Các số liệu thống kê cho thấy ngành sản xuất chính là lĩnh vực hứng chịu nhiều cuộc tấn công mạng nhất so với các ngành nghề khác. Để giúp các doanh nghiệp thoát khỏi tầm ngắm của tin tặc, các chuyên gia đã đưa ra những lỗ hổng phổ biến và đề xuất 5 giải pháp cốt lõi để củng cố hệ thống mạng lưới.
Theo báo cáo mới nhất của IBM X-Force, ngành sản xuất tiếp tục là mục tiêu bị tin tặc tấn công nhiều nhất trong năm 2025. Đây là năm thứ 5 liên tiếp ngành sản xuất trở thành mục tiêu tấn công nhiều nhất. Mặc dù nhiều nhà sản xuất đã thực hiện các biện pháp bảo vệ hệ thống, các chuyên gia an ninh mạng cho rằng phần lớn doanh nghiệp vẫn có thể làm tốt hơn nữa để ngăn chặn rủi ro hoặc hạn chế thiệt hại nếu sự cố xảy ra.
Ông Ryan Anschutz, Trưởng bộ phận ứng phó sự cố khu vực Bắc Mỹ tại IBM X-Force, giải thích nguyên nhân khiến các nhà sản xuất lọt vào “tầm ngắm” của tin tặc là do họ sở hữu “tài sản trí tuệ có giá trị cao cùng các hệ thống cũ kỹ, phức tạp - những hệ thống rất khó cập nhật bản vá và do đó cực kỳ dễ bị khai thác”. Ông cũng chỉ ra một rào cản khác: các doanh nghiệp sản xuất thường không có đủ nguồn vốn để đầu tư cho các chương trình an ninh mạng chất lượng.
Đồng tình với quan điểm trên, Patrick Garrity, chuyên gia nghiên cứu bảo mật tại VulnCheck, nhận định các hệ thống lỗi thời chính là “miếng mồi ngon” cho tội phạm mạng. Ông cho rằng nhiều nhà sản xuất vẫn đang phụ thuộc vào các công nghệ và hệ thống công nghiệp cũ, vốn không được thiết kế để đối phó với các mối đe dọa an ninh mạng hiện đại. Đồng thời, quá trình hiện đại hóa thường diễn ra chậm chạp, khiến các tổ chức phải vận hành đan xen giữa hệ thống cũ và mới, từ đó vô tình mở rộng bề mặt tấn công.
Corey Nachreiner, Giám đốc an ninh tại WatchGuard Technologies cho biết, các nhà sản xuất còn phải chịu áp lực thường trực trong việc duy trì hoạt động, ngay cả khi họ đang là nạn nhân của một cuộc tấn công. Ông nhấn mạnh, đối với một nhà sản xuất, mỗi phút hệ thống hoạt động đều quy ra tiền và tội phạm mạng và các băng đảng mã độc tống tiền thừa hiểu điều này. Mỗi giờ nhà máy phải ngừng hoạt động sẽ ngốn của công ty doanh thu và lợi nhuận khổng lồ. Do đó, tội phạm mạng có thể dễ dàng tạo áp lực tống tiền nếu khóa chặt hệ thống của nhà sản xuất bằng một cuộc tấn công mạng.
Nhận diện các lỗ hổng “chí mạng” trong khâu vận hành
Bên cạnh việc sở hữu các hệ thống mang tính đặc thù dễ bị tấn công, các chuyên gia chỉ ra rằng chính sự chủ quan trong khâu vận hành đã trực tiếp tiếp tay cho tội phạm mạng. Dưới đây là 5 sai lầm phổ biến nhất thường bị các doanh nghiệp bỏ ngỏ:
Cô lập môi trường công nghệ vận hành (OT) khỏi các chương trình an ninh mạng
Adam Marrè, Giám đốc bảo mật tại Arctic Wolf, chia sẻ rằng, khi các hệ thống OT không được tích hợp vào quy trình phát hiện hoặc giám sát tập trung, các mối đe dọa có thể ẩn mình trong một thời gian dài mà không bị phát hiện.
Đánh giá thấp rủi ro liên quan đến bảo mật danh tính và quyền truy cập từ xa
Ông Marrè cảnh báo: “Những kẻ tấn công thường xuyên đăng nhập bằng các thông tin xác thực bị đánh cắp thay vì phải phá vỡ hàng rào phòng thủ. Điều này có nghĩa là các cơ chế kiểm soát xác thực yếu kém hoặc các chính sách cấp quyền truy cập quá rộng rãi có thể tạo ra rủi ro lộ lọt vô cùng lớn”.
Thiếu kế hoạch phục hồi sau thảm họa và duy trì tính liên tục của hoạt động kinh doanh
Ông Nachreiner nhận định, các nhà sản xuất thường không sở hữu những phương án tối ưu nhất để duy trì hoạt động kinh doanh và vận hành thủ công trong trường hợp xảy ra thảm họa công nghệ.
Chậm trễ trong việc hiện đại hóa công nghệ
Theo ông Garrity, các hệ thống cũ có thể vẫn đáp ứng được nhu cầu vận hành, nhưng chúng sẽ mang đến những rủi ro bảo mật nghiêm trọng nếu quy trình cập nhật bản vá, khả năng hiển thị tài sản và quản lý lỗ hổng không được duy trì liên tục.
Không sao lưu hệ thống thường xuyên
Reegun Jayapaul, Giám đốc bộ phận nghiên cứu mối đe dọa an ninh mạng tại Cyderes, chia sẻ: “Một số tổ chức lưu trữ các bản sao lưu trực tuyến hoặc không thường xuyên kiểm tra việc khôi phục. Điều này khiến họ dễ trở thành nạn nhân của mã độc tống tiền - loại mã độc có khả năng mã hóa hoặc xóa sổ toàn bộ dữ liệu sao lưu”.
Theo ông Jayapaul, những kẻ tấn công thường giành quyền truy cập ban đầu thông qua các chiến dịch lừa đảo qua email, các dịch vụ điều khiển từ xa, hoặc qua tài khoản đã bị xâm nhập của các nhà cung cấp. Ông nhấn mạnh rằng nếu sự phân đoạn mạng giữa khối công nghệ thông tin (IT) và OT lỏng lẻo, tin tặc có thể di chuyển ngang sang các bộ điều khiển công nghiệp hoặc các hệ thống điều hành sản xuất. Ngoài ra, bọn tội phạm cũng thường xuyên nhắm mục tiêu vào các thiết bị mạng biên, nền tảng ảo hóa và cơ sở hạ tầng máy chủ.
Ông Garrity cho biết, những hệ thống này thường được phơi bày trên Internet hoặc nằm ở các điểm yếu của mạng lưới, khiến chúng trở thành những cửa ngõ xâm nhập đầy hấp dẫn. Khi những công nghệ này tồn tại lỗ hổng, đặc biệt là nếu việc cập nhật bản vá bị trì hoãn, chúng sẽ tạo cho những kẻ tấn công một chỗ đứng ban đầu để từ đó luồn lách sâu hơn vào các môi trường vận hành.
Richard Springer, Giám đốc cấp cao về tiếp thị giải pháp OT tại Fortinet, chia sẻ dù xuất phát từ đâu thì các sự cố không gian mạng có thể nhanh chóng biến thành những gián đoạn vật lý vô cùng tốn kém. Một cuộc tấn công có thể làm tê liệt các dây chuyền sản xuất, phá hỏng thiết bị hoặc làm gián đoạn các chuỗi cung ứng trọng yếu, đẩy mức độ rủi ro vượt xa những vi phạm hệ thống IT truyền thống.
5 cách giúp doanh nghiệp xoay chuyển tình thế
Để chủ động bịt kín các lỗ hổng và thiết lập vành đai bảo vệ kiên cố cho nhà máy, các chuyên gia khuyến nghị doanh nghiệp nên lập tức triển khai 5 biện pháp sau:
Tăng cường sự hợp tác giữa IT/OT, nhưng vẫn giữ chúng tách biệt
Một trong những phương án quan trọng để các nhà sản xuất củng cố hàng rào phòng thủ trước các cuộc tấn công mạng là cải thiện sự hợp tác giữa các phòng ban IT và OT. Ông Anschutz cho rằng các công ty cần áp dụng một cách tiếp cận chủ động và liên tục để nhận diện các điểm yếu trên cả môi trường IT và OT. Các tác nhân đe dọa thường xuyên khai thác những khoảng trống giữa các môi trường này. Việc chia sẻ khả năng giám sát, xây dựng quy trình chung và thống nhất luồng công việc ứng phó sẽ giúp giảm bớt các điểm mù trong hệ thống và đẩy nhanh tiến độ khoanh vùng nếu sự cố xảy ra.
Dù vậy, song song với việc bắt tay hợp tác về quy trình, cấu trúc mạng của IT và OT vẫn phải được duy trì độc lập. Sự phân đoạn mạng rạch ròi cũng cho phép các tổ chức áp dụng những chính sách giám sát và cấp quyền truy cập khắt khe xung quanh các hệ thống máy móc trọng yếu.
Củng cố bảo mật danh tính
Ông Anschutz lưu ý rằng nhiều băng nhóm tội phạm đã xâm nhập vào hệ thống của các nhà sản xuất bằng cách lạm dụng các thông tin xác thực, đặc biệt là đối với các ứng dụng hướng tới khách hàng.
Thực trạng này đòi hỏi các nhà sản xuất phải có cái nhìn bao quát và rõ ràng hơn về những mối đe dọa nhắm vào danh tính. Để giải quyết vấn đề này, ông gợi ý doanh nghiệp nên tích hợp trí tuệ nhân tạo (AI) vào quy trình phát hiện, phản hồi rủi ro và kết hợp với hệ thống quản lý trạng thái bảo mật. Sự đồng bộ này sẽ giúp tổ chức nhận diện điểm yếu cực nhanh và ngăn chặn các cuộc tấn công từ trong “trứng nước”.
Ông Marrè cũng bổ sung thêm rằng, việc thường xuyên sử dụng xác thực đa yếu tố (MFA) trên các công cụ truy cập từ xa, tài khoản quản trị và các hệ thống trọng yếu cũng là một yêu cầu bắt buộc.
Ngoài ra, các công ty cần thường xuyên kiểm toán các tài khoản có đặc quyền, thu hồi những quyền hạn không cần thiết và theo dõi sát sao mọi dấu hiệu đăng nhập bất thường, chẳng hạn như đăng nhập ngoài giờ làm việc hoặc từ các địa điểm lạ. Các cơ chế kiểm soát danh tính nghiêm ngặt sẽ đảm bảo rằng ngay cả khi thông tin xác thực bị lộ, những kẻ tấn công cũng không thể dễ dàng tiến sâu hơn vào hệ thống.
Cập nhật phần mềm nhanh chóng
Để hạn chế tối đa nguy cơ bị tin tặc xâm nhập, ông Nachreiner khuyến cáo các nhà sản xuất cần tiến hành vá lỗi toàn bộ hệ thống ngay khi có bản cập nhật mới.
Chuyên gia này nhấn mạnh yêu cầu cập nhật phần mềm và firmware phải được thực hiện đồng bộ và chớp nhoáng. Việc này cần được áp dụng xuyên suốt từ thiết bị của khối văn phòng, bộ phận kinh doanh cho đến các hệ thống OT và điều khiển công nghiệp dưới phân xưởng. Đặc biệt, đối với những lỗ hổng bảo mật được đánh giá ở mức rủi ro cao hoặc nghiêm trọng, thời hạn tối đa để doanh nghiệp hoàn tất việc vá lỗi là không quá 30 ngày.
Xếp hạng ưu tiên các lỗ hổng
Các nhà sản xuất cần nhận thức rõ rằng không phải mọi mối đe dọa an ninh mạng đều mang lại mức độ nguy hiểm như nhau.
Theo chuyên gia Garrity, thay vì chỉ đánh giá rập khuôn dựa trên Hệ thống Chấm điểm lỗ hổng phổ biến (CVSS), doanh nghiệp nên ưu tiên xử lý các lỗ hổng dựa trên tình hình hoạt động thực tế của các mối đe dọa. Cách tiếp cận này sẽ giúp tổ chức tập trung nguồn lực vào đúng điểm yếu mà tin tặc đang thực sự khai thác.
Theo Viện SANS (tổ chức đào tạo và chứng nhận về an ninh mạng), CVSS là một phương pháp tiêu chuẩn hóa nhằm đánh giá và xếp hạng các rủi ro an ninh mạng. Tuy nhiên, ông Garrity lưu ý rằng mặc dù thang điểm CVSS rất hữu ích để so sánh rủi ro giữa các ứng dụng hay nhà cung cấp khác nhau, các doanh nghiệp không nên phụ thuộc hoàn toàn vào những con số lý thuyết này để định đoạt chiến lược bảo mật.
Xây dựng khả năng phục hồi an ninh mạng vào quy trình vận hành
Lên kế hoạch cho các tình huống hệ thống ngừng hoạt động phải là điều không thể thiếu trong chiến lược an ninh mạng của mọi công ty.
Theo ông Anschutz, các nhà sản xuất nên lên phương án cho các tình huống bị gián đoạn, đưa quy trình khôi phục vào diễn tập thường xuyên và đảm bảo đội ngũ nhân sự luôn đủ sức đưa hệ thống vận hành trở lại trong thời gian ngắn nhất. Điểm mấu chốt là phải tích hợp khả năng phục hồi vào thẳng quy trình vận hành, biến thời gian hệ thống ngừng hoạt động thành một rủi ro nằm trong tầm kiểm soát thay vì để tội phạm mạng biến nó thành đòn bẩy tống tiền.
Theo Cybersecurity Dive
