Giải pháp bảo mật cho hệ thống ICS/SCADA

Bảo mật hệ thống ICS/SCADA – Tài liệu giải pháp

ICS/SCADA Security

Thông tin tài liệu

Version 1.0
Author Bùi Đức Lương – Technical Director VSS
Revision 2
Created date 21/07/2016

2
ICS/SCADA Security

Mục lục
Thông tin tài liệu .......................................................................................................................................2
Mục lục .....................................................................................................................................................3
1 Tổng quan .........................................................................................................................................4
1.1 Sự tiến hóa của hệ thống SCADA .......................................................................................................... 4
1.2 Thách thức đối với hệ thống SCADA IP-based ...................................................................................... 4
1.2.1 Mối đe dọa tiềm ẩn............................................................................................................................... 5
1.2.2 Đối tượng đe dọa tiềm ẩn..................................................................................................................... 6
1.3 Khuyến cáo đảm bảo ATTT cho mạng SCADA trên nền IP .................................................................... 7
2 Giải pháp đề xuất...............................................................................................................................8
2.1 Giới thiệu về RadiFlow .......................................................................................................................... 8
2.2 Mô hình đề xuất giải pháp đảm bảo anh ninh cho hệ thống SCADA.................................................... 9
2.3 Đảm bảo an ninh cho hệ thống ICS/SCADA với hệ thống giám sát và phát hiện xâm nhập – RadiFlow
SCADA Security ............................................................................................................................................... 10
2.4 Các tính năng chính của giải pháp RadiFlow Gateway ....................................................................... 11
2.4.1 Hỗ trợ các giao thức mạng L2/L3 và chuyển đổi tín hiệu Serial-IP ..................................................... 11
2.4.2 Bảo vệ hệ thống SCADA với tường lửa phân tích gói chuyên sâu DPI Firewall .................................. 12
2.4.3 Kết nối VPN giữa các site .................................................................................................................... 13
2.4.4 Xác thực và phân quyền cho người truy cập – APA (Authentication Proxy Access)........................... 14
2.4.5 Tích hợp với hệ thống nhận dạng vật lý ............................................................................................. 15
2.4.6 Báo cáo, tích hợp với giám sát và phân tích log SIEM ........................................................................ 15
2.4.7 Dễ dàng triển khai ............................................................................................................................... 16
2.5 Các tính năng chính của hệ thống IDS của RadiFlow .......................................................................... 17
2.5.1 Tự học và biểu đồ hóa hệ thống mạng SCADA tại trạm ..................................................................... 17
2.5.2 Cung cấp hệ thống giám sát tập trung và phát hiện xâm nhập .......................................................... 18
2.5.3 Theo dõi tài sản và vận hành .............................................................................................................. 19
2.6 Danh mục đầu tư đề xuất ................................................................................................................... 20
Tài liệu tham khảo................................................................................................................................... 21

3
ICS/SCADA Security

1 Tổng quan
1.1 Sự tiến hóa của hệ thống SCADA

Giám sát điều khiển và thu thập dữ liệu (SCADA) và hệ thống điều khiển ngay từ ban đầu đã được xây dựng
để theo dõi và kiểm soát các quá trình công nghiệp thông qua việc sử dụng các giao thức độc quyền, thông
thường vẫn phân lập đối với hệ thống mạng máy tính. Về cơ bản các hệ thống SCADA không bao giờ được
thiết kế với tính đảm bảo an toàn, bên cạnh đó ngày nay SCADA đang được kết nối dần với mạng lưới kinh
doanh và mạng internet, cung đi đôi với việc đối mặt với các nguy cơ mất an toàn.

Với sự chuyển biến không ngừng đối với hệ thống mạng ở thế kỉ 21, nhiều nhà cung cấp mạng viễn thông,
truyền thông cũng đã thay đổi cơ sở sở hạ tầng từ chuyển mạch kênh sang chuyển mạch gói. Điều này cho
phép sự hội tụ của nhiều loại hình mạng khác nhau (VD: thoại, dữ liệu, tín hiệu video) vào một mạng lưới duy
nhất và có thể tiết kiệm chi phí đáng kể cho doanh nghiệp. Nhiều doanh nghiệp đã thực hiện tăng các kết nối
giữa SCADA và mạng công ty để cải thiện kinh doanh một cách đáng kể mà không có sự xem xét cho an ninh
đối với hệ thống SCADA. Với mức độ gia tăng của các rủi ro trong kết nối giao thức Internet (IP), sự quan tâm
đến bảo mật hệ thống ngày càng quan trọng hơn, nhiều các giải pháp dựa trên nền IP khác nhau được phát
triển để bảo vệ hệ thống dựa trên cơ chế quản lý rủi ro.

1.2 Thách thức đối với hệ thống SCADA IP-based

So với cơ chế chuyển mạch kênh nối tiếp, việc quản lý mạng IP sẽ chịu nhiều thách thức hơn để. Kể từ kênh
nối tiếp được thiết kế và thực hiện với mối quan hệ một-một, không cần phải giám sát các mạng này. Bản
thân công nghệ cũng giới hạn số lượng kết nối. Chỉ có những nút nối tiếp với truy cập vật lý vào kênh nối tiếp
nhau có thể giao tiếp trên mạng, các giao thức không hỗ trợ định tuyến, về cơ bản hoàn toàn là một hệ thống
khép kín.

Với mạng định tuyến IP, mối đe dọa có thể đến từ bất cứ nơi nào. Các hoạt động quản lý ngày nay yêu cầu hệ
thống mạng ethernet SCADA TCP/IP mà không tồn tại trong kết nối nối tiếp Serial truyền thống. Các hoạt
động bao gồm việc đảm bảo thiết bị kết nối mạng được cập nhật phần mềm mới nhất, cung cấp cơ chế kiểm
soát truy cập mạng để chặn truy cập trái phép và giám sát việc sử dụng các thiết bị này.

Một thách thức khác đó là việc phân bổ quyền hạn và trách nhiệm với việc quản lý các hệ thống SCADA/PCN
IP-based. Trong nhiều trường hợp, SCADA sử dụng và vận hành mạng, nhưng các nhóm bên ngoài khác như
IT, viễn thông, mạng kỹ thuật thì thách thức lại là vấn đề duy trì mạng.

4
ICS/SCADA Security

1.2.1 Mối đe dọa tiềm ẩn

Các mối tiềm ẩn có thể đến từ các trường hợp:

 Nguy cơ tấn công từ bên ngoài: một cá nhân hoặc tổ chức không có liên lạc với chủ sở hữu hoặc hệ
thống. Một người ngoài cuộc gây hại có thể là một hacker, một tên tội phạm trong không gian mạng,
tổ chức hoạt động khủng bố hoặc nhà nước bảo trợ cho kẻ tấn công trọng mọi trường hợp mục đích
là để gây ra thiệt hại hay phá vỡ. Cuộc tấn công có thể được nhắm mục tiêu tại tòa nhà thông minh
hoặc người cư ngụ ở đó hoặc là lí do bất kì, ví dụ phần mềm độc hại hoặc virus.

 Nguy cơ tấn công từ bên trong: một đối tượng được kết nối với chủ sở hữu tòa nhà, được thuê hay
một đơn vị hỗ trợ nhà thầu; về bản chất, đây là đối tượng đã có một số mức độ quan hệ và được ủy
quyền hoặc đặc quyền truy cập vào tòa nhà hoặc hệ thống của mình và có hành vi thực hiện các truy
cập hay các hoạt động không được cho phép.

 Nguy cơ lợi dụng bên trong: cá nhân được kết nối với chủ sở hữu của tòa nhà, được thuê hay một
đơn vị hỗ trợ nhà thầu, nhưng bị lợi dụng hoặc trong hoạt động có thiếu sót, sự thiếu hiểu biết hoặc
sơ suất gây ra một sự cố an ninh cho không gian mạng.

 Nguy cơ tự nhiên: có thể do năng lượng mặt trời, thời tiết xấu, tác động bởi động vật hoặc côn trùng
và dẫn đến tổn thương đối với hệ thống.

5
ICS/SCADA Security

1.2.2 Đối tượng đe dọa tiềm ẩn

Đối tượng gây ra các hiểm họa sẽ đến từ một trong những nhóm sau đây được liệt kê theo thứ tự gia tăng về
khả năng gây ra thiệt hại và sự gián đoạn:

 Hoạt động cá nhân: Đây có thể là một nhân viên bất mãn hoặc một nhà hoạt động trong một nhóm
có tổ chức là người quyết định hành động của chính mình. Mức độ nghiêm trọng và tinh tế của các
mối đe dọa sẽ được quyết định bởi khả năng của cá nhân. Thật không may, sự sẵn sàng của hacking
và tấn công từ chối dịch vụ các công cụ trên Internet (và trong một số trường hợp phân phối với các
tạp chí kỹ thuật) có nghĩa là mức độ hiểu biết kỹ thuật cần thiết để khởi động một cuộc tấn công đã
được giảm đáng kể.

 Hoạt động theo nhóm: gần đây hoạt động của một số nhóm chứng minh rằng khi trong quá trình
nhóm làm việc với nhau làm tăng mối đe dọa và cạnh tranh, ví dụ như khi họ đã thuyết phục dễ dàng
bên thứ ba cho phép cài đặt phần mềm trên máy tính của họ, vì vậy phóng đại tác dụng của tấn công
từ chối dịch vụ (DDOS).

 Đối thủ cạnh tranh: các nhóm này có khả năng để làm việc thông qua bên thứ ba, với mục đích làm
tổn hại đến một đối thủ bằng cách ăn cắp tài sản trí tuệ hoặc làm gián đoạn hoạt động gây ra tổn thất
tài chính hoặc làm mất uy tín.

 Tội phạm có tổ chức: Những nhóm này có thể được thuê, thông qua gian lận, trộm cắp tài sản trí
tuệ, thực hiện các cuộc tấn công vào thương mại điện tử và hệ thống ngân hàng, và tống tiền hay
tống tiền. Lợi dụng sự tinh vi của các phần mềm độc hại và điểm yếu của người dùng và biến chúng
thành công cụ hữu ích cho hành vi tấn công.

 Khủng bố: các nhóm người có nhận thức đối lập với một tổ chức, làm việc sử dụng của Internet để
phân phối công tác tuyên truyền các thông tin đối lập, phản kháng. Nhóm tài trợ cũng có thể tận
dụng lợi thế của các dịch vụ được cung cấp bởi tổ chức tội phạm, tìm kiếm hỗ trợ từ một nhà nước
quốc gia hoặc khuyến khích các thành viên áp dụng những phương thức tấn công.

 Mối đe dọa khủng bố với sự bảo trợ quốc gia dân tộc: trong thực tế đây là nhà nước tài trợ khủng
bố để thực hiện tấn công như từ chối dịch vụ. Đây là loại nhóm có năng lực hoạt động với kỹ thuật
chuyên sâu mà một quốc gia thuê hoặc bảo trợ.

 Quốc gia: một số tiểu bang, quốc gia đang tích cực tham gia vào tấn công vào một loạt các tổ chức để
có được thông tin mật hoặc thông tin nhạy cảm về thương mại hoặc tài sản trí tuệ. Trong những giai
đoạn căng thẳng và xung đột quốc tế, các hoạt động này có thể bao gồm các cuộc tấn công rộng rãi
hơn và tinh vi hơn, điển hình đó là các cuộc tấn công sử dụng phần mềm độc hại như Stuxnet, Duqu
và Flame.

6
ICS/SCADA Security

1.3 Khuyến cáo đảm bảo ATTT cho mạng SCADA trên nền IP

 Khi thực hiện quản lý các thiết bị viễn thông qua IP, thiết bị mạng, PLC, RTU, giao thức cổng chuyển
đổi, và bất kỳ thiết bị khác, vô hiệu hóa bất kỳ dịch vụ không cần thiết và giới hạn dấu chân tấn công
bằng cách vô hiệu hóa hoặc chặn cổng TCP và UDP không cần thiết.

 Hạn chế việc sử dụng giao thức như TELNET, FTP, và HTTP. Thay vào đó, buộc sử dụng các giao thức
mã hóa sử dụng SSL/TLS/SSH trường hợp khả thi về mặt kỹ thuật.

 Phân đoạn mạng SCADA kết hợp tường lửa ứng dụng với tính năng ID/IP để ngăn chặn từ lỗ hổng
được biết đến SCADA của nhà cung cấp.

 Thiết lập xác thực hai lớp/hai yếu tố để bảo vệ khỏi bị đánh cắp thông tin đăng nhập và truy nhập trái
phép.

 Xây dựng lịch trình một đánh giá bảo mật định kỳ của SCADA bên trong cũng như bên ngoài chuyên
môn để xác minh rằng thực hành bảo mật tốt nhất được áp dụng.

 Xác định vai trò thích hợp dựa trên mô hình ủy quyền cho mỗi người dùng hoặc nhóm để quản lý
quyền truy cập vào mạng SCADA và các hệ thống.

 Các thao tác ứng dụng trên hầu hết các thiết bị IP viễn thông như Swicth, Router, tường lửa, mạch
chuyển đổi giao thức & chuyển đổi phương tiện truyền thông, thiết bị nối tiếp, máy chủ cần được ghi
nhận lại dưới dạng bản ghi log và được lưu giữ thường trú trên thiết bị và một bản sao gửi đến một
máy chủ tập trung syslog.

 Xem xét triển khai công tác phòng chống xâm nhập mạng và chống virus, lọc gói phù hợp với chữ ký
được biết đến cho lưu lượng truy cập độc hại tại các thiết bị mạng, thiết bị quản lý quan trọng.

7
ICS/SCADA Security

2 Giải pháp đề xuất

2.1 Giới thiệu về RadiFlow

Được thành lập tại Israel năm 2009 thuộc tập toàn RAD Group với trên 1 tỷ đồng lãi hàng năm. RadiFlow
chuyên cung cấp các giải pháp bảo mật cho hệ thống điều khiển công nghiệp ICS/SCADA cho nhiều đơn vị
trong năng lượng, nước, dầu khí tầm quốc gia.

Tập đoàn RAD Group bao gồm các thành viên có tiếng như Radware, RAD Communications, v.v.

Hệ thống bảo mật RadiFlow được triển khai rộng rãi trên 15 quốc gia và bảo vệ cho các tập đoàn lớn sử dụng
các hệ thống điều khiển công nghiệp.

8
ICS/SCADA Security

Giải pháp của RadiFlow nhận được nhiều chứng nhận đáp ứng các tiêu chuẩn khăt khe về bảo mật cho ngành
công nghiệp như ERPI, NIST, NCCOE, hỗ trợ đạt NERC CIP:

Giải pháp của RadiFlow hỗ trợ chuyển đổi tín hiệu từ các giao thức serial và tín hiệu analog sang giao thức
tcp/ip và tín hiệu digital giúp em doanh nghiệp tiết kiệm đáng kể về chi phí nâng cấp hệ thống điều khiển.

Các thiết bị của RadiFlow được chứng nhận đáp ứng hoạt động ở môi trường khắc nhiệt công nghiệp như
IEC61850-3, IEE1613 EMI, EN50121-4, IEC 61000-4, IP30.

2.2 Mô hình đề xuất giải pháp đảm bảo anh ninh cho hệ thống SCADA

9
ICS/SCADA Security

RadiFlow Rugged Gateway đặt tại các trạm đầu cuối với các tính năng:

1. Đảm bảo kết nối tới thiết bị RTU qua các giao thức SCADA TCP/Serial như IEC101/104, DNP3,
ModBus, v.v.
2. Hỗ trợ các giao thức chuyển mạch L2 và định tuyến L3
3. Có khả năng tích hợp Modem 3G cho phép kết nối qua mạng 2G/3G sử dụng 2 SIM cùng lúc cho phép
có tính sẵn sàng cao.
4. Tạo kết nối mã hóa VPN giữa các site về trung tâm. Hỗ trợ IPSEC X.509 VPN, L2/3 GRE VPN, DM-VPN.
5. Cơ chế phân tích sâu gói tin DPI sử dụng giao thức IP & nối tiếp Serial trong SCADA.
6. Khả năng phân tích dựa trên mô hình phiên M2M (Machine to Machine).
7. Khả năng xác nhận thao tác làm việc trong phiên H2M (Human to Machine).
8. Khả năng tích hợp với các thiết bị an ninh vật lý.
9. Xác thực và cấp quyền cho thiết bị cuối.
10. Thu thập Log tại các trạm biến áp và tích hợp với giải pháp SIEM sử dụng giao thức TCP.
11. Gửi các flow gói tin tại trạm về trung tâm (Intelligent TAP/SPAN) qua kênh mã hóa mGRE phục vụ cho
giải pháp IDS.
12. Firewall hỗ trợ 3 chế độ - Learning (học và đưa ra khuyến cáo về chính sách), Detection (phát hiện vi
phạm và cảnh báo), Protection (ngăn chặn vi phạm và cảnh báo).

Phần mềm Industrial IDS cài đặt tại trung tâm vận hành và nhận traffic từ site với các tính năng chính:
1. Hệ thống IDS với khả năng triển khai tập trung và phân tán.
2. Tự học mô hình mạng và hành vi của hệ thống SCADA để xây dựng baseline từ đó có khả năng phát
hiện bất thường trong hệ thống (Anomaly).
3. Cơ chế phát hiện các tấn công lỗ hổng chuyên cho SCADA đã biết đến dựa theo mẫu (Signature based
IDS).
4. Khả năng biểu đồ hóa hệ thống mạng SCADA sau khi học tự động, không cần can thiệp của người
quản lý.
5. Khả năng biểu đồ hóa các mối đe dọa và đưa ra thống kê về tấn công theo thời gian thực.
6. Khả năng xây dựng kho tài sản (asset) trong hệ thống SCADA, thu thập các thông tin như
Model/Firmware/Modules của các thiết bị SCADA trong hệ thống.

2.3 Đảm bảo an ninh cho hệ thống ICS/SCADA với hệ thống giám sát và phát
hiện xâm nhập – RadiFlow SCADA Security

Giải pháp an ninh của Radiflow được đặc biệt phát triển cho các hệ thống hạ tầng SCADA quan trọng dựa
trên 3 dự đoán và hướng tiếp cận:

1. Các lỗ hổng tồn tại trong thiết bị cuối hay các hệ thống điều khiển, trong mạng hoặc trong các
giao thức mà SCADA sử dụng.

2. Kẻ tấn công cuối cùng sẽ tìm cách để thâm nhập ngay cả những hệ thống mạng bị cô lập nhất.

10
ICS/SCADA Security

3. Các thiệt hại tiềm năng mà các cuộc tấn công có thể gây ra cho một cơ sở hạ tầng SCADA là rất
lớn, và thời gian phát hiện là rất quan trọng.

Radiflow cung cấp các thành phần xác định các mối đe dọa mạng, cô lập các hoạt động độc hại và ngăn chặn
các mối đe dọa lây lan trên mạng. Những giải pháp này có thể xử lý cả các phiên làm việc trên mạng M2M và
H2M bằng các công cụ cụ thể.

Những giải pháp anh ninh được phát triển bằng kiến thức chuyên môn và kinh nghiệm của các chuyên gia
bảo mật và sự tinh chỉnh phù hợp để đảm bảo khả năng tương tác chặt chẽ với các nhà cung cấp hàng đầu về
SCADA từ năm 2009. Các giải pháp này đã được xác nhận bởi các phòng thí nghiệm nghiên cứu hàng đầu ở
Mỹ và đang tiếp tục tăng cường hợp tác chặt chẽ với các học viện trên các công nghệ bảo mật mới.

Để đảm bảo việc bảo vệ tối đa chống lại các mối đe dọa an ninh cho không gian mạng, Radiflow phát triển hai
loại sản phẩm sử dụng cả hai khả năng kiểm soát gói DPI trong mạng SCADA:

1. Thiết bị định tuyến bảo mật Secure Ruggedized Router- được đặt tại các site kết nối từ xa và
bao gồm sẵn tính năng tường lửa kiểm soát gói SCADA DPI.

2. Hệ thống giám sát và phát hiện xâm nhập trái phép Centralized IDS and Monitoring – Một máy
chủ trung tâm giám sát toàn bộ mạng lưới để phát hiện các cuộc tấn công tinh vi trong mạng
SCADA.

2.4 Các tính năng chính của giải pháp RadiFlow Gateway

2.4.1 Hỗ trợ các giao thức mạng L2/L3 và chuyển đổi tín hiệu Serial-IP

Thiết bị RadiFlow Gateway hỗ trợ hầu hết các giao thức mạng phổ biến ở lớp 2 và 3:

11
ICS/SCADA Security

Cũng như hỗ trợ chuyển đổi tín hiệu Serial-IP:

2.4.2 Bảo vệ hệ thống SCADA với tường lửa phân tích gói chuyên sâu DPI Firewall

Để bảo vệ một cách toàn diện, Radiflow phát triển nền tảng DPI Engine Firewall tập trung cho các giao thức
trong mạng SCADA (DNP3, IEC 101/104/61850, ModBus) được thực hiện trong các bộ định tuyến được phân
phối. Các tường lửa kiểm soát gói DPI bảo đảm trong quá trình vận hành việc kiểm soát lưu lượng truy cập
mạng cho cả phiên M2M và H2M. Các tường lửa dựa trên danh sách whitelist được lắp đặt tại mỗi cổng cho
cả cổng Serial và IP, tất cả các điểm truy cập và mỗi gói tin sử dụng giao thức SCADA sẽ được tường lửa xác
nhận cả mã chức năng và nội dung lệnh thực hiện.

12
ICS/SCADA Security

Sau khi triển khai, các thiết bị Radiflow sẽ bắt đầu học mạng, bao gồm cấu trúc liên kết mạng, các thiết bị
hoạt động (IP, unit-ID/ASDU), các giao thức, các liên kết và các tham số hợp lệ. Vào cuối của quá trình học, hệ
thống NMS sẽ hiển thị sơ đồ mạng và cho thấy một danh sách whitelist dựa trên một thuật toán mô hình giao
thông. Các nhà điều hành hay quản trị có thể lựa chọn và chỉnh sửa mà các chính sách để giám sát hoặc thi
hành tại mỗi địa điểm. Các tường lửa phân phối sẽ thực hiện ngăn chặn các lưu lượng trái phép mà không
xuất hiện với danh sách whitelist để xác nhận phiên M2M và dựa trên nhiệm vụ trong phiên H2M.

2.4.3 Kết nối VPN giữa các site

Sử dụng đường truyền được mã hóa bằng cách thiết lập mạng riêng ảo (VPN) giữa các site có thể chống lại
các cuộc tấn công kẻ đứng giữa (man-in-the-middle). Mạng VPN được thiết lập giữa các site tin cậy thông qua
nhiều cách khác nhau. Có nhiều phương pháp thiết lập mạng VPN nhưng quan trọng nhất là phải phù hợp đối
với nhu cầu tất yếu trong điều hành như khả năng mở rộng hay khả năng tương tác.

Đặc điểm quan trọng nhất quyết đinh khả năng an toàn của VPN chính là dựa vào thuật toán được sử dụng,
tính an toàn của mã hóa phụ thuộc vào độ dài khóa và việc quản lý khóa (VD: tuân thủ theo chuẩn FIPS). Việc

13
ICS/SCADA Security

quản lý khóa là đặc biệt quan trọng đối với việc thiết lập hệ thống VPN quy mô lớn, hình thức trao đổi khóa
giữa hai đầu điểm là biện pháp dễ dàng tuy nhiên sử dụng biện pháp quản lý khóa kết hợp sử dụng chứng
thư số sẽ tốt hơn và an toàn hơn, với hình thức này các thiết bị sau khi được phê duyệt sẽ được nhận khóa
thông qua một máy chủ trung tâm quản lý khóa.

Thiết bị Radiflow Gateway đảm bảo các trang site liên kết nối an toàn bằng cách sử dụng L2 / L3 VPN. Mặc dù
có rất nhiều phương thức như VPN IPsec, DMVPN và mGRE tunnels, bộ định tuyến Radiflow hỗ trợ khả năng
tương tác với hầu hết các router VPN hàng đầu để đảm bảo việc triển khai dễ dàng.

Thiết bị Radiflow phù hợp với chuẩn FIPS cho các mô-đun mã hóa, bằng cách sử dụng các thuật toán được đề
nghị như 3DES, chiều dài khóa 256 bit và quản lý khóa như chứng nhận chuẩn X.509 với thuật toán SCEP đảm
bảo rằng các thiết bị mạng được xác thực với một máy chủ trung tâm trước khi bắt đầu các đường hầm mã
hóa VPN được thiết lập.

2.4.4 Xác thực và phân quyền cho người truy cập – APA (Authentication Proxy Access)

Theo chuẩn NERC CIP, trước khi cấp quyền truy cập kết nối vật lý hoặc kết nối từ xa vào hệ thống mạng người
sử dụng cần được xác nhận. Để xác minh các đối tượng người sử dụng, có một số phương pháp xác thực
như: hình thức xác thực vật lý như nhận dạng khuôn mặt và một thẻ từ; chứng thực sử dụng tài khoản và
mật khẩu với việc quản lý mật khẩu thông minh. Thông thường sau khi người dùng xác thực thành công, mỗi
hoạt động của họ sẽ được ghi lại trong một tập tin log. Bên cạnh đó người sử dụng sẽ được giới hạn trong
phạm vi theo nhiệm vụ cụ thể mà người đó được hoặc phải thực hiện.

Thiết bị Radiflow Gateway bao gồm một APA (Authentication Proxy Access) với hệ thống quản lý mật khẩu
thông minh. Trước khi cấp một truy cập mạng người sử dụng, người dùng cần phải đăng nhập để xác thực
nội bộ. Sau khi xác thực của người dùng, quyền truy cập sẽ được cấp cho các thiết bị được xác định trước,

14
ICS/SCADA Security

sau đó mọi chức năng và hoạt động vận hành sẽ được lưu lại log.

2.4.5 Tích hợp với hệ thống nhận dạng vật lý

Đối với các truy cập vật lý tại các địa điểm từ xa, hệ thống Radiflow tích hợp với các hệ thống máy chủ nhận
dạng vật lý (ví dụ như hệ thống kiểm soát truy cập thẻ từ) và tự động kích hoạt một bộ quy tắc an ninh mạng
theo người sử dụng đó vào site. Điều này thêm một lớp xác thực (on-site) truy cập vật lý vào mạng.

Hơn nữa các giải pháp cũng được tích hợp với các hệ thống quản lý video bằng cách sử dụng phân tích video
cho việc xác thực người sử dụng và cho điều chỉnh của hệ thống CCTV dựa trên các hoạt động phát hiện
trong không gian mạng (kỹ thuật kết nối với một cổng mạng cụ thể, v.v)

2.4.6 Báo cáo, tích hợp với giám sát và phân tích log SIEM

Sau thành công của các công cụ SIEM trong việc bảo vệ các mạng CNTT, tiện ích này cũng được xem xét mở
rộng phạm vi để bảo vệ tài sản công nghệ vận hành (OT). Tuy nhiên, công cụ SIEM không phù hợp để bảo vệ
mạng OT, vì không phải tất cả các thiết bị OT có thể gửi các sự kiện Syslog, bao gồm:

 Thiết bị IP gửi các sự kiện ở định dạng khác chứ không phải Syslog (ví dụ như HTTP, SNMP)
 Thiết bị IP có thể sinh ra các sự kiện thăm dò nội bộ
 Các thiết bị nối tiếp không thể gửi các sự kiện trên IP

Một vấn đề khác là độ tin cậy: Syslog gửi tin nhắn sử dụng UDP, mà không cung cấp xác minh cho nhận tin
nhắn. Như vậy, trong trường hợp bất ổn của các liên kết từ các site từ xa đến SIEM, một số sự kiện có thể bị
mất gây ra mâu thuẫn trong việc trình bày trên SIEM.

Để giải quyết các thách thức, Radiflow Gateway đóng vai trò như một điểm thu thập các sự kiện trong các
site từ xa, cho phép để nhận các sự kiện trực tiếp từ các thiết bị vận hành OT ở địa phương. Radiflow

15
ICS/SCADA Security

Gateway có thể nhận sự kiện ở nhiều định dạng (Syslog, SNMP, HTTP) và thậm chí cả các cuộc thăm dò bảng
sự kiện từ IP và các thiết bị nối tiếp.

Thiết bị Radiflow Gateway chuyển đổi tất cả các sự kiện nhận được về định dạng Syslog, gắn chúng với các
trường hỗ trợ (ví dụ như địa điểm, nguồn gốc của hệ thống, mức độ nghiêm trọng) và gửi nó đến các SIEM
trung ương. Các thông tin bổ sung giúp giảm bớt việc xử lý các sự kiện trong công cụ SIEM dẫn đến khả năng
mở rộng cao hơn.

Hơn nữa thiết bị Gateway có thể thực hiện một số chức năng phục hồi cho đường liên kết đến SIEM trung
tâm:
 Sử dụng Syslog sử dụng TCP với cơ chế truyền tin tin cậy so với UDP
 Sử dụng kết nối dự phòng để đảm bảo tính sẵn sàng
 Tạo bản sao dữ liệu để gửi tới nhiều công cụ SIEM
 Lưu trữ các sự kiện nội bộ để tiến hành kiểm toán
 Sử dụng kênh mã hóa tới hệ thống SIEM

2.4.7 Dễ dàng triển khai

Radiflow cung cấp bộ công cụ an ninh toàn diện cho hệ thống SCADA. Tuy nhiên, việc áp dụng bảo mật trong
các mạng OT là một quá trình tinh tế, đặc biệt việc triển khai cũng hoàn toàn rất dễ dàng:

1. Bộ định tuyến bảo mật Radiflow kết hợp những tính năng phong phú (VD: Ethernet, PoE, Serial và
Cellular interfaces) cùng với chức năng an toàn bảo mật và dễ dàng triển khai tại các site từ xa.

2. Tự động phát hiện các hành vi dấu hiệu bất thường so với các hoạt động mạng bình thường được

16
ICS/SCADA Security

người vận hành thiết lập từ trước khi được triển khai.

3. Tất cả các tính năng bảo mật được quản lý thông qua một giao diện trung tâm GUI trình bày các ứng
dụng từ các hệ thống phân tán, trình diễn cơ sở hành vi bình thường và bất kỳ độ lệch được phát
hiện.

4. Các công cụ bảo mật Radiflow cung cấp giao diện cho dễ dàng tích hợp với các bộ bảo mật bổ sung
khác như báo cáo syslog qua SIEM, thông tin nhận dạng từ các máy chủ bảo mật vật lý, v.v.

2.5 Các tính năng chính của hệ thống IDS của RadiFlow

2.5.1 Tự học và biểu đồ hóa hệ thống mạng SCADA tại trạm

IDS có thể học tự động traffic mạng trong mạng OT bằng cách sử dụng SPAN/TAP từ thiết bị switch hoặc từ
RadiFlow Gateway. IDS nhận dữ liệu từ tất cả các thiết bị trên toàn bộ mạng. Trong giai đoạn học dữ liệu
được sử dụng để xây dựng một mô hình mạng cho tất cả thiết bị, giao thức và liên kết, và sau đó được sử
dụng để xây dựng biểu độ và hiển thị trên một giao diện.

Các biểu độ mạng trực quan giúp hiểu được quá trình diễn ra trên mạng OT, bao gồm cả an ninh sự kiện. Sau
khi giai đoạn học kết thúc bất kỳ sự thay đổi trong hệ thống mạng SCADA, chẳng hạn như các thiết bị mới

17
ICS/SCADA Security

hoặc phiên mới, sẽ được cảnh báo như vậy người điều hành nắm rõ được các thiết bị mới được đưa vào hệ
thống.

2.5.2 Cung cấp hệ thống giám sát tập trung và phát hiện xâm nhập

Khi triển khai một hệ thống kiểm soát gói DPI, Radiflow cung cấp một máy chủ giám sát trung tâm để quản lý
các hệ thống phát hiện xâm nhập IDS thứ cấp. Các IDS thứ cấp sẽ tập hợp thông tin toàn bộ mạng và sử dụng
công nghệ phân tích gói chuyên sâu DPI để nhận dạng mô hình mạng và ứng dụng, hành vi và hiển thị cấu
trúc (cấu trúc liên kết, thiết bị, liên kết và các phiên làm việc trong SCADA) trên một bản đồ tương tác. Công
cụ phân tích SCADA tạo ra một mô hình đặc trưng về hành vi và hoạt động bình thường của các ứng dụng
SCADA phân tán như các quá trình tự động và thời gian lấy mẫu từ thiết bị. Sau khi xác nhận các ứng dụng
SCADA hoạt động bình thường, mô hình mô phỏng sẽ được trình bày cho các nhà điều hành chính. Và sau khi
người điều hành phê duyệt, mạng lưới giám sát bắt đầu hoạt động và các công cụ IDS dựa trên mô hình đó có
thể phát hiện mạng lưới dò quét và tìm ra các lệnh, các thông số và các hoạt động bất thường.

Hệ thống phát hiện xâm nhập Radiflow IDS cũng bao gồm cơ chế nhận dạng dựa trên mẫu chữ kí signature,
các dữ liệu trao đổi mạng sẽ được đối chiếu và so sánh với các chữ ký để nhận dạng lỗ hổng đã biết đến trên
các thiết bị và các giao thức sử dụng trong SCADA (PLC, RTU, etc.). Một khi độ lệch hay dấu hiệu bất thường
được phát hiện, một cảnh báo được gửi cho người điều hành hoặc gửi đến Syslog hay SIEM. Người sử dụng
cũng có thể đi sâu vào luồng dữ liệu gây ra cảnh báo và quyết định thay đổi hoạt động của hệ thống.

18
ICS/SCADA Security

2.5.3 Theo dõi tài sản và vận hành

Nhờ vào tính năng DPI và khả năng học từ gói tin mạng giải pháp IDS của RadiFlow có khả năng phân tích
được các thành phần của hệ thống SCADA tạo nên danh sách tài sản bao gồm các thông tin như thiết bị, nhà
sản xuất, phiên bản firmware, các mô đun phần cứng.

RadiFlow IDS cũng theo dõi và học các trao đổi giữa các thiết bị SCADA trong hệ thống để tạo ra baseline của
vận hành bình thường, từ đó khí có bất thường(Anomaly) ví dụ như quá nhiều Read/Write trong thời gian
ngắn lập tức RadiFlow IDS sẽ cảnh báo cho người điều hành. Ngoài ra các lệnh như Stop/Start controller hay
RTU, thay đổi logic lập trình của thiết bị sẽ được ghi nhận và cảnh báo.

19
ICS/SCADA Security

2.6 Danh mục đầu tư đề xuất

Số
STT Mã part Mô tả
lượng
Tại trạm SCADA
1031 system with 2x RS-232 and 1x10/100 Tx, SFP GE,
1 RF-1031-48-XT/RS22/ETS/CELH+ 2G/3G/HSPA+ cellular modem, 24/48 VDC. For -40 ÷ 10
+75°C
Tại trung tâm vận hành
3180 secured systems with 2xSFP, 8x10/100Tx, 4 xR-
RF-3180S-48-
2 S232, 2G/3G/HSPA+ cellular modem, 48V DC PSU; For -40 2
XT/ET28/4RS2/CELH+
÷ +75°C
Security Server advance license, not including HW for 100
3 RF-iSID/A/100 1
devices

20
ICS/SCADA Security

Tài liệu tham khảo

1. “SANDIA REPORT - Control System Devices: Architectures and Supply Channels Overview” - Moses D.
Schwartz, John Mulder, Jason Trent, William D. Atkins – 2010.

2. “CPNI - Resilience and Cyber Security of Technology in the Built Environment” - Hugh Boyes CEng FIET
CISSP – 2013

3. “CPNI - SECURING THE MOVE TO IP-BASED SCADA/PLC NETWORKS” – 2011.

4. “CPNI - CYBER SECURITY ASSESSMENTS OF INDUSTRIAL CONTROL SYSTEMS A GOOD PRACTICE

GUIDE” – 2011.

5. “NIST - Guide to Industrial Control Systems (ICS) Security” - Keith Stouffer, Suzanne Lightman,
Victoria Pillitteri, Marshall Abrams, Adam Hahn – 2015

21