OT/IOT Security การรักษา ‘ความปลอดภัย’ ที่ไม่ควรมองข้าม (จบ)

หลังจากสัปดาห์ที่แล้ว ที่ผมได้อธิบายเรื่อง การใช้งาน OT/IOT ในภาคอุตสาหกรรมต่างๆ ที่มีความสำคัญ พร้อมทั้งยกกรณีตัวอย่างการตื่นตัวของดูไบและสหรัฐในการร่วมกันเรื่องการรักษาความปลอดภัยอุปกรณ์ทางการแพทย์และไอโอที เนื่องจากมีการใช้งานที่เพิ่มสูงขึ้นอย่างต่อเนื่องในประเทศแถบตะวันออกกลาง

สัปดาห์นี้ผมขอลงรายละเอียดให้ลึกขึ้น โดยเริ่มจาก เราท์เตอร์เซลลูลาร์ (cellular router) ในระดับอุตสาหกรรมที่สามารถช่วยให้อุปกรณ์หลายตัวสามารถเชื่อมต่ออินเทอร์เน็ตจากเครือข่ายเซลลูลาร์

โดยเราท์เตอร์เหล่านี้มักใช้ในสภาพแวดล้อมทางอุตสาหกรรม เช่น โรงงานผลิตหรือแท่นขุดเจาะน้ำมัน ซึ่งการเชื่อมต่ออินเทอร์เน็ตแบบมีสายอาจไม่พร้อมใช้งานหรือเชื่อถือได้

เราท์เตอร์และเกตเวย์เซลลูล่าร์ระดับอุตสาหกรรมได้กลายเป็นหนึ่งในองค์ประกอบที่แพร่หลายมากที่สุดในภูมิทัศน์ Industrial Internet of Things (IIoT) โดยมีการนำเสนอคุณสมบัติการเชื่อมต่อที่หลากหลาย และสามารถรวมเข้ากับสภาพแวดล้อมและโซลูชั่นที่มีอยู่ได้โดยมีการเปลี่ยนแปลงเพียงเล็กน้อย

ผู้จำหน่ายอุปกรณ์เหล่านี้ใช้แพลตฟอร์มคลาวด์เพื่อให้ลูกค้าได้รับการจัดการระยะไกล (Remote) ช่วยวิเคราะห์และรักษาความปลอดภัยทั่วทั้งเครือข่ายโอทีขององค์กรนั้นๆ

อย่างไรก็ตาม นักวิจัยยังพบช่องโหว่ที่เกี่ยวข้องกับการเชื่อมต่อระหว่างอุปกรณ์ IIoT และแพลตฟอร์มการจัดการบนคลาวด์ ซึ่งสามารถถูกโจมตีและส่งผลกระทบต่ออุปกรณ์ทั้งแบบลงทะเบียนและไม่ได้ลงทะเบียนกับแพลตฟอร์มการจัดการระยะไกล

หมายความว่ามีจุดอ่อนด้านความปลอดภัยในการตั้งค่าเริ่มต้นของการเชื่อมต่อกับแพลตฟอร์มการจัดการบนคลาวด์ของอุปกรณ์บางตัว และจุดอ่อนเหล่านี้สามารถตกเป็นเป้าหมายของผู้โจมตีได้

โดยการเชื่อมต่อทั่วๆ ไปกับแพลตฟอร์มเหล่านี้อาศัยโปรโตคอลแบบเครื่องต่อเครื่อง (M2M) อย่าง MQTT (Message Queue Telemetry Transport) ใช้เพื่อการสื่อสารระหว่างอุปกรณ์กับคลาวด์ ร่วมกับเว็บอินเตอร์เฟสสำหรับการจัดการผู้ใช้งาน ซึ่งดำเนินการผ่านโมเดล publish-subscribe

โบรคเกอร์จะดูแลเรื่องหัวข้อและอุปกรณ์ต่างๆ เพื่อให้สามารถสมัครรับข้อมูลที่เผยแพร่ได้ โดยทั่วไปแล้ว อุปกรณ์แบบพิเศษ API ยังใช้สำหรับการสื่อสารขั้นต้นกับแพลตฟอร์มคลาวด์ ตามด้วยผู้ใช้งาน API และอินเทอร์เฟซเว็บสำหรับการจัดการอุปกรณ์

Attack Vectors เป็นปัญหาสำคัญที่ทำให้ถูกโจมตีแบ่งเป็น 3 ประเด็นได้แก่ กระบวนการลงทะเบียนสินทรัพย์ การกำหนดค่าความปลอดภัย และ external API & Web interfaces

แฮกเกอร์สามารถกำหนดเป้าหมายเฉพาะโดยใช้ประโยชน์จากแหล่งที่มาอย่าง WiGLE และช่องโหว่ของข้อมูลรั่วไหล หรือทำการโจมตีในวงกว้างบนอุปกรณ์หลายพันเครื่อง โดยมีเป้าหมายเพื่อสร้างผลกระทบหรือการเข้าถึงเป็นวงกว้าง นอกจากนี้

การใช้ประโยชน์จากช่องโหว่อาจทำให้แฮกเกอร์แทรกแซงกระบวนการปฏิบัติงานได้ ส่งผลให้ผู้ใช้งานตกอยู่ในความเสี่ยง กลุ่มแรนซัมแวร์จะใช้เวกเตอร์เพื่อเพิ่มการโจมตีเครือข่ายอุตสาหกรรม โดยการเข้าถึงไซต์ที่อยู่นอกจุดเชื่อมต่อที่มีความเสี่ยง เนื่องจากการเชื่อมต่อ VPN ในตัวของอุปกรณ์ สามารถทำให้เกิดการแพร่กระจายการโจมตีผ่านเครือข่ายไปยังศูนย์ควบคุมและเซิร์ฟเวอร์

กลยุทธ์การลดผลกระทบสำหรับผู้ดูแลระบบเครือข่ายโอทีและผู้จำหน่ายอุปกรณ์คือ ผู้ดูแลระบบเครือข่ายโอทีควรปิดการใช้งานฟีเจอร์คลาวด์ที่ไม่ได้ใช้เพื่อป้องกันการแฮกอุปกรณ์และลดพื้นที่การโจมตี

นอกจากนี้ควรลงทะเบียนอุปกรณ์โดยใช้บัญชีของตนเองในแพลตฟอร์มคลาวด์ก่อนที่จะเชื่อมต่อกับอินเทอร์เน็ต เพราะสิ่งนี้ช่วยสร้างความเป็นเจ้าของ การควบคุมและการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต

ขณะเดียวกัน ผู้ดูแลระบบยังสามารถจำกัดการเข้าถึงโดยตรงจากอุปกรณ์ IIoT ไปยังเราท์เตอร์ได้ เนื่องจากฟีเจอร์ความปลอดภัยในตัว เช่น VPN tunnels และไฟร์วอลล์จะไม่มีประสิทธิภาพเมื่อถูกบุกรุก ดังนั้นการเพิ่มไฟร์วอลล์และ VPN เลเยอร์แยกกันสามารถช่วยในการกำหนดขอบเขตและลดความเสี่ยงจากอุปกรณ์ IIoT ที่ถูกเปิดเผยซึ่งใช้สำหรับการเชื่อมต่อระยะไกล

ส่วนของผู้จำหน่ายก็สามารถหลีกเลี่ยงการสร้างช่องโหว่ในอุปกรณ์ โดยใช้ตัวระบุที่อ่อนแอและใช้ตัวระบุลับเพิ่มเติมในระหว่างการลงทะเบียนอุปกรณ์และการสร้างการเชื่อมต่อ และควรบังคับให้มีการตั้งค่าข้อมูลประจำตัวด้วย

ขณะที่ ข้อกำหนดด้านความปลอดภัยของ IIoT นั้นมีเอกลักษณ์เฉพาะตัว จึงควรพิจารณาแยกจากขอบเขตการใช้งานไอโอทีเพราะทั้ง 2 ข้อไม่เท่ากัน และสิ่งนี้อาจเกี่ยวข้องกับการลดฟีเจอร์ที่มีความเสี่ยงสูงตามความต้องการและเพิ่มเลเยอร์การรับรองความถูกต้อง การเข้ารหัส การควบคุมการเข้าถึง และการตรวจสอบเพิ่มเติมด้วยครับ