Tường lửa 1 chiều Data dioes : Siêu bảo mật hay siêu đau ?
An ninh mạng cho các cơ sở công nghiệp thực sự là vấn đề hàng đầu bởi nó có thể dẫn đến những hậu quả nghiêm trọng, ảnh hưởng đến quy trình công nghiệp cũng như gây thiệt hại cho doanh nghiệp. Các cuộc tấn công mạng là không ngừng và liên tục chống lại môi trường mạng công nghiệp SCADA/ ICS trên hệ thống OT. Hầu hết các mạng công nghiệp sản xuất ICS/SCADA đã trải qua nhiều cuộc tấn công mạng gây ra vi phạm dữ liệu và/hoặc gây gián đoạn và ngừng hoạt động trong thời gian đáng kể đối với các hoạt động kinh doanh, nhà máy và thiết bị hoạt động, với nhiều cuộc tấn công của nhà nước quốc gia . Hiện nay có rất nhiều giải pháp phòng chống tấn cộng mạng như tường lửa Firewall , phòng chống tấn công chủ đích ATP và Tưởng lửa 1 chiều Data Diode…. để bảo vệ mạng công nghiệp SCADA/ICS
Khái niệm về Data Diode - một thiết bị phần cứng chỉ cho phép dữ liệu ra khỏi vành đại được bảo vệ và ngăn chặn mọi dữ liệu đi vào - không phải là mới , nhưng nó đã được áp dụng gần đây trong lĩnh vực cơ sở hạ tầng quan trọng nhằm bảo vệ mạng OT trong khi vẫn cho phép truyền dữ liệu từ mạng OT ra mạng IT.
Trong hoạt động bình thường , các máy được nối mạng có khả năng truyền và nhận dữ liệu . Khi kết nối giữa hai mạng , một trong số đó không đáng tin cậy , một Data Diode sẽ loại bỏ một trong các kênh truyền / nhận và thực thi một luồng đơn hướng ở mức phần cứng .
Sau nhiều năm phát triển , việc sử dụng Data Diode dữ liệu đã tăng lên tạo ra hai biến thể :
- Data Diode thuần túy : Thiết bị hoặc thiết bị mạng cho phép dữ liệu thố chỉ truyền theo một hướng , được sử dụng để đảm bảo an toàn thông tin hoặc bảo vệ các hệ thống kỹ thuật số quan trọng , như hệ thống điều khiển công nghiệp , khỏi các cuộc tấn công mạng vào trong .
- Cổng bảo mật một chiều USG ( Unidirection Security Gateway ) : Kết hợp phần cứng và phần mềm chạy trong máy tính proxy trong mạng nguồn và mạng đích . Phần cứng , một Data Diode , thực thi tính đơn hướng vật lý và phần mềm sao chép cơ sở dữ liệu và mô phỏng các máy chủ giao thức để xử lý giao tiếp hai chiều . Cổng đơn hưởng có khả năng chuyển đồng thời nhiều giao thức và loại dữ liệu . Một đặc điểm duy nhất là dữ liệu được truyền một cách xác định đến các vị trí được xác định trước ) với một " ngắt " giao thức cho phép dữ liệu được truyền qua diode dữ liệu .
Trên lý thuyết , Data Diode hay USG nghe có vẻ tuyệt vời . tuy nhiên thực tế chúng thực sự đưa ra nhiều vấn đề hơn là giải quyết . Đây là lý do tại sao ?
Trước tiên , Data Diode loại trừ bất kỳ ứng dụng nào sử dụng giao tiếp TCP vì TCP là hai chiều . Điều này hạn chế dữ | liệu cho truyền thông UDP một chiều . Trước hết , các datagram UDP được giới hạn chỉ dưới 1.500 byte ;
Do đó , Data Diode ảnh hưởng đến việc thu thập sự kiện từ hệ thống . Syslog sử dụng UDP theo mặc định , hoạt động được với Data Dioide . Tuy nhiên , nhiều giao thức khác đều sử dụng TCP ( Windows DCOM / WMI , Check Point OPSEC / LEA , JDBC , FTP , SCP , SDEE , V . v . ) . Nhiều hệ thống SCADA được xây dựng trên Windows và nhiều sự kiện do máy chủ Windows vượt quá 2.000 byte , vượt qua giới hạn datagram UDP .
Thứ hai , Data Diode chỉ đơn giản là ngăn chặn luồng dữ liệu theo một hướng , chúng không làm gì để chống lại phần mềm độc hại trong nội dung . Vì vậy , nó không cung cấp bất kỳ sự bảo vệ nào khỏi khả năng có nội dung độc hại trong dữ liệu được phép vào hoặc ra khỏi doanh nghiệp .
Nếu bạn cách ly một hệ thống hoặc mạng với một Data Diode , bạn có xu hướng cô lập nó khỏi thông tin , huyết mạch của bất kỳ quy trình kinh doanh nào . Vì vậy , trong nhiều trường hợp , diode hoạt động như một chất ức chế và trong thời đại kết nối này , điều đó không thể chấp nhận được . Để giải quyết bài toán này , một số giải pháp Data Diode chấp nhận các kết nối TCP , như FTP hoặc SMTP đến một máy chủ chuyên dụng ở phía được bảo vệ , chuyển dữ liệu vào các datagram UDP và gửi chúng qua data diode tới một máy chủ chuyên dụng khác ở phí bên kia mà tập hợp lại các datagram và bắt đầu một kết nối mới đến đích cuối cùng .Rõ ràng Data Diode có thể tạo ra sự phức tạp về khiến trức mạng , từ đó làm tang nguy cơ rủi ro an toàn thông tin cao . Lợi ích duy nhất của data diode so với tường lửa là chủng loại bỏ yếu tố người dùng và nhà phát triển cẩu thả .
.png)
Do các data diode được triển khai ở cấp độ phần cứng , người dùng không thể cấu hình sai và vì tính đơn giản của nó , không có khả năng một data diode có lỗi thiết kế tiềm ẩn , hoặc ít nhất cho phép dữ liệu chảy ngược vào lớp mạng được bảo vệ .
Tóm lại, Data diodes hay USG là 1 giải pháp tốt. Nhưng nếu hệ thống của bạn cần tương tác với các mạng không tin cậy thì đã đến lúc bạn nên cân nhắc việc tìm giải thay thế data diodes bằng các giải pháp tiên tiến hơn bảo vệ cho các nhà máy điện hạt nhân, nhà máy lóc dầu, nhà máy xử lý nước, các mạng cô lập khác … .Theo một số chuyên gia an ninh mạng thì xu hướng cách mạng công nghệ 4.0 thì một số hệ thống cần điều khiển thời gian thực , phản ứng nhanh nên hiện nay một số nước như Pháp, Đức, Anh,Hoa Kỳ.... từ năm 2010 đã tìm giải pháp tối ưu hơn Data diodes bằng giải pháp công nghệ khác tối ưu hơn đó là BSG ( Bidirectional Security Gateways ) cho phép truyền dữ liệu an toàn giữa các mạng cô lập, dữ liệu truyền đi có kiểm soát . Đây là conceft mới những giải quyết được bài toán mà hiện nay các bài toàn mà firewall , data diode không làm được , kể cả cấp quyền root cho Hacker ngồi ở mạng ngoài cũng không thể tấn công mạng trong ( ngược lại ) vì cơ chế ẩn giấy lớp mạng của nó
.png)
Các dự án điển hình đã xử dụng giải pháp BSG ( Bidirectional Security Gateways ) thay cho Data Diode
Case Study 1 :
Bộ năng lượng hòa kỳ DOE ( United States Department of Energy) đã triển khai hệ thống bảo mật an ninh mạng OT/ IT cho nhà máy năng lượng ( hạt nhân , nhiệt điện, điện gió , điện mặt trời, dầu khí gas , nước ... ) đưa ra giải pháp thay thế cho Data diode hay USG
Đúng theo xu hướng cách mạng công nghệ 4.0 Khi mà tất cả hệ thống , thiết bị đều kết nốiĐây là công bố của phòng thí năng lượng Hoa Kỳ NREL thuộc DOE
Hãy xem sơ đồ nguyên lý hệ thống và các hãng thiết bị đã triển khaihttps://www.nrel.gov/esif/assets/pdfs/insecure_field_devices.pdf
Case Study 2 :
Bảo mật an toàn thông tin cho mạng IT/ OT cho hệ thống điều độ giờ tàu chạy cho hệ thống tàu điện châu âu SNCF
Tổng thể giải pháp kết hợp giữa Seclab và Stormshield ( Sản phẩm Firewall IPS của tập đoàn hàng không châu âu Airbus)
Case Study 3 :
Hệ thống nhà máy điện hạt nhân tại Pháp thuộc tập đoàn điện lực Pháp EDF cung cấp điện cho gần 60% cho toàn bộ Châu Âu đã dùng BSG Bidirectional Security Gateways bảo mật cho hệ thống điều độ IT/ OT của các nhà máy hạt nhân
Bài viết của chuyên gia bảo mật Chris Poulin ông làm việc hơn 30 năm ở IBM, BQP Hoa Kỳ . Sau khi nghỉ việc bộ quốc phòng ông thành lập FireTower, Inc trở thành công ty tư vấn bảo mật an toàn thông tin nằm nhóm Fortune 100
https://www.cybercureme.com/data-diodes-super-security-or-super-pain/
Theo : Securityweek , Cybercureme
Các tin khác
-
Imperva bị vi phạm bảo mật, dữ liệu của các khách hàng WAF bị rò rỉ
-
Lỗ hổng nghiêm trọng tường lửa và các thiết bị VPN Palo Alto Networks Hacker có thể chiếm quyền dễ dàng để tấn công
-
Hacker nhắm vào các lỗ hổng trong sản phẩm của Fortinet, Pulse Secure
-
Barracuda kêu gọi khách hàng thay thế các thiết bị bảo mật email bị tấn công
-
Lỗ hổng nghiêm trọng trong thiết bị Sophos Cyberoam cho phép thực thi mã từ xa
-
Chuyển đổi số và Chính phủ thông minh
-
FBI và CISA cảnh báo tin tặc tấn công máy chủ Fortinet FortiOS
-
Các phương pháp tấn công an toàn thông tin trên mạng Internet
-
Fortinet tìm thấy lỗ hổng khai thác Zero-Day trong các cuộc tấn công của chính phủ sau khi thiết bị phát hiện vi phạm tính toàn vẹn
-
Tin tặc Iran khai thác lỗ hổng VPN trên các thiết bị bảo mật, cài backdoor vào hệ thống các tổ chức trên toàn thế giới
