Bước đầu thực nghiệm giải pháp OT Security

Bảo mật cho môi trường vận hành (OT – Operational Technology) là một vấn đề còn khá mới và đang rất được quan tâm trên thế giới. Khác với môi trường công nghệ thông tin truyền thống (IT – Information Technology).

Đặt vấn đề

Bảo mật cho môi trường vận hành (OT – Operational Technology) là một vấn đề còn khá mới và đang rất được quan tâm trên thế giới. Khác với môi trường công nghệ thông tin truyền thống (IT – Information Technology), OT là môi trường của sản xuất, công nghiệp với các lĩnh vực, sản phẩm và dịch vụ hết sức đặc thù như: Sản xuất, truyền tải và phân phối điện năng, khai thác dầu khí, lắp ráp máy móc, điều hành nhà xưởng, giao thông vận tải,… Ở lõi của môi trường OT là những sensor, actuator, pump, RTU, PLC, SCADA system, vốn hoàn toàn xa lạ trong môi trường IT. Nhiều trong số môi trường OT thuộc về các hạ tầng trọng yếu quốc gia (critical infrastructure) hoặc các tập đoàn, công ty lớn mà việc gián đoạn, hư hỏng có khả năng gây hậu quả nghiêm trọng trên diện rộng. Trong môi trường IT, các vụ tấn công xâm nhập thường dẫn tới gián đoạn hoạt động, mất mát dữ liệu nhạy cảm, dữ liệu cá nhân; còn trong môi trường OT, việc bị tấn công, xâm nhập dẫn tới những hậu quả nghiêm trọng và trực tiếp hơn như cháy, nổ, mất điện trên diện rộng,… đe dọa trực tiếp sự sống của con người và an toàn môi trường xung quanh.

Một vụ việc điển hình, được biết đến rộng rãi nhất trong các cuộc tấn công trong môi trường OT là vụ mã độc Stuxnet tấn công vào một cơ sở hạt nhân của Iran vào năm 2014. Có quy trình lây lan tinh vi, phức tạp nhưng ở hoạt động lõi, Stuxnet tấn công vào phần mềm chuyên dụng Step7, dùng điều khiển các Bộ điều khiển logic lập trình được (PLC) của hãng Siemens, vốn dùng phổ biến trong cơ sở hạt nhân này. Stuxnet đã thay đổi tốc độ quay của các máy ly tâm, làm hỏng trên 500 máy, gây tổn thất hàng trăm triệu dollar, và quan trọng hơn, theo các đánh giá khác nhau, gây trì hoãn chương trình hạt nhân của Iran tới 2-3 năm. Cho đến nay vẫn chưa thể xác định chính xác thủ phạm đứng sau Stuxnet nhưng xét về quan hệ chính trị quốc tế, nhiều khả năng vụ việc do Mỹ và Israel tiến hành. Và có thể nói một cuộc tấn công quân sự được tổ chức tốt và cực kỳ tốn kém cũng khó lòng đạt được hiệu quả như vậy.

Lý do chính của việc thế giới quan tâm đề cao vấn đề bảo mật môi trường OT là do vốn trước đây, mạng OT được xây dựng phục vụ mục tiêu sản xuất nên có yêu cầu cao nhất là tính sẵn sàng, bền bỉ, hoạt động đúng chức năng và liên tục. Thời điểm đó các mạng OT hầu như tách biệt hoàn toàn với thế giới xung quanh, chỉ có thể truy cập từ bên trong nhà máy, vốn được bảo vệ bởi các tường rào, lực lượng bảo vệ chuyên nghiệp, các quy trình hành chính. Với sự phát triển của IT và đặc biệt của công nghệ IoT trong những năm gần đây, ngày càng nhiều trang thiết bị IT, IoT và thiết bị thông minh khác được kết nối vào môi trường OT giúp số hóa dữ liệu, trao đổi dữ liệu, phân tích dữ liệu, qua đó nâng cao hiệu quả sản xuất. Nhưng trong bối cảnh kết nối đó, mạng OT “đột nhiên” bị phát hiện ra tồn chứa rất nhiều điểm yếu, lỗ hổng bảo mật nghiêm trọng, có thể bị hacker lợi dụng tấn công, xâm nhập.

Tại Việt Nam, vấn đề bảo mật mạng OT đang rất nghiêm trọng bởi một số nguyên nhân cơ bản sau: (1) Nhận thức về bảo mật OT còn rất hạn chế, từ các cấp quản lý có trách nhiệm tới những người làm về bảo mật trong môi trường IT – vốn có điều kiện tiếp cận hơn cả, (2) Việc tiếp cận môi trường OT để kiểm tra, thử nghiệm gặp khó khăn do tính chất của môi trường OT coi trọng tính ổn định của hoạt động và không muốn có bất cứ sự can thiệp nào, dù là để tìm hiểu và bảo vệ cho chính nó, (3) Số lượng đơn vị, cá nhân tiếp cận công nghệ bảo mật OT còn hạn chế.

Trong bối cảnh đó chúng tôi đã tiếp cận một số đơn vị có uy tin ở nước ngoài để tìm hiểu công nghệ, phối hợp với một số đơn vị quản lý môi trường OT trong nước để thu thập dữ liệu thử nghiệm.

Nguyên tắc hoạt động của giải pháp bảo mật mạng OT

Mặc dù môi trường OT khá phong phú nhưng các giải pháp bảo mật mạng OT hoạt động trên nguyên tắc chúng khá đồng nhất:

–         Thứ nhất, thu thập một cách thụ động (passive) dữ liệu luân chuyển giữa các thiết bị, tài sản (asset) trong mạng OT. Các giải pháp thường sử dụng cổng SPAN port/Mirror port tại các switch hoặc thiết bị tapping để thu thập dữ liệu một cách bị động mà KHÔNG đưa vào hệ thống bất cứ traffic nào. Đây là đặc điểm quan trọng để phòng ngừa việc traffic bơm vào có thể tác động tiêu cực tới môi trường OT. Một số giải pháp có tính năng quét mạng OT một cách chủ động (active), tuy nhiên luôn ở dạng tùy chọn và phải được kiểm soát chặt chẽ.

–         Thứ hai, sử dụng công nghệ phân tích sâu gói tin (DPI – Deep Packet Inspection) để phân tích dữ liệu, từ đó mang lại cái nhìn cụ thể, rõ ràng (Visibility) đối với hệ thống: Các thiết bị, tài sản có trong hệ thống; hãng sản xuất, phiên bản hệ điều hành/firmware/phần mềm chuyên dụng; các giao thức được sử dụng; các luồng dữ liệu trao đổi giữa các trang thiết bị. Một cách đơn giản, Visibility cho phép quan sát động toàn bộ trang thiết bị, tài sản và hoạt động của chúng.

–         Thứ ba, từ khả năng Visibility, cho phép xác định cụ thể và chính xác các điểm yếu, lỗ hổng bảo mật trong hệ thống (Vulnerability Detection), bao gồm các giao thức yếu, các thiết bị đang sử dụng firmware cũ, có lỗ hổng, các bản vá hệ điều hành / phần mềm chưa được cập nhật.

–         Thứ tư, áp dụng tri thức chuyên gia (expertise) và các phương pháp phân tích dữ liệu tiên tiến như big data, trí tuệ nhân tạo để xây dựng baseline cho cấu hình và hệ thống của toàn hệ thống. Nói cách khác, để xác định khung tham chiếu cho hoạt động bình thường của hệ thống và các thiết bị, tài sản bên trong. Thông thường, cần 2-3 tuần để xây dựng baseline hoàn chỉnh cho một cơ sở OT điển hình.

–         Thứ năm, hệ thống sẽ tiếp tục giám sát hoạt động của hệ thống, đối chiếu với baseline để phát hiện ra các hoạt động bất thường (Anomaly Detection), có thể là việc tài sản, thiết bị hoạt động không đúng cấu hình, chức năng, hoặc hoạt động tấn công của mã độc, hacker, từ đó cảnh báo giúp người quản trị hệ thống và các cấp có trách nhiệm lên phương án phòng ngừa, xử lý. Baseline cũng liên tục được cập nhật trong quá trình này.

Lưu ý rằng do tính chất môi trường OT đòi hỏi tính sẵn sàng, liên tục rất cao nên khi phát hiện điểm yếu, lỗ hổng, hay hoạt động bất thường, cán bộ kỹ thuật không được tự động tiến hành xử lý mà phải kiểm soát chặt chẽ, báo cáo cấp có thẩm quyền đánh giá, phê duyệt phương án xử lý bài bản.

Thử nghiệm của chúng tôi

Dữ liệu đầu vào

Thông qua quan hệ với đối tác truyền thống, chúng tôi thu thập được 02 file dữ liệu chứa khoảng 4h hoạt động của một hệ thống OT.

Phương pháp

Sử dụng công cụ chuyên dụng phân tích sơ bộ dữ liệu gói tin PCAP; công cụ chuyên dụng cho phép giám sát, phân tích dữ liệu trong môi trường sản xuất (OT); tham vấn ý kiến chuyên gia.

III. Kết quả phân tích

1.     Số lượng thiết bị/tài sản (asset): 87, gồm:

–         04 switch (Hirschmann Automation and Control GmbH), trong đó có 03 RailSwitch chạy Firmware 09.0.04

–         02 HMI (Hewlett Packard)

–         30 PLC/RTU (SAT GmbH & Co.)

–         23 máy tính/máy chủ (12 Advantech, 01 Dell, 9 Hewlett Packard, 01 RealTek), trong đó 22 máy chạy hệ điều hành

–         28 thiết bị khác (25 Hirschmann Automation and Control GmbH, 01 SAT GmbH & Co., 02 Shenzhen Eastern Digital Tech Ltd.)

Xét về công nghệ, hệ thống sử dụng 07 nhà cung cấp, sản xuất theo số lượng thiết bị trong hệ thống như sau:

SAT GmbH & Co. 31
Hirschmann Automation and Control GmbH 29
ADVANTECH CO., LTD. 12
Hewlett Packard 11
Shenzhen Eastern Digital Tech Ltd. 2
Dell Inc. 1
REALTEK SEMICONDUCTOR CORP. 1

2.     Hoạt động của hệ thống

Theo dữ liệu PCAP, các tài sản trong hệ thống có sự trao đổi, luân chuyển dữ liệu lẫn nhau, thể hiện hoạt động của cơ sở. Tổng số session trao đổi là 3054, tóm tắt trong bảng dưới:

 

Giao thức Số session Ghi chú
ARP 352 Address Resolution Protocol
Browser 44  
DHCP 2  
DHCPv6 43  
https 1  
IEC 60870-5-104 106 OT protocol trong môi trường sản xuất điện năng
IGMP 2 Internet Group Management Protocol
LLDP 9 Link Layer Discovery Protocol
LLMNR 648 Link-Local Multicast Name Resolution
NETBIOS 18  
NTP 1654 Network Time Protocol
SNMP 56  
STP 1 Spanning Tree Protocol
Khác 108  

Trong số các thiết bị/tài sản nêu trên, có 30 đóng vai trò master, tham gia điều khiển hoạt động của hệ thống, bao gồm 02 HMI và 28/30 PLC (02 PLC có địa chỉ IP 172.17.123.151 và 172.17.123.152 chỉ đóng vai trò slave, không tham gia điều khiển, hoặc dữ liệu PCAP thu thập được chưa đủ để thấy hoạt động điều khiển của 02 PLC này).

Hình 1 dưới đây dưới thể hiện liên kết giữa các thiết bị/tài sản tại một thời điểm điển hình trong quá trình hệ thống hoạt động.

Hình 1: Visibility của hệ thống

Quá trình hoạt động đã sinh ra và làm biến thiên giá trị của gần 3500 biến số trong hệ thống, tuy nhiên để hiểu rõ giá trị, ý nghĩa các biến đó cần có kiến thức chuyên gia về chuyên ngành điện năng, sản xuất điện năng, sẽ hữu ích hơn nếu có sự tham gia của bản thân cán bộ nhà máy.

3.     Các điểm yếu trong hệ thống

Với dữ liệu trong các file PCAP thu thập được, chúng tôi đã phân tích ra một số điểm yếu trong hệ thống như sau:

3.1.       Hệ thống còn sử dụng giao thức yếu như SNMP, NETBIOS, LLMNR

Đây là các giao thức yếu, đặc biệt là gioa thức NETBIOS, thường bị hacker lợi dụng để điều tra, khám phá hệ thống, phục vụ tấn công lâu dài.

3.2.       Một số thiết bị/tài sản kết nối với quá nhiều thiết bị/tài sản khác

Việc một thiết bị/tài sản kết nối với nhiều thiết bị/tài sản khác có thể là bình thường trong vận hành hệ thống sản xuất, tuy nhiên những thiết bị/tài sản đó dễ trở thành đích tấn công của hacker, bị hacker sử dụng vào vai trò quét, điều tra hệ thống hoặc từ đó tấn công sang thiết bị/tài sản khác. Các thiết bị/tài sản kết nối tới nhiều thiết bị/tài sản khác trong hệ thống của nhà máy gồm:

STT Địa chỉ IP Số liên kết Ghi chú
1 172.17.123.3 76 HMI
2 172.17.123.4 89 HMI
3 172.17.123.141 34 PLC
4 172.17.123.151 32 PLC
5 172.17.123.5 11 Server

Hình dưới đây thể hiện các thiết bị/tài sản liên kết với HMI có địa chỉ IP 172.17.123.3

Hình 2: Các thiết bị/tài sản liên kết với HMI có địa chỉ 172.17.123.3

Khuyến nghị: Bảo vệ các thiết bị/tài sản này với các điều khiển phù hợp; nghiên cứu ngắt bớt liên kết tới các thiết bị/tài sản này nếu có thể.

3.3.       Điểm yếu trên 03 RailSwitch

03 RailSwitch gồm CTRL_SW1 địa chỉ 172.17.123.220, LCU10_SW1 địa chỉ 172.17.123.240, và LCU09_SW1 địa chỉ 172.17.123.238 đang chạy firmware phiên bản 09.0.04 đều tồn tại 07 điểm yếu về mã hóa dữ liệu có số hiệu từ CVE-2017-13091 đến CVE-2017-13097. Điểm yếu này có thể cho phép hacker lấy được thông tin dưới dạng bản rõ truyền qua switch.

Ngiên cứu sơ đồ dữ liệu còn cho thấy 02 switch LCU09_SW1 và LCU10_SW1 đều kết nối giữa 02 trạm HMI, switch CTRL_SW1 ngoài 02 hai trạm HMI còn kết nối tới một số tài sản khác. Do đó điểm yếu tồn tại trên các switch này có tiềm năng gây ảnh hưởng tới toàn hệ thống.

3.4.       Điểm yếu trên máy DCSDEMO-PC

Máy tính DCSDEMO-PC (địa chỉ IP 169.254.243.109) được xác định là máy của hãng Dell, chạy hệ điều hành Windows 7 và kết nối tới 03 địa chỉ khác (gồm địa chỉ broadcast) như hình dưới.

Kết quả phân tích cho thấy máy tính này không hề được cập nhật trong thời gian rất dài nên thiếu tới 453 bản vá lỗi, do đó tồn tại tới 1234 lỗ hổng, trong đó có những điểm yếu hết sức nghiêm trọng, với 28 lỗ hổng có điểm CVE là 10, khoảng 320 lỗ hổng có điểm CVE từ 8,5 trở lên. Chúng tôi đính kèm Phụ lục danh sách các lỗ hổng cụ thể.

Việc tồn tại máy tính với nhiều lỗ hổng nghiêm trọng như vậy trong hệ thống là hết sức nguy hiểm. Tuy nhiên chúng tôi đã kiểm tra các attack vector cụ thể đối với máy tính này và xác định cho đến nay chưa tồn tại đường kết nối đủ để từ máy tính này tấn công được vào thiết bị, tài sản khác trong hệ thống. Cũng lưu ý rằng máy tính này có địa chỉ IP nằm trong dải khác hoàn toàn với những tài sản, thiết bị khác trong hệ thống (169.254.243.* vs 172.17.123.*).

Trên cơ sở phân tích nêu trên và tham vấn ý kiến chuyên gia, chúng tôi sơ bộ nhận định máy tính DCSDEMO-PC không phải thành phần của hệ thống mà từng được đưa vào để sử dụng với mục đích minh họa, trình diễn, tuy nhiên về sau không để ý ngắt ra mà vẫn duy trì trong hệ thống.

Về tổng thề, Mặc dù khối lượng dữ liệu thử nghiệm còn rất hạn chế nhưng phân tích bước đầu đã phát hiện có những điểm yếu trong hệ thống thiết bị, tài sản tại nhà máy, trong đó có điểm yếu nghiêm trọng. Đến nay chưa phát hiện hoạt động/traffic bất thường nhưng nguyên nhân có thể đơn giản là do chưa đủ thời gian lấy dữ liệu cần thiết để xây dựng baseline.

Kết luận

Trong điều kiện hạn chế tại Việt Nam, chúng tôi đã thử nghiệm công nghệ với dữ liệu thực và đã trên thực tế đã phát hiện ra một số điểm yếu, lỗ hổng bảo mật trong môi trường OT của một cơ sở trong nước. Chúng tôi tin rằng nếu có điều kiện tiếp cận nhiều dữ liệu, hoặc tiếp cận hệ thống OT trực tiếp, chúng tôi sẽ phát hiện ra nhiều vấn đề hơn, và điều này là có lợi cho bản thân chủ sở hữu cơ sở OT đó.

Ý kiến trao đổi, đóng góp xin gửi về:

Tác giả: Nguyễn Thanh Bình, binh.nguyen@gteltsc.vn hoặc

Ban biên tập: blog@gteltsc.vn ./.