Cơ quan An ninh Cơ sở Hạ tầng và An ninh Mạng (CISA), hợp tác với tám cơ quan an ninh mạng quốc gia khác, đã công bố hướng dẫn toàn diện “Nền tảng cho An ninh Mạng Công nghệ Vận hành (OT): Hướng dẫn Kiểm Kê Tài Sản cho Chủ sở hữu và Nhà vận hành”. Tài liệu này trang bị cho các bên liên quan đến cơ sở hạ tầng trọng yếu – bao gồm năng lượng, nước và nước thải, sản xuất, và nhiều lĩnh vực khác – những thực tiễn tốt nhất để phát triển và duy trì danh mục kiểm kê tài sản OT và hệ thống phân loại. Mục tiêu chính là tăng cường an toàn thông tin cho các hệ thống công nghiệp quan trọng.
Hướng dẫn này được phát hành vào ngày 13 tháng 8 năm 2025, nhấn mạnh rằng một danh mục kiểm kê tài sản OT kỹ lưỡng là nền tảng cốt lõi để xây dựng một kiến trúc phòng thủ hiện đại. Bằng cách lập danh mục mọi hệ thống điều khiển, cảm biến, thiết bị truyền thông, cũng như phần cứng và phần mềm liên quan, chủ sở hữu và nhà vận hành sẽ có được cái nhìn rõ ràng về bề mặt tấn công của mạng lưới của họ. Điều này cho phép họ hiểu rõ hơn về các điểm yếu tiềm ẩn và các khu vực cần được bảo vệ chặt chẽ.
Tầm Quan Trọng của Kiểm Kê Tài Sản OT trong Bảo Mật Công Nghiệp
Một hệ thống kiểm kê tài sản OT chi tiết cung cấp khả năng hiển thị cần thiết để nhận diện các thiết bị, hệ thống và phần mềm đang hoạt động trong môi trường OT. Việc thiếu tầm nhìn này có thể dẫn đến các lỗ hổng không được biết đến, khiến hệ thống dễ bị tổn thương trước các cuộc tấn công. Hướng dẫn của CISA chỉ rõ rằng việc thu thập thông tin toàn diện về kiểm kê tài sản OT là bước đầu tiên và quan trọng nhất để thiết lập một chiến lược bảo mật OT hiệu quả.
CISA đặc biệt nhấn mạnh tầm quan trọng của việc hiểu rõ từng thành phần trong mạng OT. Điều này không chỉ bao gồm các thiết bị vật lý mà còn cả các phiên bản phần mềm, cấu hình, và các kết nối mạng. Thông tin chi tiết này là chìa khóa để triển khai các biện pháp bảo vệ phù hợp, quản lý rủi ro bảo mật và ứng phó sự cố một cách nhanh chóng và hiệu quả.
Xây Dựng Hệ Thống Phân Loại (Taxonomy) Tài Sản OT
Hướng dẫn giải thích cách một hệ thống phân loại OT (taxonomy) – một hệ thống phân loại có cấu trúc dựa trên chức năng và mức độ quan trọng của tài sản – giúp nhận diện rủi ro, quản lý lỗ hổng và ứng phó sự cố hiệu quả hơn. Taxonomy cho phép các tổ chức nhóm các tài sản lại với nhau dựa trên các đặc điểm chung, từ đó đơn giản hóa việc đánh giá và quản lý bảo mật.
- Nhận diện Rủi Ro Hiệu Quả: Phân loại tài sản giúp xác định những khu vực có rủi ro cao nhất, cho phép ưu tiên các nỗ lực bảo mật.
- Quản Lý Lỗ Hổng Tối Ưu: Khi biết rõ các loại tài sản và phần mềm tương ứng, việc theo dõi và vá các lỗ hổng bảo mật trở nên dễ dàng hơn. Để theo dõi các lỗ hổng mới nhất, tổ chức có thể tham khảo Cơ sở dữ liệu Lỗ hổng Quốc gia (NVD).
- Ứng Phó Sự Cố Nhanh Chóng: Một hệ thống phân loại rõ ràng giúp nhóm ứng phó sự cố nhanh chóng xác định các tài sản bị ảnh hưởng và thực hiện các biện pháp khắc phục.
Mặc dù không mang tính quy định bắt buộc, tài liệu này bao gồm các hệ thống phân loại khái niệm cho các lĩnh vực như dầu khí, điện, và nước & nước thải. Những phụ lục này minh họa cách các tài sản có mức độ quan trọng cao, trung bình và thấp có thể được nhóm lại. Ví dụ, trong các hoạt động dầu khí, các hệ thống dừng khẩn cấp, hệ thống điều khiển phân tán và máy phát điện dự phòng được phân loại là tài sản có mức độ quan trọng cao. Việc phân loại này giúp các nhà khai thác tập trung tài nguyên bảo mật vào những tài sản then chốt nhất, nơi một sự cố có thể gây ra hậu quả nghiêm trọng.
Quy Trình và Tích Hợp Kiểm Kê Tài Sản OT
Hướng dẫn của CISA phác thảo một quy trình gồm năm bước rõ ràng để thực hiện kiểm kê tài sản OT. Mặc dù các bước cụ thể không được liệt kê chi tiết trong bản tóm tắt này, trọng tâm của quy trình là xây dựng một danh mục tài sản toàn diện và có cấu trúc. Quy trình này được thiết kế để áp dụng linh hoạt cho các tổ chức thuộc nhiều lĩnh vực khác nhau, đảm bảo tính thích ứng và hiệu quả.
Ngoài việc tạo danh mục kiểm kê, CISA nhấn mạnh sự cần thiết của việc tích hợp danh mục kiểm kê vào các nỗ lực quản lý rủi ro và bảo mật OT rộng hơn. Các bên liên quan được khuyến khích đối chiếu danh mục kiểm kê với các cơ sở dữ liệu lỗ hổng có thẩm quyền. Ví dụ như Danh mục Lỗ hổng Đã Bị Khai Thác của CISA (Known Exploited Vulnerabilities Catalog) và danh sách CVE của MITRE. Việc này giúp xác định các lỗ hổng hiện có trong môi trường OT của họ. Các lỗ hổng đã được biết đến và đang bị khai thác có thể được tra cứu chi tiết tại Danh mục KEV của CISA.
Đồng thời, khuyến nghị ưu tiên các yếu tố đe dọa bằng cách sử dụng các khung như MITRE ATT&CK cho Hệ thống Điều khiển Công nghiệp (ICS). Khung ATT&CK cho ICS cung cấp một bản đồ chi tiết về các kỹ thuật và chiến thuật mà kẻ tấn công sử dụng để nhắm mục tiêu vào các hệ thống OT, giúp các tổ chức xây dựng các biện pháp phòng thủ chủ động.
Duy Trì Khả Năng Vận Hành và Cải Thiện Liên Tục
Hướng dẫn cũng thúc đẩy việc lập kế hoạch bảo trì, giám sát hiệu suất và phân tích phụ tùng thay thế để đảm bảo khả năng phục hồi vận hành. Một danh mục kiểm kê tài sản OT được duy trì tốt sẽ cung cấp thông tin cần thiết để dự đoán nhu cầu bảo trì, quản lý vòng đời thiết bị và đảm bảo rằng các hệ thống quan trọng luôn có sẵn và hoạt động ổn định. Điều này góp phần giảm thiểu rủi ro bảo mật do lỗi thiết bị hoặc sự cố không mong muốn.
CISA ủng hộ việc cải tiến liên tục thông qua việc xem xét định kỳ các hệ thống phân loại, thu thập phản hồi từ các bên liên quan và quản lý thay đổi nghiêm ngặt. Việc cập nhật thường xuyên danh mục kiểm kê và taxonomy là yếu tố then chốt để đảm bảo chúng luôn phản ánh đúng hiện trạng của môi trường OT đang phát triển. Điều này đặc biệt quan trọng trong bối cảnh các mối đe dọa và công nghệ mới liên tục xuất hiện, đòi hỏi một chiến lược bảo mật OT linh hoạt.
Ngoài ra, hướng dẫn nhấn mạnh tầm quan trọng của việc đào tạo nhân viên, các chương trình nâng cao nhận thức và sự hợp tác chặt chẽ giữa các đội ngũ IT (Công nghệ Thông tin) và OT. Sự phối hợp này đảm bảo rằng các sáng kiến bảo mật được thực hiện một cách toàn diện, tận dụng kiến thức chuyên môn từ cả hai phía để bảo vệ hiệu quả các hệ thống cơ sở hạ tầng trọng yếu.
Mục Tiêu và Tầm Nhìn của CISA
Bằng việc công bố hướng dẫn kiểm kê tài sản OT này, CISA và các cơ quan đối tác đặt mục tiêu nâng cao tư thế an ninh mạng của các tổ chức chịu trách nhiệm về các dịch vụ quan trọng nhất của quốc gia. Đây là một bước đi chiến lược nhằm xây dựng khả năng phòng thủ vững chắc hơn trước các mối đe dọa mạng ngày càng tinh vi. Hướng dẫn này cung cấp lộ trình rõ ràng để các nhà vận hành cơ sở hạ tầng quan trọng tăng cường khả năng phục hồi của họ trước các sự cố an ninh.
Các bên liên quan được khuyến khích phổ biến các khuyến nghị trong nội bộ doanh nghiệp của họ và cung cấp phản hồi thông qua khảo sát ẩn danh của CISA để thông báo cho các bản cập nhật trong tương lai. Sự đóng góp của cộng đồng là rất quan trọng để đảm bảo rằng hướng dẫn này tiếp tục phát triển và đáp ứng được nhu cầu thực tế của các nhà vận hành OT.
