Các chiến lược bảo vệ hệ thống điều khiển và hệ SCADA
Trong nhiều năm qua, hầu hết các công ty có cơ sở hạ tầng trọng yếu được điều khiển bởi các hệ SCADA, DCS và các hệ thống điều khiển quá trình khác đã sử dụng phương pháp nhóm tất cả các hệ thống thời gian thực vào trong một môi trường gọi là PCN hay mạng điều khiển quá trình, và cố gắng giữ cho môi trường đó tách biệt khỏi CNTT và các mạng kết hợp tới mức có thể.
Trong khi khái niệm này là một bước tiến đúng đắn thì việc coi môi trường PCN như một hộp đen và cố gắng điều khiển một firewall hay giải pháp bảo vệ máy tính tại ranh giới với IT là không thích hợp để bảo vệ khỏi việc thay đổi những mối đe dọa cả từ bên ngoài và bên trong. Đặc tính nhạy của các thiết bị DCS và PLC quản lý các tài sản trọng yếu cần một cấp độ phân chia mạng cao hơn và các giải pháp bảo vệ tiên tiến hơn mà hiện các doanh nghiệp cung cấp giải pháp an ninh và các nhà kinh doanh IT không giới thiệu hay không có sẵn.
Bài viết này nêu ra một số vấn đề cơ bản với hiện trạng bảo vệ hệ SCADA và hệ thống điều khiển, giới thiệu khái niệm khu vực bảo mật dễ bị nguy hiểm và giới thiệu ngắn gọn một vài giải pháp bảo vệ máy tính mới và độc nhất có khả năng ứng dụng tại mỗi khu vực bảo mật.
Trong nhiều năm qua, với sự im ắng và các cấp độ hoạt động ngày càng tăng của các loại sâu và virus như Blaster (aka MSBlast), người ta thừa nhận rằng các hệ thống độc quyền và biệt lập trước đây hiện được kết nối với các mạng kết hợp, và nhiều hệ thống còn bao gồm các điểm nối từ Internet. Một kiến thức phổ biến hiện nay là thiết bị điện tử kiểm soát cơ sở hạ tầng trọng yếu dễ bị hỏng qua DoS (Phủ nhận dịch vụ), các gói tin dị hình, và mã độc do virus, Trojan và sâu gây ra.
Những đánh giá về điểm yếu của hoạt động bảo mật máy tính trong hệ SCADA và hệ điều khiển quá trình đã làm nảy sinh một mô hình phương pháp mà nhiều công ty ứng dụng để bảo vệ các tài sản trọng yếu của mình. Hơn 80% các công ty cung cấp điện, ga, nước và năng lượng được đề cập tới sử dụng một firewall hay giải pháp bảo vệ máy tính giữa mạng kết hợp IT và mạng điều khiển quá trình có đủ khả năng để duy trì sự bảo mật cho các tài sản trọng yếu dưới sự kiểm soát của hệ SCADA và hệ điều khiển quá trình.
Các công ty này đặc biệt coi mạng điều khiển quá trình như một hộp đen lớn và có xu hướng bảo vệ những môi trường này bằng cách cố gắng tách biệt chúng khỏi bất cứ một mạng nào khác tới mức có thể. Đây là một sự cố gắng đầu tiên mang lại hiệu quả tốt và là một hướng đi đúng đắn. Ngoài ra, có thể xem xét một số giải pháp bảo vệ máy tính khác tạo điều kiện để những tài sản trọng yếu được kết nối qua các giao thức Ethernet và Internet có khả năng định tuyến có thể đối phó được với những mối đe dọa cả từ bên ngoài lẫn bên trong.
Phần dưới đây có hai sơ đồ, sơ đồ đầu tiên thể hiện mạng logic của một hệ SCADA và DCS điển hình được nối với mạng kết hợp. Sơ đồ thứ hai cho thấy hầu hết các công ty quan tâm đến tính bảo mật của các môi trường thời gian thực, môi trường SCADA và môi trường điều khiển quá trình của họ như thế nào. Họ chỉ phân chia mạng của mình thành hai môi trường – một cho hệ thống kết hợp/IT, và một cho hệ SCADA và hệ thống điều khiển quá trình.
Những điểm yếu SCADA điển hình và các giải pháp đổi mới
Với các mạng doanh nghiệp, việc thiếu những phương pháp kiểm soát sự truy nhập và sự phân chia mạng trong hệ SCADA và hệ thống điều khiển quá trình cũng gây nguy hiểm cho máy tính. Những sự nguy hiểm đó này có thể xuất phát từ những mối đe dọa từ bên trong và bên ngoài. Những phần sau bao trùm các điểm yếu và những giải pháp đổi mới tiềm năng để giải quyết những vấn đề này.
Các mối đe dọa từ bên ngoài
Sâu, virus, Trojan, và malware gây hại cho các mạng SCADA
Chỉ có một giải pháp bảo vệ máy tính tại vòng ngoài của môi trường SCADA hay môi trường PCN thường làm cho các trạm làm việc và các máy chủ SCADA, các mạng viễn thông và các bộ điều khiển PLC và RTU dễ bị tấn công bởi các loại sâu nhiều dạng tự nhân bản, sự biến đổi của chúng luôn nhanh hơn khả năng phản ứng của các hãng chống virus. Với các vùng bảo mật phụ thêm, tính bảo mật cấp độ cổng và các firewall đặt giữa mỗi vùng bảo mật, các loại sâu và virus có thể bị chặn lại bất kể là giải pháp chống virus có tệp chữ ký mới nhất hay không. Ngoài phương pháp phân chia môi trường SCADA bằng việc sử dụng các firewall, một giải pháp chống virus có thể được thiết lập mà không cần phải kết nối internet trực tiếp, tuy nhiên giải pháp này vẫn chưa tự động nhận những cập nhật chữ ký và chuyển chúng tới các máy tính trong môi trường SCADA.
Do việc kết nối trực tiếp môi trường SCADA với mạng IT kết hợp hay với mạng internet có thể làm cho môi trường SCADA dễ bị nguy hiểm và bị đe doạ, vì vậy tạo ra một môi trường bảo mật trung gian mới (vùng 2) trong chính DMZ của nó (Vùng đảo ngược quân sự hoá) được coi là một giải pháp tốt hơn. Data historian DMZ trung gian này sẽ tạo ra một bộ đệm giữa mạng IT kết hợp và môi trường SCADA, đồng thời thiết kế này cũng mang lại rất nhiều ích lợi.
Lợi ích chính cho vùng đệm mới này là dữ liệu có thể được sắp xếp ở đây từ môi trường SCADA và rồi di chuyển đến các môi trường IT khác. Thay vì có nhiều sự kết nối IT trực tiếp tới môi trường SCADA, tất cả việc thu thập và lưu trữ dữ liệu có thể được di chuyển ra khỏi Data historian DMZ này, do vậy việc hạn chế hơn nữa sự truy nhập vào môi trường SCADA và cho phép một tập hợp các luật firewall chặt chẽ hơn được viết giữa vùng này và môi trường SCADA. Khái niệm “đặc quyền tối thiểu” có thể được áp dụng ở đây do vậy chỉ có những người được yêu cầu truy nhập vào các hệ SCADA và các thành phần mới được phép vào trong môi trường SCADA. Còn tất cả những người sử dụng khác chỉ thực sự cần truy nhập vào dữ liệu thu thập được từ các hệ SCADA có thể được phép truy nhập vào những hệ thống này trong Data historian DMZ.
Một lợi ích khác của việc có Data historian DMZ mới này (hay Vùng 2) là việc cài đặt các máy chủ chuyển tiếp, chúng có thể chuyển tiếp hay gửi trên các hệ điều hành và những điểm nối tạm cập nhật chống virus từ phía IT của mạng vào môi trường SCADA hay môi trường các hệ điều khiển. Nếu có sự truy nhập vào một bộ mô phỏng hay mạng phát triển với việc cài đặt phần cứng và phần mềm SCADA, thì hệ điều hành mới và những điểm nối tạm chống virus này cần được thử nghiệm trong những môi trường thử nghiệm này trước khi di chuyển tiếp. Biểu đồ trong hình 5 thể hiện một hệ điều hành thứ cấp hay các hệ thống nối tạm chống virus có thể đặt trong Vùng 2, hay vùng DMZ dữ liệu, do vậy chúng ta có thể chuyển tiếp những sự nâng cấp hay những điểm nối tạm vào môi trường thử nghiệm, để chạy thử trong môi trường thử nghiệm trước khi ứng dụng những điểm nối tạm hay những nâng cấp vào các hệ thống sản xuất trực tiếp.
Một khi các điểm nối tạm được thử nghiệm để hoạt động trong mạng mô phỏng, mà không gây ảnh hưởng bất lợi cho bất cứ một chức năng nào của hệ SCADA thì các hệ thống tương tự trong Vùng 2 có thể được sử dụng để chuyển tiếp những điểm nối tạm này vào môi trường sản xuất trực tiếp.
Mặc dù những điểm nối tạm đã được thử nghiệm trên mạng mô phỏng nhưng việc tự động đẩy những điểm nối tạm ra khỏi những hệ thống chạy trong chế độ sản xuất vẫn có thể là một việc làm nguy hiểm. Có một sự lựa chọn đó là nối tạm các hệ thống thành một hệ thống tại một thời điểm. Một lựa chọn khác đó là dùng tay nối các hệ thống bằng cách lại gần trạm làm việc hay máy chủ và nâng cấp hệ điều hành hay các điểm nối tạm chống virus với việc xem lại các hệ thống trong Vùng 2 để tìm nguồn của các điểm nối tạm.