An ninh có chứng chỉ đang tới

CertifiedSecurity It’s Coming

May 2011 (p.41)

Written by Dave Gehman,Contributing Editor

Theo:http://www.automationworld.com/feature-8769

Bài được đưa lênInternet ngày: tháng 05/2011

Lờingười dịch: Sau Stuxnet, cho tới giờ vẫn chưa có biệnpháp hữu hiệu nào để bảo vệ an ninh an toàn cho các hệthống SCADA của các hạ tầng sống còn, dù có lẽtrong tương lai sẽ có các hệ thống chứng chỉ dựa trêncác tiêu chuẩn ISA99được cải tiến sẽ được áp dụng. “Trong khi chờđợi, với hoặc không với chứng chỉ và các tiêu chuẩn,có một số cách thức để làm giảm bớt sợ hãi vềphần mềm độc hại, bắt đầu với việc đóng si bấtkỳ công cụ truy cập không được phép nào tới mạng:cài đặt các tường lửa, chỉ định và tăng cường cácmật khẩu, loại bỏ hoặc khóa các bàn phím, vô hiệuhóa các kết nối bằng USB, vứt đi các đĩa hoặc băngtừ lỗi thời và những thứ tương tự”. Không biết ởta thì các nơi có sử dụng các hệ thống SCADA thì cólàm như khuyến cáo này không nhỉ?

Các kiểm soát, thiếtbị và mạng công nghiệp mà được chứng thực an ninh -an ninh một cách toàn diện - không tồn tại, vì lý do đơngiản rằng các tiêu chuẩn hoàn toàn là không có. Nhưngtừng tí một của thứ đó đang cùng tới.

Nếu bạn muốn làmnín lặng một nhóm các kỹ sư kiểm soát, đơn giản nói,“Stuxnet”.

Vào giữa năm 2010,các tin tặc mũ đen đã chiếm quyền kiểm soát giám sátdựa trên phần mềm tại một nhúm các nhà máy trong cáccuộc tấn công có mục đích cao. Các dạng tấn công độchại đơn giản, tất nhiên, đã làm việc với thế giớiđiện toán cá nhân hàng chục năm qua - một miền đấtnơi mà các trận đánh chống lại phần mềm độc hạitừ lâu đã được nhìn rõ. Các làn sóng gây tai họa đãrửa qua toàn bộ thế giới, nhờ vào những sâu, virus,hướng dẫn sai, dừng các ứng dụng, làm hỏng tệp cóchủ ý, bạn có thể nêu thêm tên.

Cho tới khi, có thứgì đó gây ngạc nhiên khi Stuxnet đưa các phần mềm độchại vào điểm sáng công nghiệp. Nhiều phỏng đoán gợiý cuộc tấn công là đặc biệt, quốc gia chống lạiquốc gia, với sự phát triển quân sự là đích ngắm. Vàtrong khi điều này giảm nhẹ một chút nếu bạn làm nướccam hơn là vũ khí hạt nhân, thì bóng ma bây giờ đang nổilên, và nó sẽ không đi mất khỏi.

Thật không may, điềunày lại không phải là một ông ba bị không gây hại gì.Các sản phẩm của bạn đóng góp càng gần bao nhiêu chocác ứng dụng quân sự, an ninh quốc gia hoặc hạ tầngxã hội, thì càng có các khả năng khủng khiếp hơn.Nhưng điều gì có thể xảy ra nếu bạn có thể đơngiản làm cho cái mạng tiếp theo của bạn bị sập, thìhãy kiểm tra các nhãn hoặc tài liệu của nó về sựtuân thủ các tiêu chuẩn an ninh, và nghỉ ngơi, biết rằngtoàn bộ hệ thống kiểm soát của bạn sẽ miễn dịchvới cuộc tấn công nhỉ?

Vâng, Virginia, cáctiêu chuẩn hoặc sẽ có hoặc sắp có.

Industrialcontrollers, devices and networks that are certifiedsecure—comprehensively secure—don’t exist, for the simplereason that the standards are not all in place. But bits and piecesof the puzzle are coming together.

Ifyou want to hush a group of control engineers, simply say, “Stuxnet.”

Inmid-2010, black hats took over software-based supervisory control ata handful of plants in highly targeted attacks. Similar types ofmalicious attacks, of course, have been at work in the personalcomputing world for decades—a land whe-re battles against malwarehave long been highly visible. Waves of grief have washed over thatuniverse, thanks to worms, viruses, misdirections, applicationstoppages, deliberate file corruption, you name it.

Still,it was something of a surprise when Stuxnet brought malware into theindustrial spotlight. Plenty of speculation suggests the attack wasspecific, nation against nation, with military development thetarget. And while this a bit of a relief if you make orange drinkrather than nuclear arms, the specter is now raised, and it will notgo away.

Unfortunately,it is no harmless bogeyman. The closer your products contribute tomilitary applications, national security or social infrastructure,the more frightening are the possibilities. But what if you couldsimply take your next network out of the box, check its labels ordocs for security standards compliance, and relax, knowing that yourwhole control system will be immune to attack?

Yes,Virginia, standards are either in place or about to be.

Cáctiêu chuẩn đang có

Các thiết bị riênglẻ có sẵn ngày nay có chứng chỉ mà chúng là phù hợpvới Wurldtech, một công ty công nghệ về an ninh có trụsở ở Vancouver, B.C. cung cấp an ninh không gian mạng theotên lóng Achilles - đặc biệt, chứng thực về an ninhtruyền thông. Dựa vào công việc nền tảng từ nhóm cáccông ty Đức WIB, cả chứng thực thiết bị của Achillesvà một chứng chỉ quá trình thứ 2 của Achilles xung quanhcác thực tế phát triển sản phẩm kết nối mạng tốtđưa ra “một tập hợp các yêu cầu và một chươngtrình chứng chỉ có liên quan cho các nhà cung cấp tuântheo... để cải thiện chất lượng các qui trình và thựctiễn an ninh không gian mạng xuyên khắp toàn bộ vòng đờicủa một hệ thống công nghiệp”.

WIB và Wurldtech đãkiếm lợi từ công việc đắt đỏ và đầu vào từShell, British Petroleum, Invensys, Honeywell, ABB, Dow, DuPont,Sabic và một số các tay chơi lớn khác trong các phân đoạncông nghiệp có ý thức cao về an ninh.

2 dạng chứng chỉcủa Wurldtech minh họa 2 chiến lược ban đầu cho việcđảm bảo an ninh một hệ thống: Một chứng chỉ tậptrung vào các tham số hoạt động đặc thù của các thiếtbị đặc thù; chứng chỉ kia tập trung vào các quá trìnhnghiên cứu và phát triển được sử dụng trong việc tạora các thành phần mạng công nghiệp. Cái đầu đo khảnăng các tính năng được xây dựng trong một thiết bịđể ngăn ngừa sự truy cập không được phép chống lạimột bộ đặc thù các cuộc tấn công. Cái thứ 2 đưa racác tiêu chí thiết kế và các tính năng an ninh không gianmạng sẵn sàng được yêu cầu cho việc tạo ra mộtthành phần chống được phần mềm độc hại, với mụcđích đảm bảo rằng mọi thứ được yêu cầu để đẩylui các cuộc tấn công sẽ sẵn sàng cho một người triểnkhai được huấn luyện.

Trong tương lai, việcsản xuất thiết bị sẽ được cấp chứng chỉ đốivới các tiêu chuẩn như những tiêu chuẩn được đưa ratừ ủy ban an ninh không gian mạng công nghiệp ISA99. Nhưvới hầu hết các tiêu chuẩn của Xã hội Tự động hóaQuốc tế ISA (International Society of Automation), những thứđược mong đợi sẽ là toàn diện, và quá trình từ sựkhái niệm hóa cho tới xuất bản các tiêu chuẩn là cầnthiết về lâu dài.

Mô tả của ủy banvề mục tiêu của nó nhấn mạnh tới phạm vi rộng:“Phát triển và thiết lập các tiêu chuẩn, khuyến cáocác thực tiễn, các báo cáo kỹ thuật, và các thông tinliên quan mà sẽ xác định các thủ tục cho việc triểnkhai các hệ thống kiểm soát và tự động hóa côngnghiệp an ninh điện tử, và đánh gái được hiệu năngan ninh điện tử. Chỉ dẫn được định hướng vàonhững người có trách nhiệm cho việc thiết kế, triểnkhai, hoặc quản lý các hệ thống công nghiệp tự độnghóa và kiểm soát và cũng sẽ áp dụng cho những ngườisử dụng, các nhà tích hợp hệ thống, các nhà thựchành an ninh và các nhà sản xuất và các nhà cung cấp cáchệ thống kiểm soát”.

Standardsin place

Individualdevices available today carry certification that they are incompliance with Wurldtech, a Vancouver, B.C. security technologiescompany providing cyber security under the Achillesmoniker—specifically, certified for communications security. Basedon groundwork f-rom Dutch consortium WIB (Werkgroup voor InstrumentBeoordeling; in English, Workgroup on Instrument Behavior), both theAchilles device certification and a second Achilles processcertification around good networking product development practiceslays down “a set of requirements and an associated certificationprogram for suppliers to follow … to improve the quality of theircyber security processes and practices throughout the entirelifecycle of an industrial system.”

WIBand Wurldtech benefited f-rom extensive work and input f-rom Shell,British Petroleum, Invensys, Honeywell, ABB, Dow, DuPont, Sabic and anumber of other large players in highly security-conscious industrialsegments.

Thetwo Wurldtech certification types illustrate the two primarystrategies for securing a system: One focuses on specific operationalparameters of specific devices; the other focuses on the research anddevelopment processes employed in the making of industrial networkingcomponents. The first measures the ability of features built into adevice to prevent unauthorized access against a specific suite ofattacks. The second prescribes the design criteria and availablecyber security features required for the creation of amalware-resistant component, with the objective of ensuring thateverything required to fend off attacks will be available to atrained implementer.

Inthe future, manufacturing equipment will be certified to standardssuch as those issued f-rom the ISA99 industrial cyber securitycommittee. As with most International Society of Automation (ISA)standards, these are intended to be comprehensive, and the processf-rom conceptualization to standards publication is necessarily a longone.

Thecommittee’s description of its purpose underlines the broad scope:“Develop and establish standards, recommended practices, technicalreports, and related information that will define procedures forimplementing electronically secure industrial automation and controlsystems and security practices, and assess electronic securityperformance. Guidance is directed towards those responsible fordesigning, implementing, or managing industrial automation andcontrol systems and shall also apply to users, system integrators,security practitioners, and control systems manufacturers andvendors.”

Liệuchúng ta có cần các tiêu chuẩn?

Nói chung, những ngườisử dụng muốn các tiêu chuẩn, ít nhất theo thăm dò ýkiến gần đây của các độc giả tờ Thế giới tựđộng hóa (Automation World) (xem bên cạnh “Có, Không, Cóthể”), nơi mà 65% những người được hỏi đã chỉ rahọ muốn các thiết bị được cấp chứng chỉ về anninh không gian mạng. Nhưng - dù bất kể là các tin tặcmũ trắng hay mũ đen trong cuộc chiến không gian mạng -thì các vấn đề vẫn có nhiều vùng xám.

“Nhiều người yêucầu kiến trúc”, Bryan Singer, trưởng tư vấn của hãngKenexis Security và là đồng chủ tịch của Ủy ban ISA99,nói. “Hãy nói cho chúng tôi những gì là kiến trúc vàchúng tôi sẽ làm”, họ nói. Nhưng công nghệ thay đổiquá nhanh đối với điều đó, cả các công nghệ trongcác kiểm soát và các công nghệ trong các phần mềm độchại. Câu trả lời nằm trong các quá trình thiết kế -các thực tiễn và các thủ tục, các chiến lược ủythác các hệ thống, thiết kế cho việc vận hành và duytrì các hệ thống.

Theo một nghĩa khác,các tiêu chuẩn ISA99 có một sự bắt đầu. Bổ sung vàocác tham số của WIB/Wurldtech, ISA99 đã chào đón các kháiniệm cơ bản từ các chỉ dẫn và các chiến lược xuyênkhắp một số lượng các nền công nghiệp, bao gồm cáclộ trình được đưa ra từ Bộ An ninh Nội địa Mỹ,tập đoàn North American Electric Reliability (NERC), các chỉdẫn Bảo vệ Hạ tầng Sống còn CIP, Ủy ban Kỹ thuậtĐiện tử Hàng không AEEC, các báo cáo về An ninh và Hạtầng mạng NIS, các kế hoạch và chương trình an ninh củaỦy ban Điều phối Năng lượng Liên bang Mỹ FERC, vàtương tự, các sáng kiến công nghiệp đặc thù.

“Nếu bạn phảitổng kế nó trong một vài từ”, thì Singer nói, “đólà các thực tiễn tốt nhất - hãy nghĩ về nó đúng,thiết kế nó đúng, và làm nó đúng. Nghe đơn giản, vàđôi khi nó là thế, nhưng sẽ có nhiều nỗ lực đằngsau khái niệm cơ bản này”.

Dowe want standards?

Ingeneral, users want standards, at least according to a recent poll ofAutomation Worldreaders (see sidebar, “Yes, No, Maybe”), whe-re 65 percent ofrespondents indicated they wanted devices to be certified for cybersecurity. But—no matter how black and white the hats in the cybershootout—the issues still have many gray areas.

“Alot of people ask for the architecture,” says Bryan Singer,principal consultant, Kenexis Security Corp. and co-chair of theISA99 Committee. “ ‘Tell us what the architecture is and we’llbe done,’ they say. But technology changes too fast for that, boththe technologies in controls and the technologies in malware. Theanswer lies in design processes—practices and procedures,strategies for commissioning systems, designs for operating andmaintaining systems.”

Inone sense, the ISA99 standards have a head start. In addition toWIB/Wurldtech parameters, ISA99 has welcomed basic concepts f-romguidelines and strategies across a number of industries, includingroadmaps issued by the U.S. Department of Homeland Security, NorthAmerican Electric Reliability Corp.’s (NERC) CriticalInfrastructure Protection (CIP) guidelines, Airlines ElectronicEngineering Committee (AEEC) Network Infrastructure and Security(NIS) reports, U.S. Federal Energy Regulatory Commission (FERC)security plans and programs, and similar, industry-specificinitiatives.

 “Ifyou have to sum it up in a few words,” Singer says, “it’s bestpractices—think about it right, design it right, and do it right.Sounds simple, and sometimes it is, but there’s a lot of effortbehind that basic concept.”

Ủy ban ISA99 đã đưara báo cáo kỹ thuật đầu tiên của nó, ISA TR99.03.01,“Các công nghệ An ninh cho các Hệ thống Tự động hóavà Kiểm soát công nghiệp”. Về báo cáo này, Singer nói,“Chung tôi đã đi qua tất cả các công nghệ mà bạn cóthể sử dụng một cách điển hình để đảm bảo anninh cho một hệ thống kiểm soát, bao gồm các tườnglửa, mạng cục bộ LAN, các phần mềm chống virus vàhàng đống các thứ khác. Kết quả là một sự đánh giákhả năng cho một thiết lập cài đặt công nghiệp, cốgắng để vạch ra những xem xét. Đây là một tài liệutốt về những điểm mạnh và yếu của các tường lửavà nhiều chiến lược và chiến thuật ngăn chặn phầnmềm độc hại khác nữa”.

Một số suy nghĩ vàthực tiễn cần thiết là tương tự trực tiếp vớinhững thứ như vậy về an toàn. “Bạn cần tiếp cậntới an ninh với cùng nguyên lý mà bạn duy trì cho antoàn”, Singer nói. “Bạn có sự bắt đầu chặt chẽ vàcác thủ tục cho các mức an toàn - thì vì sao chúng ta lạikhông có cùng thứ đó cho các mạng nhỉ?”

Bob Huba, giám đốcmarketing sản phẩm của DeltaV và chuyên gia kiến trúc anninh của Emerson Process Management tại Austin, Texas, nhấnmạnh sự tương tự đối với an toàn. “Đối với [cáctiêu chuẩn an toàn công nghiệp] IEC 61508 hoặc IEC 61511,bạn có mã và các thủ tục mà chúng là chắc chắn, vàchúng được kiểm thử tốt vượt ra khỏi những hành vicủa hệ thống kiểm soát thông thường. Có một nhu cầuđể lấy cùng các dạng yêu cầu và mang chúng qua bên anninh. Bạn có thể có các mức độ khác nhau đối vớicác hệ thống an toàn và cùng dạng cách tiếp cận dựavào các mức có thể cũng làm việc được trong lĩnh vựcan ninh”.

TheISA99 Committee has already issued its first technical report, ISATR99.03.01, “Security Technologies for Industrial Automation andControl Systems.” About this report, Singer says, “We wentthrough all the technologies you would typically use to secure acontrol system, including firewalls, virtual Local Area Networks(LANs), antivirus software and a bunch more. The result is acapability assessment for an industrial setting, trying to delineatethe key considerations. It’s a good document around the strengthsand weaknesses of firewalls and many more malware-preventivestrategies and tactics.”

Someof the necessary thinking and practices are directly analogous tothose around safety. “You need to approach security with the samediscipline you maintain for safety,” Singer says. “You haverigorous startup and procedures for safety levels—why don’t wehave the same thing for networks?”

BobHuba, DeltaV product marketing manager and security architectureexpert for Emerson Process Management in Austin, Texas, underscoresthe analogy to safety. “For [industrial safety standards] IEC 61508or IEC 61511, you have code and procedures that are firm, and theyare well tested beyond normal control system behaviors. There’s aneed to take the same kinds of requirements and carry them over tothe security side. You can have different levels of safety systemsand the same kind of level-based approach can work in the securityarena as well.”

Xâydựng các công cụ đúng

“Ngay bây giờ tráchnhiệm là tuân theo những thực tiễn tốt nhất bất kỳở đâu chúng có thể được tìm thấy”, Huba nói. “Sửdụng các công cụ tốt nhất để tạo ra hệ thống anninh tốt nhất. Nhiều qui trình là sẵn sàng. Ngay bây giờnhững gì không có là một tập hợp các công cụ đểcho phép bạn nói rằng giải pháp có thể tốt nhất làđang có và đang làm việc. Các tiêu chuẩn sẽ giúp mọingười xác định rằng họ đã làm mọi thứ mà họ cầnphải làm”.

Nhiều lựa chọn hơncho việc kiểm thử là pha trộn, một trong số đó làViện Tuân thủ An ninh Công nghiệp ISA (ISCI), với việckiểm thử bảo hiểm an ninh thiết bị nhúng của mình,ISASecure. Các thành viên sáng lập của ISCI bao gồmChevron, ExxonMobil Research và Engineering, Honeywell, InvensysOperations Management, Siemens và Yokogawa. Các thành viên kỹthuật chủ chốt bao gồm exida, Mu Dynamics và RockwellAutomation. Trong một động thái để tăng cường các biệnpháp và thực tiễn, các đặc tả kiểm thử củaISASecure đã được trộn với những thứ của WurldtechAchilles trong một động thái được công bố vào tháng 10năm ngoái.

Buildingthe right tools

“Theresponsibility right now is to follow best practices whe-rever theycan be found,” Huba says. “Use the best tools to cre-ate the mostsecure system. A lot of the process is available. What’s missingright now is a complete set of tools to allow you to say that thebest possible solution is in place and working. Standards will helppeople determine that they’ve done everything they need to do.”

Moreoptions for testing are in the mix, one of which is the ISAIndustrial Security Compliance Institute (ISCI), with its embeddeddevice security assurance testing, ISASecure. ISCI founding membersinclude Chevron, ExxonMobilResearch and Engineering, Honeywell, Invensys Operations Management,Siemens and Yokogawa. Key technical members include exida, MuDynamics and Rockwell Automation. In a move to consolidate methodsand practices, ISASecure’s testing specifications were merged withthose of Wurldtech Achilles in a move announced last October.

Trongkhi chờ đợi, với hoặc không với chứng chỉ và cáctiêu chuẩn, có một số cách thức để làm giảm bớt sợhãi về phần mềm độc hại, bắt đầu với việc đóngsi bất kỳ công cụ truy cập không được phép nào tớimạng: cài đặt các tường lửa, chỉ định và tăngcường các mật khẩu, loại bỏ hoặc khóa các bàn phím,vô hiệu hóa các kết nối bằng USB, vứt đi các đĩahoặc băng từ lỗi thời và những thứ tương tự.

Vì quá nhiều nhóm đãlàm việc trong một loạt các nền công nghiệp như vậyvề các vấn đề an ninh xung quanh các dạng tương tự cáchệ thống kiểm soát công nghiệp (và cũng vì nhiều mốiđe dọa đi theo các con đường tương tự), có một sốlượng đáng kể những điều tương tự trong số các lờidạy, các thủ tục phát triển và các tham số kiểm thửtrong tất cả các tài liệu sẵn có.

“Nhiều người bâygiờ làm việc về ISA99 từng là một phần của nhữngsáng kiến trước đó qua nhiều năm”, Ernie Rakaczky, quảnlý chương trình an ninh không gian mạng các hệ thống kiểmsoát cho Invensys Operations Management, chỉ ra. “Chúng tôibiết lẫn nhau và đã đi tới sự tôn trọng lẫn nhautrong nắm tình hình. Từng chút một có thể khác nhau,nhưng tập hợp cốt lõi những người là như nhau tronglúc này lúc khác”.

Rakaczky trích 3 yếutố mà bất kỳ tiếp cận nào cũng phải nắm. “Đầutiên, có những thứ đặc thù của hệ thống kiểm soát.Bạn chỉ định hoặc thay đổi mật khẩu thế nào? Ai cóđược các quyền ưu tiên của người sử dụng? Cách tốtnhất để giảm thiểu sự truy cập là gì?”

Thứ 2 là một tậphợp các tiêu chí chỉ dẫn xung quanh cách để triển khaicác hệ thống, từ quản lý dự án, tới thiết lập hệthống và các tham số, tới chấp nhận các tiêu chí, tớicác cách thức và phương tiện để cập nhất hệ thốngcuối cùng, vì, như ông ta nói, “chẳng bao giờ có sựkết thúc trong an ninh cả”.

“Yếu tố thứ 3 làmột tài liệu hoặc tập hợp các tài liệu mà dẫn dắtcách mà chương trình an ninh được triển khai và đượcquản lý”, ông nói. “Mục tiêu là để chắc chắnchúng ta đang làm tất cả những thứ mà chúng ta cầnphải làm để hỗ trợ hệ thống và đảm bảo chúng tađã tạo ra được chiếc ô tốt nhất có thể về anninh”.

“Trong thực tế”,Rakaczky bổ sung, “từ phía nhà cung cấp, thiết kế choan ninh thực sự nên là một chương trình bảo đảm chấtlượng. Khi bạn chờ cho tới khi kết thúc cho chứng chỉ,thì bạn đang chờ quá lâu. Nó nên được xây dựng trongviệc kiểm thử sự phát triển đang diễn ra, mã nguồn,mọi thứ. Quá khó khăn để quay lại qua chu kỳ pháttriển nếu thứ gì đó không đáp ứng được các tiêuchí”.

Meanwhile,with or without certification or standards, there are several ways toallay fears of malware, beginning with sealing any means ofunauthorized access to the network: installing firewalls, assigningand enforcing passwords, removing or locking away keyboards,disabling Universal Serial Bus (USB) connectors, tossing out obsoletediskette or tape drives and the like.

Becauseso many groups have worked in such a variety of industries onsecurity issues around similar kinds of industrial control systems(and also because many threats follow similar paths), there are aremarkable number of similarities among the precepts, developmentalprocedures and test parameters in all the available documents.

“Manyof the people now working on ISA99 have been part of earlierinitiatives over the years,” points out Ernie Rakaczky, programmanager of cyber security for control systems for Invensys OperationsManagement. “We know each other and have come to respect eachother’s take on the situation. The bits and pieces may bedifferent, but a core set of the people has been the same for quite awhile.”

Rakaczkycites three elements that any approach should take. “First, thereare the specifics of the control system. How do you assign or changepasswords? Who gets what user privileges? What’s the best way tominimize access?”

Secondcomes a set of guiding criteria around how to implement systems, f-romproject management, to system baselining and parameters, toacceptance criteria, to ways and means to up-date the final system,because, as he says, “nothing’s ever final in security.”

“Thethird element is a document or document set that drives how thesecurity program is implemented and managed,” he says. “Theobject is to make sure we’re doing all the things we need to do insupport of the system and to make sure we’ve cre-ated the bestpossible umbrella of security.”

“Inreality,” Rakaczky adds, “f-rom the supplier side, design forsecurity really should be a quality assurance program. When you waituntil the end for certification, you’re waiting too long. It shouldbe built into the ongoing developmental testing, the code,everything. It’s too hard to go back through the development cycleif something doesn’t meet the criteria.”

Cáccuộc tấn công lớn, tiền lớn

Có một số bên tíchcực xác định cho tình huống này. Bên đầu tiên làkhoản tài chính gày còm hoàn vốn đầu tư đối với cáctin tặc mũ đen. “Mức độ chi tiết và đầu tư vàoStuxnet là không thể tin nổi”, C-harles Hoover, giám đốcphát triển kinh doanh về an ninh tại Rockwell Automation, nói.“Có nhiều sự hiểu biết kỹ thuật được yêu cầu ởnhững mức độ không thường được biết, và một sốlượng khổng lồ tiền được đưa vào. Đã có các cuộctấn công chỗ bị tổn thương với 4 lỗi ngày số 0trùng khớp nhau trong đó và từng thứ này lấy đi nhiềutiền, mà không có bất kỳ khả năng hoàn vốn nào, nói,bằng việc thâm nhập được vào cơ sở dữ liệu củangân hàng hoặc lấy được hàng triệu tài khoản thẻtín dụng”. Mục tiêu: sự tưởng thưởng về lý tưởngsẽ thường vượt quá bất kỳ sự có được về tàichính nào, làm cho nỗ lực không ngon đối với hầu hếtcác tin tặc mũ đen.

“Vẫn còn”, ôngnói, “một nhân viên bất bình có thể có chứa sự thúcđẩy mạnh về tư tưởng. Mấu chốt để bảo vệ chốnglại hầu hết các tình huống ít hơn là Stuxnet này làmột mô hình diện tích nhà máy lớn mà cho phép bạn phânthành các khu. Bạn cần chắc chắn những khu vực chủchốt được khóa. Điều đó có thể dễ bị từ chốilàm lộ ra mật khẩu vì ai đó quên nó, ít nhất cho tớikhi bạn chắc chắn người chắc chắn có quyền đối vớinó”.

Cácmức độ và chi tiết về sự phát triển các tiêu chuẩn(và đi sau đó là sự tăng trưởng của các chương trìnhchứng chỉ) đang đi rộng và sâu – một trong những lýdo rằng một sáng kiến ISA99 mất lâu thời gian. Ngaybây giờ, các phần mềm chống virus, các chương trình mậtkhẩu mạnh, việc giám sát chống thâm nhập trái phépgiao thông mạng và loại bỏ các cổng vật lý đượctruy cập dễ dàng tạo thành nền tảng cơ bản nhất củacác chương trình. Trong ít năm nữa, một lớp bảo vệđang gia tăng qua các mạng công nghiệp sẽ đưa vào nhiềuthực tiễn tốt nhất xung quanh các thủ tục, thiết kếhệ thống và hoạt động hàng ngày, được lượng hóavào trong các tiêu chuẩn được nhận thức.

Bigattacks, big money

Thereare some definite positive sides to the situation. A primary one isthe meager financial return on investment for black hats. “Thelevel of detail and investment in Stuxnet is incredible,” pointsout C-harles Hoover, business development manager for security atRockwell Automation. “There was a lot of technical knowledgerequired on levels not generally known, and a huge amount of moneyinvolved. There were four different zero day vulnerability attacksdovetailed into it and every one of those costs a great deal ofmoney, without any of the returns possible, say, by infiltrating abank’s database or siphoning off millions of credit card accounts.”Bottom line: ideological rewards will generally outweigh anyfinancial gain, making the effort unpalatable to most black hats.

“Still,”he says, “a disgruntled employee can harbor a strong ideologicalmotivation. The key for protection against most of theseless-than-Stuxnet situations is a strong plant area model that allowsyou to section off areas. You need to make sure key areas stay lockeddown. That can be as simple as refusing to divulge a password becausesomebody forgot it, at least until you’re sure the person actuallyhas the right to it.”

Thelevels and the details of standards development (and the follow-ongrowth of certification programs) run both wide and deep—one of thereasons that an ISA99 initiative takes a long time. Right now,antivirus software, strong password programs, intruder monitoring ofnetwork traffic and removal of easily accessed physical ports make upthe most basic of programs. In a few years, a growing protectivelayer over industrial networks will include a multitude of bestpractices around procedures, system design and day-to-day operation,quantified into recognized standards. 

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com