Hướng dẫn cơ bản về quản lý lỗ hổng OT

12/04/2024
Trong thế giới kết nối ngày nay, công nghệ vận hành (OT) đóng một vai trò quan trọng trong việc quản lý và kiểm soát các quy trình và thiết bị vật lý quan trọng đối với hoạt động kinh doanh. Tuy nhiên, khi các hệ thống OT ngày càng được tích hợp chặt chẽ hơn vào lĩnh vực công nghệ thông tin (CNTT), nguy cơ về các lỗ hổng và các mối đe dọa mạng khác đã trở thành mối lo ngại đáng kể. Khi các mối đe dọa an ninh mạng này tiếp tục gia tăng và bối cảnh an ninh ngày càng phát triển, các tổ chức cơ sở hạ tầng quan trọng cần có chiến lược quản lý lỗ hổng OT để bảo vệ quy trình công nghiệp của họ khỏi các cuộc tấn công mạng.

Quản lý lỗ hổng OT là gì?

Theo CISA, “quản lý lỗ hổng OT tập trung vào quá trình các tổ chức xác định, phân tích và quản lý lỗ hổng trong môi trường vận hành của dịch vụ quan trọng." So với quản lý lỗ hổng CNTT, quản lý lỗ hổng OT phức tạp hơn. Mặc dù mục tiêu bao quát của việc xác định và giải quyết các lỗ hổng bảo mật là như nhau, việc quản lý lỗ hổng CNTT nhấn mạnh vào tính bảo mật, tính toàn vẹn và tính sẵn sàng của dữ liệu. Mặt khác, quản lý lỗ hổng OT tập trung vào các hệ thống kiểm soát công nghiệp (ICS), hệ thống kiểm soát giám sát và thu thập dữ liệu (SCADA) và các thiết bị khác được sử dụng để giám sát và kiểm soát các quy trình vật lý trong môi trường cơ sở hạ tầng quan trọng.

Cuối cùng, mục tiêu của quản lý lỗ hổng OT là giảm mức độ phổ biến và tác động của lỗ hổng cũng như các điều kiện có thể khai thác trên các tổ chức và công nghệ có thể ảnh hưởng đến sự an toàn, độ tin cậy và chức năng của các quy trình công nghiệp. Tuy nhiên, mục tiêu này ngày càng nằm ngoài tầm với khi các tổ chức đang trở thành mục tiêu của những kẻ độc hại mong muốn vũ khí hóa các lỗ hổng của họ.

Những thách thức trong việc thiết lập quản lý lỗ hổng OT thành công

Hầu hết các tổ chức cơ sở hạ tầng quan trọng đều hiểu những tác động nghiêm trọng mà các cuộc tấn công mạng có thể gây ra đối với hệ thống OT của họ, tuy nhiên, họ có xu hướng gặp khó khăn trong việc ưu tiên các lỗ hổng OT để giảm thiểu một cách hiệu quả các mối đe dọa nguy hiểm nhất trong môi trường của họ. Điều này là do những thách thức sau đi kèm với nhiều chiến lược quản lý lỗ hổng dựa trên rủi ro (RBVM):

  • Thiếu khả năng hiển thị tài sản OT: Tài sản OT trong môi trường công nghiệp sử dụng các giao thức độc quyền khiến chúng gần như vô hình trước các công cụ bảo mật CNTT truyền thống. Nếu không có hồ sơ chi tiết về từng tài sản OT, không những không thể đánh giá mà còn không thể quản lý các lỗ hổng và rủi ro của nó.
  • Máy quét lỗ hổng tiêu chuẩn không an toàn: Các giải pháp được sử dụng rộng rãi để quét tài sản CNTT để tìm lỗ hổng sẽ tạo ra quá nhiều lưu lượng truy cập để có thể sử dụng an toàn trong môi trường OT — nếu được sử dụng, chúng có thể làm gián đoạn hoạt động hoặc tệ hơn là vô hiệu hóa chúng hoàn toàn.
  • Những thiếu sót trong chiến lược ưu tiên cho lỗ hổng bảo mật: Các giải pháp bảo mật OT truyền thống và hướng dẫn thông thường về mức độ ưu tiên của lỗ hổng dựa trên hệ thống tính điểm lỗ hổng chung (CVSS), thay vì dựa trên khả năng khai thác. Phương pháp ưu tiên hóa lỗ hổng bảo mật này đã cho phép nhân viên thường vốn đã quá tải của nhiều tổ chức sử dụng nguồn lực để ưu tiên các lỗ hổng đã hoặc sẽ không bao giờ bị khai thác.
  • Việc vá lỗi hiếm khi được cho phép: Việc vá bất kỳ lỗ hổng nào thường yêu cầu thời gian ngừng hoạt động, điều mà hầu hết các môi trường OT không thể chịu đựng được. Do đó, các khoảng thời gian bảo trì hiếm khi xảy ra, bất kể lỗ hổng hay rủi ro.

Các phương pháp hay nhất về quản lý lỗ hổng OT

Do sự phức tạp và thách thức trong việc quản lý lỗ hổng OT công nghiệp, điều quan trọng là các tổ chức phải tuân thủ các biện pháp thực hành tốt nhất sau đây để đảm bảo sẵn sàng giải quyết việc quản lý lỗ hổng trong môi trường riêng của họ:

1. Khám phá tài sản

Nếu không có khả năng hiển thị tài sản thì không thể thực hiện được các biện pháp kiểm soát an ninh mạng hiệu quả — bao gồm cả quản lý lỗ hổng OT. Thông tin chi tiết về khám phá tài sản, chẳng hạn như loại tài sản, kiểu máy, nhà sản xuất thiết bị, địa chỉ IP và vị trí thiết bị là rất quan trọng để ưu tiên và quản lý các lỗ hổng bảo mật một cách hiệu quả. Cách tốt nhất là các tổ chức nên sử dụng công cụ bảo mật OT với nhiều phương pháp khám phá có tính linh hoạt cao, có thể kết hợp để mang lại khả năng hiển thị đầy đủ theo cách phù hợp nhất với nhu cầu riêng biệt của tổ chức bạn.

2. Xác định lỗ hổng

Khi khả năng hiển thị tài sản được thiết lập, các tổ chức có thể xác định các lỗ hổng trong môi trường của họ. Bằng cách tương quan kho tài sản của bạn với hệ thống các lỗ hổng và rủi ro phổ biến (CVE) cũng như các điểm yếu khác, các tổ chức có thể xác định chính xác các tài sản dễ bị tấn công và phát hiện ra các điểm mù rủi ro trong môi trường OT của họ.

3. Ưu tiên các lỗ hổng

Sau khi các lỗ hổng được xác định và các điểm mù được phát hiện, các tổ chức có thể ưu tiên các lỗ hổng quan trọng nhất trong môi trường OT của họ dựa trên những lỗ hổng nào đang (hoặc có nhiều khả năng) được khai thác tích cực nhất. Trong bước này, việc có một công thức chuẩn hóa để tính toán rủi ro thiết bị sẽ giúp đưa ra quyết định tốt hơn về mức độ ưu tiên, đồng thời giúp tổ chức của bạn đo lường và theo dõi việc khắc phục rủi ro theo thời gian.

4. Quy mô công việc

Theo cách tốt nhất, điều quan trọng là sử dụng các quy trình làm việc OT chuyên dụng hoặc điều phối yêu cầu CNTT hiện có và/hoặc các công cụ liên quan để hoàn thiện các chiến thuật quản lý lỗ hổng OT của bạn thành các quy trình công việc có thể mở rộng. Với sự trợ giúp của nền tảng an ninh mạng OT tiên tiến, tổ chức của bạn có thể dễ dàng mở rộng quy trình quản lý lỗ hổng CNTT hiện có sang môi trường OT bằng cách tích hợp liền mạch với CMDB, điều phối, ticket, SIEM và các nguồn liên quan.

5. Tối ưu hóa trạng thái rủi ro

Để tối ưu hóa hơn nữa chương trình quản lý lỗ hổng OT, điều quan trọng là các tổ chức phải tận dụng những hiểu biết chiến lược về OT và đề xuất rủi ro để thúc đẩy các biện pháp giảm thiểu chủ động. Nếu muốn, các tổ chức cũng có thể mở rộng mọi giải pháp bảo mật điểm cuối CNTT hiện có sang các thiết bị tương thích trong OT để tăng cường hơn nữa tình trạng rủi ro của bạn.

Khi các tổ chức cơ sở hạ tầng quan trọng tiếp tục phải đối mặt với các mối đe dọa mới và đang nổi lên trong bối cảnh an ninh mạng, điều cần thiết là họ phải hiểu được những thách thức và phương pháp hay nhất để quản lý lỗ hổng thành công.

Tại Claorty, chúng tôi hiểu rằng mỗi môi trường OT là duy nhất và đòi hỏi một cách tiếp cận phù hợp để quản lý lỗ hổng OT. Đó là lý do tại sao chúng tôi liên tục hướng tới việc giúp khách hàng hiểu được tình trạng rủi ro của họ, phân bổ tốt hơn các nguồn lực hiện có để cải thiện tình trạng đó và đẩy nhanh hành trình bảo mật OT của họ. Hành trình này bắt đầu với các phương pháp hay nhất được thiết lập trong blog này và có thể được tăng tốc nhờ khả năng quản lý rủi ro và lỗ hổng (VRM) của chúng tôi. Để biết thêm thông tin về các khả năng này, vui lòng xem tóm tắt giải pháp VRM của chúng tôi dành cho xDome hoặc Medigate.

Xem thêm về các giải pháp của Claroty

VietSunshine là nhà phân phối của Claroty tại Việt Nam, liên hệ với chúng tôi để được tư vấn và hỗ trợ tốt nhất.