Vì sao cần bảo mật mạng không dây Private công ty tiện ích
Trong giai đoạn từ năm 2022 đến 2025, tần suất và mức độ tinh vi của các mối đe dọa an ninh mạng đối với cơ sở hạ tầng trọng yếu đã gia tăng với một tốc độ phi mã và đạt đến những đỉnh điểm lịch sử.
Khác với các doanh nghiệp thương mại thông thường, bảo mật mạng không dây Private công ty tiện ích 4G,5G phải đối mặt với một thực tế phòng thủ vô cùng khắc nghiệt.
Họ không chỉ phải đối phó với những chiến dịch tấn công nhắm trực tiếp vào lĩnh vực năng lượng và cấp nước của mình mà họ còn chịu đựng toàn bộ bề mặt rủi ro của ngành viễn thông và buộc phải chống lại các nhóm tin tặc chuyên nhắm vào các kiến trúc mạng cốt lõi của nhà khai thác di động.
Sự kết hợp của hai mặt trận rủi ro này tạo ra một bài toán bảo mật mạng không dây Private công ty tiện ích có độ phức tạp theo cấp số nhân.
Hơn nữa, với tình hình căng thẳng địa chính trị leo thang trên toàn cầu, trọng tâm của các cuộc tấn công đã dịch chuyển từ động cơ tống tiền tài chính của các băng đảng tội phạm mạng sang hoạt động tình báo quân sự, thám thính chiến lược và phá hoại mang tính nhà nước do các nhóm APT chuyên trách thực hiện.
Các hình thức tấn công phổ biến
| Đặc điểm kỹ thuật |
Nhóm Liminal Panda |
Nhóm Volt Typhoon / Voltzite |
|---|---|---|
| Lĩnh vực nhắm tới | Cơ sở hạ tầng Viễn thông di động, Nhà cung cấp mạng | Hệ thống Tiện ích (Điện, Nước), Giao thông, Viễn thông |
| Động cơ chiến lược | Gián điệp Trích xuất dữ liệu Định vị vị trí Cước phí di động | Tiền định vị (Prepositioning) để phá hoại, gây tê liệt hệ thống |
| Chiến thuật xâm nhập cơ bản | Khai thác eDNS, đánh cắp Token API đám mây, tấn công chuỗi cung ứng | Khai thác Zero-day trên bộ định tuyến biên, Firewall, VPN |
| Phương thức trốn tránh | Phân tách hạ tầng hoạt động, định tuyến lưu lượng qua GTP/SS7 | Xóa nhật ký (Log deletion) Chiến thuật LOTL Không dùng mã độc |
| Cơ sở hạ tầng C2 | Mô phỏng GSM, đường hầm giao thức mạng di động lõi | Mạng lưới SOHO Routers bị xâm nhập (KV Botnet) |
| Mức độ phụ thuộc mã độc | Sử dụng mã độc chuyên biệt cấy vào HSS và máy chủ viễn thông | Rất hiếm khi dùng mã độc — lạm dụng Web shells và công cụ hệ điều hành (WMI / SMB) |
Các khó khăn trong bảo mật mạng Private
Giới hạn của các tiêu chuẩn hiện tại
Trong lĩnh vực bảo mật mạng 4G/5G riêng tư, các tiêu chuẩn do 3GPP tổ chức quốc tế chịu trách nhiệm định nghĩa đặc tả mạng di động ban hành đóng vai trò nền tảng không thể thiếu.
Các tiêu chuẩn này yêu cầu mã hóa mật mã mạnh mẽ trên giao diện vô tuyến và cơ chế xác thực hai chiều nhiều lớp.
Chúng đảm bảo chỉ những thiết bị được cấp phép mới có thể kết nối vào mạng, đồng thời dữ liệu truyền qua đường vô tuyến luôn được bảo mật.
Đối với các công ty tiện ích triển khai mạng LTE hoặc 5G riêng tư để kết nối các trạm biến áp, trạm bơm hay hệ thống giám sát đường ống, lớp bảo vệ nền tảng này thực sự có giá trị thiết thực.
Tuy nhiên, một khoảng trống vận hành nghiêm trọng xuất hiện khi các tổ chức muốn vượt ra ngoài phạm vi kết nối thuần túy để hướng đến quản trị bảo mật toàn diện.
Về bản chất, các tiêu chuẩn 3GPP tập trung vào tầng viễn thông nên chúng không quy định cách nhà vận hành mạng thực hiện giám sát lưu lượng liên tục, triển khai quy trình phát hiện bất thường hay ứng phó với các sự kiện xâm nhập đang diễn ra.
Trên thực tế, điều này có nghĩa là dù mạng có thể xác thực thiết bị và mã hóa dữ liệu truyền tải, nhưng lại không cung cấp bất kỳ hướng dẫn gốc nào về khả năng EDR.
Đó là khả năng nhận diện các hành vi đáng ngờ, tương quan các sự kiện bảo mật theo thời gian, hay kích hoạt phản ứng kiểm soát tự động.
Đội ngũ bảo mật tại các công ty tiện ích vì vậy phải tự mình lấp đầy khoảng trống này, thường trong điều kiện thiếu công cụ chuyên dụng.
Ví dụ: Một công ty điện lực triển khai mạng 5G riêng tư để giám sát lưới điện thông minh có thể phát hiện được một thiết bị giả mạo cố gắng kết nối vào mạng (nhờ cơ chế xác thực của 3GPP).
Tuy nhiên họ hoàn toàn không có công cụ để nhận biết rằng một RTU hợp lệ đang bị khai thác để gửi lệnh bất thường đến trạm biến áp bởi hành vi đó diễn ra bên trong phiên kết nối đã được xác thực.
Thách thức còn trở nên phức tạp hơn bởi sự bất tương thích cơ bản giữa môi trường mạng di động riêng tư và các nền tảng bảo mật CNTT thông thường.
Các công cụ bảo mật doanh nghiệp như hệ thống SIEM dùng để phát hiện xâm nhập mạng, nền tảng phân tích lưu lượng được thiết kế xoay quanh các giao thức IP chuẩn như TCP/UDP và các giao thức tầng ứng dụng quen thuộc.
Trong khi đó, mạng 4G/5G riêng tư lại dựa trên các giao thức viễn thông chuyên biệt, bao gồm GTP dùng để đóng gói lưu lượng mặt phẳng người dùng bên trong mạng lõi và SCTP được sử dụng rộng rãi trong các giao diện báo hiệu.
Hầu hết các công cụ bảo mật thương mại không thể phân tích cú pháp, kiểm tra hoặc tạo cảnh báo có nghĩa từ các định dạng giao thức này, khiến một phần lớn lưu lượng mạng trở nên “vô hình” trước đội ngũ vận hành bảo mật.
Sự không tương thích về giao thức này đẩy các công ty tiện ích vào thế khó.
Ho phải đầu tư vào các nền tảng bảo mật viễn thông chuyên biệt chi phí cao hoặc chấp nhận những lỗ hổng nghiêm trọng trong khả năng quan sát bảo mật.
Điểm mù từ thiết bị OT
Hệ sinh thái công nghệ vận hành (OT) trong các công ty tiện ích đặt ra một loại thách thức bảo mật hoàn toàn riêng biệt không xuất phát từ sự phức tạp của giao thức mà từ những ràng buộc vật lý và kiến trúc của các thiết bị triển khai tại thực địa.
Mạng lưới tiện ích phụ thuộc vào hàng loạt cảm biến, RTU, PLC và các thiết bị tương tự được phân bổ rải rác tại những địa điểm xa xôi và dễ nhận diện.
Đó là bãi máy biến áp, khu vực hồ chứa nước, trạm đo lường khí đốt tự nhiên, hay các hành lang đường ống nông thôn.
Những vị trí này vốn khó bảo đảm an ninh vật lý và thường xuyên không có người giám sát trong thời gian dài nên tạo ra nguy cơ đáng kể về giả mạo thiết bị, thay thế phần cứng hoặc kết nối trái phép.
Thách thức bảo mật càng trở nên phức tạp hơn bởi những giới hạn kỹ thuật của chính các thiết bị OT này.
Khác với các endpoint doanh nghiệp hiện đại như máy tính xách tay, máy chủ hay điện thoại thông minh phần lớn cảm biến công nghiệp và RTU đang được vận hành thực tế đều được thiết kế và mua sắm từ thời kỳ mà tích hợp an ninh mạng chưa phải là ưu tiên.
Hệ quả là các thiết bị này thường không hỗ trợ cài đặt phần mềm bảo mật, thiếu tài nguyên tính toán để thực hiện mã hóa cục bộ, và không có định danh di động gốc như SIM, IMEI hay IMSI.
Thiếu những định danh này, mạng di động riêng tư không thể trực tiếp xác thực hoặc nhận dạng duy nhất các thiết bị ở tầng truy nhập vô tuyến.
Ví dụ: Tại một trạm bơm nước ở vùng nông thôn Đồng bằng sông Cửu Long, hàng chục cảm biến áp suất và lưu lượng kết nối đến một router di động duy nhất để truyền dữ liệu về trung tâm điều khiển.
Từ góc nhìn của hệ thống giám sát, toàn bộ dữ liệu đó xuất hiện dưới một danh tính mạng duy nhất nên không ai có thể phân biệt đâu là tín hiệu từ cảm biến lưu lượng bình thường, đâu là dữ liệu bất thường từ thiết bị đã bị can thiệp vật lý.
Để duy trì kết nối vận hành, nhiều thiết bị OT kết nối vào mạng riêng tư một cách gián tiếp là truyền dữ liệu thông qua các router di động hoặc cổng kết nối di động để tổng hợp lưu lượng từ nhiều thiết bị thực địa và chỉ trình bày một danh tính mạng duy nhất đến lõi mạng.
Kiến trúc này tuy giải quyết được bài toán kết nối nhưng lại tạo ra một vấn đề nghiêm trọng về khả năng quan sát bảo mật.
Từ góc nhìn của hạ tầng giám sát bảo mật, toàn bộ lưu lượng phát sinh từ một router nhất định đều xuất hiện dưới một danh tính chung nên khó xác định thiết bị thực địa cụ thể nào đã tạo ra một luồng dữ liệu nhất định.
Ví dụ: Một chuyên viên phân tích bảo mật quan sát thấy các hành vi lưu lượng bất thường không thể xác định nguồn gốc là một RTU bị lỗi, một cảm biến bị xâm phạm hay một thiết bị trái phép đã bị cắm vào mạng về mặt vật lý.
“Điểm mù” tại biên vận hành này không phải lỗi cấu hình mà đây là giới hạn cấu trúc trong cách các thiết bị OT cũ tương tác với kiến trúc mạng di động hiện đại.
Khắc phục nó đòi hỏi các giải pháp được xây dựng chuyên biệt, có khả năng nhận diện lưu lượng ở cấp độ từng thiết bị và thực hiện phân tích hành vi mà không phụ thuộc vào cơ chế xác thực gốc của thiết bị.
Nguyên tắc bảo mật
Tuân thủ các tiêu chuẩn đa ngành
Sự phức tạp trong bảo mật mạng riêng tư tại các doanh nghiệp tiện ích (điện, nước, khí đốt…) xuất phát phần lớn từ môi trường pháp lý chồng chéo và đa tầng.
Khác với các doanh nghiệp thông thường chỉ hoạt động trong một lĩnh vực duy nhất, các nhà khai thác hạ tầng tiện ích phải đồng thời điều hướng theo ba nhóm quy định song song: tiêu chuẩn viễn thông, khung bảo mật IT/OT và các quy định năng lượng đặc thù theo từng ngành.
Chỉ cần bỏ sót một tầng trong số này, kẻ tấn công có đủ kỹ thuật sẽ lập tức tìm ra và khai thác lỗ hổng đó.
Ở tầng viễn thông, các tiêu chuẩn 3GPP định nghĩa kiến trúc bảo mật nền tảng cho mạng 4G LTE và 5G riêng tư bao gồm giao thức xác thực, yêu cầu mã hóa và bảo vệ danh tính thuê bao.
Mặc dù các tiêu chuẩn này ban đầu được thiết kế cho mạng di động công cộng, nhưng khi triển khai vào môi trường công nghiệp riêng tư, chúng đòi hỏi phải được điều chỉnh cẩn thận cho phù hợp với thực tế vận hành.
Song song đó, các nhà khai thác còn phải tích hợp NIST SP 800-82 là tài liệu tham chiếu chuẩn của Hoa Kỳ về bảo mật Hệ thống Kiểm soát Công nghiệp (ICS) cùng với Mô hình Purdue.
Đây là kiến trúc phân cấp phân tầng môi trường OT theo từng cấp độ chức năng, từ thiết bị thực địa cho đến hệ thống cấp doanh nghiệp.
Chỉ khi áp dụng đồng thời cả hai tài liệu này, thiết kế mạng mới thực sự phản ánh đúng bức tranh vận hành thực tế.
Ở tầng quy định ngành, NERC CIP thiết lập các tiêu chuẩn an ninh mạng bắt buộc dành cho các nhà khai thác hệ thống điện lớn bao gồm kiểm soát truy cập, báo cáo sự cố và quản lý rủi ro chuỗi cung ứng.
Trên phạm vi quốc tế, IEC 62351 cung cấp các đặc tả bảo mật chuyên biệt cho các giao thức truyền thông trong hệ thống điện.
Tổng hợp lại, những khung pháp lý này tạo nên một khả năng tuân thủ đa tầng đặc biệt quan trọng trong môi trường tiện ích.
Đó là nơi một sự cố bảo mật đơn lẻ có thể kéo theo gián đoạn dịch vụ diện rộng, thậm chí gây thiệt hại vật lý cho hạ tầng trọng yếu.
Ví dụ: Tại công ty điện lực khi triển khai hệ thống SCADA/DMS cho lưới điện thông minh phải tuân thủ đồng thời tiêu chuẩn IEC 62351 cho truyền thông điện lực, tiêu chuẩn 3GPP nếu dùng mạng riêng tư 4G/5G để kết nối các trạm biến áp từ xa và các quy định an ninh mạng của Bộ Thông tin và Truyền thông.
Sự chồng lấp này đòi hỏi một nhóm chuyên gia liên ngành chứ không thể chỉ dựa vào đội IT nội bộ.
Nhận thức giới hạn của bảo mật doanh nghiệp
Một quan niệm sai lầm phổ biến và đặc biệt nguy hiểm trong lập kế hoạch an ninh mạng tại các doanh nghiệp tiện ích là cho rằng các giải pháp bảo mật IT doanh nghiệp hiện có có thể áp dụng trực tiếp lên hạ tầng mạng di động riêng tư.
Cách tiếp cận này căn bản là hiểu sai sự khác biệt kiến trúc giữa mạng IT thông thường và môi trường mobile core.
Sai lầm này khiến các thành phần mạng trọng yếu hoàn toàn không được bảo vệ.
Các công cụ bảo mật doanh nghiệp thông thường bao gồm tường lửa truyền thống, phần mềm phát hiện endpoint và hệ thống ngăn chặn xâm nhập mạng được thiết kế cho môi trường LAN/WAN dựa trên IP.
Đó là nơi các thiết bị giao tiếp qua các giao thức quen thuộc và được định nghĩa rõ ràng.
Ngược lại, mạng di động riêng tư vận hành dựa trên các giao thức viễn thông chuyên biệt như GTP, Diameter, PFCP và SBI trong kiến trúc 5G standalone. Hầu hết các nền tảng bảo mật thông thường đều không thể “đọc” được các giao thức này.
Do đó đồng nghĩa với lưu lượng độc hại đi qua mobile core hoàn toàn có thể vượt qua các công cụ doanh nghiệp mà không để lại dấu vết.
Vì vậy khi lựa chọn giải pháp bảo mật mạng, các nhà khai thác tiện ích bắt buộc phải đưa vào danh sách các nền tảng được thiết kế riêng cho môi trường viễn thông.
Đó là các nền tảng có khả năng kiểm tra gói tin sâu đối với giao thức báo hiệu di động, phân tích giao diện S1/N2/N3, và phát hiện bất thường hành vi trong RAN cùng các thành phần core.
Triển khai công cụ bảo mật doanh nghiệp thông thường làm lớp phòng thủ chính cho mạng di động riêng tư không chỉ đơn giản là không đủ mà nó còn tạo ra ảo giác an toàn.
Hơn nữa đôi khi ảo giác đó còn nguy hiểm hơn là thừa nhận thẳng rằng mạng đang thiếu bảo vệ.
Ví dụ: Công ty phân phối khí đốt triển khai mạng 4G riêng tư để giám sát đường ống từ xa. Nếu họ chỉ đặt tường lửa Cisco ASA hoặc Fortinet vốn dùng cho văn phòng lên trước mobile core, hệ thống sẽ không thể phân tích các thông điệp GTP-C chứa lệnh điều khiển van giả mạo.
Kẻ tấn công có thể đóng van cung cấp khí trong khi dashboard báo cáo mọi thứ vẫn bình thường.
Đầu tư vào khả năng hiển thị thiết bị
Trong môi trường tiện ích, số lượng thiết bị kết nối mạng trải rộng vượt xa phạm vi máy tính xách tay hay điện thoại thông minh.
Đồng hồ thông minh, bộ thiết bị đầu cuối từ xa (RTU), rơ-le bảo vệ, cảm biến SCADA, thiết bị giám sát môi trường và vô số endpoint IoT công nghiệp đều liên lạc qua mạng.
Phần lớn trong số đó kết nối gián tiếp qua các gateway hoặc điểm tập hợp, vô hình trung che khuất danh tính của thiết bị phía sau khỏi tầm nhìn của core mạng.
Hiện tượng này được gọi là “vùng mù định danh” là một trong những lỗ hổng nghiêm trọng nhất nhưng lại bị đánh giá thấp nhất trong bảo mật mạng riêng tư.
Thách thức còn bị khuếch đại bởi sự không đồng nhất của các thiết bị này.
Nhiều thiết bị OT chạy firmware cũ, không hỗ trợ cơ chế xác thực hiện đại và không thể cài đặt phần mềm bảo mật agent.
Khi một thiết bị như vậy giao tiếp qua gateway, mobile core chỉ nhìn thấy danh tính của gateway mà hoàn toàn không có thông tin về hàng chục, thậm chí hàng trăm thiết bị thực địa đứng đằng sau nó.
Điều này tạo ra môi trường mà một cảm biến hay bộ điều khiển đã bị xâm phạm có thể tiếp tục hoạt động bên trong vành đai mạng mà không kích hoạt bất kỳ cơ chế kiểm soát bảo mật nào dựa trên danh tính.
Để xử lý vùng mù này, cần có các nền tảng nhận diện và lập hồ sơ thiết bị chuyên biệt.
Chúng phải có khả năng lấy dấu vân tay thiết bị theo phương thức thụ động dựa trên đặc điểm hành vi, phân tích giao thức và mẫu truyền thông kể cả khi thiết bị không thể tự xác thực chủ động.
Các giải pháp ứng dụng phân tích mạng và học máy có thể xây dựng hồ sơ hành vi cơ sở cho từng lớp thiết bị trên mạng, qua đó phát hiện bất thường dựa trên độ lệch so với mẫu hành vi kỳ vọng bất kể danh tính thiết bị có được nhìn thấy trực tiếp hay không.
Đối với các nhà khai thác tiện ích, đạt được mức độ hiển thị thiết bị này không phải là tùy chọn mà đây là điều kiện tiên quyết để triển khai Zero Trust có ý nghĩa thực sự trong toàn bộ môi trường OT.
Ví dụ: Tại một nhà máy thủy điện, hàng trăm cảm biến đo lưu lượng nước, áp suất tuabin và nhiệt độ cuộn dây máy phát kết nối về một gateway duy nhất.
Nếu một cảm biến bị thay thế bằng thiết bị giả mạo có cùng địa chỉ MAC, hệ thống core mạng sẽ không phát hiện được trừ khi có nền tảng phân tích hành vi nhận ra rằng “cảm biến nhiệt độ” này đột nhiên bắt đầu gửi các gói tin có cấu trúc bất thường vào lúc 3 giờ sáng.
Giám sát hạ tầng bằng khung XDR
Bức tranh mối đe dọa nhắm vào mạng riêng tư của các doanh nghiệp tiện ích không phải là các cuộc tấn công cơ hội, đơn điểm.
Các tác nhân đe dọa tiên tiến trong đó có các nhóm được nhà nước bảo trợ với mục tiêu gây gián đoạn hạ tầng trọng yếu thực hiện các chiến dịch đa giai đoạn kéo dài trong thời gian dài.
Chúng di chuyển có hệ thống theo chiều ngang qua các tầng mạng trước khi kích hoạt payload cuối cùng.
Phòng thủ trước loại đối thủ này đòi hỏi một kiến trúc giám sát cung cấp khả năng quan sát tương quan và xuyên miền thay vì chỉ là các cảnh báo rời rạc từ từng công cụ bảo mật riêng lẻ.
XDR đáp ứng yêu cầu này bằng cách tích hợp telemetry từ toàn bộ môi trường mạng, các thành phần RAN, chức năng core mạng, hệ thống kiểm soát OT và hạ tầng IT doanh nghiệp vào một nền tảng phát hiện và phản ứng thống nhất.
Khác với cách tiếp cận SIEM truyền thống chỉ tập hợp log, XDR áp dụng phân tích hành vi và tương quan thông tin tình báo mối đe dọa theo thời gian thực, giúp đội vận hành bảo mật nhận diện các chuỗi tấn công trải rộng qua nhiều miền mạng.
Ví dụ: một cuộc tấn công nhắm vào eNodeB 4G, tiếp theo là di chuyển ngang sang một network slice đang hỗ trợ truyền thông SCADA, sẽ được XDR nhận diện như một chuỗi tấn công liên mạch trong khi các công cụ độc lập chỉ tạo ra các cảnh báo rời rạc, ưu tiên thấp cho từng sự kiện riêng lẻ.
Trong mạng riêng tư tiện ích, triển khai XDR cần bao phủ toàn bộ các nút mạng 4G và 5G bao gồm eNodeB, gNodeB, MME, AMF, SMF và UPF cũng như môi trường OT theo các tầng liên quan của Mô hình Purdue.
Khả năng tương quan sự kiện xuyên ranh giới này đặc biệt quan trọng vì các kẻ tấn công tinh vi thường khai thác “đường nối” giữa IT và OT làm đường di chuyển ngang.
Ví dụ: Năm 2015, nhóm Sandworm tấn công lưới điện Ukraine theo đúng mô hình đa giai đoạn: xâm nhập mạng IT → di chuyển ngang sang OT → kiểm soát hệ thống SCADA → cúp điện 230.000 hộ dân.
Nếu có XDR phủ toàn bộ miền IT lẫn OT, chuỗi tấn công này có thể đã bị phát hiện từ giai đoạn ban đầu.
Hợp tác chia sẻ tin tức
Không có nhà khai thác tiện ích nào đơn độc trong môi trường đe dọa hiện nay.
Các đối thủ nhắm vào hạ tầng trọng yếu là cùng một nhóm tác nhân đang tấn công các tổ chức đồng nghiệp trên khắp lĩnh vực năng lượng và nước.
Các chiến thuật, kỹ thuật và quy trình (TTP) họ sử dụng thường được tái sử dụng, điều chỉnh và tinh chỉnh qua nhiều chiến dịch.
Chia sẻ thông tin tình báo mối đe dọa có cấu trúc được hỗ trợ bởi các khung phân tích chuẩn hóa sẽ trao cho cộng đồng bảo mật khả năng tập thể vượt trước tốc độ đổi mới của giới tội phạm mạng.
MITRE ATT&CK cung cấp một phân loại hành vi đối thủ được công nhận toàn cầu, trải dài toàn bộ chuỗi tấn công từ giai đoạn xâm nhập ban đầu đến giai đoạn gây tác động.
Biến thể dành cho công nghiệp là ATT&CK for ICS mở rộng phạm vi sang các kỹ thuật tấn công đặc thù cho OT, phù hợp với môi trường tiện ích.
Quan trọng hơn đối với các nhà khai thác mạng riêng tư là MITRE FiGHT (5G Hierarchy of Threats) là kho kiến thức được xây dựng chuyên biệt để ghi lại các chiến thuật và kỹ thuật tấn công nhắm vào hạ tầng mạng 4G và 5G.
FiGHT lập danh mục các vector tấn công như bắt IMSI (IMSI catching), thao túng GTP, khai thác network slice và lạm dụng chức năng core mạng.
Do đó cung cấp cho đội bảo mật tiện ích một tài liệu tham chiếu có cấu trúc phục vụ cả phát hiện mối đe dọa lẫn thiết kế biện pháp đối phó.
Để vận hành hóa các khung này trong thực tế, cần tham gia vào các cộng đồng chia sẻ tình báo theo từng ngành như E-ISAC và WaterISAC.
Ngoài ra còn phải đồng thời tích hợp các luồng tình báo mối đe dọa có cấu trúc vào nền tảng XDR và SIEM.
Bằng cách ánh xạ các bất thường mạng quan sát được với các kỹ thuật trong FiGHT và ATT&CK theo thời gian thực, đội vận hành bảo mật có thể chuyển từ phản ứng sự cố bị động sang săn lùng mối đe dọa chủ động.
Đây là một bước chuyển dịch năng lực thiết yếu khi bảo vệ hạ tầng mà hậu quả của một cuộc tấn công thành công vượt ra ngoài thiệt hại tài chính, chạm đến an toàn công cộng.
Ví dụ: Một công ty cấp nước sử dụng mạng 5G riêng tư để giám sát hệ thống bơm và xử lý hóa chất.
Bằng cách đăng ký luồng tình báo từ WaterISAC và ánh xạ cảnh báo XDR với FiGHT technique T.Slice.001 (khai thác network slice), đội SOC phát hiện ra rằng một thiết bị đang cố gắng “trượt” sang slice kiểm soát bơm dù được đăng ký trên slice giám sát môi trường.
Hành động cách ly kịp thời ngăn chặn kịch bản có thể thay đổi nồng độ clo trong nước sinh hoạt.
Giải pháp bảo mật phổ biến
Quản lý định danh & truy cập đặc quyền
Trong các cuộc tấn công mạng nhắm vào hạ tầng trọng yếu hiện nay, leo thang đặc quyền vẫn là một trong những vector bị khai thác phổ biến nhất.
Các tác nhân đe dọa đặc biệt là các nhóm APT như Salt Typhoon tận dụng triệt để những lỗ hổng kiểm soát định danh yếu kém để di chuyển ngang qua mạng nội bộ.
Chúng từng bước nâng cấp quyền truy cập từ điểm xâm nhập cấp thấp lên quyền kiểm soát quản trị toàn bộ hệ thống cốt lõi.
Với các công ty tiện ích vận hành mạng 4G/5G riêng, rủi ro này càng trở nên nghiêm trọng hơn vì các thành phần mạng lõi như AMF, SMF và UPF là những mục tiêu có giá trị cao,
Nếu bị xâm phạm, hậu quả có thể là gián đoạn dịch vụ trên quy mô vùng hoặc toàn quốc.
NetGuard IAM xử lý lỗ hổng này thông qua một kiến trúc hoàn toàn khác biệt về bản chất.
Thay vì cấp quyền truy cập trực tiếp vào các thành phần mạng, hệ thống hoạt động như một lớp trung gian thông minh là một proxy xác thực và ủy quyền toàn bộ yêu cầu truy cập trước khi bất kỳ tương tác nào với hạ tầng 4G/5G lõi diễn ra.
Người dùng chỉ đăng nhập vào nền tảng IAM, thông tin xác thực của họ không bao giờ được truyền đến hay lưu trữ trong từng phần tử mạng riêng lẻ.
Mô hình “không phơi lộ thông tin xác thực” này đảm bảo dù kẻ tấn công có kiểm soát được máy trạm của một người dùng, chúng vẫn không thể thu thập được thông tin đăng nhập để xâm nhập vào hạ tầng mạng phía dưới.
Ví dụ: Tại Tập đoàn Điện lực, hàng trăm kỹ sư vận hành và nhà thầu bên thứ ba cần truy cập hệ thống quản lý mạng thường xuyên. Nếu không có lớp proxy IAM, mỗi tài khoản bị đánh cắp là một cánh cửa trực tiếp vào hệ thống điều khiển phân phối điện.
Với NetGuard IAM, ngay cả khi thông tin đăng nhập bị lộ, kẻ tấn công vẫn bị chặn hoàn toàn ở lớp proxy mà không thể tiến sâu hơn.
Kiến trúc proxy này đặc biệt hữu ích trong môi trường tiện ích, nơi nhân viên vận hành, kỹ sư hiện trường, chuyên viên phân tích NOC và nhà cung cấp dịch vụ bên ngoài đều cần truy cập định kỳ vào hệ thống quản lý mạng.
Bằng cách tập trung kiểm soát truy cập và áp dụng phân quyền theo vai trò với thời hạn giới hạn, NetGuard IAM thu hẹp đáng kể bề mặt tấn công.
Hơn nữa còn đồng thời duy trì nhật ký kiểm tra toàn diện là yêu cầu bắt buộc trong tuân thủ quy định tại ngành điện và nước.
Quản lý tài sản thiết bị & phân đoạn mạng
Một trong những thách thức bảo mật dai dẳng nhất trong mạng riêng của các công ty tiện ích là vấn đề “vùng mù”.
Đây là tình trạng không thể duy trì kiểm kê chính xác, theo thời gian thực toàn bộ thiết bị đang kết nối mạng.
Trong môi trường nặng về OT (công nghệ vận hành), hàng trăm cảm biến, RTU, đầu cuối SCADA và thiết bị di động của lực lượng lao động hiện trường kết nối vào mạng.
Rất nhiều trong số đó chưa bao giờ được thiết kế để hỗ trợ giám sát bảo mật theo kiểu agent truyền thống.
Sự vô hình này tạo ra các khoảng trống có thể bị đối phương khai thác để thiết lập chỗ đứng bền vững mà không bị phát hiện.
Giải pháp quản lý tài sản thiết bị giải quyết thách thức này bằng cách gán cho mỗi thiết bị một định danh kỹ thuật số duy nhất và bền vững mà không cần cài đặt phần mềm agent hay dùng nhận diện qua SIM.
Phương pháp lấy dấu vân tay không cần agent hoạt động trên các quần thể thiết bị không đồng nhất.
Chúng thu thập các thuộc tính như loại thiết bị, hành vi giao tiếp, mẫu kết nối và chữ ký firmware để xây dựng sổ đăng ký tài sản được cập nhật liên tục.
Với các nhà vận hành tiện ích, điều này đồng nghĩa với khả năng hiển thị toàn mạng từ bộ điều khiển tự động hóa trạm biến áp đến máy tính bảng kiểm tra di động bất kể giới hạn kỹ thuật của từng thiết bị.
Ví dụ: Công ty cấp nước vận hành hơn 500 cảm biến áp suất và RTU phân tán khắp hệ thống đường ống. Nhiều thiết bị này đã hoạt động 10–15 năm, không hỗ trợ cài đặt agent.
Với agentless fingerprinting, hệ thống vẫn nhận diện và theo dõi từng thiết bị dựa trên “dấu vân tay” hành vi mạng nên phát hiện ngay khi có thiết bị lạ hoặc thiết bị cũ bị thay thế trái phép.
Ngoài khả năng hiển thị, giải pháp này còn thực thi phân đoạn mạng chi tiết, vượt xa các cấu hình APN hoặc VLAN tĩnh truyền thống.
Thay vì chia mạng theo kiểu thô, hệ thống áp dụng chính sách vi phân đoạn động để tách biệt lưu lượng IT và OT.
Do đó có thể phân biệt giữa hạ tầng cố định và thiết bị đầu cuối di động, đồng thời cô lập từng nhóm thiết bị dựa trên mức độ rủi ro.
Khả năng này đặc biệt quan trọng trong mạng tiện ích, nơi một máy trạm IT bị xâm phạm tuyệt đối không được lan sang hệ thống điều khiển vận hành đang quản lý phân phối điện hay quy trình xử lý nước.
Giám sát và phản hồi điểm cuối
Hạ tầng mạng 4G/5G lõi vận hành dưới các yêu cầu độ trễ nghiêm ngặt thường đo bằng mili giây đơn lẻ khiến các giải pháp EDR định hướng IT truyền thống về cơ bản không tương thích.
Các agent EDR thông thường cắm sâu vào tiến trình kernel-space để chặn các lệnh gọi hệ thống.
Do đó gây ra chi phí CPU và biến động độ trễ có thể làm suy giảm hiệu suất thời gian thực của các chức năng mạng như quản lý phiên, xử lý chuyển giao và chuyển tiếp mặt phẳng người dùng.
Với các công ty tiện ích nơi độ tin cậy của mạng gắn trực tiếp với an toàn vận hành thì sự đánh đổi này hoàn toàn không thể chấp nhận.
NetGuard EDR được thiết kế kiến trúc đặc thù để vượt qua ràng buộc này.
Hệ thống triển khai các agent cực kỳ nhẹ, chỉ hoạt động trong user-space, thu thập dữ liệu đo từ xa về hành vi mà không can thiệp vào các thao tác kernel quan trọng của nền tảng ảo hóa chức năng mạng (NFV).
Phương pháp này được bổ sung bởi giám sát lưu lượng mạng không cần agent, phân tích thụ động các luồng giao tiếp giữa các thành phần, giữa RAN, các chức năng mạng lõi và hệ thống quản lý.
Từ đó phát hiện các mẫu bất thường có dấu hiệu di chuyển ngang, rò rỉ dữ liệu hoặc hoạt động ra lệnh và kiểm soát (C2).
Ví dụ: Một node AMF trong mạng 5G riêng của một nhà máy điện đột nhiên bắt đầu thiết lập kết nối ra ngoài đến một dải IP không xác định lúc 2 giờ sáng.
Hệ thống quản lý lịch bảo trì không ghi nhận bất kỳ tác vụ nào tại thời điểm đó. NetGuard EDR phát hiện hành vi bất thường này trong vòng vài giây.
Sau đó tạo cảnh báo độ tin cậy cao, giúp đội bảo mật khoanh vùng sự cố trước khi kẻ tấn công kịp mở rộng phạm vi kiểm soát.
Lợi ích thực tế cho nhà vận hành tiện ích là khả năng hiển thị mối đe dọa liên tục mà không ảnh hưởng đến hiệu suất mạng.
NetGuard EDR có thể phát hiện các lệch lạc hành vi và tạo cảnh báo độ tin cậy cao để đội bảo mật xử lý ngay lập tức là điều đặc biệt quan trọng trong môi trường tiện ích.
Đây là nơi các cuộc tấn công vào hạ tầng mạng có thể gây hậu quả vật lý trực tiếp đến sự ổn định của lưới điện hoặc tính liên tục của nguồn cung cấp nước.
Quản lý vòng đời chứng chỉ số
Hạ tầng khóa công khai (PKI) là nền tảng xác thực và mã hóa cho hầu như mọi giao tiếp trong mạng 4G/5G hiện đại từ bắt tay mutual TLS giữa các chức năng mạng đến ký số cập nhật phần mềm và gói cấu hình.
Tuy nhiên, quản lý PKI vốn rất dễ bị ảnh hưởng bởi sai sót của con người.
Các sự cố hết hạn chứng chỉ từng gây ra gián đoạn dịch vụ nghiêm trọng tại O2, SoftBank và Cisco đã ảnh hưởng đến hàng triệu người dùng.
Vì vậy có thể thấy ngay cả những nhà vận hành dày dặn kinh nghiệm cũng không miễn nhiễm với dạng lỗi vận hành tưởng như tầm thường này.
Xu hướng ngành và quy định đang đẩy nhanh quá trình rút ngắn thời hạn hiệu lực chứng chỉ hiện đang tiến đến mức tối đa 47 ngày theo các đề xuất của các cơ quan trình duyệt lớn và tổ chức tiêu chuẩn bảo mật.
Với mạng riêng tiện ích có hàng trăm đến hàng nghìn thành phần mang chứng chỉ, việc quản lý gia hạn ở tần suất này qua quy trình thủ công là bất khả thi về mặt vận hành và tiềm ẩn rủi ro gián đoạn dịch vụ không thể chấp nhận được.
Ví dụ: Năm 2023, một nhà mạng lớn tại Đông Nam Á phải ngừng dịch vụ trong 4 giờ vì một chứng chỉ TLS trong hệ thống xác thực hết hạn mà không được phát hiện kịp thời.
Với mạng riêng 5G của một công ty điện lực nơi mỗi giây gián đoạn đồng nghĩa với rủi ro vận hành thực sự.
Giải pháp quản lý vòng đời chứng chỉ tự động hóa toàn bộ quy trình PKI.
Chúng tìm kiếm chứng chỉ hiện có trên tất cả thành phần mạng, theo dõi thời hạn hết hạn, tự động gia hạn và phân phối, cùng với sự linh hoạt mật mã để hỗ trợ chuyển đổi thuật toán.
Quan trọng hơn, giải pháp đang được xây dựng với khả năng sẵn sàng cho mật mã hậu lượng tử (PQC) để chuẩn bị cho các nhà vận hành tiện ích đón nhận quá trình chuyển đổi sang các thuật toán kháng lượng tử được NIST chuẩn hóa.
Vì vậy đảm bảo hạ tầng tin cậy bảo vệ mạng của họ vẫn vững chắc trước các mối đe dọa mật mã trong tương lai.
Điều phối an ninh và bảo mật
Bốn lớp bảo mật mô tả ở trên tạo ra khối lượng đáng kể dữ liệu đo từ xa, cảnh báo và sự kiện.
Nếu không có một nền tảng thông minh trung tâm để tương quan và bối cảnh hóa thông tin này, các đội bảo mật sẽ rơi vào tình trạng “mệt mỏi cảnh báo”.
Khi đó khối lượng thông báo khổng lồ che khuất các mối đe dọa thực sự và làm chậm thời gian phản ứng.
Với các công ty tiện ích quản lý cả môi trường IT lẫn OT trải rộng trên hạ tầng phân tán về mặt địa lý, thách thức phối hợp này trở nên đặc biệt gay gắt.
Nền tảng điều phối bảo mật đóng vai trò là hệ thần kinh trung ương của toàn bộ kiến trúc bảo mật.
Xây dựng trên Microsoft Azure như một nền tảng XDR gốc đám mây, nó tổng hợp dữ liệu từ tất cả thành phần bảo mật tích hợp IAM, quản lý tài sản, EDR và hệ thống chứng chỉ.
Sau đó áp dụng logic tương quan nâng cao để nhận diện các mẫu tấn công đa giai đoạn vốn không thể phát hiện khi phân tích từng nguồn dữ liệu đơn lẻ.
Cốt lõi của nền tảng này là Microsoft Copilot for Security, được bổ sung đào tạo chuyên biệt về kiến trúc mạng 4G/5G và thông tin tình báo về mối đe dọa đặc thù viễn thông.
Khả năng AI giúp hệ thống hiểu ngữ cảnh ngữ nghĩa của các sự kiện mạng và phân biệt giữa một lần nâng cấp phần mềm thông thường và một hành động chỉnh sửa firmware đáng ngờ.
Sau đó đồng thời tự động tạo ra các kịch bản phản ứng phù hợp với môi trường mạng tiện ích.
Ví dụ: Khi một thiết bị OT trong mạng của một nhà máy thủy điện bị phát hiện có dấu hiệu xâm phạm, nền tảng điều phối không chỉ tạo cảnh báo mà còn lập tức kích hoạt cô lập thiết bị đó khỏi các phân đoạn mạng khác tất cả trong vài giây.
Tuy nhiên vẫn bảo toàn bằng chứng pháp lý để phân tích sau sự cố nên đội vận hành không phải chạy đua với thời gian để làm điều đó.
Khi phát hiện một thiết bị bị xâm phạm, nền tảng có thể ngay lập tức khởi động giao thức cô lập.
Chúng chặn điểm cuối bị ảnh hưởng khỏi giao tiếp với các phân đoạn mạng khác trong khi vẫn bảo toàn bằng chứng pháp lý để phân tích sau sự cố.
Đối với các nhà vận hành tiện ích, sự tự động hóa này rút ngắn đáng kể khoảng thời gian giữa phát hiện mối đe dọa và khống chế để thu hẹp cửa sổ mà kẻ tấn công có thể gây thiệt hại vận hành thực sự.
Có thể bạn quan tâm
Liên hệ
Địa chỉ
Tầng 6 184 Phương Liệt
Phường Phương Liệt
Thành phố. Hà Nội
info@comlink.com.vn
Phone
+84 98 58 58 247