Về cơ bản, chính sách bảo mật của doanh nghiệp thường được xây dựng thông qua việc xác định cụ thể những loại tài sản dữ liệu, thông tin cần thiết hoặc đóng vai trò quan trọng trong việc đảm bảo khả năng hoạt động ổn định của bộ máy. Trong đó, nhiệm vụ phát hiện các mối đe dọa có thể xảy đến đối với loại tài sản thông tin này là vai trò của hệ thống phát hiện và phản hồi (detection and response system).
Ngoài ra, việc giảm thiểu hoặc phòng tránh rủi ro trước các mối đe dọa đã được phát hiện cũng đóng vai trò vai trò quan trọng trong khâu phòng ngừa rủi ro bảo mật nói chung - một thuật ngữ rộng lớn, bao hàm gần như toàn bộ các khái niệm liên quan đến bảo mật doanh nghiệp trong thời đại mà những vụ tấn công mạng cấp doanh nghiệp đang diễn ra hết sức khó lường trên quy mô toàn cầu như hiện nay.
Nhìn chung, doanh nghiệp có thể dễ dàng phản ứng với các mối đe dọa bằng cách nắm rõ được giá trị của những loại tài sản sẽ bị đe dọa bởi các luồng tấn công độc hại. Lúc này, hệ thống phát hiện và phản hồi đóng vai trò như một hệ thống “động mạch chủ”, cung cấp nguồn “sinh lực” để công ty có thể dễ hàng triển khai những hành động phù hợp nhằm đối phó với các cuộc tấn công mạng cũng như vấn đề về công nghệ thông tin khác xảy ra trong nội bộ.
Ngoài ra, phương pháp phòng ngừa rủi ro bảo mật này còn cho phép ủy thác phản hồi cho các sản phẩm bảo mật tới từ nhà cung cấp bên thứ 3. Kỹ thuật phát hiện và phản hồi được quản lý (managed detection and response - MDR) này cho phép doanh nghiệp phản ứng nhanh hơn trước các mối đe dọa, góp phần giảm thiểu hơn nữa nguy cơ bị tấn công và lây nhiễm phần mềm độc hại từ môi trường internet.
Có 2 phương pháp chính để phát hiện các mối đe dọa bảo mật: Dựa trên dấu hiệu đặc trưng (signature) và sự bất thường (anomaly), trong đó:
- Xác định dấu hiệu đặc trưng chính là phát hiện gian lận dựa trên phương pháp sàng lọc và đối chiếu với mẫu đã được xác định trước. Phương pháp này cho độ chính xác cực cao tuy nhiên nhược điểm là chỉ có thể phát hiện được các mối đe dọa đã từng được ghi nhận.
- Xác định sự bất thường chính là nhận diện và ghi lại toàn bộ hành vi bất thường xuất hiện trên hệ thống. Ưu điểm của phương pháp này là có thể phản ứng hiệu quả đối với các mối đe dọa chưa từng được biết tới.
Tuy nhiên cần lưu ý rằng bất kể bạn sử dụng phương pháp nào, nguy cơ phát hiện sai vẫn là có và gần như không thể tránh khỏi, dù chỉ là ở tỉ lệ thấp.
Chức năng cho phép tiến hành các quy trình nhận diện trong hệ thống mạng doanh nghiệp được gọi là Hệ thống phát hiện xâm nhập dựa trên mạng (Network-based Intrusion Detection System - NIDS). Về cơ bản, nhiệm vụ của NIDS là giám sát thông tin liên lạc trong mạng nội bộ của doanh nghiệp và phát hiện bất cứ hoạt động liên lạc trái phép nào. Bằng cách cài đặt NIDS trên hệ thống mạng của mình, doanh nghiệp có thể theo dõi hàng loạt các tình huống giao tiếp trên nhiều máy chủ và máy khách khác nhau trong cùng một thời điểm.
Ngoài ra còn có một tính năng khác cho phép triển khai các biện pháp phòng ngừa bên ngoài tầm kiểm soát của NIDS, được gọi là Hệ thống ngăn chặn xâm nhập dựa trên mạng (Network-based Intrusion Prevention System - NIPS). Trong khi NIDS giúp phác họa bức tranh tổng thể về các mối đe dọa hiện hữu trên hệ thống mạng, NIPS lại có nhiệm vụ làm gián đoạn quá trình liên lạc của các cuộc tấn công đã bị phát hiện, đồng thời làm mọi cách để ngăn chặn thiệt hại mà những cuộc tấn công này có thể gây ra.
Khi xây dựng quy trình nhận diện trong hệ thống mạng doanh nghiệp, bạn phải xác định cụ thể giữa việc nên chọn sản phẩm dành riêng cho NIDS/NIPS hay sản phẩm đa chức năng dựa trên tốc độ xử lý, độ chính xác trong nhận diện, và các biện pháp cần phải thực hiện.
Bạn cần phải đưa ra quyết định phù hợp, bởi một thiết bị điều khiển có thể hoạt động độc lập, nhưng sẽ có rất nhiều thiết bị cùng được kết nối bởi một loại hình mạng và giao tiếp. Từ quan điểm bảo mật, việc áp dụng các biện pháp để hạn chế việc lượng thông tin liên lạc này bị can thiệp hoặc bị chặn là một ý tưởng cần phải xem xét tới. Vậy mạng lưới các hệ thống điều khiển cần được bảo vệ là gì?
Trong khái niệm gọi là mạng hệ thống thông tin (information system network), giao tiếp dựa trên IP (IP-based communication) sẽ là hình thức được sử dụng chủ yếu, đi kèm với đó là một số giao thức truyền thông được sử dụng phổ biến khác. Giao thức truyền thông được sử dụng trong mạng hệ thống điều khiển như vậy sở hữu khá nhiều tính năng, cho dù có hoạt động dựa trên IP hay không, như sau:
- Cấu trúc của giao thức rất đơn giản, và mục đích của giao tiếp thường có thể được hiểu rõ bằng cách xem xét các byte cụ thể của nội dung giao tiếp.
- Thường không sở hữu cơ chế xác thực hoặc không có mã hóa.
Các giao thức truyền thông này không thể được thiết kế một cách đơn giản theo quan điểm giới hạn tài nguyên của thiết bị điều khiển, nó thường được chuyển đổi thành IP trong khi duy trì cấu trúc của mình gần như đồng thời với dòng mở. Do đó, các mạng, nơi những giao thức truyền thông này được sử dụng, có thể trở thành một môi trường tương đối thuận tiện cho những kẻ tấn công.
Từ góc nhìn bảo mật, có thể khẳng định mạng hệ thống điều khiển hiện tại rất mong manh. Vậy chúng ta nên làm gì với hệ thống mạng trong một hệ thống điều khiển yếu như vậy? Có 3 biện pháp bảo mật chính dành cho dữ liệu, thông tin liên lạc trong các mạng hệ thống điều khiển hiện được biết đến, bao gồm:
- Mã hóa và xác thực giao tiếp
- Hạn chế giao tiếp
- Giám sát giao tiếp (thông tin liên lạc)
Đối với cách thức phân loại như trên, việc phải phân biệt rạch ròi giữa IP và không IP là không cần thiết. Tuy nhiên, trong thực tế, hầu hết các giải pháp dựa trên IP thường có sẵn. Liên quan đến giới hạn của giao tiếp, có một sản phẩm được gọi là tường lửa cho hệ thống điều khiển quy mô công nghiệp.
Hệ thống điều khiển công nghiệp (industrial control system - ICS) có tác động không quá lớn đến hệ thống điều khiển mục tiêu vì nó sử dụng phương pháp giám sát bản sao của giao tiếp thực tế bằng cách sử dụng một cổng được gọi là cổng phản chiếu giao tiếp kết hợp chuyển mạch của hệ thống điều khiển. Đây có thể coi là một lợi thế lớn khi áp dụng IDS nhằm kiểm soát các hệ thống điều khiển.
IDS có thể xem nội dung giao tiếp, đây là một phần của chức năng phát hiện và phản hồi, do đó nó có thể thực hiện kiểm soát giao tiếp dựa trên ứng dụng (hay còn gọi là Danh sách điều khiển truy cập - Access Control), bên cạnh địa chỉ IP. Bằng cách sử dụng đặc tính này, có thể dễ dàng phát hiện một giao tiếp đi lệch khỏi quy tắc giao tiếp đã xác định từ trước.
Ví dụ, khi thực hiện giao tiếp với PLC (Programmable Logic Controller), hãy xem xét rằng phần nội dung chính của PLC có chức năng phát hiện một lệnh cụ thể được thực hiện trong IDS ở trên hay không.
Việc chỉ chấp nhận các lệnh từ hệ thống đọc thông tin PLC và không chấp nhận những lệnh làm giảm tính khả dụng, chẳng hạn như dừng, đặt lại và thay đổi chương trình… có thể giúp ngăn chặn không chỉ các cuộc tấn công độc hại, mà còn cả các hoạt động sử dụng trái phép. Vẫn còn rất nhiều việc mà các kỹ sư hệ thống điều khiển cần làm để xây dựng quy trình giám sát hệ thống phát hiện và phản hồi được quản lý chặt chẽ về mặt bảo mật, và điều này cũng có thể mở ra một cơ hội kinh doanh mới cho công ty.