Mối đe dọa đối với ngành sản xuất không còn là lý thuyết. Các nhóm ransomware đã nhận ra rằng dây chuyền sản xuất có giá trị đòn bẩy cao hơn nhiều so với cơ sở dữ liệu doanh nghiệp. Khi một ca sản xuất bị gián đoạn, chi phí thiệt hại có thể đo lường được theo từng giờ: máy móc ngừng hoạt động, đơn hàng chậm trễ, phạt hợp đồng và công tác khắc phục hậu quả kéo dài vượt xa sự cố ban đầu. Chính những tính toán này là điều mà kẻ tấn công đang khai thác.

Những điều kiện khiến ngành sản xuất trở thành mục tiêu hấp dẫn đối với kẻ tấn công cũng đồng thời khiến việc bảo mật trở nên cực kỳ khó khăn. Các mạng IT và OT từng được tách biệt vật lý nay đã được kết nối theo thiết kế: giám sát từ xa, truy cập của nhà cung cấp, cầu nối dữ liệu MES-to-ERP và giao diện SCADA trên nền tảng đám mây. Mỗi sự tích hợp nhằm cải thiện khả năng hiển thị cũng đồng thời tạo ra một con đường tấn công. Các PLC cũ và hệ thống SCADA đời trước được thiết kế ưu tiên tính sẵn sàng và tuổi thọ, chứ không phải xác thực hay mã hóa. Chúng không thể được vá lỗi theo lịch trình như hệ thống IT doanh nghiệp, và trong nhiều trường hợp là không thể vá lỗi được. Các khoảng cách vật lý (air gaps) mà các nhà quản lý nhà máy đã tin cậy trong hàng thập kỷ nay không còn tồn tại trong các nhà máy kết nối.

Gradion mang đến kinh nghiệm đánh giá và triển khai IEC 62443 cho các môi trường sản xuất tại khu vực DACH và Châu Á – Thái Bình Dương. Công việc của chúng tôi bắt đầu từ sàn sản xuất, không phải từ một mẫu bảo mật IT chung chung, bởi vì thứ tự ưu tiên trong OT là đảo ngược: an toàn là trên hết, sau đó là tính sẵn sàng, và cuối cùng là tính bảo mật. Các biện pháp kiểm soát bảo mật làm ảnh hưởng đến một trong hai ưu tiên hàng đầu này đều không phải là giải pháp chấp nhận được.

Những gì chúng tôi cung cấp

Đánh giá và Triển khai IEC 62443

IEC 62443 là tiêu chuẩn quốc tế về an ninh cho hệ thống điều khiển và tự động hóa công nghiệp. Tiêu chuẩn này cung cấp một ngôn ngữ có cấu trúc mà các tổ chức sản xuất cần để đánh giá, lập tài liệu và quản lý bảo mật trên toàn bộ môi trường OT. Gradion thực hiện đánh giá mức độ bảo mật dựa trên các cấp độ bảo mật mục tiêu của IEC 62443-3-3, thiết kế kiến trúc vùng và kênh dẫn phản ánh cấu trúc sản xuất thực tế, đồng thời triển khai các khuôn khổ kiểm soát truy cập phù hợp cho mạng OT. Kết quả là một kiến trúc bảo mật có thể kiểm toán được, không chỉ là một bản trình bày.

Phân đoạn mạng OT

Việc tách biệt mạng sản xuất khỏi hệ thống IT doanh nghiệp đòi hỏi nhiều hơn là chỉ các quy tắc tường lửa. Gradion thiết kế kiến trúc phân đoạn sử dụng Mô hình Purdue làm khuôn khổ tham chiếu, xác định ranh giới rõ ràng giữa các thiết bị trường cấp 0, hệ thống điều khiển cấp 1/2, hoạt động sản xuất cấp 3 và IT doanh nghiệp ở cấp 4. Thiết kế DMZ công nghiệp, cổng một chiều (nếu phù hợp) và triển khai tường lửa cấp công nghiệp là một phần của quá trình triển khai. Mục tiêu là ngăn chặn sự di chuyển ngang (lateral movement) nếu xảy ra sự cố xâm nhập từ phía IT, để sàn sản xuất vẫn tiếp tục hoạt động.

Bảo mật truy cập từ xa cho nhà cung cấp và bảo trì

Truy cập từ xa của nhà cung cấp là một trong những điểm xâm nhập phổ biến nhất dẫn đến các sự cố sản xuất. Mô hình này thường xuyên lặp lại: một kỹ sư bảo trì kết nối qua thông tin đăng nhập VPN dùng chung, phiên làm việc có quyền truy cập rộng hơn mức cần thiết, và kết nối không bao giờ được ghi lại theo cách tạo ra dữ liệu pháp y có thể hành động. Gradion thay thế kiến trúc VPN chung chung bằng các mô hình truy cập Zero-Trust sử dụng Zscaler hoặc Palo Alto Prisma, thiết lập các phiên làm việc theo tên người dùng với phạm vi xác định, ghi nhật ký kiểm toán đầy đủ và cửa sổ truy cập giới hạn thời gian. Các nhà cung cấp có được những gì họ cần. Mạng không bị lộ ra ngoài ranh giới đó.

Quản lý lỗ hổng bảo mật cho tài sản OT

Quản lý lỗ hổng OT bắt đầu bằng việc lập danh mục tài sản đầy đủ, điều mà hầu hết các môi trường sản xuất hiện nay chưa có được một cách chính xác và cập nhật. Gradion xây dựng danh mục này, theo dõi các phiên bản firmware trên PLC, HMI và thiết bị mạng, đồng thời ánh xạ các lỗ hổng đã biết tới từng tài sản. Trong trường hợp không thể vá lỗi do hệ thống đang hoạt động liên tục hoặc nhà cung cấp không còn hỗ trợ phiên bản đó, các biện pháp kiểm soát bù đắp sẽ được thiết kế và ghi lại: hạn chế cấp độ mạng, giám sát nâng cao và quy trình vận hành giúp giảm thiểu rủi ro mà không cần cửa sổ bảo trì, vốn không thể đáp ứng trong lịch trình sản xuất.

Ứng phó Sự cố cho Môi trường Sản xuất

Các kịch bản ứng phó sự cố được thiết kế cho môi trường IT không phù hợp với sàn sản xuất. Cây quyết định khác biệt: việc cô lập một hệ thống bị xâm nhập đang vận hành dây chuyền sản xuất không giống như việc ngắt kết nối một máy chủ tệp. Gradion phát triển các kịch bản ứng phó sự cố chuyên biệt cho ngành sản xuất, có tính đến thứ tự ưu tiên (an toàn trước, sau đó là khả dụng, cuối cùng là bảo mật), xác định rõ ràng các lộ trình leo thang giữa đội ngũ an ninh IT và vận hành OT, đồng thời bao gồm các hành động ứng phó được phê duyệt trước mà không yêu cầu chuyên gia an ninh phải hiểu logic PLC trong thời gian thực. Các buổi diễn tập trên bàn sẽ xác thực các kịch bản này trước khi sự cố xảy ra.

Nghĩa vụ NIS2 đối với Các Nhà Vận hành Sản xuất

Các nhà sản xuất được phân loại là nhà vận hành dịch vụ thiết yếu theo NIS2 phải đối mặt với các nghĩa vụ báo cáo sự cố, yêu cầu quản trị và kỳ vọng về an ninh chuỗi cung ứng mới mẻ đối với nhiều tổ chức. Quy định này áp dụng cho các nhà sản xuất vừa và lớn trong các lĩnh vực bao gồm thực phẩm, hóa chất và máy móc công nghiệp. Đánh giá phạm vi là điểm khởi đầu đúng đắn: hiểu rõ liệu NIS2 có áp dụng hay không, những thực thể nào nằm trong phạm vi và khoảng cách giữa tình hình an ninh hiện tại với các yêu cầu tuân thủ.

"Kiểm tra An toàn An ninh Mạng" của Gradion là một dịch vụ có cấu trúc dành cho mục đích này. Thực hiện trong khoảng ba tuần với sáu đến bảy ngày tư vấn, gói dịch vụ bao gồm cả phạm vi IT và OT, cung cấp đánh giá mối đe dọa đa miền, bảng điểm rủi ro cấp điều hành với các chỉ số đỏ/vàng/xanh trên các lĩnh vực chính, và một kế hoạch khắc phục được xếp hạng theo mức độ khẩn cấp và tính khả thi. Dịch vụ này phù hợp để chuẩn bị cho các quy trình kiểm toán ISO 27001 hoặc NIS2, cũng như là một phản ứng có cấu trúc đối với một sự cố an ninh gần đây hoặc quá trình tích hợp IT/OT sau sáp nhập.

Bằng chứng trong môi trường sản xuất

tập đoàn công nghệ an toàn công nghiệp hàng đầu, nhà cung cấp giải pháp an toàn công nghiệp toàn cầu cho cơ sở hạ tầng trọng yếu, đã hợp tác với Gradion để hỗ trợ quá trình chuyển đổi số của mình. Môi trường của tập đoàn công nghệ an toàn công nghiệp hàng đầu đại diện cho một thách thức đặc thù trong an ninh mạng sản xuất: sự giao thoa giữa an toàn chức năng và an ninh thông tin, nơi những thay đổi đối với hệ thống điều khiển mang lại hậu quả không chỉ đo lường bằng thời gian ngừng hoạt động mà còn bằng an toàn vật lý. Sự hợp tác này đòi hỏi sự thấu hiểu cả hai khía cạnh.

Senior Aerospace Thailand, một nhà sản xuất chính xác cung cấp linh kiện cho các OEM hàng không vũ trụ và quốc phòng, đã hợp tác với Gradion để hiện đại hóa hệ sinh thái phần mềm nhà máy của mình, bao gồm quản lý dữ liệu và phân tích sản xuất được xây dựng trên Infor CloudSuite Industrial. Môi trường sản xuất chính xác hoạt động với dung sai chặt chẽ, khiến bất kỳ sự gián đoạn hệ thống ngoài kế hoạch nào cũng đều gây ra hậu quả nghiêm trọng. Công việc này phản ánh kinh nghiệm của Gradion trong các môi trường sản xuất nơi độ tin cậy và an ninh là không thể tách rời.

Kêu gọi hành động

Hãy cho chúng tôi biết về môi trường sản xuất và các điểm tích hợp mà bạn quan tâm nhất. Chúng tôi sẽ xác định phạm vi đánh giá an ninh.