SlideShare a Scribd company logo

Securing Cyber Physical System and XIoT (VN version).pptx

Download as PPTX, PDF
D
Dao Duong

Tài liệu của Claroty tập trung vào việc bảo mật hệ thống công nghiệp, đặc biệt là trong bối cảnh chuyển đổi số và sự gia tăng kết nối giữa công nghệ vận hành (OT) và Internet of Things công nghiệp (IIoT). Các rủi ro an ninh mạng liên quan đến sự giao tiếp một chiều và hai chiều giữa các thiết bị được nêu rõ, cùng với nhu cầu theo dõi và phát hiện mối đe dọa trên các hệ thống. Claroty cũng cung cấp giải pháp bảo mật cho các hệ thống cyber-physical và IIoT nhằm giảm thiểu rủi ro và bảo vệ tài sản.

Technology
1 of 37
Downloaded 10 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
claroty.com Bảo mật hệ thống Cyber Physical và XIoT CLAROTY March 2022 Claroty Confidential
claroty.com Sự phát triển của chuyển đổi số Những rủi ro mới nổi 2
claroty.com OT & IIoT ngày càng không thể tách rời Chuyển đổi số tạo ra rủi ro ATTT • “Brownfield Operational Technology” thể hiện một rủi ro đáng kể vì các thành phần kế thừa này không được thiết kế các tính năng bảo mật. Dựa trên nhu cầu của thị trường, đây là lĩnh vực trọng tâm của chúng tôi cho đến nay. • Đến năm 2025, 75% dữ liệu do doanh nghiệp tạo ra trong các cơ sở công nghiệp sẽ được tạo và xử lý ở phần biên của hệ thống, con số này tăng lên so với mức dưới 20% hiện nay. “Greenfield” IIoT sẽ tiếp tục thay thế hoặc bổ sung thiết bị OT truyền thống. Cơ sở lý thuyết OT/ IIoT đã kết hợp các nhu cầu Bảo mật  Khám phá tài sản động và đơn giản (Simple & Dynamic Asset Discovery)  Phân loại nhanh chóng, đặc biệt là các tài sản/thiết bị IIoT  Risk và Vulnerability Workflows cho OT và IIoT  Theo dõi liên tục và phát hiện mối đe doạ trên các hệ thống mạng quan trọng
claroty.com Mô hình giao tiếp và rủi ro Mô hình 1: Chỉ giao tiếp một chiều ra bên ngoài (Outbound) • Trường hợp sử dụng này bao gồm một cảm biến thông minh được kết nối với tài sản kỹ thuật số và gửi dữ liệu đến trung tâm giám sát từ xa. • Trường hợp này là rủi ro thấp nhất vì luồng thông tin là một chiều đi ra từ cảm biến. Bất kể kết nối là gì — hướng đến điểm đến bên ngoài chu vi OT được bảo mật hoặc tới gateway bên trong thiết bị — cảm biến sẽ không chấp nhận các lệnh điều kiển. • Do đó, một tác nhân xấu có thể đánh chặn thông tin và có khả năng ẩn thông tin khỏi HMI, nhưng không thể ảnh hưởng trực tiếp đến cảm biến. IIoT chỉ giao tiếp một chiều ra bên ngoài (Outbound) IIoT Gateway ICS Historian Enterprise Resource Planning Manufacturing Execution System Data Warehouse Remote Monitoring Center Asset Smart Sensor OT Edge Processing Enterprise and/or Cloud Secured OT Perimeter
claroty.com Mô hình giao tiếp và rủi ro Mô hình 2: Giao tiếp hai chiều giữa bên trong (Inbound) và bên ngoài (Outbound) • Trường hợp này cung cấp hai luồng thông tin: một luồng thông tin đi ra bên ngoài và một luồng thông tin đi vào bên trong cảm biến để truy vấn nó (ví dụ, theo dõi trạng thái). • Các truy vấn và lệnh yêu cầu thông tin phân tích có thể được gửi từ môi trường IT doanh nghiệp hoặc điện toán đám mây, hoặc có thể từ nhà sản xuất thiết bị IIoT để thu thập dữ liệu hoặc truy cập thông tin để khắc phục sự cố. • Do tính chất hai chiều của các luồng thông tin, trường hợp sử dụng này có rủi ro lớn hơn trường hợp luồng thông tin chỉ có chiều đi ra bên ngoài. IIoT Giao tiếp hai chiều giữa bên trong và bên ngoài IIoT Gateway ICS Historian Enterprise Resource Planning Manufacturing Execution System Data Warehouse Remote Monitoring Center Asset Smart Sensor OT Edge Processing Enterprise and/or Cloud Secured OT Perimeter
claroty.com Mô hình giao tiếp và rủi ro Mô hình 3: Truy cập từ xa, bảo trì và chẩn đoán • Trường hợp sử dụng này có nguy cơ rủi ro cao nhất bởi vì nó không chỉ liên quan đến các cảm biến (được giới hạn trong việc cung cấp thông tin) mà còn cả các cơ cấu chấp hành thực hiện các sửa đổi trong môi trường sản xuất. • Như cảm biến trong các mô hình trước, có giao tiếp hai chiều giữa hệ thống IT doanh nghiệp hoặc điện toán đám mây và cơ cấu chấp hành. Sau đó, chúng có thể phản hồi các mệnh lệnh và thực hiện các hành động tiếp theo. • Ví dụ, một bộ cơ cấu chấp hành có thể gửi các mệnh lệnh để thay đổi trạng thái, sửa đổi tốc độ của một quá trình hoặc thay đổi một dòng chảy. Trường hợp sử dụng này cũng có thể mô tả việc điều khiển từ xa các quy trình liên quan đến thiết bị IIoT hoặc thậm chí của một nhà máy đầy đủ. • Mặc dù rõ ràng là hữu ích khi có thể điều khiển các quy trình từ xa, nhưng điều quan trọng là phải nhận ra các mối đe dọa bảo mật đi kèm và phải có giải pháp bảo vệ hệ thống khỏi các mối đe doạ này. Truy cập từ xa, bảo trì và chẩn đoán IIoT Gateway ICS Historian Enterprise Resource Planning Manufacturing Execution System Data Warehouse Remote Monitoring & Control Center Asset Smart Actuator OT Edge Processing Enterprise and/or Cloud Secured OT Perimeter
claroty.com Nhu cầu về bảo mật an toàn thông tin 7
claroty.com 8 Yêu cầu bảo mật thế hệ mới cho an ninh bảo mật hệ thống mạng công nghiệp Chuyển đổi kỹ thuật số tạo ra rủi ro hiện hữu đối với các hoạt động công nghiệp cần được giảm thiểu Tiết lộ Bảo vệ Phát hiện Kết nối Thách thức Những yêu cầu mới • Các thiết bị truyền thông sử dụng các giao thức độc quyền • Các công nghệ mới nổi với các phương thức truyền thông mới • Sự lỗi thời của Mô hình Purdue truyền thống • Khả năng hiển thị đối với thiết bị, truyền thông trong mạng và các quy trình • Khả năng hiển thị đối với thiết bị “brownfield” (OT) và “greenfield” (IIoT, IoT) • Hiểu biết hạn chế về rủi ro vốn có của môi trường OT • Khoảng cách hiểu biết đối với các biện pháp kiểm soát bù đắp • Không hiểu rõ cách thức ưu tiên giảm thiểu rủi ro • Xác định rủi ro vốn có của tài sản OT/IIoT • Ưu tiên các hành động giảm thiểu rủi ro để giảm thiểu rủi ro • Hiểu rõ rủi ro còn lại sau khi áp dụng các biện pháp kiểm soát • Các cuộc tấn công cơ hội như ransomware vẫn hoạt động • Các cuộc tấn công tội phạm mạng có mục tiêu để thu lợi tài chính • Các tác nhân tấn công mạng được các quốc gia tài trợ nguồn lực • Theo dõi các rủi ro còn lại để tìm kiếm các dấu hiệu tấn công • Thiết lập mô hình phát hiện có khả năng phục hồi để phát hiện các vectơ tấn công khác nhau • Các công cụ Bảo mật CNTT không có khả năng hiển thị sâu trong môi trường OT • Những người ra quyết định cần có một cái nhìn toàn diện về rủi ro doanh nghiệp • Kết nối bảo mật OT vào kiến trúc bảo mật IT • Cung cấp một cái nhìn toàn diện về rủi ro trong OT cho những người ra quyết định Copyright © 2021 Claroty Ltd. All rights reserved
claroty.com | Copyright © 2022 Claroty Ltd. All rights reserved 9 “RIGHT FOR ME” UX DELIVERED YOUR WAY ECOSYSTEM INTEGRATED Nền tảng Claroty Thúc đẩy khả năng hiển thị, bảo vệ, phát hiện và khả năng phục hồi trong môi trường công nghiệp Chúng tôi bảo vệ mọi thứ trong vòng bốn bức tường - OT, IIoT, IoMT giúp các tổ chức bảo mật các hệ thống vật lý mạng OT / Industrial IoT Smart Buildings/Grids Enterprise IoT Healthcare (IoMT) Historian RTU SCADA DCS HMI PLC Autonomous Things Sensors Embedded Devices IIoT Gateway Elevator Smart Grid BMS/BAS HVAC Physical Intrusion Card Access Video Lighting & Energy Cloud Services Supply Chain CAV Industry 4.0 CT Scanner Blood Gas Analyzer Anesthesia Machine Hemotology Analyzer Tiết lộ Phát hiện và phân loại tất cả tài sản Kết nối Tích hợp và liên kết với phần còn lại của doanh nghiệp Bảo vệ Đánh giá, ưu tiên, và giảm thiểu rủi ro cho tài sản Phát hiện Nhanh chóng phát hiện, phân tích và phản hồi các nguy cơ bảo mật Nền tảng Claroty + Medigate
claroty.com Giải pháp an ninh mạng hoàn chỉnh cho các hệ thống Cyber- Physical và XIoT Nền tảng và Hệ sinh thái cho phép Tiết lộ, Bảo vệ, Phát hiện và Kết nối tài sản • Quản lý và kiểm kê tài sản OT / IoT / IIoT • Đánh giá rủi ro & vệ sinh liên tục • Phân vùng & phân đoạn mạng sử dụng AI điều khiển • Kiểm soát truy cập từ xa và bên thứ ba • Quản lý cấu hình và Quản lý thay đổi • Liên tục theo dõi mối đe dọa & lỗ hổng bảo mật • Lập bản đồ vectơ tấn công & phân tích nguyên nhân gốc rễ • Tương quan tự động và làm giàu cảnh báo • Sự kiện và phân tích sự cố • Hỗ trợ cho các hoạt động phản hồi từ xa • Khuyến nghị khắc phục dựa trên rủi ro • Khả năng giám sát và ngắt kết nối người dùng từ xa Mở rộng các biện pháp kiểm soát bảo mật cơ bản cho môi trường công nghiệp Copyright © 2022 Claroty Ltd. All rights reserved 10 Mở rộng kiểm soát bảo mật vào Hệ thống Cyber-physical Tích hợp liền mạch với giải pháp công nghệ có sẵn của tổ chức
claroty.com Phương án bảo mật hệ thống mạng OT tốt nhất 11
claroty.com Hành trình kiến trúc An ninh Hệ thống mạng Công Nghiệp Lộ trình giải pháp thực tiễn tốt nhất Priority: Understand Your Network ● What assets are in your network? ● How is your network structured? ● What vulnerabilities and risks are present? ● How can you manage those risks? 1 Priority: Detect Threats ● What threats are you most concerned about? ● How should your staff manage alerts? ● How can your existing IT security tech stack support your industrial network? 2 Where would you like to start? Recommendation: 1 2 3 Priority: Control Access ● How can you provide internal and third-party personnel with remote access to your network? ● How should you manage the risks posed by their access? ● How should you respond to incidents related to their access? 3 Your Industrial Cybersecurity Journey Điểm xuất phát? Khuyến nghị: 1 2 3 Ưu tiên: Kiểm soát truy cập • Làm cách nào bạn có thể cung cấp cho nhân viên nội bộ và bên thứ ba quyền truy cập từ xa vào mạng của bạn? • Bạn nên quản lý rủi ro do truy cập của họ như thế nào? • Bạn nên ứng phó với các sự cố liên quan đến quyền truy cập của họ như thế nào? Ưu tiên: Phát hiện các mối đe dọa • Bạn quan tâm đến những mối đe dọa nào nhất? • Nhân viên của bạn nên quản lý các cảnh báo như thế nào? • Làm thế nào để tích hợp các công nghệ bảo mật CNTT hiện tại của bạn với mục đích hỗ trợ hệ thống mạng công nghiệp của bạn? Ưu tiên: Hiểu rõ hệ thống mạng của bạn • Những tài sản nằm trong hệ thống mạng của bạn? • Kiến trúc hệ thống mạng của bạn như thế nào? • Những lỗ hổng và rủi ro nào đang hiện hữu? • Bạn có thể quản lý những rủi ro đó như thế nào?
claroty.com Tích hợp bảo mật IT/OT
claroty.com Level 4 Corporate Network Level 3.5 IT/OT DMZ Zone Level 3 Operations Level 2 Process Network Level 1 Control Network Level 0 Field Devices I/O EMC Log Mgmt. SIEM Switch CTD Server SPAN Operator Station EWS HMI Switch DCS SIS Pump Valve Sensor Fan Actuator Valve PLC HMI TAS Server Sensor SPAN Remote location MCB/ CTR Data Center Giải pháp Claroty Monitoring Thiết kế mẫu – Hệ thống nhà máy sản xuất Điện Turbine
claroty.com HQ/ Datacentre Thiết kế mẫu– Hệ thống phân phối Điện
claroty.com Kịch bản rủi ro và cách thức phát hiện Ví dụ: Log4j Solarwinds Orion Sunburst – Chuỗi cung ứng Lỗ hổng Ripple 20 Codemeter: ví dụ về rủi ro của bên thứ 3 Phát hiện Cobalt Strike Phát hiện Ransomwares, Trojan, Malware đã biết 16
claroty.com 17 Tổng quan – Log4shell ● CVE 2021-44228, CVE 2021-45046 ● Điểm CVSS cao: 10 ● Cho phép kẻ tấn công thực thi mã từ xa, từ chối dịch vụ ● Log4j là mô-đun ghi nhật ký được sử dụng trong một số lượng lớn các ứng dụng trong môi trường OT ● Sản phẩm Claroty products không sử dụng gói Log4j và không bị ảnh hưởng ● Những nhà nghiên cứu của Claroty researchers đưa ra các quy tắc có sẵn để phát hiện việc khai thác chống lại các máy chủ web trong thời gian nhanh chóng ● Đặc biệt là khi payload được phân phối qua các giao thức như LDAP và API RMI • Khi các nhà cung cấp cung cấp thêm thông tin chi tiết cụ thể về kiểu máy, dòng thiết bị / phiên bản nào dễ bị tấn công, Claroty sẽ cập nhật cơ sở dữ liệu CVE của mình trong các gói cập nhật. • Hiện tại, cơ chế phát hiện dựa vào cảnh báo thông qua giám sát lưu lượng Log4j – Lỗ hổng Zero Day Phát hiện mối đe dọa liên tục
claroty.com 18 INITIAL ACCESS DELIVERY EXECUTION COMMAND & CONTROL IMPACT? Mục tiêu nhắm vào các tổ chức thuộc chính phủ Hoa Kỳ 2) Tác nhân nhúng mã backdoor độc hại (SUNBURST) trong SW Dll nơi nó được che dấu khỏi hệ thống giám sát. 1) Tác nhân/ Kẻ tấn công đã truy cập vào kho mã nguồn SW hoặc xây dựng “đường ống” thông qua vectơ chưa được xác nhận ~03/ 2020 ~ 18.000 khách hàng F500 & govt đã cấp đặc quyền truy cập đầy đủ cho SW trên hệ thống mạng của họ ~05 – 06/ 2020 3) Người dùng SW đã vô tình cài đặt SUNBURST thông qua bản cập nhật phần mềm SW 4) Các phiên bản SW bị nhiễm mã độc được chỉ dẫn tới C2 để nhận lệnh từ các máy chủ được kiểm soát bởi các tác nhân Toàn bộ thông tin hệ thống mạng người dùng SW ~ 06 – 12/ 2020 12/ 2020 ● Cuộc tấn công được tiết lộ ● Bản vá giảm thiểu và tiêu diệt mã độc được phát hành nhưng có nhiều giới hạn ● Không thể phát hiện sự tấn công bằng các giải pháp quản lý lỗ hổng truyền thống hoặc AV ● Những rủi ro nghiêm trọng vẫn còn tồn tại ● Thông tin đầy đủ về mức độ & tác động của cuộc tấn công vẫn chưa được biết rõ Ngảy nay Cuộc tấn công SOLARWINDS Phát hiện mối đe dọa liên tục
claroty.com 19 19 MÔ TẢ App Detection Khả năng phát hiện các ứng dụng trong hệ thống, ví dụ: phát hiện ứng dụng Solarwinds orion Known Threat Detection Khả năng phát hiện các công cụ của đội đỏ (red team) bị đánh cắp từ FireEye Lateral Movement via Policy Alerts Khả năng phát hiện các chuyển động ngang (chiều Đông - Tây) trong hệ thống Anomaly Detection Khả năng phát hiện các xu hướng lưu lượng truy cập bất thường từ base-line DNS Detection Khả năng phát hiện các lệnh và kiểm soát thông tin thông qua DNS Các phương pháp có thể được sử dụng để phát hiện các cuộc tấn công chuỗi cung ứng Phát hiện mối đe dọa liên tục
claroty.com 20 CTD được sử dụng để phát hiện những ứng dụng bị ảnh hưởng Tổng quan ● Không có lỗ hổng nào liên quan đến sự xâm phạm = không có CVE nào để phát hiện ● Kiểm kê tài sản (Asset inventory) là cách duy nhất để xác định các hệ thống bị ảnh hưởng ● Sử dụng CTD Active Scanning để tìm kiếm các phiên bản SW Orion trong môi trường của bạn ● Threat Bundle 23 làm cho quá trình này dễ dàng hơn với Quét chủ động (Active Scanning) thông qua WMI ● Có khả năng phát hiện những bất thường của DNS 1) Phát hiện SOLARWINDS ORION Phát hiện mối đe dọa liên tục
claroty.com 21 21 CTD: Passive Mode Tổng quan ● Mã SUNBURST được nhúng trong SW cho phép truy cập cửa sau (backdoor) và truy cập vào thông tin đăng nhập cho các tài sản trên toàn môi trường. ● Sự lây lan trong hệ thống (Lateral movement) là khả thi với mức độ truy cập này ● Để xác định sự lây lan, hãy tìm CTD policy alerts cho biết hệ thống kết nối qua các vùng không điển hình ● Sự bất thường của hệ thống mạng cũng có thể liên quan đến chuyển động ngang ● Sử dụng CTD ở Passive Mode để tìm kiếm các cảnh báo về mối đe dọa từ các điểm bất thường có thể chỉ ra chuyển động ngang qua các vùng của mạng OT của bạn 2) Phát hiện sự lây lan bằng cảnh báo chính sách Phát hiện mối đe dọa liên tục
claroty.com 22 22 CTD: Passive Mode Tổng quan ● SW bị xâm phạm cho phép các tác nhân ăn cắp các công cụ của đội đỏ (red team) từ FireEye. Chữ ký liên kết đã được ban hành kể từ đó. ● Chữ ký cũng đã được cấp cho DNS beaconing bởi các trường hợp SW bị xâm phạm. ● Threat Bundle 22 bao gồm tất cả các chữ ký này. ● Sử dụng CTD ở Passive mode để phát hiện sự khai thác các mối đe dọa. ● Ghi chú: Những chữ ký này nên được xem là toàn diện. 3) Phát hiện sự khai thác các mối đe doạ Phát hiện mối đe dọa liên tục
claroty.com 23 CTD: Passive Mode Tổng quan ● Các yêu cầu DNS bất thường được liên kết với DNS beaconing bởi các trường hợp SW bị xâm phạm ● Sử dụng CTD tại Passive Mode để tìm kiếm kết nối DNS tới avsvmcloud[.]com 4) Phát hiện Beaconing với DNS Inspection Phát hiện mối đe dọa liên tục
claroty.com 24 • Theo dõi các lỗ hổng TCP/IP được sử dụng rộng rãi trên các hệ thống nhúng • 19 lỗ hổng được phát hiện bởi công ty nghiên cứu JSOF • Có thể được sử dụng trên 100 triệu thiết bị OT và IoT • Các lỗ hổng bảo mật từ hỏng bộ nhớ có thể khiến DOS hoặc RCE dẫn đến rò rỉ thông tin • Tính đến ngày 5 tháng 7 năm 2020, có 16 nhà cung cấp đưa ra khuyến nghị, 22 nhà cung cấp xác nhận bị ảnh hưởng, 56 nhà cung cấp vẫn đang điều tra RIPPLE20 & Bảo mật chuỗi cung ứng Phát hiện mối đe dọa liên tục
claroty.com 25 Phát hiện thiết bị ảnh hưởng bởi Ripple20 • Aruba • HCL Tech • Zuken Elmic • B. Braun • HP • Baxter • HPE • CareStream • Intel • Caterpillar • Maxlinear • Xeroex • Cisco • Opto22 • Dell • Rockwell Automation • Digi International • Schneider Electric • Eaton • Teradici • Green Hills Software Trường hợp sử dụng Phát hiện mối đe dọa liên tục
claroty.com 26 • Proven RCE vulnerabilities • CVE-2020-11896, CVE-2020-11901 • Out-of-Bounds write • CVE-2020-11897, CVE-2020-11904 • Info Leak • CVE-2020-11898, CVE-2020-11902, CVE-2020-11899, CVE-2020-11903, CVE-2020-11905, CVE-2020-11910, CVE-2020-11912, CVE-2020-11913, CVE-2020-11914, CVE-2020-11908 • User after Free - Potential DOS/RCE • CVE-2020-11900 • Integer Underflow - DOS • CVE-2020-11906, CVE-2020-11907, CVE-2020-11909 • Unauthorized change of settings • CVE-2020-11911 Tác động của RIPPLE20 đến máy ảo Phát hiện mối đe dọa liên tục
claroty.com 27 • Phát hiện dấu hiệu/ Chữ ký • IPIP phân mảnh • Giao thức được sử dụng để khai thác CVE-2020-11896, CVE- 2020-11898. Giao thức này không phổ biến trong mạng ICS và được sử dụng giữa các thiết bị mạng. • Kiểm tra Fingerprinting sử dụng ICMP type 165 • Phương pháp liệt kê để xác định TCP/IP stack Phát hiện khai thác RIPPLE20 Phát hiện mối đe dọa liên tục
claroty.com 28 License To Kill: 6 lỗ hổng được phát hiện trong phần mềm quản lý giấy phép của bên thứ 3. Ảnh hưởng đến hầu hết các nhà cung cấp ICS. • Six Vulns / Two Attack Vectors • Tấn công RCE hoặc DoS • Fingerprint User Environments • Sửa đổi hoặc giả mạo giấy phép • ICS-CERT đánh giá các lỗ hổng này có điểm là 10.0, mức điểm cao nhất. Lỗ hổng bảo mật CodeMeter Một ví dụ về rủi ro của bên thứ 3 Phát hiện mối đe dọa liên tục
claroty.com 29 Cobalt Strike – Phát hiện hành vi của đối thủ Hồ sơ Malleable C2 và DNS beacons
claroty.com 30 Những mối đe doạ đã biết– Ransomware, Trojan, malware, YARA rules Xấp xỉ 500 quy tắc để phát hiện những ransomware đã biết, >11000 dấu hiệu nhân biết mối đe doạ trong csdl Threat intelDB *Threat intel được cập nhật hang tuần bởi đội ngũ Claroty Product
claroty.com Áp dụng Zero-trust cho OT Ví dụ: Bảo mật cho truy cập từ xa Bảo mật cho truyền dữ liệu Quản lý truy cập 31
claroty.com 32 Firewall Historian SCADA Server HMI Engineering Workstation 3rd Party Technicians 3rd Party Technicians Remote Employees Remote Employees PLC PLC PLC PLC Valve Drill Valve Drill Valve Drill Valve Drill DMZ Firewall Firewall SSH RDP VNC HTTP / HTTPS Phức tạp trong Cấu hình tường lửa Thách thức trong Quản lý sự thay đổi Phản ứng chậm trong trường hợp khẩn cấp Quá nhiều lỗ hổng bảo mật Vi phạm mô hình Purdue Thiếu sự kiểm soát o RBA/ PoLP/ zero-trust o Thời gian trong ngày/ Ngày trong tuần o Không có giám sát trong thời gian thực o Không có kiểm toán - audit o Sự cố với máy chủ Jump o Tiết lộ Thông tin đăng nhập o Truy cập dựa trên VPN truyền thống đầy rủi ro Rủi ro của nhà cung cấp dịch vụ bên thứ 3! Có thể cung cấp dịch vụ Truy cập từ xa truyền thống cho những Người lao động mới kết nối?
claroty.com 33 Kiến trúc hội tụ IT/OT Hỗ trợ phân đoạn Purdue Máy tính từ xa không kết nối trực tiếp với tài sản OT Phá vỡ các giao thức dọc theo tuyến truyền thông (communication path) Tính năng yêu cầu quyền truy cập cho các tài sản OT quan trọng Tuân thủ các yêu cầu về GDPR Tường lửa OT ít lỗ hổng hơn Hỗ trợ làm việc từ xa với các giao thức / ứng dụng ICS Tích hợp với OT Monitoring Clientless, agentless, OOTB password vault Facility 1 SRA Secure Access Center (SAC) SRA Site SRA Site SRA Site Remote Users Local User Local User Local User OT Asset PLC OT Asset Facility 2 Facility 3 BẢO MẬT TRUY CẬP TỪ XA cần được ‘PURPOSE-BUILT’ cho môi trường OT
claroty.com February 13, 2023 34 Copyright © 2020 Claroty Ltd. All rights reserved OT Asset SRA Site SRA SAC Remote User Secure Web (HTTPS) SSH Reverse Tunnel SSH Reverse Tunnel OT Asset SRA Site SRA SAC Remote User VPN Over SSL SSH Reverse Tunnel SSH Reverse Tunnel OT Asset SRA Site SRA SAC Remote User Secure Web (HTTPS) SSH Reverse Tunnel SSH Reverse Tunnel SRA HỖ TRỢ CÁC TRƯỜNG HỢP SỬ DỤNG TRUY CẬP TỪ XA CHO MÔI TRƯỜNG CÔNG NGHIỆP
claroty.com Chương trình bảo mật an toàn thông tin Những trọng tâm chính 35
claroty.com Claroty Confidential Tóm tắt - Các trọng tâm chính cần tập trung!  Hiển thị hệ thống OT và IIOT  Xác định các lỗ hổng bảo mật  Hiểu rõ rủi ro  Theo dõi các mối đe dọa  Tính toán cách tiếp cận của các tác nhân tấn công  Tạo chính sách phân đoạn (Segmentation)  Bảo mật quyền truy cập từ xa  Kết nối sự cố OT & IIOT với Kiểm soát bảo mật CNTT / SOC
claroty.com Claroty Confidential Cảm ơn! Vijay Vaidyanathan – RVP Solutions Engineering, APJ

More Related Content

PPTX
BTL-HTTTVT.pptx
TrnPhngNam9
 
PPTX
[Ddos] M&P
Ẩn Sĩ
 
PDF
Basic Security Training day 2
Tu Khiem
 
PPTX
SBC2024_AI TRONG CYBER SECURITY_final.pptx
Security Bootcamp
 
PPTX
Iso 27001 slide đào tạo chuẩn quốc tế về đbcl
Trần Hoàng Việt
 
PPTX
VẤN ĐỀ BẢO VỆ AN TOÀN AN NINH DỮ LIỆU TRONG MẠNG LAN VÀ KẾT NỐI INTERNET TẠI ...
Vu Hung Nguyen
 
PPTX
Tổng quan về cách thức áp dụng phương pháp học máy và học sâu vào bảo mật iOT
TuynLCh
 
PPTX
Tổng quan về cách thức áp dụng phương pháp học máy và học sâu vào bảo mật tro...
TuynLCh
 
BTL-HTTTVT.pptx
TrnPhngNam9
 
[Ddos] M&P
Ẩn Sĩ
 
Basic Security Training day 2
Tu Khiem
 
SBC2024_AI TRONG CYBER SECURITY_final.pptx
Security Bootcamp
 
Iso 27001 slide đào tạo chuẩn quốc tế về đbcl
Trần Hoàng Việt
 
VẤN ĐỀ BẢO VỆ AN TOÀN AN NINH DỮ LIỆU TRONG MẠNG LAN VÀ KẾT NỐI INTERNET TẠI ...
Vu Hung Nguyen
 
Tổng quan về cách thức áp dụng phương pháp học máy và học sâu vào bảo mật iOT
TuynLCh
 
Tổng quan về cách thức áp dụng phương pháp học máy và học sâu vào bảo mật tro...
TuynLCh
 

Similar to Securing Cyber Physical System and XIoT (VN version).pptx (20)

PPTX
Tối ưu hóa hạ tầng và đảm bảo ATTT trong ngành ngân hàng - Võ Nhân Văn - ĐH D...
Võ Thái Lâm
 
PPTX
Võ Nhân Văn - Tối ưu hóa hạ tầng và đảm bảo attt trong ngành ngân hàng
Security Bootcamp
 
DOCX
Báo cáo
Lờ Đờ
 
DOCX
Báo cáo đề tài thực tập tốt nghiệp
Minh Dương
 
DOCX
Báo cáo đề tài thực tập tốt nghiệp
Minh Dương
 
PDF
Data network
Lương Duy Khánh
 
PPTX
BAI123 NGUYENVANDAT.pptxáafsfafsafssafasfsaf
warhorse2k2
 
DOCX
bài 1,2 chương 1, chươasdasdng 2 và 3.docx
moonlover010822
 
DOCX
bài 1,2 chương ádasd ădasd1, chương 2 và 3.docx
moonlover010822
 
PDF
IT4735_IoT va Ung dung_v2021.pdf
CongQuang4
 
PDF
Mo hinh osi-7lop-va-khuyencao-baove-dulieu
nghia le trung
 
PDF
[ITAS.VN]Brochure_Services
ITAS VIETNAM
 
DOCX
Mạng máy tính nâng cao
ssuserd16c49
 
DOC
Đồ Án Tốt Nghiệp Tìm Hiểu Nghiên Cứu Một Số Bài Toán Về An Toàn Thông Tin Tro...
DỊCH VỤ VIẾT ĐỀ TÀI TRỌN GÓI ZALO/ TEL: 0909.232.620
 
PDF
Triền khai firewall thế hệ mới bảo vệ hệ thống mạng doanh nghiệp 9314760
nataliej4
 
PPT
Ch01
Khôi Nguyễn Xuân
 
PDF
Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013
SUN MEDIA Corp
 
PDF
Security standard-present-th06-2013-shorter
nghia le trung
 
PDF
Security qn9-2013
Thai Ta Quang
 
PPTX
Giải pháp VED - TNMT full.pptx
VDI
 
Tối ưu hóa hạ tầng và đảm bảo ATTT trong ngành ngân hàng - Võ Nhân Văn - ĐH D...
Võ Thái Lâm
 
Võ Nhân Văn - Tối ưu hóa hạ tầng và đảm bảo attt trong ngành ngân hàng
Security Bootcamp
 
Báo cáo
Lờ Đờ
 
Báo cáo đề tài thực tập tốt nghiệp
Minh Dương
 
Báo cáo đề tài thực tập tốt nghiệp
Minh Dương
 
Data network
Lương Duy Khánh
 
BAI123 NGUYENVANDAT.pptxáafsfafsafssafasfsaf
warhorse2k2
 
bài 1,2 chương 1, chươasdasdng 2 và 3.docx
moonlover010822
 
bài 1,2 chương ádasd ădasd1, chương 2 và 3.docx
moonlover010822
 
IT4735_IoT va Ung dung_v2021.pdf
CongQuang4
 
Mo hinh osi-7lop-va-khuyencao-baove-dulieu
nghia le trung
 
[ITAS.VN]Brochure_Services
ITAS VIETNAM
 
Mạng máy tính nâng cao
ssuserd16c49
 
Đồ Án Tốt Nghiệp Tìm Hiểu Nghiên Cứu Một Số Bài Toán Về An Toàn Thông Tin Tro...
DỊCH VỤ VIẾT ĐỀ TÀI TRỌN GÓI ZALO/ TEL: 0909.232.620
 
Triền khai firewall thế hệ mới bảo vệ hệ thống mạng doanh nghiệp 9314760
nataliej4
 
Ch01
Khôi Nguyễn Xuân
 
Giải pháp bảo mật thông tin trong Chính phủ điện tử 2013
SUN MEDIA Corp
 
Security standard-present-th06-2013-shorter
nghia le trung
 
Security qn9-2013
Thai Ta Quang
 
Giải pháp VED - TNMT full.pptx
VDI
 
Ad

Securing Cyber Physical System and XIoT (VN version).pptx

  • 1. claroty.com Bảo mật hệ thống Cyber Physical và XIoT CLAROTY March 2022 Claroty Confidential
  • 2. claroty.com Sự phát triển của chuyển đổi số Những rủi ro mới nổi 2
  • 3. claroty.com OT & IIoT ngày càng không thể tách rời Chuyển đổi số tạo ra rủi ro ATTT • “Brownfield Operational Technology” thể hiện một rủi ro đáng kể vì các thành phần kế thừa này không được thiết kế các tính năng bảo mật. Dựa trên nhu cầu của thị trường, đây là lĩnh vực trọng tâm của chúng tôi cho đến nay. • Đến năm 2025, 75% dữ liệu do doanh nghiệp tạo ra trong các cơ sở công nghiệp sẽ được tạo và xử lý ở phần biên của hệ thống, con số này tăng lên so với mức dưới 20% hiện nay. “Greenfield” IIoT sẽ tiếp tục thay thế hoặc bổ sung thiết bị OT truyền thống. Cơ sở lý thuyết OT/ IIoT đã kết hợp các nhu cầu Bảo mật  Khám phá tài sản động và đơn giản (Simple & Dynamic Asset Discovery)  Phân loại nhanh chóng, đặc biệt là các tài sản/thiết bị IIoT  Risk và Vulnerability Workflows cho OT và IIoT  Theo dõi liên tục và phát hiện mối đe doạ trên các hệ thống mạng quan trọng
  • 4. claroty.com Mô hình giao tiếp và rủi ro Mô hình 1: Chỉ giao tiếp một chiều ra bên ngoài (Outbound) • Trường hợp sử dụng này bao gồm một cảm biến thông minh được kết nối với tài sản kỹ thuật số và gửi dữ liệu đến trung tâm giám sát từ xa. • Trường hợp này là rủi ro thấp nhất vì luồng thông tin là một chiều đi ra từ cảm biến. Bất kể kết nối là gì — hướng đến điểm đến bên ngoài chu vi OT được bảo mật hoặc tới gateway bên trong thiết bị — cảm biến sẽ không chấp nhận các lệnh điều kiển. • Do đó, một tác nhân xấu có thể đánh chặn thông tin và có khả năng ẩn thông tin khỏi HMI, nhưng không thể ảnh hưởng trực tiếp đến cảm biến. IIoT chỉ giao tiếp một chiều ra bên ngoài (Outbound) IIoT Gateway ICS Historian Enterprise Resource Planning Manufacturing Execution System Data Warehouse Remote Monitoring Center Asset Smart Sensor OT Edge Processing Enterprise and/or Cloud Secured OT Perimeter
  • 5. claroty.com Mô hình giao tiếp và rủi ro Mô hình 2: Giao tiếp hai chiều giữa bên trong (Inbound) và bên ngoài (Outbound) • Trường hợp này cung cấp hai luồng thông tin: một luồng thông tin đi ra bên ngoài và một luồng thông tin đi vào bên trong cảm biến để truy vấn nó (ví dụ, theo dõi trạng thái). • Các truy vấn và lệnh yêu cầu thông tin phân tích có thể được gửi từ môi trường IT doanh nghiệp hoặc điện toán đám mây, hoặc có thể từ nhà sản xuất thiết bị IIoT để thu thập dữ liệu hoặc truy cập thông tin để khắc phục sự cố. • Do tính chất hai chiều của các luồng thông tin, trường hợp sử dụng này có rủi ro lớn hơn trường hợp luồng thông tin chỉ có chiều đi ra bên ngoài. IIoT Giao tiếp hai chiều giữa bên trong và bên ngoài IIoT Gateway ICS Historian Enterprise Resource Planning Manufacturing Execution System Data Warehouse Remote Monitoring Center Asset Smart Sensor OT Edge Processing Enterprise and/or Cloud Secured OT Perimeter
  • 6. claroty.com Mô hình giao tiếp và rủi ro Mô hình 3: Truy cập từ xa, bảo trì và chẩn đoán • Trường hợp sử dụng này có nguy cơ rủi ro cao nhất bởi vì nó không chỉ liên quan đến các cảm biến (được giới hạn trong việc cung cấp thông tin) mà còn cả các cơ cấu chấp hành thực hiện các sửa đổi trong môi trường sản xuất. • Như cảm biến trong các mô hình trước, có giao tiếp hai chiều giữa hệ thống IT doanh nghiệp hoặc điện toán đám mây và cơ cấu chấp hành. Sau đó, chúng có thể phản hồi các mệnh lệnh và thực hiện các hành động tiếp theo. • Ví dụ, một bộ cơ cấu chấp hành có thể gửi các mệnh lệnh để thay đổi trạng thái, sửa đổi tốc độ của một quá trình hoặc thay đổi một dòng chảy. Trường hợp sử dụng này cũng có thể mô tả việc điều khiển từ xa các quy trình liên quan đến thiết bị IIoT hoặc thậm chí của một nhà máy đầy đủ. • Mặc dù rõ ràng là hữu ích khi có thể điều khiển các quy trình từ xa, nhưng điều quan trọng là phải nhận ra các mối đe dọa bảo mật đi kèm và phải có giải pháp bảo vệ hệ thống khỏi các mối đe doạ này. Truy cập từ xa, bảo trì và chẩn đoán IIoT Gateway ICS Historian Enterprise Resource Planning Manufacturing Execution System Data Warehouse Remote Monitoring & Control Center Asset Smart Actuator OT Edge Processing Enterprise and/or Cloud Secured OT Perimeter
  • 7. claroty.com Nhu cầu về bảo mật an toàn thông tin 7
  • 8. claroty.com 8 Yêu cầu bảo mật thế hệ mới cho an ninh bảo mật hệ thống mạng công nghiệp Chuyển đổi kỹ thuật số tạo ra rủi ro hiện hữu đối với các hoạt động công nghiệp cần được giảm thiểu Tiết lộ Bảo vệ Phát hiện Kết nối Thách thức Những yêu cầu mới • Các thiết bị truyền thông sử dụng các giao thức độc quyền • Các công nghệ mới nổi với các phương thức truyền thông mới • Sự lỗi thời của Mô hình Purdue truyền thống • Khả năng hiển thị đối với thiết bị, truyền thông trong mạng và các quy trình • Khả năng hiển thị đối với thiết bị “brownfield” (OT) và “greenfield” (IIoT, IoT) • Hiểu biết hạn chế về rủi ro vốn có của môi trường OT • Khoảng cách hiểu biết đối với các biện pháp kiểm soát bù đắp • Không hiểu rõ cách thức ưu tiên giảm thiểu rủi ro • Xác định rủi ro vốn có của tài sản OT/IIoT • Ưu tiên các hành động giảm thiểu rủi ro để giảm thiểu rủi ro • Hiểu rõ rủi ro còn lại sau khi áp dụng các biện pháp kiểm soát • Các cuộc tấn công cơ hội như ransomware vẫn hoạt động • Các cuộc tấn công tội phạm mạng có mục tiêu để thu lợi tài chính • Các tác nhân tấn công mạng được các quốc gia tài trợ nguồn lực • Theo dõi các rủi ro còn lại để tìm kiếm các dấu hiệu tấn công • Thiết lập mô hình phát hiện có khả năng phục hồi để phát hiện các vectơ tấn công khác nhau • Các công cụ Bảo mật CNTT không có khả năng hiển thị sâu trong môi trường OT • Những người ra quyết định cần có một cái nhìn toàn diện về rủi ro doanh nghiệp • Kết nối bảo mật OT vào kiến trúc bảo mật IT • Cung cấp một cái nhìn toàn diện về rủi ro trong OT cho những người ra quyết định Copyright © 2021 Claroty Ltd. All rights reserved
  • 9. claroty.com | Copyright © 2022 Claroty Ltd. All rights reserved 9 “RIGHT FOR ME” UX DELIVERED YOUR WAY ECOSYSTEM INTEGRATED Nền tảng Claroty Thúc đẩy khả năng hiển thị, bảo vệ, phát hiện và khả năng phục hồi trong môi trường công nghiệp Chúng tôi bảo vệ mọi thứ trong vòng bốn bức tường - OT, IIoT, IoMT giúp các tổ chức bảo mật các hệ thống vật lý mạng OT / Industrial IoT Smart Buildings/Grids Enterprise IoT Healthcare (IoMT) Historian RTU SCADA DCS HMI PLC Autonomous Things Sensors Embedded Devices IIoT Gateway Elevator Smart Grid BMS/BAS HVAC Physical Intrusion Card Access Video Lighting & Energy Cloud Services Supply Chain CAV Industry 4.0 CT Scanner Blood Gas Analyzer Anesthesia Machine Hemotology Analyzer Tiết lộ Phát hiện và phân loại tất cả tài sản Kết nối Tích hợp và liên kết với phần còn lại của doanh nghiệp Bảo vệ Đánh giá, ưu tiên, và giảm thiểu rủi ro cho tài sản Phát hiện Nhanh chóng phát hiện, phân tích và phản hồi các nguy cơ bảo mật Nền tảng Claroty + Medigate
  • 10. claroty.com Giải pháp an ninh mạng hoàn chỉnh cho các hệ thống Cyber- Physical và XIoT Nền tảng và Hệ sinh thái cho phép Tiết lộ, Bảo vệ, Phát hiện và Kết nối tài sản • Quản lý và kiểm kê tài sản OT / IoT / IIoT • Đánh giá rủi ro & vệ sinh liên tục • Phân vùng & phân đoạn mạng sử dụng AI điều khiển • Kiểm soát truy cập từ xa và bên thứ ba • Quản lý cấu hình và Quản lý thay đổi • Liên tục theo dõi mối đe dọa & lỗ hổng bảo mật • Lập bản đồ vectơ tấn công & phân tích nguyên nhân gốc rễ • Tương quan tự động và làm giàu cảnh báo • Sự kiện và phân tích sự cố • Hỗ trợ cho các hoạt động phản hồi từ xa • Khuyến nghị khắc phục dựa trên rủi ro • Khả năng giám sát và ngắt kết nối người dùng từ xa Mở rộng các biện pháp kiểm soát bảo mật cơ bản cho môi trường công nghiệp Copyright © 2022 Claroty Ltd. All rights reserved 10 Mở rộng kiểm soát bảo mật vào Hệ thống Cyber-physical Tích hợp liền mạch với giải pháp công nghệ có sẵn của tổ chức
  • 11. claroty.com Phương án bảo mật hệ thống mạng OT tốt nhất 11
  • 12. claroty.com Hành trình kiến trúc An ninh Hệ thống mạng Công Nghiệp Lộ trình giải pháp thực tiễn tốt nhất Priority: Understand Your Network ● What assets are in your network? ● How is your network structured? ● What vulnerabilities and risks are present? ● How can you manage those risks? 1 Priority: Detect Threats ● What threats are you most concerned about? ● How should your staff manage alerts? ● How can your existing IT security tech stack support your industrial network? 2 Where would you like to start? Recommendation: 1 2 3 Priority: Control Access ● How can you provide internal and third-party personnel with remote access to your network? ● How should you manage the risks posed by their access? ● How should you respond to incidents related to their access? 3 Your Industrial Cybersecurity Journey Điểm xuất phát? Khuyến nghị: 1 2 3 Ưu tiên: Kiểm soát truy cập • Làm cách nào bạn có thể cung cấp cho nhân viên nội bộ và bên thứ ba quyền truy cập từ xa vào mạng của bạn? • Bạn nên quản lý rủi ro do truy cập của họ như thế nào? • Bạn nên ứng phó với các sự cố liên quan đến quyền truy cập của họ như thế nào? Ưu tiên: Phát hiện các mối đe dọa • Bạn quan tâm đến những mối đe dọa nào nhất? • Nhân viên của bạn nên quản lý các cảnh báo như thế nào? • Làm thế nào để tích hợp các công nghệ bảo mật CNTT hiện tại của bạn với mục đích hỗ trợ hệ thống mạng công nghiệp của bạn? Ưu tiên: Hiểu rõ hệ thống mạng của bạn • Những tài sản nằm trong hệ thống mạng của bạn? • Kiến trúc hệ thống mạng của bạn như thế nào? • Những lỗ hổng và rủi ro nào đang hiện hữu? • Bạn có thể quản lý những rủi ro đó như thế nào?
  • 14. claroty.com Level 4 Corporate Network Level 3.5 IT/OT DMZ Zone Level 3 Operations Level 2 Process Network Level 1 Control Network Level 0 Field Devices I/O EMC Log Mgmt. SIEM Switch CTD Server SPAN Operator Station EWS HMI Switch DCS SIS Pump Valve Sensor Fan Actuator Valve PLC HMI TAS Server Sensor SPAN Remote location MCB/ CTR Data Center Giải pháp Claroty Monitoring Thiết kế mẫu – Hệ thống nhà máy sản xuất Điện Turbine
  • 15. claroty.com HQ/ Datacentre Thiết kế mẫu– Hệ thống phân phối Điện
  • 16. claroty.com Kịch bản rủi ro và cách thức phát hiện Ví dụ: Log4j Solarwinds Orion Sunburst – Chuỗi cung ứng Lỗ hổng Ripple 20 Codemeter: ví dụ về rủi ro của bên thứ 3 Phát hiện Cobalt Strike Phát hiện Ransomwares, Trojan, Malware đã biết 16
  • 17. claroty.com 17 Tổng quan – Log4shell ● CVE 2021-44228, CVE 2021-45046 ● Điểm CVSS cao: 10 ● Cho phép kẻ tấn công thực thi mã từ xa, từ chối dịch vụ ● Log4j là mô-đun ghi nhật ký được sử dụng trong một số lượng lớn các ứng dụng trong môi trường OT ● Sản phẩm Claroty products không sử dụng gói Log4j và không bị ảnh hưởng ● Những nhà nghiên cứu của Claroty researchers đưa ra các quy tắc có sẵn để phát hiện việc khai thác chống lại các máy chủ web trong thời gian nhanh chóng ● Đặc biệt là khi payload được phân phối qua các giao thức như LDAP và API RMI • Khi các nhà cung cấp cung cấp thêm thông tin chi tiết cụ thể về kiểu máy, dòng thiết bị / phiên bản nào dễ bị tấn công, Claroty sẽ cập nhật cơ sở dữ liệu CVE của mình trong các gói cập nhật. • Hiện tại, cơ chế phát hiện dựa vào cảnh báo thông qua giám sát lưu lượng Log4j – Lỗ hổng Zero Day Phát hiện mối đe dọa liên tục
  • 18. claroty.com 18 INITIAL ACCESS DELIVERY EXECUTION COMMAND & CONTROL IMPACT? Mục tiêu nhắm vào các tổ chức thuộc chính phủ Hoa Kỳ 2) Tác nhân nhúng mã backdoor độc hại (SUNBURST) trong SW Dll nơi nó được che dấu khỏi hệ thống giám sát. 1) Tác nhân/ Kẻ tấn công đã truy cập vào kho mã nguồn SW hoặc xây dựng “đường ống” thông qua vectơ chưa được xác nhận ~03/ 2020 ~ 18.000 khách hàng F500 & govt đã cấp đặc quyền truy cập đầy đủ cho SW trên hệ thống mạng của họ ~05 – 06/ 2020 3) Người dùng SW đã vô tình cài đặt SUNBURST thông qua bản cập nhật phần mềm SW 4) Các phiên bản SW bị nhiễm mã độc được chỉ dẫn tới C2 để nhận lệnh từ các máy chủ được kiểm soát bởi các tác nhân Toàn bộ thông tin hệ thống mạng người dùng SW ~ 06 – 12/ 2020 12/ 2020 ● Cuộc tấn công được tiết lộ ● Bản vá giảm thiểu và tiêu diệt mã độc được phát hành nhưng có nhiều giới hạn ● Không thể phát hiện sự tấn công bằng các giải pháp quản lý lỗ hổng truyền thống hoặc AV ● Những rủi ro nghiêm trọng vẫn còn tồn tại ● Thông tin đầy đủ về mức độ & tác động của cuộc tấn công vẫn chưa được biết rõ Ngảy nay Cuộc tấn công SOLARWINDS Phát hiện mối đe dọa liên tục
  • 19. claroty.com 19 19 MÔ TẢ App Detection Khả năng phát hiện các ứng dụng trong hệ thống, ví dụ: phát hiện ứng dụng Solarwinds orion Known Threat Detection Khả năng phát hiện các công cụ của đội đỏ (red team) bị đánh cắp từ FireEye Lateral Movement via Policy Alerts Khả năng phát hiện các chuyển động ngang (chiều Đông - Tây) trong hệ thống Anomaly Detection Khả năng phát hiện các xu hướng lưu lượng truy cập bất thường từ base-line DNS Detection Khả năng phát hiện các lệnh và kiểm soát thông tin thông qua DNS Các phương pháp có thể được sử dụng để phát hiện các cuộc tấn công chuỗi cung ứng Phát hiện mối đe dọa liên tục
  • 20. claroty.com 20 CTD được sử dụng để phát hiện những ứng dụng bị ảnh hưởng Tổng quan ● Không có lỗ hổng nào liên quan đến sự xâm phạm = không có CVE nào để phát hiện ● Kiểm kê tài sản (Asset inventory) là cách duy nhất để xác định các hệ thống bị ảnh hưởng ● Sử dụng CTD Active Scanning để tìm kiếm các phiên bản SW Orion trong môi trường của bạn ● Threat Bundle 23 làm cho quá trình này dễ dàng hơn với Quét chủ động (Active Scanning) thông qua WMI ● Có khả năng phát hiện những bất thường của DNS 1) Phát hiện SOLARWINDS ORION Phát hiện mối đe dọa liên tục
  • 21. claroty.com 21 21 CTD: Passive Mode Tổng quan ● Mã SUNBURST được nhúng trong SW cho phép truy cập cửa sau (backdoor) và truy cập vào thông tin đăng nhập cho các tài sản trên toàn môi trường. ● Sự lây lan trong hệ thống (Lateral movement) là khả thi với mức độ truy cập này ● Để xác định sự lây lan, hãy tìm CTD policy alerts cho biết hệ thống kết nối qua các vùng không điển hình ● Sự bất thường của hệ thống mạng cũng có thể liên quan đến chuyển động ngang ● Sử dụng CTD ở Passive Mode để tìm kiếm các cảnh báo về mối đe dọa từ các điểm bất thường có thể chỉ ra chuyển động ngang qua các vùng của mạng OT của bạn 2) Phát hiện sự lây lan bằng cảnh báo chính sách Phát hiện mối đe dọa liên tục
  • 22. claroty.com 22 22 CTD: Passive Mode Tổng quan ● SW bị xâm phạm cho phép các tác nhân ăn cắp các công cụ của đội đỏ (red team) từ FireEye. Chữ ký liên kết đã được ban hành kể từ đó. ● Chữ ký cũng đã được cấp cho DNS beaconing bởi các trường hợp SW bị xâm phạm. ● Threat Bundle 22 bao gồm tất cả các chữ ký này. ● Sử dụng CTD ở Passive mode để phát hiện sự khai thác các mối đe dọa. ● Ghi chú: Những chữ ký này nên được xem là toàn diện. 3) Phát hiện sự khai thác các mối đe doạ Phát hiện mối đe dọa liên tục
  • 23. claroty.com 23 CTD: Passive Mode Tổng quan ● Các yêu cầu DNS bất thường được liên kết với DNS beaconing bởi các trường hợp SW bị xâm phạm ● Sử dụng CTD tại Passive Mode để tìm kiếm kết nối DNS tới avsvmcloud[.]com 4) Phát hiện Beaconing với DNS Inspection Phát hiện mối đe dọa liên tục
  • 24. claroty.com 24 • Theo dõi các lỗ hổng TCP/IP được sử dụng rộng rãi trên các hệ thống nhúng • 19 lỗ hổng được phát hiện bởi công ty nghiên cứu JSOF • Có thể được sử dụng trên 100 triệu thiết bị OT và IoT • Các lỗ hổng bảo mật từ hỏng bộ nhớ có thể khiến DOS hoặc RCE dẫn đến rò rỉ thông tin • Tính đến ngày 5 tháng 7 năm 2020, có 16 nhà cung cấp đưa ra khuyến nghị, 22 nhà cung cấp xác nhận bị ảnh hưởng, 56 nhà cung cấp vẫn đang điều tra RIPPLE20 & Bảo mật chuỗi cung ứng Phát hiện mối đe dọa liên tục
  • 25. claroty.com 25 Phát hiện thiết bị ảnh hưởng bởi Ripple20 • Aruba • HCL Tech • Zuken Elmic • B. Braun • HP • Baxter • HPE • CareStream • Intel • Caterpillar • Maxlinear • Xeroex • Cisco • Opto22 • Dell • Rockwell Automation • Digi International • Schneider Electric • Eaton • Teradici • Green Hills Software Trường hợp sử dụng Phát hiện mối đe dọa liên tục
  • 26. claroty.com 26 • Proven RCE vulnerabilities • CVE-2020-11896, CVE-2020-11901 • Out-of-Bounds write • CVE-2020-11897, CVE-2020-11904 • Info Leak • CVE-2020-11898, CVE-2020-11902, CVE-2020-11899, CVE-2020-11903, CVE-2020-11905, CVE-2020-11910, CVE-2020-11912, CVE-2020-11913, CVE-2020-11914, CVE-2020-11908 • User after Free - Potential DOS/RCE • CVE-2020-11900 • Integer Underflow - DOS • CVE-2020-11906, CVE-2020-11907, CVE-2020-11909 • Unauthorized change of settings • CVE-2020-11911 Tác động của RIPPLE20 đến máy ảo Phát hiện mối đe dọa liên tục
  • 27. claroty.com 27 • Phát hiện dấu hiệu/ Chữ ký • IPIP phân mảnh • Giao thức được sử dụng để khai thác CVE-2020-11896, CVE- 2020-11898. Giao thức này không phổ biến trong mạng ICS và được sử dụng giữa các thiết bị mạng. • Kiểm tra Fingerprinting sử dụng ICMP type 165 • Phương pháp liệt kê để xác định TCP/IP stack Phát hiện khai thác RIPPLE20 Phát hiện mối đe dọa liên tục
  • 28. claroty.com 28 License To Kill: 6 lỗ hổng được phát hiện trong phần mềm quản lý giấy phép của bên thứ 3. Ảnh hưởng đến hầu hết các nhà cung cấp ICS. • Six Vulns / Two Attack Vectors • Tấn công RCE hoặc DoS • Fingerprint User Environments • Sửa đổi hoặc giả mạo giấy phép • ICS-CERT đánh giá các lỗ hổng này có điểm là 10.0, mức điểm cao nhất. Lỗ hổng bảo mật CodeMeter Một ví dụ về rủi ro của bên thứ 3 Phát hiện mối đe dọa liên tục
  • 29. claroty.com 29 Cobalt Strike – Phát hiện hành vi của đối thủ Hồ sơ Malleable C2 và DNS beacons
  • 30. claroty.com 30 Những mối đe doạ đã biết– Ransomware, Trojan, malware, YARA rules Xấp xỉ 500 quy tắc để phát hiện những ransomware đã biết, >11000 dấu hiệu nhân biết mối đe doạ trong csdl Threat intelDB *Threat intel được cập nhật hang tuần bởi đội ngũ Claroty Product
  • 31. claroty.com Áp dụng Zero-trust cho OT Ví dụ: Bảo mật cho truy cập từ xa Bảo mật cho truyền dữ liệu Quản lý truy cập 31
  • 32. claroty.com 32 Firewall Historian SCADA Server HMI Engineering Workstation 3rd Party Technicians 3rd Party Technicians Remote Employees Remote Employees PLC PLC PLC PLC Valve Drill Valve Drill Valve Drill Valve Drill DMZ Firewall Firewall SSH RDP VNC HTTP / HTTPS Phức tạp trong Cấu hình tường lửa Thách thức trong Quản lý sự thay đổi Phản ứng chậm trong trường hợp khẩn cấp Quá nhiều lỗ hổng bảo mật Vi phạm mô hình Purdue Thiếu sự kiểm soát o RBA/ PoLP/ zero-trust o Thời gian trong ngày/ Ngày trong tuần o Không có giám sát trong thời gian thực o Không có kiểm toán - audit o Sự cố với máy chủ Jump o Tiết lộ Thông tin đăng nhập o Truy cập dựa trên VPN truyền thống đầy rủi ro Rủi ro của nhà cung cấp dịch vụ bên thứ 3! Có thể cung cấp dịch vụ Truy cập từ xa truyền thống cho những Người lao động mới kết nối?
  • 33. claroty.com 33 Kiến trúc hội tụ IT/OT Hỗ trợ phân đoạn Purdue Máy tính từ xa không kết nối trực tiếp với tài sản OT Phá vỡ các giao thức dọc theo tuyến truyền thông (communication path) Tính năng yêu cầu quyền truy cập cho các tài sản OT quan trọng Tuân thủ các yêu cầu về GDPR Tường lửa OT ít lỗ hổng hơn Hỗ trợ làm việc từ xa với các giao thức / ứng dụng ICS Tích hợp với OT Monitoring Clientless, agentless, OOTB password vault Facility 1 SRA Secure Access Center (SAC) SRA Site SRA Site SRA Site Remote Users Local User Local User Local User OT Asset PLC OT Asset Facility 2 Facility 3 BẢO MẬT TRUY CẬP TỪ XA cần được ‘PURPOSE-BUILT’ cho môi trường OT
  • 34. claroty.com February 13, 2023 34 Copyright © 2020 Claroty Ltd. All rights reserved OT Asset SRA Site SRA SAC Remote User Secure Web (HTTPS) SSH Reverse Tunnel SSH Reverse Tunnel OT Asset SRA Site SRA SAC Remote User VPN Over SSL SSH Reverse Tunnel SSH Reverse Tunnel OT Asset SRA Site SRA SAC Remote User Secure Web (HTTPS) SSH Reverse Tunnel SSH Reverse Tunnel SRA HỖ TRỢ CÁC TRƯỜNG HỢP SỬ DỤNG TRUY CẬP TỪ XA CHO MÔI TRƯỜNG CÔNG NGHIỆP
  • 35. claroty.com Chương trình bảo mật an toàn thông tin Những trọng tâm chính 35
  • 36. claroty.com Claroty Confidential Tóm tắt - Các trọng tâm chính cần tập trung!  Hiển thị hệ thống OT và IIOT  Xác định các lỗ hổng bảo mật  Hiểu rõ rủi ro  Theo dõi các mối đe dọa  Tính toán cách tiếp cận của các tác nhân tấn công  Tạo chính sách phân đoạn (Segmentation)  Bảo mật quyền truy cập từ xa  Kết nối sự cố OT & IIOT với Kiểm soát bảo mật CNTT / SOC
  • 37. claroty.com Claroty Confidential Cảm ơn! Vijay Vaidyanathan – RVP Solutions Engineering, APJ