một cách tiếp cận phù hợp để phát hiện và phản hồi mối đe dọa nâng cao. Phân đoạn mạng OT, sửa lỗi ảo và bảo vệ điểm cuối trong các hệ thống điều khiển công nghiệp (ICS – industrial control systems) là các biện pháp OT Zero Trust hiệu quả để khóa các quy trình hoạt động và bảo vệ tính liên tục của doanh nghiệp.

Nhân viên an ninh mạng OT phải hiểu các yêu cầu riêng của thiết bị OT cũng như các kiến thức bảo mật công nghệ thông tin để giao tiếp hiệu quả và tạo điều kiện thuận lợi cho sự cộng tác trên toàn tổ chức, đồng thời họ phải được trao quyền để triển khai biện pháp bảo vệ dành riêng cho OT của môi trường sản xuất.

Hơn nữa, sẽ rất hữu ích khi tìm được các đối tác do công nghệ OT chỉ định, những doanh nghiệp cập nhật các nhu cầu, quy định và yêu cầu đang phát triển đối với bảo mật OT từ cả quan điểm công nghệ và dịch vụ. Ví dụ: Khi ngành công nghiệp ô tô ngày càng phức tạp hơn, các công ty sản xuất ô tô sẽ phải chịu áp lực ngày càng tăng để nắm bắt và tuân thủ các tiêu chuẩn của Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST – National Institute of Standards and Technology), Sàn giao dịch Đánh giá Bảo mật Thông tin Đáng tin cậy (TISAX – Trusted Information Security Assessment Exchange) và Ủy ban Kỹ thuật Điện Quốc tế (IEC – International Electrotechnical Commission).

Công nghệ vận hành (OT) là một môi trường phức tạp mà các công ty thường không muốn “chạm” vào bất cứ thứ gì, vì sợ làm hư hỏng bộ phận nào đó và dây chuyền sản xuất ngừng hoạt động (cũng như dòng doanh thu). Nhưng, ngành sản xuất ô tô không thể chỉ phản ứng với các vấn đề về an ninh mạng. Rủi ro quá cao và nguy cơ ngừng hoạt động một cách nhanh chóng, hậu quả là quá lớn. Một cách tiếp cận chủ động và thực tế là có thực hiện được.

Để xem các tin bài khác về “An ninh mạng”, hãy nhấn vào đây.

 

Nguồn: Automotive World