Minh họa mạng xIoT. Ảnh IoT Evolutionworld

XIoT là gì và vì sao mạng đang trở thành mối đe dọa?

XIoT là khái niệm mở rộng từ Internet of Things (IoT), bao gồm các thiết bị kết nối mạng thuộc nhiều lớp khác nhau: thiết bị công nghiệp (OT), thiết bị y tế (IoMT), hệ thống điều khiển, cảm biến, camera, thiết bị tiêu dùng thông minh và cả các hệ thống điều hành tự động. Không giống như IoT truyền thống vốn tập trung vào thiết bị tiêu dùng, xIoT đang hình thành trong các hệ thống vận hành cốt lõi của xã hội hiện đại.

Vedere Labs, bộ phận nghiên cứu của công ty an ninh mạng toàn cầu Forescout Technologies đã khảo sát 10 triệu thiết bị trong 700 tổ chức cho thấy xIoT đang vượt xa phạm vi kiểm soát bảo mật hiện tại, để lại nhiều điểm mù mà các công cụ giám sát và mô hình phòng thủ truyền thống không chạm tới.

Theo báo cáo của Forescout, xIoT không chỉ là tập hợp thiết bị, mà là một hệ sinh thái phức tạp, đa dạng và đang phát triển với tốc độ chóng mặt. Tuy nhiên, chính sự đa dạng và tốc độ này lại khiến các hệ thống bảo mật hiện tại không thể theo kịp, tạo ra hàng loạt lỗ hổng tiềm tàng cho tin tặc khai thác.

Nếu trước đây, các tài sản kết nối chủ yếu là máy chủ, máy trạm và thiết bị văn phòng quen thuộc, thì hiện nay 65% thiết bị trong mạng không còn thuộc về CNTT truyền thống. Thay vào đó, các tổ chức đang vận hành một hệ sinh thái mở rộng gồm thiết bị IoT, thiết bị vận hành công nghiệp (OT), thiết bị y tế (IoMT) và hạ tầng mạng đặc thù.

Từ camera IP đến máy in: thiết bị “vô danh” đang trở thành cửa ngõ xâm nhập

Trong danh mục xIoT, thiết bị phổ biến nhất không phải là máy cảm biến hay robot sản xuất như hình dung trong công nghiệp 4.0. Điện thoại VoIP, máy in, camera IP lại là nhóm xuất hiện với mật độ cao nhất – có mặt ở gần như mọi môi trường doanh nghiệp.

Các thiết bị này bị xem là “thiết bị phụ”, ít được quản lý vòng đời và cập nhật bảo mật.

Dữ liệu ghi nhận 125 nhà cung cấp camera IP đang hoạt động trong các hệ thống được khảo sát. 40% số camera tồn tại ít nhất một lỗ hổng bảo mật đã biết. Hơn 1.400 lỗ hổng riêng biệt ảnh hưởng đến nhóm thiết bị này.

Riêng với Axis – nhà sản xuất chiếm 38% thị phần camera IP trong tập dữ liệu – tồn tại 206 phiên bản phần mềm nhúng điều khiển hoạt động của thiết bị “firmware“ khác nhau, trong đó 49% thiết bị dự kiến sẽ không còn được hỗ trợ sau ngày 31/12. Khi firmware ngừng cập nhật, thiết bị vẫn chạy, vẫn kết nối mạng, nhưng trở thành lỗ hổng lý tưởng cho tin tặc xâm nhập.

Trong một số sự cố gần đây, nhóm ransomware Akira đã lợi dụng camera IP để vượt qua cơ chế phát hiện & phản hồi điểm cuối (EDR). Thay vì tấn công trực tiếp máy chủ hoặc máy tính có bảo vệ, tin tặc xâm nhập từ camera, sau đó di chuyển ngang (lateral movement) sâu vào hệ thống và mã hóa các dữ liệu giá trị cao hơn.

Những thiết bị tưởng chừng vô hại như camera tòa nhà, thiết bị giám sát môi trường, hệ thống điều khiển cửa an ninh đang trở thành điểm xoay (pivot point) trong các chuỗi tấn công mạng hiện đại.

Hệ thống mạng không đồng nhất và không thực sựđược kiểm soát

Nghiên cứu cũng chỉ ra rằng các tổ chức hiện đang vận hành một tập hợp thiết bị cực kỳ đa dạng, không chỉ về chức năng mà cả nhà cung cấp và hệ điều hành. Mỗi doanh nghiệp trung bình sử dụng:

- Hàng trăm loại thiết bị khác nhau phục vụ các mục đích riêng,

-  Các thiết bị đến từ hàng nghìn nhà sản xuất với hàng trăm phiên bản hệ điều hành, đa phần không đồng nhất.

Sự đa dạng này khiến việc cập nhật, giám sát và chuẩn hóa cấu hình gần như không thể thực hiện hoàn toàn, ngay cả với đội ngũ CNTT lớn.

Một số ngành có mức độ thiết bị xIoT cao nhất cũng là những ngành có yêu cầu vận hành liên tục nghiêm ngặt:

Sự đa dạng thiết bị kết nối thay đổi đáng kể giữa các ngành. Dầu khí và khai khoáng ghi nhận số lượng nhà cung cấp cao nhất với hơn 3.200 đơn vị, y tế theo sau với hơn 2.300 đơn vị; dịch vụ tài chính và sản xuất cũng ở mức tương tự. Trung bình mỗi tổ chức sử dụng khoảng 164 nhóm thiết bị khác nhau, đến từ hơn 1.600 nhà cung cấp và chạy trên gần 900 phiên bản hệ điều hành – phản ánh hệ sinh thái hạ tầng ngày càng phức tạp.

Đáng chú ý, 65% tài sản kết nối hiện nay không còn là thiết bị CNTT truyền thống. Phần lớn thuộc thiết bị mạng (router, firewall) và hệ sinh thái xIoT, trong đó 87% là IoT, 8% IoMT và 5% OT. Tỷ lệ thiết bị phi CNTT đặc biệt cao ở tài chính (54%), chăm sóc sức khỏe (45%) và dầu khí – khai khoáng (40%).

Một số ngành như tiện ích, vận tải và hậu cần có mật độ thiết bị xIoT và mạng lớn nhất, mở rộng đáng kể bề mặt tấn công. Ngược lại, giáo dục và tài chính truyền thống vẫn dựa nhiều hơn vào hệ thống CNTT lõi. Dù vậy, mẫu số chung là càng nhiều loại thiết bị và nhà cung cấp xuất hiện trong mạng lưới, thì việc duy trì khả năng quan sát và kiểm soát rủi ro càng trở nên khó khăn.

Ngành chăm sóc sức khỏe (chiếm 35% xIoT) với rất nhiều thiết bị và tiện ích y tế được kết nối (chiếm 22% xIoT) với rất nhiều công nghệ vận hành. Những ngành khác thì đáng ngạc nhiên hơn, chẳng hạn như dịch vụ tài chính (chiếm 35% xIoT – hãy nghĩ đến tất cả các máy ATM và hệ thống giám sát) và bán lẻ (chiếm 22% xIoT).

Mối đe dọa không chỉ đến từ lỗ hổng, mà từ cách mạng được phân đoạn

Các nhà nghiên cứu cho biết vấn đề firmware (phần mềm nhúng trên thiết bị, khó cập nhật) lỗi thời không chỉ xuất hiện ở camera mà phổ biến trên nhiều thiết bị mạng. Ví dụ, 63% bộ định tuyến DrayTek kết nối Internet đã ở trạng thái ngừng hỗ trợ, tức không còn bản vá. Với Sierra Wireless, chỉ 10% thiết bị được cập nhật các lỗ hổng tồn tại nhiều năm, trong khi 90% vẫn chạy firmware hết vòng đời, tạo ra rủi ro bảo mật nghiêm trọng.

Nhiều nhóm tin tặc vận hành các mạng thiết bị bị chiếm quyền (botnet) như Aisuru, Kaiten, Gafgyt, CloudBot liên tục quét Internet để tìm các thiết bị vẫn dùng mật khẩu mặc định, rồi xâm nhập và điều khiển chúng từ xa.

Hơn thế nữa, sự thiếu phân đoạn mạng khiến nhiều thiết bị rủi ro cao nằm chung mạng với tài sản doanh nghiệp quan trọng, tạo điều kiện cho tấn công di chuyển sâu vào lõi hệ thống.

Trong danh sách 460 lỗ hổng xIoT đã bị khai thác thực tế mà Vedere Labs theo dõi, chỉ 38% xuất hiện trong danh sách cảnh báo của CISA. Điều này cho thấy, mô hình ưu tiên vá lỗi hiện nay không theo kịp diễn biến thực tế của môi trường tấn công.

Phương thức quản trị rủi ro liên tục thay vì vá lỗi theo chu kỳ

Các lỗ hổng mới trên thiết bị xIoT vẫn đang xuất hiện liên tục. Một số chiến dịch mã độc đã khai thác zero-day trên các thiết bị ít được chú ý, như nhóm tin tặc Corona nhắm vào camera AVTECH, hay RondoDox khai thác 18 lỗ hổng chưa được vá trên camera IP, bộ định tuyến và đầu ghi DVR.

Báo cáo cho rằng nhiều thiết bị khác có thể trở thành mục tiêu trong thời gian tới, nên các tổ chức cần duy trì khả năng giám sát và đánh giá rủi ro thường xuyên để ưu tiên vá lỗi kịp thời.

Forescout đã ra mắt sản phẩm eyeSentry, nền tảng quản lý rủi ro dựa trên đám mây dành cho môi trường CNTT, IoT và IoMT. Trong bối cảnh hạ tầng chuyển sang mô hình lai, các phương pháp quét và đánh giá theo chu kỳ không còn theo kịp, khi tin tặc đang lợi dụng thiết bị không được quản lý, như camera IP và thiết bị biên, làm điểm xâm nhập để di chuyển ngang, tấn công trong mạng.

Hệ sinh thái XIoT là động lực quan trọng cho phát triển công nghiệp và hạ tầng thông minh, nhưng cũng là thách thức lớn với an ninh mạng toàn cầu. Nếu không kiểm soát kịp thời, các tổ chức có thể phải đối mặt với những cuộc tấn công mạng quy mô lớn, gây gián đoạn vận hành, thiệt hại kinh tế và đe dọa sinh mạng con người.

An Lâm (Theo Industrial Cyber)