Khảo sát hơn 100 hệ thống năng lượng tiết lộ lỗ hổng an ninh mạng OT nghiêm trọng

Một nghiên cứu của OMICRON đã tiết lộ những lỗ hổng an ninh mạng phổ biến trong các mạng công nghệ vận hành (OT) của các trạm biến áp, nhà máy điện và trung tâm điều khiển trên toàn thế giới. Dựa trên dữ liệu từ hơn 100 cơ sở lắp đặt, phân tích đã chỉ ra các vấn đề kỹ thuật, tổ chức và chức năng lặp đi lặp lại khiến cơ sở hạ tầng năng lượng quan trọng dễ bị tổn thương trước các mối đe dọa không gian mạng.
Hệ thống năng lượng

Một nghiên cứu của OMICRON đã tiết lộ những lỗ hổng an ninh mạng phổ biến trong các mạng công nghệ vận hành (OT) của các trạm biến áp, nhà máy điện và trung tâm điều khiển trên toàn thế giới. Dựa trên dữ liệu từ hơn 100 cơ sở lắp đặt, phân tích đã chỉ ra các vấn đề kỹ thuật, tổ chức và chức năng lặp đi lặp lại khiến cơ sở hạ tầng năng lượng quan trọng dễ bị tổn thương trước các mối đe dọa không gian mạng.

Những phát hiện này dựa trên nhiều năm triển khai hệ thống phát hiện xâm nhập (IDS) StationGuard của OMICRON trong các hệ thống bảo vệ, tự động hóa và điều khiển (PAC). Công nghệ này, giám sát lưu lượng mạng một cách thụ động, đã cung cấp khả năng hiển thị sâu rộng vào các môi trường OT thực tế. Kết quả nhấn mạnh bề mặt tấn công ngày càng tăng trong các hệ thống năng lượng và những thách thức mà các nhà điều hành phải đối mặt trong việc bảo mật cơ sở hạ tầng cũ kỹ và kiến trúc mạng phức tạp.

Kết nối IDS trong hệ thống PAC
Kết nối IDS trong hệ thống PAC (vòng tròn chỉ cổng gương)

Việc triển khai StationGuard, thường được thực hiện trong quá trình đánh giá an ninh, đã tiết lộ các lỗ hổng như thiết bị chưa được vá lỗi, kết nối ngoài không an toàn, phân đoạn mạng yếu và danh mục tài sản không đầy đủ. Trong nhiều trường hợp, những điểm yếu về bảo mật này đã được xác định trong vòng 30 phút đầu tiên sau khi kết nối với mạng. Ngoài các rủi ro bảo mật, các đánh giá còn phát hiện các vấn đề vận hành như cấu hình VLAN sai, lỗi đồng bộ hóa thời gian và sự cố dự phòng mạng.

Ngoài những thiếu sót về kỹ thuật, các phát hiện còn chỉ ra các yếu tố tổ chức góp phần gây ra những rủi ro này – bao gồm trách nhiệm không rõ ràng về bảo mật OT, nguồn lực hạn chế và các phòng ban làm việc riêng lẻ. Những phát hiện này phản ánh một xu hướng ngày càng tăng trong ngành năng lượng: môi trường IT và OT đang hội tụ nhanh chóng, nhưng các biện pháp bảo mật thường không theo kịp. Các công ty tiện ích đang thích nghi với những rủi ro phức tạp này như thế nào, và những lỗ hổng nào còn lại có thể khiến các hệ thống quan trọng bị phơi bày?

Tại sao mạng OT cần phát hiện xâm nhập?

Khả năng phát hiện các sự cố bảo mật là một phần không thể thiếu của hầu hết các khuôn khổ và hướng dẫn bảo mật, bao gồm NIST Cybersecurity Framework, IEC 62443 và bộ tiêu chuẩn ISO 27000. Trong các trạm biến áp, hệ thống điều khiển nhà máy điện và trung tâm điều khiển, nhiều thiết bị hoạt động mà không có hệ điều hành tiêu chuẩn, khiến việc cài đặt endpoint detection software là không thể. Trong những môi trường như vậy, khả năng phát hiện phải được triển khai ở cấp độ mạng.

Việc triển khai StationGuard của OMICRON thường sử dụng network mirror ports hoặc Ethernet TAPs để giám sát giao tiếp một cách thụ động. Ngoài việc phát hiện xâm nhập và các mối đe dọa mạng, công nghệ IDS còn mang lại những lợi ích chính, bao gồm:

  • Trực quan hóa giao tiếp mạng
  • Xác định các dịch vụ không cần thiết và kết nối mạng rủi ro
  • Tự động tạo lập danh mục tài sản
  • Phát hiện các lỗ hổng thiết bị dựa trên danh mục này

Đánh giá rủi ro: Phương pháp luận đằng sau những phát hiện

Báo cáo dựa trên nhiều năm cài đặt IDS. Lần cài đặt đầu tiên bắt nguồn từ năm 2018. Kể từ đó, hàng trăm lần cài đặt và đánh giá an ninh đã được thực hiện tại các trạm biến áp, nhà máy điện và trung tâm điều khiển ở hàng chục quốc gia. Các phát hiện được nhóm thành ba loại:

  1. Rủi ro an ninh kỹ thuật
  2. Các vấn đề an ninh tổ chức
  3. Sự cố vận hành và chức năng

Trong hầu hết các trường hợp, các vấn đề an ninh và vận hành quan trọng đã được phát hiện trong vòng vài phút sau khi kết nối IDS vào mạng.

Thông thường, các cảm biến được kết nối với mirror ports trên mạng OT, thường là tại các gateway và các điểm vào mạng quan trọng khác, để thu thập các luồng giao tiếp chính. Ở nhiều trạm biến áp, việc giám sát cấp độ khoang không cần thiết, vì sự lan truyền multicast khiến lưu lượng truy cập hiển thị ở những nơi khác trong mạng.

Các thiết bị ẩn và điểm mù tài sản

Danh mục tài sản chính xác là điều cần thiết để bảo mật các hệ thống năng lượng phức tạp. Việc tạo và duy trì các danh mục như vậy theo cách thủ công tốn thời gian và dễ xảy ra lỗi. Để giải quyết vấn đề này, OMICRON đã sử dụng cả phương pháp thụ động và chủ động để khám phá tài sản tự động.

Phát hiện tài sản thụ động dựa vào các tệp mô tả cấu hình hệ thống (SCD) hiện có, được tiêu chuẩn hóa theo IEC 61850-6, chứa thông tin thiết bị chi tiết. Tuy nhiên, việc giám sát thụ động một mình đã tỏ ra không đủ trong nhiều trường hợp, vì dữ liệu cần thiết như firmware versions không được truyền trong giao tiếp PAC thông thường.

Mặt khác, truy vấn thông tin thiết bị chủ động tận dụng giao thức MMS để truy xuất dữ liệu biển tên như tên thiết bị, nhà sản xuất, model numbers, firmware versions và đôi khi cả hardware identifiers. Sự kết hợp giữa các kỹ thuật thụ động và chủ động này đã cung cấp một danh mục tài sản toàn diện trên các cơ sở lắp đặt.

Thông tin thiết bị qua SCL và MMS
Ví dụ về thông tin thiết bị có thể truy xuất qua SCL và MMS active querying

Những rủi ro an ninh mạng kỹ thuật phổ biến nhất là gì?

Phân tích của OMICRON đã xác định một số vấn đề kỹ thuật tái diễn trong các mạng OT năng lượng:

  • Thiết bị PAC dễ bị tấn công:

    Nhiều thiết bị PAC được phát hiện đang hoạt động với firmware lỗi thời chứa các lỗ hổng đã biết. Một ví dụ đáng chú ý là lỗ hổng CVE-2015-5374, cho phép denial-of-service attack vào các protective relays với một gói UDP duy nhất. Mặc dù các bản vá đã có sẵn từ năm 2015, nhiều thiết bị vẫn chưa được vá. Các lỗ hổng tương tự trong triển khai GOOSE và MMS protocol stacks đặt ra các rủi ro bổ sung.

  • Kết nối ngoài rủi ro:

    Trong một số cài đặt, các kết nối TCP/IP bên ngoài không được ghi lại đã được tìm thấy, trong một số trường hợp vượt quá 50 persistent connections đến external IP addresses trong một single substation.

  • Các dịch vụ không cần thiết và không an toàn:

    Các phát hiện phổ biến bao gồm các dịch vụ Windows file sharing services (NetBIOS) không sử dụng, IPv6 services, license management services running with elevated privileges và các unsecured PLC debugging functions.

  • Phân đoạn mạng yếu:

    Nhiều cơ sở hoạt động như một single large flat network, cho phép unrestricted communication giữa hàng trăm thiết bị. Trong một số trường hợp, ngay cả office IT networks cũng có thể truy cập được từ remote substations. Các kiến trúc như vậy làm tăng đáng kể impact radius của cyber incidents.

  • Các thiết bị không mong muốn:

    Untracked IP cameras, printers và thậm chí automation devices thường xuyên xuất hiện trên mạng mà không được ghi lại trong asset inventories, tạo ra serious blind spots cho defenders.

Yếu tố con người: Những điểm yếu về tổ chức trong an ninh OT

Ngoài những lỗi kỹ thuật, OMICRON cũng ghi nhận những thách thức tổ chức tái diễn làm trầm trọng thêm rủi ro mạng. Bao gồm:

  • Ranh giới phòng ban giữa các nhóm IT và OT
  • Thiếu nhân sự chuyên trách về an ninh OT
  • Hạn chế về nguồn lực đang giới hạn việc triển khai các biện pháp kiểm soát an ninh

Trong nhiều tổ chức, các phòng ban IT vẫn chịu trách nhiệm về an ninh OT — một mô hình thường gặp khó khăn trong việc giải quyết các yêu cầu đặc thù của cơ sở hạ tầng năng lượng.

Khi hoạt động gặp sự cố: Rủi ro chức năng trong các trạm biến áp

Việc triển khai IDS cũng tiết lộ một loạt các vấn đề vận hành không liên quan trực tiếp đến các mối đe dọa mạng nhưng vẫn ảnh hưởng đến độ tin cậy của hệ thống. Phổ biến nhất là:

  • Các vấn đề về VLAN là phổ biến nhất, thường liên quan đến việc gắn thẻ VLAN không nhất quán của các thông báo GOOSE trên toàn mạng.
  • Sự không khớp giữa RTU và SCD dẫn đến lỗi giao tiếp giữa các thiết bị, ngăn chặn SCADA updates trong một số trường hợp.
  • Lỗi đồng bộ hóa thời gian từ các misconfigurations đơn giản đến các thiết bị hoạt động với incorrect time zones hoặc default timestamps.
  • Các vấn đề dự phòng mạng liên quan đến RSTP loops và misconfigured switch chips đã gây ra severe performance degradation trong một số installations.

Những điểm yếu về vận hành này không chỉ ảnh hưởng đến tính sẵn sàng mà còn có thể khuếch đại hậu quả của cyber incidents.

Thông báo cảnh báo giám sát chức năng
Các thông báo cảnh báo liên quan đến giám sát chức năng

Các công ty tiện ích có thể học được gì từ những phát hiện này?

Phân tích hơn 100 cơ sở năng lượng nhấn mạnh nhu cầu cấp thiết về các giải pháp bảo mật mạnh mẽ, được xây dựng có mục đích, được thiết kế cho những thách thức riêng biệt của môi trường operational technology.

Với khả năng hiểu sâu protocol và asset visibility, Giải pháp StationGuard cung cấp cho các security teams sự minh bạch và control cần thiết để bảo vệ critical infrastructure. Tính năng allowlisting tích hợp của nó phát hiện ngay cả những subtle deviations từ expected behavior, trong khi tính năng signature-based detection xác định known threats theo real time.

Khả năng của hệ thống trong việc giám sát cả IT và OT protocols — bao gồm IEC 104, MMS, GOOSE và nhiều hơn nữa — cho phép các utilities phát hiện và phản ứng với threats ở every layer của substation network của họ. Kết hợp với các features như automated asset inventories, role-based access control và seamless integration vào existing security workflows, StationGuard enables organizations to strengthen resilience mà không disrupting operations.

Để tìm hiểu thêm về cách StationGuard hỗ trợ các utilities trong việc closing these critical security gaps, hãy truy cập trang web của chúng tôi.

Giải pháp StationGuard
Giải pháp StationGuard
Thẻ liên quan
#an ninh mạng #OT #cơ sở hạ tầng năng lượng #StationGuard #lỗ hổng bảo mật