Các nhà sản xuất công nghệ cao đang trở thành mục tiêu hàng đầu của các cuộc tấn công mạng
Do đặc thù sở hữu lượng lớn dữ liệu giá trị cao, việc bảo vệ tài sản sở hữu trí tuệ (IP) và các khoản đầu tư cho R&D là ưu tiên tối quan trọng đối với các nhà sản xuất công nghệ cao, khi họ tiếp tục là mục tiêu hàng đầu của các cuộc tấn công mạng. Các tác nhân độc hại ngày càng đa dạng về mức độ tinh vi cũng như tính dai dẳng. Những cuộc tấn công này có thể bao gồm hành vi đánh cắp IP nhằm mục đích tống tiền tài chính, gián điệp doanh nghiệp hoặc thậm chí bị các tác nhân cấp quốc gia lợi dụng mã nguồn và thiết kế bị đánh cắp cho các mục đích độc hại.
Phần lớn các vụ xâm nhập (68%) bắt nguồn từ việc đánh cắp thông tin xác thực và lỗi con người khi người dùng nhấp vào email phishing; đây vẫn là phương thức phổ biến nhất để tin tặc xâm nhập vào các hệ thống và dữ liệu trọng yếu của nạn nhân. Việc bảo vệ truy cập người dùng tới cả môi trường công nghệ thông tin (IT) và công nghệ vận hành (OT) đóng vai trò cốt lõi trong một chiến lược an ninh mạng vững chắc. Tuy nhiên, các cuộc tấn công nhắm vào OT nói riêng thường gây hậu quả nghiêm trọng hơn do có thể dẫn đến các tác động vật lý như dừng vận hành, gián đoạn sản xuất, rò rỉ hoặc cháy nổ, ảnh hưởng trực tiếp đến hoạt động doanh nghiệp. Vì vậy, các chuyên gia trong lĩnh vực sản xuất công nghệ cao cần ưu tiên triển khai xác thực đa yếu tố (MFA) mạnh mẽ như tuyến phòng thủ đầu tiên nhằm bảo vệ dữ liệu quan trọng cũng như môi trường IT và OT.
Vượt qua thách thức để ưu tiên MFA mạnh hơn
Việc hiện đại hóa các hệ thống IT và OT hiện hữu là một quá trình phức tạp và đầy thách thức. Các rào cản thay đổi bao gồm công nghệ legacy thường không hỗ trợ các cơ chế bảo mật hiện đại, môi trường sản xuất công nghiệp đa dạng và hạn chế, sự phụ thuộc lớn vào mô hình truy cập cục bộ và hạ tầng on-prem truyền thống thay vì cloud, các kết nối từ bên thứ ba để điều khiển thiết bị OT trong mạng nội bộ ngày càng khó quản lý, cùng với nhu cầu thay đổi tư duy từ “nhận thức rủi ro” và “chấp nhận rủi ro” sang tư duy chủ động phòng ngừa. Tất cả các yếu tố này dẫn đến sự cạnh tranh giữa các ưu tiên kinh doanh và khiến việc đạt được trạng thái công nghệ hiện đại trở nên khó khăn hơn.
Không phải mọi MFA đều giống nhau
Ngày càng có nhu cầu lớn về các giải pháp chìa khóa trao tay (turnkey), tiết kiệm chi phí nhằm đáp ứng nhu cầu hiện tại cũng như sẵn sàng cho các yêu cầu xác thực trong tương lai, từ đó thúc đẩy quá trình chuyển đổi số và hiện đại hóa hạ tầng một cách an toàn. Việc bảo vệ danh tính, dữ liệu, ứng dụng và thiết bị điện toán bằng mật mã hiện đại là yếu tố cốt lõi.
Tên đăng nhập và mật khẩu rất dễ bị tấn công, trong khi các phương thức xác thực legacy dựa trên thiết bị di động như OTP, SMS và ứng dụng push notification không có khả năng chống phishing, đồng thời cũng không khả thi trong các môi trường hạn chế thiết bị di động như sàn nhà máy. Các tài khoản sử dụng MFA nhưng không dựa trên giao thức chống phishing vẫn dễ bị tấn công mạng.
Khả năng chống phishing: Bản dự thảo Hướng dẫn Danh tính số của National Institute of Standards and Technology (NIST) SP 800-63-4 đã đưa ra các yêu cầu kỹ thuật đối với xác thực chống phishing, đồng thời công nhận hai phương pháp đạt tiêu chuẩn chống phishing gồm: channel binding như Smart Card dựa trên PKI và verifier name binding như thông tin xác thực cùng authenticator dựa trên Fast Identity Online (FIDO).
Fast Identity Online (Xác thực nhanh trực tuyến – FIDO) là gì? FIDO2 là một tiêu chuẩn xác thực mở được phát triển bởi FIDO Alliance, bao gồm đặc tả Web Authentication (WebAuthn API) của W3C và giao thức Client to Authentication Protocol (CTAP). CTAP là giao thức tầng ứng dụng được sử dụng để giao tiếp giữa client (trình duyệt) hoặc nền tảng (hệ điều hành) với authenticator bên ngoài như khóa bảo mật phần cứng. Các tùy chọn xác thực FIDO2 bao gồm công cụ xác thực một yếu tố mạnh (không cần mật khẩu), xác thực hai yếu tố và xác thực đa yếu tố. Yubico là một trong những đơn vị đóng góp cốt lõi cho giao thức xác thực mở FIDO2.
YubiKey cung cấp MFA chống phishing đạt chứng nhận IP68
Yubico đã phát triển YubiKey — khóa bảo mật phần cứng hỗ trợ MFA chống phishing và xác thực không mật khẩu ở quy mô lớn với trải nghiệm người dùng tối ưu. Giải pháp này mang lại mức độ đảm bảo xác thực cao nhất nhằm bảo vệ truy cập người dùng và thúc đẩy triển khai Zero Trust. Với YubiKey, doanh nghiệp có thể triển khai chiến lược passkey an toàn nhất: passkey gắn với thiết bị (device-bound), được thiết kế chuyên biệt cho bảo mật, đạt chứng nhận FIPS 140-2 và tuân thủ chuẩn Authenticator Assurance Level 3 (AAL3).
YubiKey là khóa bảo mật phần cứng đa giao thức, hỗ trợ cả tiêu chuẩn PIV và FIDO2/WebAuthn, bên cạnh OTP và OpenPGP. Do các hạn chế kỹ thuật trong một số môi trường cụ thể, khả năng hỗ trợ đa giao thức đóng vai trò đặc biệt quan trọng, giúp các nhà sản xuất công nghệ cao xây dựng cầu nối hướng tới tương lai không mật khẩu, đồng thời tích hợp linh hoạt với cả môi trường legacy/air-gapped lẫn hạ tầng mạng hoặc cloud. Hỗ trợ đa giao thức giúp đáp ứng yêu cầu hạ tầng hiện tại trong khi vẫn tăng cường tư thế an ninh mạng tổng thể.
Theo Executive Order 14028 và OMB Memo M-22-09, MFA chống phishing hiện là yêu cầu bắt buộc đối với tất cả các nhà sản xuất có hợp đồng với chính phủ. Đồng thời, giải pháp này cũng đang được CISA và NSA tích cực khuyến nghị (tham khảo tài liệu Best Practices in Identity and Access Management năm 2023) cho mọi lĩnh vực hạ tầng trọng yếu, bao gồm cả ngành sản xuất. YubiKey mang lại mức độ MFA chống phishing gắn với thiết bị cao nhất hiện có trên thị trường.
Bảo mật cho lực lượng lao động hybrid và làm việc từ xa
Là một nhà sản xuất công nghệ cao, lực lượng lao động của bạn nhiều khả năng được phân bổ toàn cầu, điều này càng nhấn mạnh tầm quan trọng của việc bảo vệ truy cập người dùng trên toàn hệ thống. Để đáp ứng nhu cầu của lực lượng lao động on-prem, hybrid và remote, YubiKey mang đến trải nghiệm xác thực đơn giản trên mọi thiết bị điện toán. Ngoài ra, YubiKey còn hoạt động cùng các giải pháp Identity and Access Management (IAM), Identity Provider (IdP), dịch vụ cloud và hàng nghìn ứng dụng phổ biến nhằm cung cấp khả năng truy cập chống phishing cho toàn bộ nhân viên mà không cần thiết bị ngoại vi hoặc phần cứng hỗ trợ khác. Dù nhân viên của bạn di chuyển giữa môi trường công nghiệp và văn phòng doanh nghiệp, YubiKey vẫn đáp ứng linh hoạt nhu cầu sử dụng nhờ tính di động cao. Phần cứng chuyên dụng trên YubiKey, bao gồm cảm biến chạm, giúp xác minh rằng người đăng nhập là con người thực sự chứ không phải trojan hay hacker từ xa.
Bảo mật cho người dùng đặc quyền và truy cập đặc quyền
Trong thế giới số hiện nay, khái niệm “người dùng đặc quyền” không còn giới hạn trong bộ phận CNTT truyền thống mà đã mở rộng sang bất kỳ người dùng doanh nghiệp nào có quyền truy cập vào hệ thống, IP hoặc dữ liệu giá trị cao như dữ liệu khách hàng, nhân sự, tài chính, pháp lý hoặc bán hàng. Là một nhà sản xuất công nghệ cao, doanh nghiệp của bạn có thể sở hữu nhiều vai trò khác nhau. Vì vậy, bạn không chỉ cần kiểm soát ai có thể xem hoặc truy cập các loại thông tin khác nhau mà còn phải kiểm soát các hành động hoặc “đặc quyền” mà từng cá nhân được phép thực thi. Ví dụ, trong quy trình sản xuất bảng mạch in (PCB), doanh nghiệp có thể cần giới hạn quyền đọc/ghi chỉ ở cấp cao nhất để đảm bảo IP được bảo vệ giữa các nhân viên có quyền truy cập đặc biệt.
Xác thực là một dịch vụ mang tính sống còn; nếu nhân viên không thể đăng nhập vào ứng dụng hoặc cổng thông tin cần thiết, họ sẽ không thể hoàn thành công việc. Với YubiKey, doanh nghiệp có thể bảo vệ truy cập người dùng bằng xác thực chống phishing đối với IP trọng yếu và thông tin cá nhân. YubiKey mang lại mức độ bảo mật cao nhất để xác thực người dùng đặc quyền tới cả ứng dụng legacy lẫn hiện đại, đồng thời bảo vệ truy cập thiết bị. Ngoài ra, YubiKey hỗ trợ đa giao thức, sử dụng mật mã khóa công khai và URL binding, lưu trữ bí mật xác thực trên chip phần cứng bảo mật, đồng thời ngăn dữ liệu bị sao chép hoặc xuất ra ngoài — tất cả tạo nên giải pháp bảo mật hàng đầu cho xác thực người dùng đặc quyền trên toàn doanh nghiệp. Ví dụ, Microsoft Entra ID hiện hỗ trợ đăng ký YubiKey như một authenticator FIDO2. Với tính năng này, quản trị viên có thể nhanh chóng triển khai YubiKey cho các vai trò người dùng đặc quyền nhằm củng cố bảo mật doanh nghiệp và đáp ứng yêu cầu xác thực chống phishing.
Bảo mật sàn sản xuất công nghiệp và môi trường nhà máy hạn chế với máy trạm và thiết bị dùng chung
Môi trường máy trạm dùng chung cùng các khu vực sản xuất công nghiệp có mức độ hạn chế cao là điều rất phổ biến trong ngành sản xuất công nghệ cao. Các hệ thống này thường sử dụng hệ điều hành tùy biến với mức độ kiểm soát doanh nghiệp tối thiểu và thiếu các quyền truy cập được định nghĩa rõ ràng. Thông thường, chỉ có một tài khoản dùng chung để truy cập vào máy trạm — vốn có thể là hệ thống air-gapped. Vì vậy, nhiều cá nhân sẽ cùng sử dụng một thông tin đăng nhập chung để truy cập hệ thống. Trong một số trường hợp, người giám sát có thể chịu trách nhiệm cho toàn bộ khu vực bao gồm nhiều máy trạm khác nhau và quản lý toàn bộ quyền truy cập của người dùng trong nhóm.
Nhân sự trong lĩnh vực sản xuất công nghệ cao sử dụng máy trạm và thiết bị dùng chung có thể hưởng lợi từ việc sử dụng YubiKey như một “portable root of trust” cho xác thực bảo mật vì những lý do sau:
Có nhiều giải pháp dựa trên YubiKey nhằm bảo vệ truy cập tới dữ liệu nhạy cảm trên máy tính bảng và thiết bị di động, tùy thuộc vào hệ điều hành, từ các tính năng tích hợp sẵn trong hệ điều hành hoặc ứng dụng cho tới công nghệ desktop từ xa và ảo hóa ứng dụng. Ví dụ, YubiKey có thể được sử dụng trên bất kỳ thiết bị được quản lý nào để kiểm soát truy cập tới mạng, ứng dụng và nhiều tài nguyên khác. Đồng thời, doanh nghiệp cũng không cần lo ngại về các giải pháp xác thực dựa trên thiết bị di động trong các môi trường như OT, nơi sóng di động thường không ổn định hoặc hoàn toàn không tồn tại.
YubiKey không yêu cầu pin hoặc kết nối Internet để hoạt động, đồng thời có độ bền cực cao, chống bụi, chống va đập và chống nước đạt chuẩn IP68, giúp bảo vệ người dùng cũng như bảo mật truy cập trong nhiều môi trường khác nhau:
Ngoài ra, do tính chất nhạy cảm và phức tạp của các hệ thống này, doanh nghiệp thường phải sử dụng phần mềm tự phát triển thay vì phần mềm thương mại đóng gói sẵn. Ví dụ tại sàn nhà máy, việc sử dụng các hệ thống Debian GNU/Linux tùy biến dựa trên SCADA là điều rất phổ biến. May mắn là Linux hỗ trợ nhiều tính năng tương thích với YubiKey.
Trong các môi trường này, việc sử dụng đồ bảo hộ sạch (clean suits) và găng tay là rất phổ biến, đồng thời luôn tồn tại nguy cơ xuất hiện dị vật (Foreign Object Debris – FOD). Với YubiKey, thông qua giao tiếp NFC, người dùng có thể tận dụng các thiết bị đeo như vòng tay cao su hoặc găng tay có khe gắn, cho phép xác thực chỉ bằng thao tác chạm hoặc đưa gần mà không cần tháo bỏ đồ bảo hộ.
Bảo mật truy cập cục bộ, môi trường on-prem truyền thống, mạng air-gapped và cloud
Tính sẵn sàng và thời gian hoạt động liên tục (uptime) là yếu tố tối quan trọng đối với lĩnh vực này, đồng nghĩa với việc trong nhiều trường hợp doanh nghiệp không phụ thuộc vào hạ tầng cloud. Các dịch vụ cần được vận hành độc lập trên môi trường truy cập cục bộ và on-prem truyền thống, ngay cả khi một số trường hợp có sử dụng cloud infrastructure. Ngoài ra, mạng air-gapped và phòng sạch (clean room) thường được cô lập hoàn toàn với bên ngoài, khiến việc xác thực người dùng thông qua dữ liệu truyền qua mạng trở nên khó khăn.
Nhiều hệ thống air-gapped và SCADA hiện nay vẫn sử dụng tên đăng nhập và mật khẩu hoặc kết hợp mật khẩu với danh tính số. YubiKey giúp đảm bảo các môi trường local, on-prem truyền thống, mạng air-gapped và hybrid cloud luôn được bảo vệ khỏi các hành vi xâm nhập nhờ cung cấp cơ chế xác thực với mức độ đảm bảo cao nhất. YubiKey hoạt động hiệu quả trong các môi trường mạng cô lập và hạn chế thiết bị di động vì không cần kết nối mạng, sóng di động hay pin để vận hành.
Khả năng hỗ trợ đa giao thức của YubiKey cho phép doanh nghiệp triển khai MFA ở mọi nơi mà điều kiện kỹ thuật cho phép. Đồng thời, trong các tình huống tại nhà máy nơi hệ thống chưa hỗ trợ giao thức chống phishing, doanh nghiệp vẫn có thể tận dụng tính năng YubiKey Static Password để tăng cường bảo mật.
Bảo mật chuỗi cung ứng và truy cập từ bên thứ ba
Thách thức lớn nhất đối với các nhà sản xuất công nghệ cao, bao gồm cả ngành bán dẫn, nằm ở việc bảo vệ chuỗi cung ứng downstream không hề dễ dàng khi tồn tại hàng trăm, thậm chí hàng nghìn điểm truy cập cần được giám sát xuyên suốt quy trình. Đặc biệt, đối với các kết nối từ xa của bên thứ ba nhằm điều khiển thiết bị OT kết nối vào mạng nội bộ, việc bảo vệ truy cập là điều bắt buộc.
Khi tồn tại mạng lưới nhà cung cấp và đối tác trải dài từ nguồn nguyên vật liệu để sản xuất thiết bị và chip cho tới các đơn vị thiết kế, nhu cầu đảm bảo mọi bước đều được triển khai đúng chuẩn bảo mật trở nên cấp thiết hơn bao giờ hết.
Các doanh nghiệp sản xuất công nghệ cao phải định danh và xác thực mọi người dùng có quyền truy cập vào dữ liệu đầu vào, IP hoặc các hệ thống tham gia trong chuỗi cung ứng. YubiKey cung cấp khả năng xác thực chống phishing hiện đại ở quy mô lớn trên toàn bộ chuỗi cung ứng, giúp các nhà sản xuất công nghệ cao và đối tác triển khai cơ chế xác thực mạnh mẽ nhưng dễ sử dụng cho bất kỳ người dùng nào có quyền truy cập upstream vào mạng hoặc tham gia vào các điểm bàn giao IP quan trọng.
Kết hợp cùng YubiKey as a Service, doanh nghiệp có thể triển khai một giải pháp tiết kiệm chi phí và dễ dàng nhằm nâng cao bảo mật chuỗi cung ứng.
Bảo vệ tính toàn vẹn của IP, thiết bị và sản phẩm
Các nhà sản xuất công nghệ cao hiểu rõ rằng việc đảm bảo mọi thành phần trong quy trình end-to-end đều là chính hãng là yếu tố then chốt nhằm tránh hành vi sao chép trái phép và đánh cắp, đồng thời phục vụ kiểm soát chất lượng. Vì vậy, luôn cần có giải pháp nhằm bảo vệ tính toàn vẹn và tài sản sở hữu trí tuệ của mọi thành phần, từ khâu sản xuất, lắp ráp cho tới sửa chữa và thay thế.
Với YubiKey, doanh nghiệp có thể bảo vệ truy cập tới các hệ thống trọng yếu bằng cách xác minh mọi người dùng hoặc thiết bị, bao gồm cả giữa hệ thống IT và OT. Đồng thời, giải pháp còn hỗ trợ bảo vệ truy cập mã nguồn và triển khai ký mã tin cậy (trusted code-signing) bằng khóa và chứng chỉ PKI nhằm đảm bảo tính xác thực của sản phẩm cũng như bảo vệ IP doanh nghiệp.
Xây dựng bài toán kinh doanh
Việc chuyển đổi sang tương lai không mật khẩu và chống phishing là một hành trình dài do doanh nghiệp vẫn phải quản lý hạ tầng cũ; quá trình này sẽ không thể hoàn thành chỉ trong một sớm một chiều. Điều quan trọng là doanh nghiệp cần thay đổi tư duy từ “nhận thức rủi ro” và “chấp nhận rủi ro”, vốn dễ dẫn tới sự cạnh tranh giữa các ưu tiên kinh doanh sang tư duy chủ động bảo mật. Phần lớn các tổ chức hiện nay vẫn sở hữu hệ thống CNTT cần tiếp tục hỗ trợ các giao thức xác thực cũ trong một khoảng thời gian nhất định. Tuy nhiên, với khả năng hỗ trợ đa giao thức của YubiKey, kết hợp cả giao thức xác thực cũ và hiện đại trên cùng một khóa, doanh nghiệp giờ đây có thể từng bước tiến tới một tương lai an toàn hơn. Các đối tác công nghệ của Yubico cũng cung cấp đa dạng giải pháp on-premise và cloud nhằm hỗ trợ hiệu quả cho môi trường sản xuất.












