ISA99 xét sức mạnh của các chuẩn chống lại các cuộc tấn công dạng Stuxnet

ISA99examines standards’ strength against Stuxnet-like attacks

ByEllen Fussell Policastro

March/April2011

Theo:http://www.isa.org/InTechTemplate.cfm?Section=Standards_Up-date1&template=/ContentManagement/ContentDisplay.cfm&ContentID=85577

Bàiđược đưa lên Internet ngày: tháng 3-4/2011

Lờingười dịch: Các hạ tầng công nghiệp sử dụng các hệthống kiểm soát giám sát và thu thập dữ liệu (SCADA)hiện nay rất dễ bị tổn thương sau vụ sâu WindowsStuxnet tấn công vào các cơ sở hạt nhân của Iran. HiệnỦy ban chuẩn ISA99 về An ninh các Hệ thống Kiểm soát vàTự động hóa Công nghiệp đã thành lập một nhóm hànhđộng để tiến hành một phân tích các điểm yếu củahàng loạt các chuẩn ANSI/ISA-99 hiện hành. “Cộng đồngICS cũng học được từ quá khứ, hoặc chúng tôi sẽ bịtụt hậu xa trong cuộc chạy đua vũ trang về phần mềmđộc hại”, Byres nói. “Stuxnet trao cho chúng ta cơ hộituyệt vời để học cách mà các tiêu chuẩn củaANSI/ISA99 sẽ đứng vững được đối với các mối đedọa tiên tiến thường xuyên mà chúng sẽ xuất hiệntrong tương lai và cách mà các tiêu chuẩn có thể đượccải thiện”. Như vậy là tại thời điểm hiện tạicho tới vài năm nữa, sẽ không có thuốc chữa chắc chắnnào cho bệnh Stuxnet cả. Có lẽ vì thế mà các quốc gianhư TrungQuốc, Venezuela,Đức,Thụy Sỹ, Pháp, Liên minh châu Âu hoặc dừng phê duyệtcác dự án xây dựng nhà máy điện nguyên tử, hoặc chờcó các tiêu chuẩn kỹ thuật mới, hoặcchuyển sang nguồn năng lượng khác như sức gió. CònViệt Nam thì sao nhỉ???

Nếubạn từng theo dõi thông tin về những mối đe dọa đốivới các hệ thống kiểm soát và cách để ngăn chặnchúng, thì bạn có lẽ đã quen với Stuxnet, một sâu máytính tinh vi phức tạp lần đầu tiên đã được pháthiện vào mùa hè năm 2010. Phần mềm độc hại lần đầutiên được biết tới này được viết đặc biệt đểgây tổn thương cho một hệ thống kiểm soát và phá hoạimột qui trình công nghiệp. Các khả năng của Stuxnet đượcthấy nhiều trên báo chí những ngày đó, và một số khảnăng có thể chuyển thành những mối đe dọa mới. Trongtương lai, các hệ thống tự động phải có khả năng dòtìm ra và khóa hoặc có khả năng phục hồi từ nhữngmối đe dọa tiên tiến dạng như Stuxnet.

Đểđối phó lại với những mối đe dọa này, ủy ban chuẩnISA99 về An ninh các Hệ thống Kiểmsoát và Tự động hóa Công nghiệp đã thành lập mộtnhóm hành động để tiến hành một phân tích các điểmyếu của hàng loạt các chuẩn ANSI/ISA-99 hiện hành.Mục tiêu là để xác định liệu các công ty tuân theocác chuẩn ISA-99 có được bảo vệ khỏi những cuộc tấncông tinh vi phức tạp như vậy được không và để xácđịnh những thay đổi cần thiết, nếu có, cho các tiêuchuẩn mà ủy ban ISA99 đang phát triển.

“Mộtloạt các báo cáo kỹ thuật và tiêu chuẩn ISA-99 đượcxuất phát trong một tập hợp các nguyên tắc và kháiniệm cho an ninh các hệ thống công nghiệp mà đã từngđược hiệu đính qua một giai đoạn vài năm”, đồngchủ tịch của ISA99 Eric Cosman, tư vấn giải pháp kỹthuật tại Michigan Operations in Midland, Mich, nói. “Điềuquan trọng phải luôn duy trì các nguyên tắc trong khi phảnứng lại với một sự thay đổi nhanh chóng môi trườngcác mối đe dọa. Vấn đề là làm thế nào chúng ta đạtđược các tiêu chuẩn mà chúng có thể chịu đựng đượcsự kiểm thử của thời gian”.

Nhómhành động mới này dự kiến thực hiện một báo cáo kỹthuật tổng kết các kết quả của phân tích của mìnhvào giữa năm 2011.

Ifyou have been following news on the threats to control systems andhow to prevent them, you are probably familiar with Stuxnet, asophisticated computer worm first revealed in the summer of 2010. Itis the first known malware written specifically to compromise acontrol system and sabotage an industrial process. Stuxnet’scapabilities are seeing more coverage in the press these days, andsome of these capabilities may migrate into new threats. Goingforward, automation systems must be able to detect and either blockor be able to recover f-rom advanced Stuxnet-like threats.

Inresponse to these threats, the ISA99 standards committee onIndustrial Automation and Control Systems Security has formed a taskgroup to conduct a gap analysis of the current ANSI/ISA-99 series ofstandards. The purpose is to determine if companies following theISA-99 standards would have been protected f-rom such sophisticatedattacks and to identify needed changes, if any, to standards theISA99 committee is developing.

“TheISA-99 series of standards and technical reports is rooted in a setof principles and concepts for industrial systems security that havebeen vetted over a period of several years,” said ISA99 co-chairmanEric Cosman, engineering solutions consultant at Michigan Operationsin Midland, Mich. “It is important to remain consistent with theseprinciples while responding to a rapidly changing threat environment.This is how we achieve standards that can stand the test of time.”

Thenew task group intends to produce a technical report summarizing theresults of its analysis by mid-2011.

Mốiđe dọa của Stuxnet

“Stuxnetđã sử dụng cùng một tiếp cận như cuộc tấn công kẻđứng giữa đường (MITM) mà nó từng xuất hiện từ năm2002”, Joe Weiss, tư vấn điều hành tại Applied ControlSolutions LLC in Cupertino, Calif, nói. “Nó chiếm quyền kiểmsoát của các màn hình của người vận hành, ngăn ngườivận hành khỏi việc biết rằng không chỉ bộ Kiểm soátLogic có thể Lập trình được PLC (Programmable LogicControl) bị tổn thương, mà việc xử lý cũng bị tổnthương nốt, và anh ta đã không nhìn thấy nó”.

“Dạngtấn công MITM đã được trình diễn vào năm 2004 bởiChương trình An ninh các Hệ thống Kiểm soát của Bộ Anninh Nội địa Mỹ, nơi mà một cuộc tấn công MITM sửdụng một lỗi cổ điển trong mạng IP được kết hợpvới một cuộc tấn công mức ứng dụng có sử dụnggiao thức truyền thông của riêng hệ thống kiểm soátđó”, Bryan Singer, nhà điều tra về an ninh công nghiệptại Kenexis Security Corporation ở Helena, Ala., đồng chủtịch của ISA99, nói.

“Chínhdạng tấn công này chúng ta đã từ lâu quan ngại nhất”,Singer nói. “Hầu hết các cuộc tấn công và gây tổnthương của các hệ thống kiểm soát ngày nay bị tổnthương trước hết về tác động phụ thuộc đối vớicác cuộc tấn công hệ thống kiểm soát và không có chủđích mà đã gây ra trong các cuộc du ngoạn gây thiệthại. Chính sự kết hợp của 3 yếu tố này mà đạidiện cho cơ hội lớn nhất đối với một tác độngnghiêm trọng và dài lâu cho các hệ thống kiểm soát.Điều còn độc địa hơn đối với nóvề Stuxnet là việc nó dường như là một khung công việcphần mềm độc hại toàn diện với nhiều sắc thái màvẫn còn chưa hiểu hết được ngày nay. Tôi không nghĩchúng ta đã thấy được thứ mới nhất của Stuxnet, vàchúng ta chắc chắn đã thấy một sân chơi mới đượcmở ra cho những người viết phần mềm độc hại”.

“Mỗisâu, virus hoặc cuộc thâm nhập mới là một sự tiến bộvề sâu, virus hoặc cuộc thâm nhập trước đó”, thànhviên của ISA99 Eric Byres, giám đốc công nghệ tại ByresSecurity Inc., ở British Columbia, Canada, nói. “Những kẻxấu học được từ những thành công và thất bại nênhọ có thể xây dựng được các cuột tấn công đáng sợhơn và hiệu quả hơn”, ông nói.

“Cộngđồng ICS cũng học được từ quá khứ, hoặc chúng tôisẽ bị tụt hậu xa trong cuộc chạy đua vũ trang về phầnmềm độc hại”, Byres nói. “Stuxnet trao cho chúng ta cơhội tuyệt vời để học cách mà các tiêu chuẩn củaANSI/ISA99 sẽ đứng vững được đối với các mối đedọa tiên tiến thường xuyên mà chúng sẽ xuất hiệntrong tương lai và cách mà các tiêu chuẩn có thể đượccải thiện”.

Stuxnetthreat

“Stuxnetused the same approach as the man-in-the-middle (MITM) attack that’sbeen around since 2002,” said Joe Weiss, executive consultant atApplied Control Solutions LLC in Cupertino, Calif. “It took controlof the operator screens, preventing the operator f-rom knowing thatnot only was the PLC compromised, but the process was beingcompromised, and he didn’t see it.”

“TheMITM type of attack was demonstrated back in 2004 by the U.S.Department of Homeland Security’s Control Systems Security Program,whe-reby a MITM attack using a classic flaw in IP networking iscombined with an application level attack using the control system’sown communications protocol,” said Bryan Singer, principalinvestigator of industrial security at Kenexis Security Corporationin Helena, Ala., and co-chair of ISA99.

“Itis this type of attack that we have long since been most concernedabout,” Singer said. “Most of the attacks and compromises ofcontrol systems to date are comprised primarily of ancillary impactto the control system or non-targeted attacks that resulted innuisance trips. It is the combination of these three factors thatpresents the most opportunity for a serious and long-lasting impactto control systems. What is even more unique about Stuxnet is that itappears to be a comprehensive malware framework with many nuances toit that are still being understood today. I don’t think we’veseen the last of Stuxnet, and we certainly have seen a new playingfield for malware writers opened up.”

“Everynew worm, virus or hack is an evolution on a previous one,” saidISA99 member Eric Byres, chief technology officer at Byres SecurityInc., in British Columbia, Canada. “The bad guys learn f-rom theirsuccesses and mistakes so they can build scarier, more effectiveattacks,” he said.

“TheICS community also has to learn f-rom the past, or we will be left farbehind in the malware arms race,” Byres said. “Stuxnet gives usthe perfect opportunity to learn how the ANSI/ISA-99 standards willstand up to the advanced persistent threats that will appear in thefuture and how the standards can be improved.”

Thànhphần chính của ISA99

Cáctiêu chuẩn ANSI/ISA-99 giải quyết vấn đề sống còn củaan ninh không gian mạng cho các hệ thống kiểm soát và tựđộng công nghiệp. Các chuẩn này mô tả những khái niệmvà mô hình cơ bản có liên quan tới an ninh không gianmạng, cũng như là những thành phần có trong một hệthống quản lý an ninh không gian mạng để sử dụng trongmôi trường các hệ thống kiểm soát và tự động côngnghiệp. Chúng cũng cung cấp chỉ dẫn về cách để đápứng được các yêu cầu được mô tả cho từng yếu tố.

Cáctiêu chuẩn ANSI/ISA-99 tạo nên các tài liệu cơ bản chomột loạt các tiêu chuẩn về an ninh công nghiệp loạtIEC 62443 (đôi khi thường được gọi là “SCADA”, hoặckiểm soát giám sát và thu thập dữ liệu). Qua ít năm,những tiêu chuẩn này sẽ trở thành các tiêu chuẩn quốctế cốt lõi cho việc bảo vệ các hạ tầng công nghiệpsống còn mà trực tiếp ảnh hưởng tới an toàn, sứckhỏe của con người và môi trường. Chúng có thể đượcmở rộng cho các lĩnh vực ứng dụng khác, thậm chí rộnglớn hơn so với những gì thường được gắn cho cáinhãn “SCADA”. Dựa vào đó, điều cơ bản mà các côngty công nghiệp tuân theo các tiêu chuẩn IEC 62443 biết họsẽ có khả năng dừng được Stuxnet tiếp theo. Công việccủa nhóm hành động mới ISA99 sẽ có một ảnh hưởngđáng kể lên việc đảm bảo các cơ sở tự động làan ninh an toàn trong tương lai.

Nhómhành động mới này, được chỉ định là ISA99 WG5 TG2,được mở cho tất cả các chuyên gia về vấn đề anninh không gian mạng. Các bên có quan tâm có thể liên hệvới Eric Byres (eric@byressecurity.com).Các chuyên gia về an ninh không gian mạng có quan tâm thamgia vào ủy ban ISA99 được yêu cầu thăm tranghttp://isa99.isa.org và liên hệ với C-harley Robinson(crobinson@isa.org).

ISA99key ingredient

TheANSI/ISA-99 standards address the vital issue of cybersecurity forindustrial automation and control systems. The standards describe thebasic concepts and models related to cybersecurity, as well as theelements contained in a cybersecurity management system for use inthe industrial automation and control systems environment. They alsoprovide guidance on how to meet the requirements described for eachelement.

TheANSI/ISA-99 standards form the base documents for the IEC 62443series of industrial automation (sometimes generically labeled“SCADA,” or supervisory control and data acquisition) securitystandards. Over the next few years, these standards will become coreinternational standards for protecting critical industrialinfrastructures that directly impact human safety, health, and theenvironment. They might be extended to other areas of application,even broader than those generically labeled “SCADA.” Based onthis, it is essential industrial companies following IEC 62443standards know they will be able to stop the next Stuxnet. The workof the new ISA99 task group will have a significant impact onensuring automation facilities are secure in the future.

Thenew task group, designated ISA99 WG5 TG2, is open to allcybersecurity subject matter experts. Interested parties shouldcontact Eric Byres (eric@byressecurity.com).Cybersecurity experts interested in joining the ISA99 committee areasked to visit http://isa99.isa.org and contact C-harley Robinson(crobinson@isa.org).

Dịchtài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com