Honeypots và các hacker

Sự liên kết ngày càng gia tăng của quy trình sản xuất với các công nghệ truyền dẫn số đã mở ra các phương thức mới cho tội phạm hoạt động trên Internet. Trung tâm nghiên cứu công nghệ an ninh IT tại Bộ phận Công nghệ Tập đoàn Siemens đang phát triển các giải pháp tinh vi để chống lại tội phạm mạng và tiến hành các thử nghiệm nghiêm ngặt, trong đó bao gồm việc sử dụng chính đội hacker riêng của mình.

 Tội phạm IT đang ngày càng tăng và trở thành mối đe dọa lớn cho ngành công nghiệp và kinh doanh với thiệt hại gây ra bởi các cuộc tấn công mạng và gián điệp công nghiệp có thể lên đến hàng tỉ đô la mỗi năm. Nhiều công ty công nghiệp đang lo lắng rằng khi các công nghệ số lan rộng và hệ thống máy móc liên kết với nhau ngày càng nhiều trong toàn bộ chuỗi giá trị thì nguy cơ bảo mật sẽ tăng lên và đa dạng hơn. Nhưng để làm cho quá trình sản xuất nhanh hơn, linh hoạt hơn và mang lại hiệu quả về kinh phí, họ vẫn cần thiết phải chuyển đổi cơ sở vật chất độc lập cồng kềnh trước đây thành hệ thống sản xuất mở. Vì vậy, theo Reinema, người chịu trách nhiệm cho Trung tâm nghiên cứu công nghệ an ninh IT và đứng đầu nhóm chuyên gia IT phát triển các giải pháp bảo mật toàn diện cho các doanh nghiệp của Siemens: “Nếu ngành công nghiệp sử dụng một khái niệm bảo mật toàn vẹn và nhất quán, những rủi ro có thể quản lý được”.

Xóa bỏ các lỗ hổng một cách có hệ thống

Theo chuyên gia an ninh IT Klaus Lukas: Trước đây, các cổng và hệ thống cảnh báo được sử dụng để bảo vệ nhà máy, nhưng ngày nay ưu tiên hàng đầu với những người chịu trách nhiệm về an ninh trong ngành công nghiệp là phải nhanh hơn hacker và tự phát hiện ra các lỗ hổng bảo mật. Lukas cũng cho rằng, việc số hóa các đơn vị kinh doanh đòi hỏi chúng ta phải đáp ứng nhanh chóng những mối đe dọa và ngay lập tức phải thông báo cho khách hàng khi xác định được các điểm yếu và phát triển các giải pháp càng nhanh càng tốt để ngăn chặn chúng.

Đây cũng là nhiệm vụ của nhóm ProductCert của ông, một bộ phận của Trung tâm nghiên cứu công nghệ an ninh IT, xử lý các lỗ hổng của sản phẩm Siemens đến từ các báo cáo bên trong và bên ngoài công ty.

Nhóm nghiên cứu cũng cần phải thường xuyên liên lạc với một mạng lưới các chuyên gia bảo mật nhằm mở rộng phạm vi hiểu biết của nhóm. Đó là lý do tại sao các thành viên của nhóm thường đến dự các hội nghị quan trọng và các sự kiện về IT để giao tiếp với những người khác cũng hoạt động trong lĩnh vực này, chẳng hạn như Hội nghị Blackhat Hoa Kỳ và Def Con, nơi các nhà nghiên cứu đưa ra những phát hiện mới nhất của họ.

Quét dữ liệu bất thường

Một bộ phận bảo mật IT khác là hệ thống giám sát xác định các cuộc tấn công mạng theo thời gian thực. Theo tiến sĩ Heiko Patzlaff: “Nhìn chung, các cuộc tấn công không được phát hiện đủ nhanh. Tuy nhiên khi mã độc đã xâm nhập vào một hệ thống, nó có thể mất nhiều thời gian để tìm kiếm dữ liệu và hoàn thành mục tiêu của nó, dù đó là ăn cắp hay thao túng dữ liệu. Hệ thống giám sát này nhằm cải thiện vấn đề”. Ông cùng với nhóm của mình đang phát triển các thuật toán quét các luồng dữ liệu bất thường. Chẳng hạn, sự dịch chuyển của một lượng lớn dữ liệu vào những thời điểm bất thường trong ngày hoặc đêm có thể cho thấy một cuộc tấn công. Tương tự như vậy với các lệnh được thực hiện vô số lần liên tiếp mà không có lý do rõ ràng. Hoặc nếu người sử dụng chỉ làm việc ban ngày lại đột ngột đăng nhập vào ban đêm, điều này cũng có thể là dấu hiệu của một cuộc tấn công mạng. Patzlaff cho biết: “Do mỗi hệ thống IT đều có chương trình và các kiểu xử lý riêng, nên việc tìm kiếm manh mối phải được điều chỉnh cho phù hợp”. Nếu hệ thống giám sát phát hiện thấy bất thường, nó sẽ tự động thông báo tới trung tâm an ninh thích hợp, ở đó các chuyên gia an ninh IT sẽ phân tích các vi phạm và có biện pháp đối phó.

Các dự báo cho thấy mức độ thách thức này sẽ tăng lên trong tương lai. Không phải hàng trăm hay hàng ngàn mà là hàng tỉ máy móc, hệ thống, cảm biến và các sản phẩm riêng lẻ cuối cùng sẽ giao tiếp với nhau khi các công nghệ không gian mạng được gọi chung là “Công nghiệp 4.0” ngày càng trở nên phổ biến.

Nhận biết các mẫu tấn công

Một thành tố an ninh IT quan trọng khác là khả năng giám sát môi trường hoạt động như các cơ sở sản xuất hay các nhà máy điện để phát hiện tấn công. Nhóm nghiên cứu CERT do Tiến sĩ Martin Otto đứng đầu đang tiến hành các giải pháp mới cho phép các chuyên gia an ninh phát hiện các cuộc tấn công này sớm và thành công trong việc chống lại chúng. Ví dụ, hàng ngày CERT đều khảo sát các kiểu tấn công mới. Họ phân tích chúng và làm việc cùng với các bộ phận khác để phát triển các biện pháp đối phó hiệu quả và phương pháp dò tìm nhằm làm giảm đáng kể nguy cơ tấn công. Otto giải thích: “Việc thu thập và đánh giá thông tin đe dọa mạng cho phép chúng tôi hiểu rõ các tình huống đe dọa hiện tại, từ đó có định hướng bảo hệ hệ thống và khách hàng của chúng tôi”.

Các chuyên gia tại CERT và ProductCERT cũng đang phát triển các công nghệ mới có thể xác định các mẫu tấn công mới một cách độc lập và tạo ra các phương pháp nhận dạng. Ngoài ra, các nhà nghiên cứu đang làm việc để làm cho mạng lưới hoạt động miễn nhiễm với các cuộc tấn công này và ngăn chặn sự cố.

Kiểm tra ID cho máy móc Một ý tưởng được đưa ra là máy móc sẽ “tự xác định” mình trước khi trao đổi dữ liệu với nhau hoặc được truyền tới các database (cơ sở dữ liệu). Hendrik Brockhaus cho biết: “Điều này sẽ khiến cơ sở hạ tầng IT có khả năng chống lại các cuộc tấn công tốt hơn”. Nhóm nghiên cứu của ông trong IT Security Technology Field hiện đang chứng minh làm thế nào một hệ thống ID của loại máy này có thể làm việc trong một hệ thống thí điểm được tập hợp lại cho bộ phận Siemens Mobility. Lần đầu tiên, Brockhaus ứng dụng cơ sở hạ tầng mã khoá công khai (PKI) cho các hệ thống máy móc công nghiệp và sử dụng chứng chỉ số để xác minh tính xác thực của máy móc, cảm biến hoặc các bộ phận khác. Ví dụ, trong bối cảnh của hệ thống thí điểm, nếu một hệ thống điều khiển cấp phát lệnh chuyển đổi tới bộ điều khiển của thiết bị trường, thì cả hệ thống điều khiển và bộ điều khiển sẽ dựa trên chứng chỉ PKI để chắc chắn rằng đối tác thực sự là gì, nhằm mục đích gì và không có một nỗ lực tấn công nào liên quan. Chứng chỉ PKI được cấp phát bởi một “Trust Center” (Trung tâm đăng ký xác thực) vận hành theo các tiêu chuẩn an ninh cao và do đó tạo độ tin cậy trong các chứng chỉ PKI.

Các hacker của Bộ phận nghiên cứu

Service of Reseach, một bộ phận khác trong IT Security Technology Field cũng tham gia bảo vệ chống lại các cuộc tấn công trên mạng. Reinema cho biết: “Các hacker của chúng tôi đã thận trọng tìm kiếm những lỗ hổng trong phần mềm tiêu chuẩn có thể bị tấn công”. Để hiểu được cách thức mà các hacker sử dụng, bộ phận của ông sẽ thiết lập cái gọi là “hệ thống mắt ong” (honeypots). Đây là những lỗ hổng mà các hacker thường tìm kiếm. Tất nhiên, hệ thống mắt ong không được đặt trong hệ thống IT thực, thay vào đó nó mô phỏng một phần mềm, một mạng hay một máy chủ và chỉ đơn thuần khiến các hacker tin rằng họ đang tấn công vào hệ thống thực. Theo Reinema: “Bằng việc phân tích cẩn thận phương pháp của hacker theo cách này, chúng ta có thể cải thiện thông tin về mối đe dọa và khả năng chống lại các cuộc tấn công”. Bên cạnh cơ sở hạ tầng IT và các sản phẩm của Siemens, các chuyên gia an ninh của Reinema cũng kiểm tra kỹ lưỡng các giải pháp riêng của bộ phận này. Chỉ khi đó mới thấy rõ được liệu các bức tường được xây dựng bởi các chuyên gia an ninh IT có đủ cao và liệu các điểm kiểm soát an ninh có đủ chặt chẽ hay không.

Minh Phúc (tổng hợp từ www.siemens.com)

Theo Tạp chí Tự động hóa ngày nay số tháng 8/2017


Newer news items:
Older news items:

 

Mới cập nhật

Tìm kiếm

Quảng cáo&Liên kết