SECUITY365

CERT MASTER

,
No comments on (Comptia Security+) Chương 14 Các Hệ Thống Nhúng và Đặc Biệt

(Comptia Security+) Chương 14 Các Hệ Thống Nhúng và Đặc Biệt

Trong chương này, các bạn sẽ

  • Khám phá các tác động bảo mật của các hệ thống nhúng (embedded systems)
  • Khám phá các tác động bảo mật của thiết bị thông minh / IoT
  • Khám phá các tác động bảo mật của hệ thống SCADA

An ninh mạng (Cybersecurity) không chỉ giới hạn ở các hệ thống CNTT trong doanh nghiệp. Một số lượng đáng kể các hệ thống nhúng và hệ thống chuyên dụng sản xuất và tiêu thụ dữ liệu để đạt được chức năng. Các hệ thống này cũng yêu cầu an ninh mạng nếu chức năng của chúng là được bảo vệ khỏi rủi ro bất lợi. Chương này trình bày bản chất độc đáo của các hệ thống này và cách thức liên quan đến việc cung cấp sự bảo vệ cho chúng.

Certification Objective Chương này bao gồm mục tiêu 2.6 của kỳ thi CompTIA Security +: Giải thích ý nghĩa bảo mật của các hệ thống nhúng và hệ thống chuyên dụng..

Embedded Systems

Hệ thống nhúng (Embedded systems) là tên đặt cho các máy tính được bao gồm như một phần không thể thiếu của một hệ thống lớn hơn, thường được kết nối cứng Embedded systems có thể đơn giản như một bộ vi điều khiển (microcontroller) với các giao diện tích hợp đầy đủ (một hệ thống trên chip) hoặc phức tạp như hàng chục embedded systems được kết nối với nhau trong một chiếc ô tô hiện đại. Embedded systems được thiết kế với một mục đích kiểm soát duy nhất và hầu như không có chức năng bổ sung, nhưng điều này không có nghĩa là chúng không có rủi ro hoặc lo ngại về bảo mật. Phần lớn các khai thác bảo mật liên quan đến việc yêu cầu một thiết bị hoặc hệ thống thực hiện một điều gì đó mà nó có khả năng làm và được thiết kế về mặt kỹ thuật để làm, ngay cả khi chức năng kết quả không bao giờ là mục đích sử dụng của thiết bị hoặc hệ thống.

Các nhà thiết kế hệ thống nhúng thường tập trung vào việc giảm thiểu chi phí, với việc bảo mật hiếm khi được coi trọng như một phần của thiết kế hoặc triển khai. Bởi vì hầu hết các hệ thống nhúng hoạt động như một hệ thống cô lập, rủi ro không đáng kể. Tuy nhiên, khi khả năng tăng lên và các thiết bị này được nối mạng với nhau, rủi ro đã tăng lên đáng kể. Ví dụ, máy in thông minh đã bị tấn công như một cách vào doanh nghiệp và như một cách để ẩn nấp khỏi những kẻ bảo vệ. Ngoài ra, khi những chiếc ô tô thế hệ tiếp theo bắt đầu nói chuyện với nhau, chuyển giao thông và thông tin khác giữa chúng và bắt đầu có điều hướng và các đầu vào khác được đưa vào hệ thống, rủi ro sẽ tăng lên và an ninh sẽ trở thành một vấn đề. Điều này đã được chứng kiến ​​trong ngành hàng không, nơi mà việc tách biệt mạng Wi-Fi trên máy bay, giải trí trên máy bay và mạng điều khiển chuyến bay kỹ thuật số trong buồng lái đã trở thành một vấn đề an ninh.

Raspberry Pi

Raspberry Pi là một máy tính bo mạch đơn, chi phí thấp, rất thành công. Hàng triệu thiết bị này đã được đưa vào một loạt các ứng dụng — từ việc sử dụng bởi những người có sở thích đến các kỹ sư nguyên mẫu và thậm chí là các yếu tố sản xuất trong một số trường hợp. Thiết bị tính toán có khả năng cao giá rẻ (dưới $ 50) này cung cấp rất nhiều tính năng và khả năng kết nối. Bộ vi xử lý ARM lõi tứ, RAM 8 GB, kết nối qua Ethernet, Bluetooth, USB, Wi-Fi 2,4 GHz và 5 GHz, cùng một loạt các tùy chọn kết nối cho màn hình, I / O và lưu trữ, tất cả làm cho nền tảng này trở thành một nền tảng linh hoạt. Bảo mật Raspberry Pi tương tự như bảo mật bất kỳ hệ thống nào khác. Người ta phải xem xét môi trường mà nó sẽ được triển khai, cách nó được kết nối với những người dùng khác, và những dữ liệu và thông tin nhạy cảm nào có liên quan. Ngoài ra, hãy nhớ rằng trong hầu hết các trường hợp, đây là một môi trường Linux đầy đủ yêu cầu quyền và các yếu tố bảo mật cơ bản khác.

Raspberry Pi đang chạy dự án hội chợ khoa học không có kết nối với Web có phạm vi hoàn toàn khác với phạm vi được kết nối với Internet và được sử dụng để ghi dữ liệu nhạy cảm cần thiết cho quá trình sản xuất trong môi trường doanh nghiệp. Việc xác định các cấu hình rủi ro và giải quyết chúng khi thích hợp vẫn là một nhiệm vụ cần thiết và quan trọng.

Field Programmable Gate Arrays (FPGAs)

Field programmable gate arrays (FPGAs) là các mạch điện tử được lập trình để thực hiện một chức năng cụ thể. Các thiết bị bán dẫn này dựa trên một ma trận các khối logic có thể định cấu hình (CLBs- configurable logic blocks) được kết nối thông qua các kết nối có thể lập trình được và về bản chất, logic được lập trình trước khi sử dụng. FPGA được thiết kế để được lập trình lại theo các yêu cầu chức năng mong muốn sau khi sản xuất và chúng thường có thể được lập trình lại khi các thiết kế của chức năng phát triển. Mặc dù không nhanh bằng các mạch tích hợp dành riêng cho ứng dụng (ASIC- application-specific integrated circuits), được sản xuất tùy chỉnh cho các nhiệm vụ thiết kế cụ thể, khả năng lập trình và khả năng lập trình lại của FPGA mang lại sự linh hoạt đáng kể cho thiết kế. FPGA và ASIC được tìm thấy trong rất nhiều thiết bị tùy chỉnh, nơi không cần một máy tính hoàn chỉnh với hệ điều hành (OS) và tất cả những gì nó đòi hỏi.

Arduino

Arduino là một vi điều khiển một bo mạch, không phải là một máy tính chính thức như Raspberry Pi. Arduino đơn giản hơn, được thiết kế để cung cấp khả năng điều khiển máy tính cho các dự án phần cứng mà không cần phải có đầy đủ máy tính, hệ điều hành, v.v. Trong khi Raspberry Pi được thiết kế như một máy tính, Arduino được thiết kế như một bộ điều khiển, đặc biệt để giao tiếp với các cảm biến và thiết bị. Arduino có thể đáp ứng các mức cảm biến và khởi động thiết bị dựa trên lập trình được tải vào thiết bị. Mã hóa này hoạt động khi có nguồn điện; nếu mất nguồn, sau khi được khôi phục, thiết bị có thể bắt đầu hoạt động trở lại — không giống như máy tính, sẽ phải khởi động lại và bắt đầu lại. Việc mở rộng nền tảng Arduino được thực hiện thông qua một loạt các bảng được gọi là lá chắn có thể thêm chức năng cụ thể trong mạng, hiển thị, thu thập dữ liệu, v.v.

Exam Tip Hiểu môi trường tĩnh — các hệ thống trong đó phần cứng, hệ điều hành, ứng dụng và mạng được định cấu hình cho một chức năng hoặc mục đích cụ thể. Các hệ thống này được thiết kế để không thay đổi trong suốt vòng đời của chúng, hiếm khi yêu cầu cập nhật.

Supervisory Control and Data Acquisition (SCADA)/Industrial Control System (ICS)

SCADA là từ viết tắt của điều khiển giám sát và thu thập dữ liệu (Supervisory Control and Data Acquisition), một hệ thống được thiết kế để điều khiển các hệ thống tự động trong môi trường vật lý mạng. Hệ thống SCADA có các thành phần thông minh của riêng chúng, mỗi thành phần là một ví dụ về hệ thống nhúng. Chúng cùng nhau tạo thành một hệ thống SCADA, có thể điều khiển các nhà máy sản xuất, đèn giao thông, nhà máy lọc dầu, mạng lưới năng lượng, nhà máy nước, tự động hóa tòa nhà và kiểm soát môi trường, và một loạt các hệ thống khác. Hệ thống SCADA còn được gọi là hệ thống điều khiển phân tán (DCS – distributed control system) hoặc hệ thống điều khiển công nghiệp (ICS – industrial control system), tùy thuộc vào ngành và cấu hình. Khi máy tính điều khiển trực tiếp quá trình vật lý, hệ thống SCADA có thể sẽ tham gia.

Hầu hết các hệ thống SCADA liên quan đến nhiều thành phần được nối mạng với nhau để đạt được một tập hợp các mục tiêu chức năng. Các hệ thống này thường bao gồm giao diện người – máy (HMI – human–machine interface), nơi người vận hành có thể thực hiện một hình thức kiểm soát chỉ thị đối với hoạt động của hệ thống được kiểm soát. Các hệ thống SCADA trong lịch sử đã bị cô lập với các hệ thống khác, nhưng sự cô lập ngày càng giảm vì các hệ thống này đang được kết nối qua các mạng truyền thống để cải thiện chức năng kinh doanh. Nhiều hệ thống SCADA cũ đã bị dò tìm từ mạng công ty; có nghĩa là, họ không chia sẻ kết nối mạng trực tiếp. Điều này có nghĩa là các luồng dữ liệu vào và ra được xử lý theo cách thủ công và cần nhiều thời gian để hoàn thành. Các hệ thống hiện đại đã loại bỏ hạn chế này và bổ sung các kết nối mạng trực tiếp giữa mạng SCADA và mạng CNTT doanh nghiệp. Các kết nối này làm tăng bề mặt tấn công và rủi ro cho hệ thống; chúng càng giống một hệ thống nối mạng CNTT thì nhu cầu về các chức năng bảo mật càng lớn.

Các hệ thống SCADA đã được chú ý an ninh với cuộc tấn công Stuxnet vào các cơ sở hạt nhân của Iran, được báo cáo ban đầu vào năm 2010. Stuxnet là phần mềm độc hại được thiết kế để tấn công một hệ thống SCADA cụ thể và gây ra lỗi, dẫn đến hư hỏng thiết bị của nhà máy. Cuộc tấn công này rất phức tạp và được thiết kế tốt, làm tê liệt quá trình xử lý nhiên liệu hạt nhân ở Iran trong một khoảng thời gian đáng kể. Cuộc tấn công này đã nâng cao nhận thức về những rủi ro liên quan đến hệ thống SCADA, cho dù có kết nối với Internet hay không (Stuxnet đã vượt qua một lỗ hổng trên không để tấn công mục tiêu của nó).

Facilities

Hệ thống SCADA được sử dụng nhiều trong các cơ sở, từ hệ thống tự động hóa tòa nhà của hệ thống HVAC, đến máy bơm áp lực nước, thang cuốn và thang máy, và hệ thống báo cháy — danh sách vẫn tiếp tục tiếp tục. Nhiều hệ thống trong số này là các hệ thống độc lập, nơi dữ liệu được thu thập từ các cảm biến và được sử dụng cho một mục đích cụ thể (ví dụ: lập lịch thang máy dựa trên các nút trên tầng). Những thứ khác, chẳng hạn như hệ thống kiểm soát ra vào tòa nhà, cửa khóa / an toàn và hệ thống báo cháy, có thể được kết nối với nhau để đảm bảo an toàn trong các điều kiện cụ thể và an ninh trong các điều kiện khác. Một số hệ thống này được kết nối qua Internet để giám sát hoặc điều khiển từ xa. Đối với tất cả các hệ thống, hiểu cách truy cập vào một hệ thống và bảo vệ các điểm truy cập đó là chìa khóa để đảm bảo loại việc làm SCADA này.

Industrial

Các cơ sở công nghiệp (Industrial facilities) có một số nhu cầu tương tự như các cơ sở khác – máy tính điều khiển các quá trình khác nhau, chẳng hạn như an ninh, giám sát môi trường, báo cháy, v.v. Yếu tố quan trọng là phải hiểu rằng hầu như bất kỳ cơ sở nào đều có hệ thống thu thập dữ liệu – phản hồi dữ liệu, cho dù đó là hệ thống HVAC đơn giản hoặc hệ thống điều nhiệt hay hệ thống phức tạp hơn như hệ thống giám sát hoặc báo cháy. Mỗi hệ thống này có thể đứng độc lập, được tích hợp một phần với các hệ thống khác, tích hợp hoàn toàn với các hệ thống khác hoặc được kết nối với Internet; sự kết hợp gần như vô tận và được điều chỉnh để đáp ứng các yêu cầu của cơ sở.

Manufacturing

Hệ thống sản xuất (Manufacturing systems) bổ sung thêm một lớp quy trình do máy tính kiểm soát vào hỗn hợp công nghiệp / cơ sở— những quy trình của chính quy trình sản xuất thực tế. Thiết bị sản xuất thường được điều khiển bằng máy tính, sử dụng các thiết bị như bộ điều khiển logic có thể lập trình (PLC), để thực hiện một bộ hướng dẫn dành riêng cho quy trình dựa trên các kết quả đọc của cảm biến và cài đặt cơ cấu chấp hành. Các hệ thống này có thể được phân biệt bởi một loạt các thuộc tính cụ thể, nhưng thuật ngữ SCADA thường được sử dụng để bao hàm chúng.

Các hệ thống này có thể được kết nối với Internet hoặc có quyền truy cập bên ngoài đối với các nhà cung cấp bên thứ ba. Bởi vì các hệ thống SCADA đang vận hành sản xuất của bạn thường rất quan trọng đối với doanh nghiệp của bạn, các hệ thống này yêu cầu bảo vệ khỏi những kẻ tấn công. Thực hành tiêu chuẩn cho điều này là một trong những phân đoạn mạng nghiêm ngặt.

Energy

Hệ thống năng lượng (Energy systems) bao gồm từ điện đến hóa chất, dầu khí, đường ống, hạt nhân, năng lượng mặt trời, thủy nhiệt, và hơn thế nữa. Mỗi hệ thống này có nhiều hệ thống dưới sự điều khiển của máy tính, thường sử dụng các loại thành phần SCADA giống như các loại khác đã được thảo luận. Trong trường hợp phân phối năng lượng, chẳng hạn như đường ống và điện, một vấn đề phức tạp hơn nữa là bản chất phân bố của các yếu tố này, nơi chúng được phân bổ về mặt địa lý (trong nhiều trường hợp trong các cộng đồng của chúng ta). Sự phân bố các thành phần “bên ngoài các bức tường của công ty” bổ sung một khía cạnh bảo mật vật lý duy nhất cho các hệ thống này.

Logistics

Logistics systems là hệ thống di chuyển vật chất từ điểm A đến điểm B. Các hệ thống này có thể liên quan đến vận tải đường biển, mặt nước (đường bộ và đường sắt) và đường hàng không. Có hai yếu tố cơ bản sẽ được kiểm soát: bản thân hệ thống vận chuyển và vật liệu được di chuyển.

Exam Tip Khi kiểm tra hệ thống SCADA, bạn có ba điều cần lo lắng: giá trị của thông tin đang được bảo vệ, quyền truy cập vật lý vào hệ thống và quyền truy cập logic (điển hình là mạng) vào dữ liệu. Khi kiểm tra câu hỏi, hãy phân tích cú pháp câu hỏi để biết chi tiết cụ thể quan trọng

Internet of Things      (IoT)

Internet of Things (IoT) là một thuật ngữ được sử dụng để mô tả một loạt các thiết bị kết nối trực tiếp qua Internet để tạo ra một hệ thống xử lý và cảm biến phân tán nhằm đạt được một chức năng cụ thể. Trái ngược với các thiết bị có mục đích chung, như máy tính và thiết bị mạng, các thiết bị IoT được xây dựng theo mục đích; chúng được thiết kế để thực hiện một nhiệm vụ cụ thể. Tất cả các thiết bị này có một vài điểm tương đồng. Tất cả đều có giao diện mạng vì mục đích kết nối là thiết bị thông minh hoặc thành viên của câu lạc bộ Internet of Things. Trên giao diện mạng đó là một số dạng nền tảng máy tính. Với chức năng máy tính hoàn chỉnh hiện được đưa vào hệ thống trên nền tảng chip (sẽ được đề cập ở phần sau), những thiết bị nhỏ bé này có thể có một máy tính hoạt động hoàn chỉnh với chi phí chỉ vài đô la. Việc sử dụng nhân kiểu Linux làm công cụ cốt lõi giúp việc lập trình dễ dàng hơn, vì cơ sở của các lập trình viên là rất lớn. Những thiết bị này cũng có thể được sản xuất hàng loạt với chi phí tương đối thấp. Việc mở rộng quy mô phát triển phần mềm trên hàng triệu đơn vị theo đúng nghĩa đen làm cho chi phí có thể mở rộng. Chức năng là vua, có nghĩa là bảo mật hoặc bất cứ điều gì có thể ảnh hưởng đến chức năng mới được mở rộng phải lùi lại.

Sensors

Cảm biến (Sensors) là thiết bị đo lường một số mục vật lý và trả về dữ liệu có thể được sử dụng bởi một hệ thống. Cảm biến có vô số kích thước, hình dạng và các ràng buộc vật lý. Cảm biến có thể được sử dụng để đo nhiệt độ, áp suất, điện áp, vị trí, độ ẩm — danh sách tiếp tục. Cảm biến có thể trả về dữ liệu dưới dạng tín hiệu số hoặc tín hiệu tương tự. Cảm biến tương tự yêu cầu chuyển đổi tương tự sang kỹ thuật số trước khi dữ liệu có thể được sử dụng bởi máy tính, mặc dù nhiều bảng giao diện thực hiện việc dịch này tự động. Khi thiết kế một hệ thống, bạn cần xác định những gì cần được đo lường, trong phạm vi nào và ở độ chính xác nào, cũng như môi trường và các điều kiện khác; tất cả các yếu tố này định hình thông số kỹ thuật cho một cảm biến và xác định chi phí.

Smart Devices

Các thiết bị thông minh (Smart Devices) và thiết bị bao gồm IoT đã chiếm lĩnh thị trường trên thế giới như một cơn bão. Từ những người quan trọng có thể theo dõi vị trí của các mặt hàng qua GPS, đến camera có thể cung cấp giám sát, đến các thiết bị gia dụng được kết nối, TV, máy rửa bát, tủ lạnh, nồi sành, máy giặt và máy sấy — mọi thứ có bộ vi điều khiển giờ đây dường như được kết nối với Web để nó có thể được điều khiển từ xa. Trí tuệ nhân tạo (AI- Artificial intelligence) cũng đã tham gia vào hỗn hợp, cho phép chức năng thậm chí còn lớn hơn, được thể hiện trong các sản phẩm như Amazon Echo, Google Home, Microsoft Cortana và Apple Siri. Công tắc đèn điều khiển bằng máy tính, bóng đèn LED, bộ điều nhiệt và màn hình trẻ em — ngôi nhà thông minh đã trở thành hiện thực, kết nối mọi thứ với Internet. Bạn có thể mang theo một chìa khóa mà cửa trước của bạn nhận ra, tự mở khóa trước khi bạn đến lấy nó. Tất nhiên, camera an ninh nhìn thấy bạn đầu tiên và cảnh báo hệ thống rằng ai đó đang đến trên đường lái xe. Điều duy nhất có thể nói một cách tự tin về cuộc cách mạng này là ai đó sẽ tìm ra cách và lý do tại sao để kết nối hầu như mọi thứ với mạng.

Wearables

Công nghệ có thể đeo (Wearable technologies) bao gồm mọi thứ, từ cảm biến sinh trắc học đo nhịp tim, đến bộ đếm bước đo quãng đường đi bộ của một người, đến đồng hồ thông minh kết hợp tất cả các chức năng này và hơn thế nữa. Bằng cách đo các tín hiệu sinh trắc học, chẳng hạn như nhịp mạch và chuyển động của cơ thể, có thể đo thể lực và thậm chí cả giấc ngủ. Các thiết bị đeo này được xây dựng bằng cách sử dụng các máy tính rất nhỏ chạy hệ điều hành thời gian thực, thường được xây dựng từ nhân Linux đã rút gọn. Như với tất cả các thiết bị chứa thông tin, làm cách nào để bảo vệ dữ liệu? Khi thiết bị đeo được tìm hiểu ngày càng nhiều dữ liệu cá nhân của bạn, chúng trở thành nguồn quan tâm của tin tặc. Bảo vệ dữ liệu là mục tiêu bảo mật cho các thiết bị này.

Những việc bạn có thể làm để bắt đầu bảo vệ dữ liệu cá nhân bao gồm kiểm tra cài đặt mặc định, kiểm tra cài đặt quyền riêng tư, tắt theo dõi vị trí, đọc chính sách bảo mật và nếu có thể, sử dụng mật mã để bảo vệ thông tin cá nhân của bạn (PI – personal information).

Facility Automation

Các cảm biến chi phí thấp trong gói IoT cung cấp một số lợi thế, bao gồm nhưng không giới hạn, phân phối dữ liệu qua mạng, khả năng thu thập dữ liệu đáng kể và lợi thế về chi phí theo quy mô. Trong các cơ sở lớn, điều này có nghĩa là các hệ thống an ninh, HVAC, cảm biến báo cháy, v.v. có thể cung cấp phạm vi phủ sóng trên quy mô lớn, cho phép tự động hóa việc thu thập dữ liệu mà trước đây thường được thực hiện thủ công thông qua một người đi bộ xung quanh. Tự động hóa không chỉ là hoạt động từ xa; các ứng dụng như hệ thống IFTTT (If This Then That) có thể phản ứng với các điều kiện thay đổi và sử dụng nhiều chỉ báo, bao gồm cả ngày và giờ. Tự động hóa có thể cải thiện rủi ro vì nó loại bỏ lỗi và cải thiện tốc độ phản hồi.

Xem bản đầy đủ trong sách in Comptia Security+ Tiếng Việt, kèm full mp3 bài trình bày và video eCourseware Comptia Security + bản quốc tế.

Thực hành với hướng dẫn chi tiếp step by step trên Comptia CertMaster Lab

Đăng kí Voucher thi chứng chỉ quốc tế tại đây.

Các bài viết khác về Comptia Security+

Posted by:

CERT MASTER

CERT MASTER

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

%d bloggers like this: