Bài viết

Trang chủ / Kết Hợp Bảo Mật IT&OT với Giải Pháp BAS của SafeBreach và Purdue Model

Kết Hợp Bảo Mật IT&OT với Giải Pháp BAS của SafeBreach và Purdue Model

26 Tháng Ba, 2024

Trong bài viết này, chúng ta sẽ thảo luận về những lợi ích mà giải pháp BAS của SafeBreach mang lại trong môi trường IT & OT kết hợp, đồng thời chúng ta sẽ tìm hiểu chi tiết về vị trí và cách thức BAS phù hợp với kiến ​​trúc IT/OT kết hợp dựa trên mô hình Purdue.

Purdue Model là gì?

Mô hình Purdue thường được chấp nhận làm tiêu chuẩn để xây dựng kiến ​​trúc mạng hệ thống điều khiển công nghiệp (ICS) theo cách hỗ trợ bảo mật OT, tách các lớp mạng để duy trì luồng dữ liệu phân cấp giữa chúng và do đó phản ánh yêu cầu về kiến ​​trúc cơ sở cho nhiều khung hệ thống điều khiển công nghiệp như API 1164, ISA/IEC 62443 và NIST 800-82.

Purdue minh họa cách các yếu tố điển hình của kiến ​​trúc ICS kết nối với nhau, chia chúng thành sáu vùng chứa hệ thống kinh doanh (mạng IT) và hệ thống điều khiển công nghiệp (mạng OT). Khi được triển khai chính xác, nó giúp thiết lập “khoảng không” giữa các hệ thống ICS/OT và IT, cách ly chúng để tổ chức có thể thực thi các biện pháp kiểm soát truy cập hiệu quả mà không cản trở hoạt động kinh doanh. Nói như vậy, Purdue không phải là nguyên tắc phù hợp cho tất cả kiến ​​trúc mạng OT. Giống như bất kỳ mạng nào, mỗi môi trường sẽ có loại thiết bị riêng ở mỗi lớp.

Một mô hình Purdue cơ bản

Các cấp độ của Purdue Model

Purdue Model bao gồm sáu cấp độ mạng, được xác định bởi các hệ thống và công nghệ nằm trong mỗi cấp độ. Hệ thống IT chiếm 2 cấp trên, trong khi hệ thống OT chiếm 3 cấp dưới và một “khu vực phi quân sự (DMZ)” hội tụ nằm giữa chúng. Chúng ta hãy xem xét chi tiết hơn về từng vấn đề:

Level 5/4: Enterprise and Business Networks

Mặc dù tách biệt trong mô hình Purdue truyền thống, hai cấp độ này đã được kết hợp để đơn giản hóa trong mô hình cơ bản ở trên, vì chúng cùng nhau tạo nên môi trường IT. Cấp độ 4 và 5 bao gồm các dịch vụ toàn doanh nghiệp như Active Directory, hệ thống quản lý tài liệu và nhân sự, nền tảng Quản lý quan hệ khách hàng (CRM), email nội bộ và Trung tâm điều hành bảo mật (SOC). Nó cũng bao gồm các dịch vụ dành riêng cho địa điểm như Lập kế hoạch nguồn lực doanh nghiệp (ERP) giúp thúc đẩy lịch trình sản xuất của nhà máy, sử dụng nguyên liệu, vận chuyển và mức tồn kho.

Các thiết bị ở cấp độ này sử dụng phần cứng IT tiêu chuẩn, nền tảng đám mây và các hệ điều hành sẵn có như Windows và Linux.

Level 3.5: IT/OT Demilitarized Zone (DMZ)

Trong khi DMZ nằm trong mạng IT chịu trách nhiệm tách mạng công ty khỏi Internet thì DMZ nằm trong mạng OT chịu trách nhiệm cách ly mạng công nghiệp khỏi mạng công ty. Khi nhu cầu về dữ liệu kinh doanh từ phía OT tăng lên và ngược lại, các quản trị viên đã phải kết nối hai cấp độ này thông qua DMZ.

Các thiết bị ở lớp này cũng đang chạy phần cứng, đám mây và phần mềm CNTT tiêu chuẩn.

Level 3: Operations Systems

Cấp độ này bao gồm việc giám sát, và hỗ trợ vận hành để quản lý quy trình sản xuất tại xưởng. Chúng bao gồm các máy trạm kỹ thuật và vận hành chạy hệ thống thực thi/quản lý hoạt động sản xuất (MOMS/MES), bộ lưu trữ dữ liệu để lưu trữ và phân tích dữ liệu quy trình vận hành.

Lớp này thường bao gồm các ứng dụng quản lý hoạt động chuyên biệt chạy trên phần cứng và hệ điều hành IT, đám mây và di động tiêu chuẩn.

Level 2: Supervisory Systems

Cấp độ 2 chứa các hệ thống kiểm soát giám sát và thu thập dữ liệu (SCADA) kiểm soát các nhóm quy trình dựa trên chức năng, loại hoặc rủi ro. Cấp độ này cũng bao gồm các thiết bị giao diện người-máy (HMI) qua đó người vận hành tương tác với bộ điều khiển.

Lớp này thường bao gồm IT công nghiệp hóa hoặc phần cứng di động chạy các ứng dụng chuyên biệt trên nền tảng hệ điều hành hoặc đám mây tiêu chuẩn.

Level 1: Process Control Systems

Cấp độ điều khiển tiến trình bao gồm các thiết bị như hệ thống điều khiển phân tán (DCS), bộ điều khiển logic khả trình (PLC) và thiết bị đầu cuối từ xa (RTU) cũng như các hệ thống an toàn giám sát và gửi lệnh đến các thiết bị vật lý thực thi các quy trình vận hành.

Phần cứng và hệ điều hành ở cấp độ này chuyên biệt hơn nhiều. Phần cứng và phần mềm độc quyền là điển hình và chúng có thể nhạy cảm hơn nhiều với các bản cập nhật và thay đổi phần mềm.

Level 0: Physical Process Devices

Cấp độ dưới cùng này bao gồm tất cả các thiết bị thực hiện các quy trình vận hành. Chúng có thể bao gồm bộ truyền động, van và máy bơm, cũng như các thiết bị IIoT như camera và cảm biến chuyển động.

Các thiết bị này thường được chuyên dụng cho nhiệm vụ cụ thể của chúng và được thiết kế để chấp nhận hướng dẫn và gửi dữ liệu bằng các giao thức như Fieldbus.

Thiếu khả năng hiển thị OT là thách thức lớn đối với các nhóm bảo mật

Như chúng tôi đã nói trong phần một của loạt blog IT/OT, hầu hết các cuộc tấn công OT đều bắt đầu bằng cách xâm phạm mạng IT. Do đó, điều quan trọng trong bất kỳ chiến lược bảo mật OT nào là phải coi mạng IT và OT là hai mảnh ghép của cùng một câu đố. Họ phải giải quyết không chỉ các lỗ hổng trong chính môi trường OT mà còn phải giải quyết các cách mà đối thủ có thể xâm phạm và xâm nhập mạng IT để thu thập thông tin và giành quyền truy cập từ bên này vào các hệ thống an toàn và kiểm soát OT sâu hơn.

Trước đây, các nhóm vận hành đã quản lý tất cả tài sản OT do lo ngại rằng việc cập nhật phần mềm và thay đổi cấu hình có thể gây rủi ro cho thời gian hoạt động và năng suất. Vì vậy, các nhóm bảo mật có khả năng hiển thị kém trong môi trường OT và không thể triển khai hoặc cập nhật các biện pháp kiểm soát bảo mật thích hợp.

Khi chuyển đổi kỹ thuật số đã phá vỡ các rào cản IT-OT, nhiều doanh nghiệp công nghiệp hiện đã tích hợp sâu môi trường IT/OT và các nhóm bảo mật hiện chịu trách nhiệm quản lý rủi ro mạng trên mạng mở rộng này.

Bây giờ chúng ta hãy xem cách BAS có thể giúp các nhóm bảo mật có cái nhìn toàn diện về việc đánh giá và xác thực các biện pháp kiểm soát bảo mật trên môi trường kết hợp này.

Tăng khả năng phục hồi IT/OT với BAS

Bằng cách mô phỏng các cuộc tấn công trong thế giới thực trên mạng OT/IT mở rộng của bạn, nền tảng BAS có thể giúp xác thực các biện pháp kiểm soát bảo mật, xác định các đường dẫn tấn công dễ bị tổn thương, đồng thời hỗ trợ các nhóm Bảo mật và Vận hành trong việc ưu tiên và tiến hành khắc phục.

Nền tảng BAS chạy các kịch bản tấn công mà không khiến mạng OT có nguy cơ bị gián đoạn bằng cách chạy mô phỏng trên các bản sao của hệ thống sản xuất. Mô phỏng có thể được chạy thường xuyên tùy theo nhu cầu của người dùng để xác định độ lệch và thử nghiệm các phương pháp tấn công mới. Điều này đặc biệt phù hợp với các chủ sở hữu tài sản OT, vì một cuộc khảo sát gần đây của KPMG cho thấy 80% tổ chức công nghiệp chỉ thực hiện đánh giá bảo mật ICS một lần mỗi năm hoặc ít hơn.

Quay trở lại mô hình Purdue của chúng tôi, bên dưới chúng tôi đã phủ lên kiến ​​trúc các vị trí mà nền tảng SafeBreach BAS sẽ được triển khai (tất cả các môi trường đều khác nhau nên đây chỉ là ví dụ chung).

Ở cấp độ 4/5, chúng tôi đang triển khai các trình mô phỏng tấn công cho máy tính để bàn, máy tính xách tay và máy chủ điển hình của doanh nghiệp. Và máy chủ nội dung và kẻ tấn công bên ngoài được triển khai trong SOC. Ở cấp độ này, các cuộc tấn công mô phỏng của SafeBreach xác thực các biện pháp kiểm soát bảo mật điểm cuối, quy tắc phát hiện tường lửa, quy tắc danh sách kiểm soát truy cập (ACL) và xác minh các sự kiện đang được SIEM ghi lại.

Điều quan trọng cần lưu ý là các mô phỏng tấn công ở cấp độ này và mọi cấp độ bên dưới không bao giờ gây nguy hiểm cho dữ liệu nhạy cảm hoặc tính toàn vẹn của hệ thống. Trình mô phỏng của SafeBreach chỉ chạy mô phỏng cuộc tấn công trên và giữa các trình mô phỏng, không bao giờ chạy trên hệ thống sản xuất thực tế.

Tại IT/OT DMZ (Cấp 3.5), trình mô phỏng đang kiểm tra tường lửa, điều chỉnh quyền truy cập vào cấp độ này cũng như xác thực các biện pháp kiểm soát của jump host (có thể dựa trên Linux) để đảm bảo an toàn cho việc truy cập từ xa vào các cấp độ OT thấp hơn.

Ở cấp độ 2 và 3, chúng tôi hiện đã có mặt trong mạng lưới OT. Khi nghĩ đến thiết bị đầu cuối của mạng OT, nhiều người nghĩ đến các tài sản chuyên dụng như các bộ PLC và RTU đang trực tiếp điều khiển các quy trình sản xuất. Nhưng ngay cả trong môi trường OT, tài sản thường có nguy cơ bị xâm phạm cao nhất là các máy trạm kỹ thuật và HMI có khả năng chạy trên môi trường Windows hoặc Linux. Điều quan trọng là phải đưa những tài sản này vào mô phỏng tấn công vì điểm cuối OT thường có cấu hình và kiểm soát bảo mật khác với điểm cuối trên mạng IT.

Nhưng điều này phải được thực hiện theo cách không gây nguy hiểm cho tính khả dụng của máy trạm hoặc HMI. Nhóm Vận hành phụ thuộc vào các hệ thống này sẽ không chấp nhận việc cài đặt trình mô phỏng trên bất kỳ hệ thống sản xuất nào. Bạn sẽ nhận thấy rằng chúng tôi đã giới thiệu các bản sao máy trạm và HMI ở cấp độ 3 và 2 bên dưới và sẽ chạy trình mô phỏng từ bản sao. Vì vậy, hệ thống sản xuất không bị ảnh hưởng nhưng chúng tôi vẫn nhận được đánh giá chính xác về các biện pháp kiểm soát an ninh của nó. Trong ví dụ này, chúng tôi sẽ cố gắng chuyển từ jump server sang HMI nhân bản (HMI clone) hoặc HMI nhân bản sang Máy trạm kỹ thuật nhân bản (Engineering workstation clone).

Hợp nhất bảo mật IT và OT với BAS

Mô phỏng vi phạm và tấn công là một trong những công cụ hiệu quả nhất để đánh giá và xác thực các biện pháp kiểm soát bảo mật trên môi trường IT và OT kết hợp.

Tự tin hỗ trợ chuyển đổi số OT

Đảm bảo các nhóm bảo mật và vận hành IT của bạn đang làm việc cùng nhau, từ cùng một thông tin, để đáp ứng nhu cầu về cả năng suất và khả năng bảo vệ khi môi trường vận hành của bạn biến đổi.

Phương pháp tiếp cận toàn diện để xác thực, khắc phục và báo cáo bảo mật trên OT & IT

Tạo cái nhìn tổng hợp về môi trường bảo mật OT và IT của bạn, để nhanh chóng xác định và khắc phục các điểm yếu cũng như điểm dễ bị “lan truyền” từ mạng này sang mạng khác trong một cuộc tấn công.

Tăng niềm tin với các bên liên quan

Chia sẻ báo cáo tự động với các bên liên quan chính để truyền đạt rõ ràng rủi ro trong tổ chức và đảm bảo ưu tiên đầu tư vào bảo mật.

Bảo mật toàn bộ ngăn xếp

Tự động hóa việc thực hiện các cuộc tấn công nhiều giai đoạn trên toàn bộ nền tảng đám mây, bao gồm các thiết bị, mạng, dịch vụ đám mây và ứng dụng của người dùng cuối.

Quản lý rủi ro an ninh chuỗi cung ứng

Trước khi làm việc với các nhà cung cấp bên thứ ba, hãy đánh giá chính xác tình hình an ninh mạng của họ để hiểu những rủi ro tiềm ẩn mà họ có thể mang lại cho môi trường của bạn.

Để tìm hiểu thêm về mô phỏng vi phạm và tấn công cũng như cách SafeBreach có thể giúp cung cấp khả năng hiển thị và bảo vệ tốt hơn trong môi trường IT/OT tích hợp của bạn, chúng tôi mời bạn lên lịch trình demo.

 

Chi tiết xin liên hệ:

Công ty cổ phần giải pháp công nghệ Sonic

Địa chỉ: Tầng 16, Tòa nhà Licogi 13, 164 Khuất Duy Tiến, P. Nhân Chính, Q. Thanh Xuân, TP. Hà Nội

Tel: 02466.564.587

Email: sales@sonic.com.vn