16/06/2021

Lượt xem 1547

Gateway ISA 140 Building Zero Compromise OT Network Security

Khi Công nghiệp 4.0 và chuyển đổi kỹ thuật số trở thành một phần thiết yếu của sản xuất thông minh, việc xây dựng một mạng lưới đáng tin cậy giữa các thiết bị phát triển thành bước đầu tiên hướng tới một tương lai an toàn của OT. Với mục đích thu thập và phân tích tất cả dữ liệu được tạo ra trong quá trình sản xuất, theo nghĩa đen, mọi thiết bị, bộ phận hoặc vật cố định phải được trang bị các cảm biến và được kết nối với mạng nội bộ. Tuy nhiên, thật không may, việc trực tuyến không chỉ có nghĩa là tiện lợi mà còn có thể tạo ra các loại rủi ro và sự không chắc chắn về an ninh mạng. Ngay cả khi chỉ có một thiết bị gặp vấn đề  trong mạng OT, các tác động tiềm ẩn hoặc thời gian ngừng sản xuất tốn kém sẽ không thể tránh khỏi. Chưa kể những thiệt hại và tổn thất cho hoạt động kinh doanh sau đó.

 

Đối với các nhà quản lý nhà máy, năng suất là KPI cao nhất mà họ quan tâm và ít quan tâm đến vấn đề bảo mật OT. Trong bối cảnh môi trường khắc nghiệt với rất nhiều thiết bị mới và cũ được kết nối với nhau, điều này gây ra rủi ro cao cho bảo mật OT. Ngay cả khi các biện pháp an ninh mạng đã được thực hiện, bản thân việc bảo trì vẫn là một nhiệm vụ khó khăn.

 

Dưới đây là một số thông lệ phổ biến đối với bảo mật OT:

Phân chia mạng phân loại tất cả các thiết bị được kết nối trong nhà máy để liên lạc giữa các khu vực có thể được quản lý thích hợp hoặc đơn giản là ngắt kết nối khi cần thiết. Để đạt được điều đó, nên phân đoạn mạng OT, thiết lập các đơn vị bảo mật làm trạm kiểm soát cũng như các chính sách giao tiếp tại mỗi nút của các phân đoạn này.

Giám sát thời gian thực đồng nghĩa với trực quan hóa mạng. Ngoài các cuộc tấn công từ bên ngoài, các điểm yếu bên trong gây ra nhiều mối đe dọa hơn cho các mạng OT. Các mối đe dọa độc hại, như phần mềm độc hại hoặc phần mềm gián điệp, trong bất kỳ phân đoạn nào không được bảo vệ có thể tồn tại hoặc lây lan mà không được chú ý. Để cải thiện khả năng hiển thị của mạng, một cách tiếp cận hiệu quả là triển khai một số “đầu dò”, hoặc máy dò vi mô, vào mạng nội bộ. Thông qua phân tích thời gian thực, việc phát hiện các mối đe dọa tiềm ẩn và phản ứng kịp thời để ngăn chặn các vi phạm bảo mật trở nên dễ dàng hơn.

Bảo vệ tài sản chính là một bước quan trọng khác dễ bị bỏ qua. Các thiết bị được kết nối tại bất kỳ địa điểm sản xuất nào đều có nhiều kích cỡ, loại và mục đích khác nhau, do đó khác nhau về tầm quan trọng của chúng. Mỗi thiết bị trong số chúng đều có thể dễ bị tổn thương dưới các cuộc tấn công mạng, và hậu quả là thiệt hại đối với năng suất có thể khác nhau. NEXCOM rất khuyến khích cung cấp nhiều cấp độ bảo vệ cho các thiết bị phù hợp với tầm quan trọng tương đối của chúng đối với toàn bộ hệ thống. Ví dụ, toàn bộ dây chuyền sản xuất SMT và một cảm biến giám sát môi trường nhà máy hoàn toàn không thể so sánh được về tầm quan trọng.

Các trường hợp trên minh họa cách bảo mật OT khác với bảo mật IT thông thường ở nhiều góc độ. Không giống như các đơn vị bảo mật CNTT hiệu suất cao, thường có kích thước khổng lồ nhưng số lượng khan hiếm, điều phù hợp hơn với bối cảnh bảo mật OT là một số lượng khá lớn các đơn vị nhẹ. Giữa và trong các vùng phân tách mạng, trước các tài sản quan trọng, hoặc thậm chí trong bất kỳ tủ hoặc hộp nào tại địa điểm sản xuất, các đơn vị bảo mật được triển khai phải đảm bảo phạm vi phủ sóng của mạng nội bộ. Tuy nhiên, việc quản lý phù hợp và hiệu quả hệ thống an ninh OT có thể trở thành một thách thức đối với các chuyên gia bảo mật.

Để đưa ra quyết định hiệu quả về chi phí trong các lựa chọn giải pháp an ninh mạng, việc cân bằng giữa triển khai, vận hành và quản lý là rất quan trọng. Các chức năng quản lý từ xa Out-of-Band (OOB) và cơ chế Bypass làm cho ISA 140 trở thành người chiến thắng về hiệu quả chi phí cho cả hoạt động và quản lý. OOB hỗ trợ bật, tắt và khởi động lại thiết bị từ xa, trong khi cơ chế Bypass giữ cho khả năng truy cập của các kết nối mạng, giúp những ngày làm việc của các chuyên gia OT trở nên dễ dàng hơn rất nhiều. Kích thước nhỏ gọn cùng với tổng cộng 6 cổng 1GbE RJ45 mang đến một lợi thế khác cho quản trị viên OT, đảm bảo khả năng tạo ra số lượng kết nối cao với các thiết bị mà không ảnh hưởng đến khả năng bảo vệ.

EPS (Event Per Second) là một tiêu chuẩn lâu đời trong lĩnh vực an ninh mạng. Được các nhà cung cấp chấp nhận rộng rãi như một chỉ số hiệu suất, EPS cũng đóng vai trò là một tham chiếu vững chắc cho bất kỳ ai muốn mua thiết bị thông minh.

Một thử nghiệm EPS (Hình 1) đã được thực hiện tại nhà máy Huaya của NEXCOM, như một ứng dụng thực địa giới thiệu tính khả dụng và hiệu suất của ISA 140, với eSAF (gói bảo mật không gian mạng TMRTEK) được cài đặt. Nhà máy Huaya không chỉ là một địa điểm sản xuất mà còn là một trung tâm giới thiệu về sản xuất thông minh, thể hiện tầm nhìn của NEXCOM về Công nghiệp 4.0. Các hộp nối được sử dụng như một phương tiện để tích hợp hoặc khuếch đại tín hiệu giao tiếp trong ứng dụng ISA 140 này, đặc biệt là đối với hệ thống dây mạng tại một địa điểm sản xuất rộng lớn như Huaya. Vì hộp nối thường cần được đặt trong không gian chật chội hoặc xa tầm với, kích thước nhỏ gọn của ISA 140 đã tạo ra sự khác biệt rất lớn cho nó có thể dễ dàng đặt vào hộp nối và lắp liền mạch vào bất kỳ góc nào.

Hình 1. Triển khai ISA 140 tại nhà máy Huaya

 

Hình 2 là một bản demo tích hợp dựa trên khung được đề xuất của NEXCOM. Thông qua ISA 140 và eSAF, tất cả các thiết bị được kết nối, bao gồm cảm biến, thiết bị cố định, gateway và máy chủ, được phân bổ vào các mạng con. Thông tin liên lạc giữa các thiết bị được quản lý và giám sát với các sự kiện được báo cáo và trình bày cho phòng điều hành chiến lược. ISA 140 đạt trung bình trên 500 EPS, kèm theo eSAF, dựa trên các thử nghiệm trong phòng thí nghiệm NEXCOM tại Nhà máy Huaya. ISA 140 bảo vệ quá trình sản xuất khỏi các mối đe dọa mạng, bên ngoài và bên trong, đồng thời việc phân tách mạng của nó giúp ngăn chặn thiệt hại do lây lan một cách hiệu quả.

Kết luận

ISA 140 là một giải pháp tường lửa công nghiệp nhỏ gọn với thiết kế chắc chắn. Bộ xử lý Intel Atom® Dual-core có năng lực với sáu cổng 1GbE RJ45 đảm bảo kết nối an toàn để xử lý nhiều thiết bị. Thiết bị hỗ trợ Wi-Fi / LTE cung cấp phạm vi phủ sóng mạng rộng khắp cũng như độ tin cậy cao. Các chức năng OOB giúp việc quản lý từ xa trở nên thuận tiện hơn và thiết kế nhiệt độ rộng đảm bảo hoạt động ổn định ngay cả trong môi trường khắc nghiệt.

ISA 140 là sự lựa chọn tốt nhất để bảo vệ IIoT. Kết quả thử nghiệm chứng minh ISA 140 không làm ảnh hưởng đến hiệu suất trong khi vẫn duy trì cường độ cao trong báo cáo sự kiện. Điều này giúp giảm thiểu số lượng đơn vị được triển khai và do đó tổng chi phí vận hành và bảo trì. Thiết kế DIN-rail & nhỏ gọn của nó tạo ra sự thuận tiện cho việc lắp ISA 140 vào kiến ​​trúc mạng hiện có. Tuân theo nguyên tắc cơ bản của việc tạo ra một mạng tách biệt, nó giúp tiết kiệm một lượng lớn công sức nâng cấp bảo mật OT. Quản trị viên sẽ chỉ cần triển khai một lượng thích hợp các nút làm điểm kiểm tra bảo mật và triển khai một đơn vị ISA 140 cùng với phần mềm bảo mật cần thiết tại mỗi nút.

Một phần mềm bảo mật tùy chỉnh (ví dụ hiện tại là eSAF) giám sát và quản lý tất cả các gói đi qua ISA 140, chặn tất cả các gói có khả năng gây hại, báo cáo các hành vi đáng ngờ và ngăn chặn truy cập trái phép. Sức mạnh tổng hợp của phần cứng và phần mềm đảm bảo rằng tất cả các mạng sẽ nằm trong tầm kiểm soát nếu xảy ra bất kỳ sự kiện an ninh mạng nào.