Trong kỷ nguyên mà hàng tỷ thiết bị kết nối tạo thành hệ thần kinh của cơ sở hạ tầng quan trọng, các hệ thống IoT nhúng đã trở thành mục tiêu hàng đầu cho tội phạm mạng, đặc biệt là do bề mặt tấn công tập thể rộng lớn của chúng. IoT Analytics dự đoán rằng số lượng thiết bị IoT được kết nối sẽ đạt 18,8 tỷ vào cuối năm 2024, tăng từ khoảng 16,6 tỷ vào cuối năm 2023. Con số này có khả năng tiếp tục tăng lên, với dự báo cũng dự đoán có tới 40 tỷ thiết bị vào năm 2030. Tuy nhiên, không giống như các hệ thống CNTT truyền thống, các hệ thống nhúng đặt ra một loạt các thách thức bảo mật độc đáo, đòi hỏi một sự thay đổi cơ bản trong cách các nhà lãnh đạo bảo mật tiếp cận việc bảo vệ, tuân thủ và quản lý vòng đời.

Những Lỗ Hổng Độc Đáo Của Hệ Thống Nhúng

Thoạt nhìn, người ta có thể cho rằng các nguyên tắc an ninh mạng áp dụng cho máy chủ và hệ thống đám mây cũng sẽ bao gồm các thiết bị IoT nhúng. Nhưng giả định đó là nguy hiểm và lỗi thời. Trên thực tế, các hệ thống nhúng khó bảo mật hơn các hệ thống CNTT truyền thống. Chúng có thể bị tấn công từ xa hoặc thông qua truy cập vật lý và thông tin xác thực của chúng, chẳng hạn như khóa VPN, thông tin đăng nhập cơ sở dữ liệu và mã thông báo dịch vụ đám mây, có thể được tận dụng để khởi động các cuộc tấn công rộng hơn.

Các hệ thống này thường được triển khai ở những nơi như nhà máy năng lượng, hệ thống quốc phòng và thiết bị y tế, nơi chúng có thể hoạt động trong nhiều thập kỷ mà không cần cập nhật. Không giống như công nghệ tiêu dùng nhận được các bản vá thường xuyên, các hệ thống nhúng có thể trải qua nhiều năm mà không có một bản nâng cấp chương trình cơ sở duy nhất, nếu chúng thậm chí có thể cập nhật được.

Và ngay cả khi một lỗ hổng bảo mật được phát hiện, việc đẩy các bản cập nhật không phải lúc nào cũng khả thi. Các thiết bị có thể nằm rải rác ở các vùng sâu vùng xa hoặc được xây dựng trên phần cứng quá hạn chế để hỗ trợ các biện pháp bảo vệ mật mã hiện đại.

Các Véc-tơ Tấn Công Phổ Biến: Từ Mật Khẩu Mặc Định Đến Các Hạn Chế Về Phần Cứng

Các lỗ hổng không chỉ là lý thuyết. Nhiều thiết bị vẫn xuất xưởng với mật khẩu mặc định của nhà sản xuất và nếu người dùng không thay đổi chúng, kẻ tấn công có thể tìm thấy sách hướng dẫn hệ thống và giành quyền truy cập trong vài phút.

Các hạn chế về bộ nhớ, thiếu cơ chế cập nhật an toàn và các hệ điều hành kế thừa đều gây khó khăn cho việc khắc phục sau triển khai. “Bảo mật theo thiết kế” không chỉ là một cụm từ thông dụng; đó là một yêu cầu trong một thế giới mà việc trang bị thêm tốn kém, chậm chạp hoặc không thể thực hiện được.

Đồng thời, hậu quả của việc khai thác các véc-tơ tấn công này có thể nghiêm trọng hơn nhiều so với chỉ dữ liệu bị đánh cắp và xâm phạm. Trong trường hợp môi trường công nghiệp và tiện ích, kẻ tấn công có thể phá vỡ dây chuyền sản xuất, gây ra thiệt hại vật chất hoặc đánh cắp dữ liệu độc quyền. Hãy nghĩ đến các cuộc tấn công cấp quốc gia vào cơ sở hạ tầng quan trọng, chẳng hạn như Stuxnet.

Các ứng dụng quân sự nhúng cũng đang được đưa vào cuộc chơi, với máy bay không người lái thông minh thường chứa dữ liệu quân sự quan trọng có thể gây nguy hiểm đến tính mạng của binh lính. Các thiết bị chăm sóc sức khỏe và y tế cũng là các véc-tơ tấn công tiềm năng cho các khai thác bảo mật nhúng. Sự an toàn của bệnh nhân gặp rủi ro nếu một thiết bị như máy bơm tim hoặc thiết bị theo dõi bị xâm phạm.

Áp Lực Pháp Lý Đang Gia Tăng

Với những rủi ro tiềm ẩn này, các chính phủ và cơ quan quản lý ngày càng thiết lập các tiêu chuẩn để giảm thiểu những lỗ hổng này. Ở EU, các quy định như Chỉ thị về Thiết bị Vô tuyến (RED), Đạo luật về Khả năng phục hồi trên mạng (CRA) và NIS2 đang nâng cao tiêu chuẩn cho bảo mật IoT. Ví dụ: vi phạm CRA có thể dẫn đến khoản tiền phạt lên tới 15 triệu euro hoặc 2,5% doanh thu toàn cầu. Chưa kể việc mất dấu CE.

Các quốc gia khác đang đưa ra các quy tắc riêng của họ: Luật SB-327 IoT của California, Đạo luật FDA cho thiết bị y tế ở Hoa Kỳ và Khung An toàn và Bảo mật IoT của Nhật Bản (IoT-SSF), cùng những luật khác. Trên toàn diện, các tiêu chuẩn ngành như EN 303 645, IEC 62443-4-2 và NISTIR 8259A đang nổi lên như là cơ sở để tuân thủ.

“Bảo Mật Theo Thiết Kế” Thực Sự Có Nghĩa Là Gì

Bất kể vị trí địa lý, một thông điệp nhất quán: bảo mật phải được nhúng ngay từ đầu. “Bảo mật theo thiết kế” có nghĩa là dự đoán các mô hình mối đe dọa trước khi viết một dòng mã duy nhất, cũng như đánh giá xem ai có thể muốn giả mạo thiết bị, họ có thể làm điều đó như thế nào và những biện pháp bảo vệ nào có thể chặn họ.

Điều này bao gồm các cơ chế khởi động an toàn, kiểm soát truy cập được tăng cường, xác minh danh tính thiết bị và mã hóa tích hợp, tất cả đều lý tưởng bắt nguồn từ phần cứng.

Các phương pháp tiếp cận có thể bao gồm thẻ microSD cấp công nghiệp với một phần tử bảo mật, một thẻ bao gồm mã hóa AES-256, kiểm soát truy cập và các tính năng xác thực theo thời gian thực. Yếu tố hình thức SD là lý tưởng, vì hầu hết các hệ thống đã sử dụng bộ nhớ di động. Do đó, đó là một cách liền mạch để thêm một gốc tin cậy phần cứng. Nó hoạt động giống như một thẻ ID kỹ thuật số để liên lạc IoT và nó có thể được trang bị thêm vào các thiết bị tại hiện trường.

Tính linh hoạt đó là rất quan trọng. Với vòng đời thiết bị kéo dài hàng thập kỷ và các mối đe dọa phát triển hàng năm, khả năng thay thế thông tin xác thực mật mã — hoặc thậm chí nâng cấp chúng hoàn toàn — là một chiến thắng lớn trong trò chơi mèo vờn chuột của phòng thủ mạng.

Điểm Mấu Chốt: Bảo Mật Là Một Vòng Đời, Không Phải Là Một Hộp Kiểm

Bảo mật các hệ thống IoT nhúng không còn là một mối quan tâm thứ yếu — đó là một thách thức trung tâm đối với các CISO hiện đại. Sự kết hợp giữa rủi ro truy cập vật lý, vòng đời sản phẩm dài, phần cứng bị hạn chế và nhu cầu pháp lý ngày càng tăng có nghĩa là các tổ chức phải hành động ngay bây giờ.

Tương lai thuộc về các hệ thống an toàn theo thiết kế, có khả năng thích ứng theo thời gian và bắt nguồn từ niềm tin dựa trên phần cứng. Bất cứ điều gì ít hơn là một lời mời công khai cho những kẻ tấn công.

Giải thích thuật ngữ:

• IoT (Internet of Things): Mạng lưới các thiết bị vật lý được nhúng với cảm biến, phần mềm và các công nghệ khác để kết nối và trao đổi dữ liệu với các thiết bị và hệ thống khác qua Internet.
• Hệ thống nhúng: Một hệ thống máy tính chuyên dụng được thiết kế để thực hiện một hoặc một vài chức năng chuyên dụng, thường là với các ràng buộc về thời gian thực.
• CISO (Chief Information Security Officer): Giám đốc an ninh thông tin, người chịu trách nhiệm về an ninh thông tin và dữ liệu của một tổ chức.
• VPN (Virtual Private Network): Mạng riêng ảo, một kết nối mạng cung cấp bảo mật và riêng tư khi sử dụng mạng công cộng.
• Firmware: Một loại phần mềm cụ thể được nhúng trong bộ nhớ chỉ đọc của phần cứng.
• Cryptographic Credentials: Thông tin xác thực mật mã, chẳng hạn như khóa và chứng chỉ, được sử dụng để xác thực và mã hóa dữ liệu.
• Secure Boot Mechanisms: Cơ chế khởi động an toàn, đảm bảo rằng chỉ phần mềm được ủy quyền mới có thể khởi động trên một thiết bị.
• Hardened Access Control: Kiểm soát truy cập được tăng cường, bao gồm các biện pháp để hạn chế và giám sát quyền truy cập vào hệ thống và dữ liệu.
• Device Identity Verification: Xác minh danh tính thiết bị, quá trình xác minh rằng một thiết bị là đúng như nó tự xưng.
• Built-in Encryption: Mã hóa tích hợp, mã hóa được tích hợp trực tiếp vào phần cứng hoặc phần mềm của một thiết bị.
• Hardware Root of Trust: Gốc tin cậy phần cứng, một nguồn bảo mật phần cứng không thể giả mạo được sử dụng để neo các chức năng bảo mật của một thiết bị.
• AES-256 Encryption: Thuật toán mã hóa tiêu chuẩn nâng cao với khóa 256 bit, một trong những thuật toán mã hóa an toàn nhất hiện có.
• Real-time Authentication: Xác thực theo thời gian thực, quá trình xác minh danh tính của người dùng hoặc thiết bị ngay lập tức khi họ cố gắng truy cập vào một hệ thống.
• Regulatory Demands: Các yêu cầu pháp lý, các quy tắc và quy định mà các tổ chức phải tuân thủ.