Trace Id is missing

Sự giao thoa của CNTT và CNVH

Tải xuống
Chia sẻ
Báo cáo cyber signals mới từ microsoft

Cyber Signals Số 3: Những rủi ro mạng xảy đến với hạ tầng quan trọng đang gia tăng

Tính phổ biến, lỗ hổng bảo mật và khả năng kết nối với đám mây của các thiết bị Internet vạn vật (IoT) và Công nghệ vận hành (OT) cho thấy bề mặt rủi ro đang mở rộng nhanh chóng và thường không được kiểm soát, từ đó ảnh hưởng đến nhiều lĩnh vực và tổ chức hơn. Sự tăng trưởng nhanh chóng của IoT khiến điểm truy cập và bề mặt tấn công được mở rộng cho những kẻ tấn công. Khi CNVH ngày càng kết nối với đám mây nhiều hơn và khoảng cách giữa CNTT-CNVH được thu hẹp thì việc truy cập vào CNVH kém an toàn hơn đang mở ra cơ hội cho các cuộc tấn công gây thiệt hại nhắm vào hạ tầng
Microsoft đã xác định được các lỗ hổng có mức độ nghiêm trọng cao, chưa được vá trên 75% bộ điều khiển công nghiệp phổ biến nhất trong mạng CNVH của khách hàng.1
Xem bản tóm tắt số của Cyber Signals, trong đó Vasu Jakkal, CVP của Microsoft Security, phỏng vấn các chuyên gia thông tin về mối đe dọa chính về các lỗ hổng IoT và CNVH cũng như cách duy trì sự bảo vệ.

Bản tóm tắt số: Sự giao thoa của CNTT và CNVH

Kẻ thù xâm phạm các thiết bị kết nối internet để có quyền truy cập vào các mạng hạ tầng quan trọng và nhạy cảm.

Trong năm qua, Microsoft đã quan sát thấy các mối đe dọa khai thác thiết bị ở hầu hết mọi bộ phận được giám sát và quan sát của một tổ chức. Chúng tôi đã quan sát những mối đe dọa này trên các thiết bị CNTT truyền thống, bộ điều khiển CNVH và thiết bị IoT như bộ định tuyến và máy ảnh. Sự hiện diện đột biến của những kẻ tấn công trong các môi trường và mạng này được thúc đẩy bởi sự giao thoa và kết nối mà nhiều tổ chức đã áp dụng trong vài năm qua.

Công cụ kết nối cơ sở dữ liệu Internet (IDC) ước tính sẽ có 41,6 tỷ thiết bị IoT được kết nối vào năm 2025 - một tốc độ tăng trưởng cao hơn so với thiết bị CNTT truyền thống. Mặc dù tình trạng bảo mật của thiết bị CNTT đã được tăng cường trong những năm gần đây nhưng tình trạng bảo mật của thiết bị IoT và CNVH vẫn chưa theo kịp và tác nhân đe dọa đang khai thác các thiết bị này.

Điều quan trọng cần nhớ là những kẻ tấn công có thể có nhiều động cơ khác nhau trong việc xâm phạm thiết bị, ngoài máy tính xách tay và điện thoại thông minh thông thường. Các cuộc tấn công mạng của Nga chống lại Ukraine, cũng như các hoạt động tội phạm mạng khác do quốc gia tài trợ, đều chứng tỏ rằng một số quốc gia coi các cuộc tấn công mạng nhằm vào hạ tầng quan trọng là mong muốn đạt được các mục tiêu kinh tế và quân sự.

72% các hoạt động khai thác phần mềm được sử dụng bởi “Bộ điều khiển”, thứ mà Cơ quan An ninh Hạ tầng và An ninh mạng (CISA) mô tả là một bộ công cụ tấn công mạng theo định hướng hệ thống kiểm soát công nghiệp (ICS) do nhà nước tài trợ và hiện có sẵn trực tuyến. Sự phổ biến như vậy thúc đẩy các tác nhân khác hoạt động tấn công rộng rãi hơn, khi chuyên môn và các rào cản đầu vào khác giảm đi.

Khi nền kinh tế tội phạm mạng mở rộng và việc phần mềm độc hại nhắm mục tiêu vào hệ thống CNVH trở nên phổ biến và dễ sử dụng hơn, thì các tác nhân đe dọa sẽ có đa dạng cách thức hơn để thực hiện các cuộc tấn công quy mô lớn. Các cuộc tấn công bằng mã độc tống tiền, trước đây được coi là một véc-tơ tấn công tập trung vào CNTT, thì ngày nay đang ảnh hưởng đến môi trường CNVH như đã thấy trong cuộc tấn công Colonial Pipeline, mà ở đó các hệ thống CNVH và hoạt động đường ống tạm thời ngừng hoạt động trong khi những người ứng phó sự cố nỗ lực xác định và ngăn chặn sự lây lan của mã độc tống tiền trên mạng CNTT của công ty. Các đối thủ nhận ra rằng tác động tài chính và đòn bẩy tống tiền của việc đóng cửa năng lượng và các hạ tầng quan trọng khác có ảnh hưởng lớn hơn nhiều so với các ngành công nghiệp khác.

Hệ thống CNVH bao gồm hầu hết mọi yếu tố hỗ trợ hoạt động vật lý, trải rộng trên hàng chục ngành dọc. Hệ thống CNVH không chỉ giới hạn ở các quy trình công nghiệp, chúng có thể là bất kỳ mục đích đặc biệt nào hoặc thiết bị máy tính nào, chẳng hạn như bộ điều khiển HVAC, thang máy và đèn giao thông. Các hệ thống an toàn khác nhau thuộc loại hệ thống CNVH.

Microsoft đã quan sát thấy các tác nhân đe dọa có liên kết với Trung Quốc nhắm mục tiêu vào các bộ định tuyến dễ tổn thương tại văn phòng nhỏ và gia đình nhằm xâm phạm thiết bị này làm chỗ đứng, từ đó cung cấp cho chúng không gian địa chỉ mới ít liên quan đến những chiến dịch trước đó để thực hiện cuộc tấn công mới.

Trong khi sự phổ biến của các lỗ hổng IoT và CNVH là thách thức đối với tất cả các tổ chức thì hạ tầng quan trọng lại có nguy cơ gia tăng. Việc vô hiệu hóa các dịch vụ quan trọng, thậm chí không nhất thiết phải hủy bỏ, là một đòn bẩy mạnh mẽ.

Đề xuất:

  • Làm việc với các bên liên quan: Lập bản đồ về các tài sản quan trọng trong kinh doanh, trong môi trường CNTT và CNVH.
  • Khả năng quan sát của thiết bị: Xác định xem những thiết bị IoT và CNVH nào là tài sản quan trọng và thiết bị nào được liên kết với các tài sản quan trọng khác.
  • Thực hiện phân tích rủi ro đối với tài sản quan trọng: Tập trung vào tác động của các kịch bản tấn công khác nhau đến kinh doanh theo đề xuất của MITRE.
  • Xác định chiến lược: Giải quyết các rủi ro đã xác định, thúc đẩy ưu tiên dựa trên tác động kinh doanh.

IoT mang đến những cơ hội kinh doanh mới, nhưng song hành là rủi ro lớn

 

Khi CNTT và CNVH cùng giao thoa để hỗ trợ nhu cầu kinh doanh mở rộng thì việc đánh giá rủi ro và thiết lập mối quan hệ an toàn hơn giữa CNTT và CNVH yêu cầu bạn phải cân nhắc một số biện pháp kiểm soát. Các thiết bị đã ngắt mạng và bảo mật vành đai không còn đủ để giải quyết và bảo vệ chống lại các mối đe dọa hiện đại như phần mềm độc hại phức tạp, các cuộc tấn công có chủ đích và nội gián độc hại. Ví dụ, sự gia tăng của các mối đe dọa phần mềm độc hại IoT phản ánh bối cảnh này đã mở rộng và có khả năng vượt qua các hệ thống dễ bị tổn thương. Khi phân tích dữ liệu về mối đe dọa năm 2022 ở các quốc gia khác nhau, các nhà nghiên cứu của Microsoft đã tìm thấy tỷ lệ phần mềm độc hại IoT lớn nhất, chiếm 38% tổng số, có nguồn gốc từ dấu chân mạng quy mô lớn của Trung Quốc. Các máy chủ bị lây nhiễm ở Hoa Kỳ đã đặt Hoa Kỳ ở vị trí thứ hai, với 18% lượng phân phối phần mềm độc hại được quan sát.

Những kẻ tấn công nâng cao đang tận dụng nhiều chiến thuật và cách tiếp cận trong môi trường CNVH. Nhiều cách tiếp cận trong số này là phổ biến trong môi trường CNTT nhưng lại hiệu quả hơn trong môi trường CNVH, như phát hiện các hệ thống truy cập Internet bị lộ, lạm dụng thông tin đăng nhập của nhân viên hoặc khai thác quyền truy cập vào mạng được cấp cho nhà cung cấp và nhà thầu bên thứ ba.

Sự giao thoa giữa máy tính xách tay, ứng dụng web và không gian làm việc kết hợp của thế giới CNTT và hệ thống kiểm soát dành cho nhà máy và cơ sở của thế giới CNVH mang lại những hậu quả rủi ro nghiêm trọng thông qua việc tạo cơ hội cho kẻ tấn công “nhảy vào” khoảng cách giữa các hệ thống từng bị cô lập về mặt vật lý. Qua đó, việc tạo ra các thiết bị IoT như máy ảnh và phòng hội nghị thông minh có thể trở thành chất xúc tác cho rủi ro khi tạo ra những lối đi mới vào không gian làm việc và các hệ thống CNTT khác.

Năm 2022, Microsoft đã hỗ trợ một công ty thực phẩm và đồ uống lớn trên toàn cầu đang sử dụng các hệ điều hành rất cũ để quản lý hoạt động của nhà máy trong việc xử lý sự cố phần mềm độc hại. Trong khi thực hiện bảo trì định kỳ trên thiết bị mà sau này sẽ kết nối Internet, phần mềm độc hại đã lây lan sang hệ thống của nhà máy thông qua máy tính xách tay của nhà thầu bị xâm nhập.

Thật không may, điều này đang trở thành một kịch bản khá phổ biến. Mặc dù môi trường ICS có thể được ngắt mạng và cách ly với Internet, nhưng thời điểm máy tính xách tay bị xâm nhập được kết nối với mạng hoặc thiết bị CNVH an toàn trước đây thì nó sẽ dễ bị tấn công. Trên toàn mạng lưới khách hàng mà Microsoft giám sát, 29% hệ điều hành Windows sở hữu các phiên bản không còn được hỗ trợ. Chúng tôi đã thấy các phiên bản như Windows XP và Windows 2000 hoạt động trong môi trường dễ bị tấn công.

Do các hệ điều hành cũ hơn thường không có các bản cập nhật cần thiết để đảm bảo an toàn cho mạng và việc vá lỗi là một thách thức đối với các doanh nghiệp lớn hoặc cơ sở sản xuất, nên việc ưu tiên khả năng quan sát của thiết bị CNTT, CNVH và IoT là bước quan trọng đầu tiên để quản lý lỗ hổng và bảo mật các môi trường này.

Biện pháp phòng vệ dựa trên Zero Trust, thực thi chính sách hiệu quả và giám sát liên tục có thể giúp hạn chế bán kính của vụ nổ tiềm ẩn và ngăn chặn những sự cố như thế này trong môi trường kết nối với đám mây.

Việc điều tra thiết bị CNVH đòi hỏi kiến thức chuyên biệt cụ thể và thấu hiểu về trạng thái bảo mật của bộ điều khiển công nghiệp là rất quan trọng. Microsoft đã phát hành một công cụ điều tra mã nguồn mở cho cộng đồng người ứng phó nhằm giúp họ và chuyên gia bảo mật hiểu rõ hơn về môi trường của họ và điều tra các sự cố tiềm ẩn.

Trong khi hầu hết mọi người nghĩ về hạ tầng quan trọng như cầu đường, giao thông công cộng, sân bay, lưới điện và nước, thì CISA gần đây đã khuyến nghị rằng không gian và nền kinh tế sinh học sẽ trở thành những lĩnh vực hạ tầng quan trọng mới. Trích dẫn khả năng gián đoạn trong các lĩnh vực khác nhau của nền kinh tế Hoa Kỳ có thể gây ra những tác động tiêu cực đến xã hội. Do thế giới phụ thuộc vào khả năng hỗ trợ của vệ tinh nên mối đe dọa mạng trong các lĩnh vực này có thể có tác động toàn cầu vượt xa những gì chúng ta đã thấy cho đến nay.

Đề xuất

  • Thực hiện các chính sách mới và cải tiến: Các chính sách bắt nguồn từ phương pháp Zero Trust và các biện pháp tốt nhất sẽ mang đến cách tiếp cận toàn diện giúp bạn quản trị và bảo mật liền mạch trên mọi thiết bị.
  • Áp dụng giải pháp bảo mật toàn diện và chuyên biệt: Cho phép quan sát, giám sát liên tục, đánh giá bề mặt tấn công, phát hiện mối đe dọa và phản ứng.
  • Giáo dục và đào tạo: Nhóm bảo mật cần đào tạo cụ thể về mối đe dọa bắt nguồn từ hoặc nhắm mục tiêu vào hệ thống IoT/CNVH.
  • Kiểm tra các phương tiện tăng cường hoạt động an ninh hiện có: Giải quyết các mối lo ngại về bảo mật IoT và CNVH để hoạt động Kiểm soát tổ chức dịch vụ (SOC) CNTT và CNVH/IoT đạt được sự thống nhất trên tất cả các môi trường.

Tìm hiểu thêm về cách giúp bảo vệ tổ chức của bạn với thông tin chuyên sâu từ David Atch, Microsoft Threat Intelligence, Trưởng phòng Nghiên cứu Bảo mật IoT/CNVH.

Từ năm 2020 đến năm 2022, tỷ lệ số vụ tiết lộ lỗ hổng có mức độ nghiêm trọng cao tăng 78% trong thiết bị điều khiển công nghiệp do các nhà cung cấp phổ biến sản xuất.1

Microsoft đã xác định được các lỗ hổng có mức độ nghiêm trọng cao, chưa được vá trên 75% bộ điều khiển công nghiệp phổ biến nhất trong mạng CNVH của khách hàng.1

Hơn 1 triệu thiết bị được kết nối hiển thị công khai trên Internet đang chạy Boa, một phần mềm lỗi thời và không được hỗ trợ nhưng vẫn được sử dụng rộng rãi trong các thiết bị IoT và bộ công cụ phát triển phần mềm (SDK).1
  1. [1]

    Phương pháp: Đối với dữ liệu ảnh tức thời, các nền tảng của Microsoft bao gồm Microsoft Defender cho IoT, Trung tâm thông tin về mối đe dọa của Microsoft và thông tin về mối đe dọa của Microsoft Defender đã cung cấp dữ liệu ẩn danh về các lỗ hổng của thiết bị, chẳng hạn như trạng thái và phiên bản cấu hình cũng như dữ liệu về hoạt động của mối đe dọa trên các thành phần và thiết bị. Ngoài ra, các nhà nghiên cứu đã sử dụng dữ liệu từ các nguồn công khai như Cơ sở dữ liệu lỗ hổng quốc gia (NVD) và & Cơ quan bảo mật cơ sở hạ tầng an ninh mạng (CISA). Số liệu thống kê về “các lỗ hổng có mức độ nghiêm trọng cao, chưa được vá trong 75% hệ thống kiểm soát công nghiệp phổ biến nhất trong mạng OT của khách hàng” dựa trên cam kết của Microsoft vào năm 2022. Hệ thống kiểm soát trong các môi trường quan trọng bao gồm các thiết bị điện tử hoặc cơ khí sử dụng vòng lặp điều khiển để cải thiện khả năng sản xuất, mức độ hiệu quả và tính an toàn.

Cyber Signals Khả năng phục hồi mạng Thiết bị và Hạ tầng Lỗ hổng

Bài viết liên quan

Hồ sơ chuyên gia: David Atch

Trong hồ sơ chuyên gia mới nhất của mình, chúng tôi đã trao đổi với David Atch, Trưởng phòng Nghiên cứu Bảo mật IoT/CNVH tại Microsoft, để trao đổi về những rủi ro bảo mật ngày càng tăng khi kết nối IoT và CNVH.
Tìm hiểu thêm

Các mối đe dọa mạng gia tăng nhằm đáp ứng việc mở rộng kết nối IoT/OT

Trong báo cáo mới nhất của chúng tôi, chúng tôi khám phá cách kết nối IoT/OT ngày càng tăng đang dẫn đến những lỗ hổng lớn và nghiêm trọng hơn giúp cho các tổ chức tấn công mạng lợi dụng điều này.
Tìm hiểu thêm

Cyber Signals Số 2: Tống tiền kinh tế

Lắng nghe ý kiến từ các chuyên gia tuyến đầu về việc phát triển mã độc tống tiền dưới dạng dịch vụ. Từ các chương trình và tải trọng để tiếp cận với các nhà môi giới và chi nhánh, hãy tìm hiểu về các công cụ, chiến thuật và mục tiêu mà kẻ phạm tội trên mạng ưa thích cũng như nhận hướng dẫn để giúp bảo vệ tổ chức của bạn.
Tìm hiểu thêm

Theo dõi Microsoft Security