Truy cập từ xa an toàn vào các môi trường công nghệ vận hành (OT) đã trở thành một yêu cầu thiết yếu trong các ngành công nghiệp. Khi ngày càng nhiều tổ chức tích hợp hệ thống IT và OT, phương pháp truyền thống là giữ hạ tầng OT hoàn toàn tách biệt không còn khả thi nữa.
Hơn một nửa (54%) các công ty công nghiệp đã chịu ảnh hưởng của các cuộc tấn công ransomware tác động đến OT vào năm 2023. Rõ ràng, sự hội tụ ngày càng tăng của IT và OT, kết hợp với sự phụ thuộc ngày càng lớn vào các nhà cung cấp bên thứ ba và mô hình làm việc từ xa, đã tạo ra một nhu cầu cấp thiết đối với các công cụ bảo mật hiện đại được thiết kế để củng cố truy cập từ xa vào mạng OT.
Đây chính là lúc giải pháp Truy Cập Từ Xa An Toàn Trong Công Nghiệp (I-SRA) ra đời, một thành phần quan trọng trong chiến lược bảo mật OT. I-SRA đề cập đến các quy trình và công nghệ được sử dụng để cung cấp truy cập từ xa an toàn vào các môi trường OT, cho phép nhân viên được ủy quyền – bao gồm cả các nhà cung cấp, nhà thầu và nhân viên làm việc từ xa – truy cập và quản lý các hệ thống công nghiệp đồng thời giảm thiểu rủi ro rò rỉ dữ liệu.
Tình Hình Hiện Tại Của I-SRA
Một khảo sát năm 2023 cho thấy 72% các chuyên gia OT cho rằng việc truy cập từ bên thứ ba là lý do chính để bảo mật truy cập từ xa. Tuy nhiên, mặc dù nhu cầu về I-SRA được công nhận rộng rãi, nhiều nhà lãnh đạo công nghiệp lại không tự tin rằng các giải pháp truy cập từ xa hiện tại có thể bảo vệ hiệu quả các môi trường OT trọng yếu của họ.
Các tổ chức công nghiệp đã cố gắng giải quyết vấn đề I-SRA thông qua các biện pháp tạm thời như sử dụng VPN, tường lửa, hoặc các framework như NIST 800-82 hay ISA/IEC62443. Tuy nhiên, những giải pháp này thường không cung cấp bảo mật toàn diện hoặc không đáp ứng được các yêu cầu đặc thù của các hệ thống OT – điều này càng làm nổi bật tính cấp bách của việc tìm kiếm các giải pháp I-SRA được thiết kế riêng biệt.
Giải Pháp VPN Trong Bảo Mật OT
VPN từ lâu đã là lựa chọn phổ biến để kết nối IT của doanh nghiệp nhờ vào khả năng mã hóa lưu lượng mạng và che giấu vị trí người dùng, cung cấp một số tính năng bảo mật và quyền riêng tư. Tuy nhiên, VPN không được thiết kế đặc biệt cho môi trường OT, và sự không tương thích với các cấu hình và giao thức đặc thù trong hệ thống OT tạo ra nhiều thách thức. Do đó, việc triển khai VPN để truy cập từ xa vào OT thường đòi hỏi sự phối hợp giữa các đội IT và OT để giải quyết sự khác biệt giữa khả năng của VPN và yêu cầu của OT.
Những Rủi Ro Bảo Mật Khi Sử Dụng VPN
Mặc dù VPN cung cấp kết nối từ xa cơ bản cho OT, nhưng chúng không được thiết kế để trở thành giải pháp toàn diện – đặc biệt khi đối mặt với các hậu quả nguy hiểm hiện hữu của một cuộc tấn công vào bảo mật OT. Một số rủi ro khi sử dụng VPN để bảo mật mạng OT bao gồm:
Mở Rộng Bề Mặt Tấn Công
VPN kết nối qua internet công cộng, tạo ra một điểm vào cho các tác nhân xấu có thể truy cập vào mạng. Nếu thông tin xác thực người dùng bị xâm phạm qua các kỹ thuật như phishing hoặc tấn công brute-force, kẻ tấn công có thể khai thác lỗ hổng này để xâm nhập trực tiếp vào toàn bộ mạng OT.
Khó Khăn Trong Việc Giám Sát
Log và các dấu vết kiểm tra (audit) của VPN cung cấp tầm nhìn hạn chế đối với các hoạt động của người dùng, làm cho việc xác định hệ thống nào đã bị truy cập hoặc hành động nào đã được thực hiện trong phiên làm việc trở nên khó khăn. Thiếu khả năng giám sát và kiểm tra chi tiết này tạo ra những khoảng trống lớn trong khả năng điều tra mối đe dọa, phân tích pháp y và đảm bảo tuân thủ trong môi trường OT.
Giới Hạn Trong Kiểm Soát Truy Cập
Một hạn chế lớn của VPN là không thể thực hiện kiểm soát truy cập chi tiết. VPN chỉ hoạt động theo cơ chế cho phép / từ chối quyền truy cập mà không thể hạn chế hành động cụ thể của người dùng hay thực thi nguyên tắc quyền hạn tối thiểu (least-privilege) một khi người dùng đã kết nối, dẫn đến việc cấp quyền quá mức.
Tạo Điều Kiện Cho Lateral Movement
Mạng OT thường không thể phân đoạn bằng các phương pháp truyền thống do các giao thức và kiến trúc đặc thù. Việc thiếu phân đoạn mạng nội bộ này dẫn đến việc nếu một kẻ tấn công xâm nhập vào một hệ thống trong môi trường OT thông qua kết nối VPN, chúng có thể dễ dàng thực hiện lateral movement và truy cập vào tất cả các tài sản OT mà không gặp phải các rào cản bảo mật thêm nào nữa.
Zero Trust Tăng Cường Bảo Mật OT Như Thế Nào
Mô hình bảo mật zero-trust thách thức phương pháp truyền thống dựa trên rào cản (perimeter-based) để bảo vệ OT. Dựa trên nguyên tắc “never trust, always verify”, zero- trust tăng cường bảo vệ mạng OT bằng cách tích hợp các công cụ như xác thực đa yếu tố (MFA), phân đoạn mạng, giám sát liên tục và quyền truy cập dựa trên danh tính (identity-based).
Một số lợi ích khi áp dụng bảo mật zero-trust vào chiến lược I-SRA của bao gồm:
Cải Thiện Theo Dõi Và Kiểm Soát
Các giải pháp bảo mật zero-trust cải thiện theo dõi và kiểm soát đối với môi trường OT của tổ chức, giúp họ phát hiện và phản ứng hiệu quả hơn với các mối đe dọa trong khi giảm thiểu việc lateral movement trong mạng thông qua các kiểm soát truy cập và phân đoạn mạng mạnh mẽ hơn.
Bảo Mật Linh Hoạt
Các công cụ zero-trust liên tục xác minh người dùng và thiết bị, thực thi các kiểm soát truy cập nghiêm ngặt và triển khai các biện pháp bảo mật vững chắc. Cách tiếp cận bảo mật chủ động này phù hợp với tính linh hoạt của môi trường OT và các mối đe dọa đang thay đổi phức tạp từng ngày.
Tùy Chỉnh Đơn Giản
Khác với các giải pháp bảo mật truyền thống được thiết kế cho các tình huống trong IT, các nền tảng zero-trust có thể được tùy chỉnh để đáp ứng các nhu cầu cụ thể của hệ thống OT, đảm bảo tích hợp và bảo vệ liền mạch mà không làm gián đoạn các hoạt động quan trọng.
Mở Rộng Truy Cập Zero Trust Đến Môi Trường I-SRA Với Safous
Bảo mật truy cập từ xa vào môi trường OT là yếu tố quan trọng để duy trì sự an toàn cho các hoạt động công nghiệp. Để bảo vệ hiệu quả các hệ thống nhạy cảm này, doanh nghiệp cần áp dụng một phương pháp bảo mật toàn diện vượt trội so với các giải pháp bảo mật dựa trên rào cản truyền thống và áp dụng nguyên tắc truy cập zero-trust.
Nền tảng Safous Zero Trust Access (ZTA) có thể giúp bạn mở rộng bảo mật zero-trust đối với chiến lược I-SRA của mình. Safous ZTA cung cấp cho các tổ chức một bộ công cụ bảo mật để bảo vệ toàn bộ môi trường OT, giúp các đội ngũ giám sát và quản lý truy cập từ xa vào các ứng dụng và dữ liệu quan trọng một cách liền mạch.
Thông tin về hãng cung cấp giải pháp
Unitas là nhà phân phối ủy quyền tại Việt Nam của các hãng công nghệ lớn của thế giới: Commvault, ExaGrid, VergeIO, Nexsan, DDN, Tintri, MinIO, LogicMonitor, Netgain, Kela, UltraRed, Quokka, Safous, Hackuity, Cyabra, Cymetrics, ThreatDown, F-Secure, OutSystems, Micas Networks …
