广告

防火墙堵不住安全漏洞,工业物联网如何更安全?

2021-03-15 John Moor,物联网安全基金会 阅读:
运营技术(OT)和工业控制系统(ICS)的网络安全性大大落后于企业IT的网络安全性,随着工业物联网(IIoT)的发展,这一差距必须缩小,不仅要对制造过程的安全进行防护,还要保护能源、健康和运输等关键基础设施。

运营技术(OT)和工业控制系统(ICS)的网络安全性大大落后于企业IT的网络安全性,这样说毫不为过。随着工业物联网(IIoT)的发展,这一差距必须缩小,不仅要对制造过程的安全进行防护,还要保护能源、健康和运输等关键基础设施。o12ednc

o12ednc

图1:物联网安全基金会常务董事John Moor。o12ednc

随着连接数的增加,越来越多的设备接入到网络,以实现远程监控、软件更新、更好的数据分析以及系统自动化,攻击面随之大大增加,保护网络免受攻击成为企业当务之急。这些攻击不只是针对关键的基础架构(例如2013/14俄罗斯黑客组织“蜻蜓”攻击),而是可能发生在所有系统中(例如由WannaCry演变的恶意软件导致TSMC在2018年停工)。o12ednc

据Verizon发布的最新数据泄露调查报告显示,仅就制造业而言,过去一年中就有200多次间谍型安全攻击,以及700多次经济型攻击。o12ednc

行业标准的制定、认可和认证对于保护此类系统发挥着重要作用。o12ednc

工业物联网的演进

OT的网络安全性之所以落后,很大程度是因为许多传统的系统都是为非联网世界而创建的。尽管攻击事件早在80年代就时有发生(例如1982年报道的CIA对苏联天然气基础设施的攻击),但那时的攻击机会要少一些,并且黑客入侵更困难。o12ednc

实际上,直到世纪之交以太网出现以后,OT系统才广泛连接起来。也就是说,目前在用的许多组件并未针对TCP/IP连接应用而设计,也未针对工业电子设备的某些通信协议(例如Modbus)进行设计。o12ednc

此外,许多拥有这类系统的组织希望从孤立的OT模型转变为互联的IT甚至IIoT模型,从而更有效地使用数据。如果使用传统的旧设备,将数据从工厂的一端传到另一端时,必须打开防火墙端口和针孔,这样会增加被攻击的可能。o12ednc

从本质上讲,OT系统是分层的,安全标准通常符合Purdue模型。在Purdue模型中,网络分为不同的功能层:从第0层(传感器和执行器),往上通过OT环境,到最高的第5层,即公司的企业IT网络。数据流经这些层,ICS将根据工厂数据和业务的具体情况来调整性能或设定交货时间表。o12ednc

o12ednc

 图2:Purdue模型。(图片来源:物联网安全基金会)o12ednc

Purdue模型也适合IIoT设备。可以说每个物联网设备都是一个现成的Purdue模型,包含一个传感器和一个处理器,并且连接到企业网络。但是,对于远程监控设备(如智慧城市中使用的设备),系统不只是连接到企业网络,还可以直接连接到云(第6层),因而更易受到来自互联网的攻击。o12ednc

安全标准和法规

互联网对我们的经济和社会生活越来越重要,整个价值链中不断出现创新,因此需要制定标准和法规来保护所有参与者免受恶意攻击。o12ednc

在预定义M2M模型中,系统是由一家(或很少几家)供应商提供的已知设备构成的,每个设备都可以信任。这种旧模型意味着专有协议只能专门针对某一家供应商来实施,例如,ABB或Honeywell,它们各不相同,甚至互相矛盾。现在我们身处的世界已经发生了变化。o12ednc

变化是因为使用了IIoT系统。设备来自多家供应商,传感器也远程连接到LoRa或5G等广域网(WAN),因此需要为整个生态系统制定标准。o12ednc

然而,可选择的标准太多是个大问题,面对如此众多的标准制定机构,难怪TÜV莱茵《2019年网络安全趋势》报告发出警告:“工业物联网面临标准的巨大挑战。”o12ednc

值得一提的标准包括美国国家标准技术研究院(NIST)的通用标准SP 800-82和ISA/IEC 62443,以及由政府机构制定的一些特定行业标准和指南。还有由ABB、通用电气和西门子等大厂提供的特定供应商标准。o12ednc

还要注意的是,没有哪一种标准从传感器到云全都适用。另外,标准之间通常存在一些冲突和矛盾,导致不兼容和/或不合规。但这种情形在OT/IIoT领域变得越来越少见,我们通常会看到标准的融合。现在,甚至连供应商的协议都引用了其他标准,例如SP 800-82,特别是ISA/IEC 62443。o12ednc

SP 800-82

SP 800-82由NIST于15年前发布,是ICS和监督控制与数据采集(SCADA)系统的网络安全标准。o12ednc

它专门解决ICS安全威胁和漏洞,涉及风险管理、推荐方法、体系架构和工具。每次更新后,例如为重要性分别是低、中、高的ICS设备添加量身定制的安全基准,标准会变得更全面。o12ednc

NIST也在着手解决中等规模的公司对ICS安全性的担忧,开始增加用于机器人、智能运输和化学处理的测试设备。o12ednc

ISA/IEC 62443

ISA/IEC 62443可能是最重要的ICS网络安全标准,不仅适用于供应商,也适用于ICS用户。o12ednc

与SP 800-82标准相比,这些规范更专注于工业控制应用。它们提供了一个灵活的框架,防止当前和未来的工业自动化和控制系统出现安全漏洞。o12ednc

与SP 800-82一样,这些规范旨在防止对公众和员工造成危害、丧失公信力、违反法规要求、IP盗窃、经济损失和国家安全攻击,已成为许多特定行业标准的基础。o12ednc

与Purdue模型一样,它们也是分层的,共分为四层:常规、策略和过程、系统、组件。这些标准目前尚未全部发布,特别值得一提的有四个:62443-2-4(系统集成策略)、62443-4-1(安全开发生命周期要求)、62443-4-2(组件安全规范)和62443-3-3(安全性要求和等级)。o12ednc

这些标准十分详细,涵盖整个工业控制领域,并且描述了每一层的安全要求,包括保护正常运行、知识产权和安全性,同时对IIoT生态系统中的每个参与者都有明确的要求。现在,各供应商指南和特定行业标准(能源产生)通常基于62443,并翻译了相关部分以适合该行业的语言和协议。o12ednc

联合国欧洲经济委员会的通用网络安全监管框架集成了ISA/IEC 62443,美国的NIST SP 800-82也与它保持一致。o12ednc

值得一提的是,该标准因收费昂贵而受到批评,这可能会阻止或减缓其应用速度。o12ednc

特定行业标准

如前所述,许多特定行业标准都是用来保护关键基础设施的,例如电网。美国能源部与美国网络安全和基础设施安全局(CISA)合作开发了基于ISA/IEC 62443的标准。为了最有效地使用这些标准,该组织以图表形式提出了建议。o12ednc

这些标准也符合英国国家网络安全中心开发的能源基础设施指南。o12ednc

标准内容经常重复,而且还需要进一步的解释和实现。如何确保每个人都以同样的方式解释这些标准,以及如何衡量合规程度?当每个传感器和每个控制系统不同时,可以使用认证系统。o12ednc

现在政府规定关键基础架构必须满足一定级别的安全性,安全攻击通常集中在薄弱点。购买IIoT设备时,务必询问供应商是否对设备进行了充分的渗透测试,以及能否像其他供应商一样满足所有要求。o12ednc

以能源为例,如何确保接入网络的所有智能电表可以信任?我们必须建立信任,然后通过这些通用标准来实现信任。o12ednc

其中一部分正在发生变化,美国国防部2020年宣布了“网络安全成熟度模型认证”计划。o12ednc

网络安全曾是采购环节的第四大要素(其它三大要素是成本、进程和绩效),现在已逐渐成为采购的基础。此外,现在还要求第三方评估。o12ednc

但是成本与安全性是互相冲突的,若要对这些系统进行全面认证,成本极高。再加上缺乏认证机构,就很容易理解为什么许多行业现在仍在使用自我认证。o12ednc

由于不存在一种普适的方法,所以各组织仍然必须根据具体情况来制定标准。很重要的一点是这些组织需要拥有足够的专家,从运营和战略上来确定自身情况,然后进行最好的实践。但是目前专业人才严重短缺。o12ednc

零信任,向IIoT、云和边缘计算发展

基础架构的管理方式已发生了巨大变化。现在,传感器远程安装并通过WAN返回信息,在这种情况下,隔离其中一些功能(包括控制和分析功能)变得更加困难。o12ednc

在Covid-19疫情下,需要为在家上班的人们提供远程接入监控系统,增强安全性的要求变得更加迫切。o12ednc

因此,需要在ISA/IEC 62443和NIST SP 800-82之外制定新的标准,使其更好地应用于IIoT以及在工业环境中引入云和边缘计算的情况。o12ednc

从历史来看,OT安全源于绝对信任,而这又建立在假定网络可以信任的基础上。系统不再由某一个供应商提供。不同供应商提供的IIoT设备数量越来越多,依靠绝对信任已经不够了。我们需要“零信任”网络,在这种网络中,设备关系和安全状态可以信任,设备抵抗不可信环境的能力更强。实际上,这是联网安全基金会智能建筑工作组的重心。o12ednc

IT正朝着这个方向发展,IIoT世界也应如此。确实,供应商和标准组织一直观注着设备的自动部署,例如,英特尔已向FIDO联盟提交了“安全设备启用”方案。o12ednc

在现实世界中(如智慧城市部署),这意味着未来的传感器可以即插即用,设备知道在与基础设施的其他部分建立信任关系时要跟谁联系。o12ednc

边缘计算和AI的部署将加速其发展,传感器、执行器和控制系统将变得更加智能:在收集数据时,他们还可以检查数据的有效性。o12ednc

安全可靠的芯片、软件和基于云的管理系统,它们之间的通信也必须安全和可信,才能得到强健的基础设施。但这也意味着必须建立标准和认证。o12ednc

随着连接性的不断增加,安全漏洞越来越多,防火墙并不是有效的解决方案。防火墙会导致人们产生错误的安全感,实际上并不能真正保护关键的系统。在我们身处的世界,所有人都可以发挥作用,确保连接安全。人们希望IIoT系统更加智能,谨记:“如果不安全,那就不智能。”o12ednc

(本文授权编译自EDN姐妹网站EETimes,原文参考链接:Cybersecurity Standards in OT and Industrial IoT,由Jenny Liao编译)o12ednc

本文为《电子技术设计》2021年3月刊杂志文章“汽车制造商都想开发自己的操作系统?”,版权所有,禁止转载。免费杂志订阅申请点击这里o12ednc

本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 汽车ADC如何帮助设计人员在ADAS中实现功能安全 随着车辆的自动化水平不断提高,一级供应商和原始设备制造商越来越需要提供诊断监控的ADC,用于实现其功能安全目标。
  • 国民技术车规级芯片助力汽车智能安全升级 7月15日~16日,以“应用引领,创新驱动”为主题的中国集成电路设计创新大会暨IC应用博览会(ICDIA 2021)在苏州盛大举行。由中国集成电路设计创新联盟、中国汽车芯片产业创新战略联盟共同举办的“第八届汽车电子创新论坛暨2021汽车芯片供需对接会”同期召开,国民技术股份有限公司(简称:国民技术)应邀参会,与车厂、零部件企业一起,就汽车芯片“卡脖子”问题及国产芯片汽车应用合作进行了深入交流探讨。在“供需对接”闭门会议上,来自国民技术的企业代表围绕“国产芯片助力汽车智能安全升级”话题做了专题发言。
  • 为何道路法规约束不了自动驾驶汽车制造商? 自动驾驶汽车已经遍布美国各个城市的公共街区和道路。实际上,并没有足够的理由让我们可以相信任何一家汽车厂商制造的自动驾驶汽车是安全可靠的,因为负责汽车安全的机构正在给这些汽车制造商发放免检通行证。
  • 一文看懂黑客如何轻松破解MCU,附预防措施 MCU就是大家所熟悉的微控制单元,或者单片微型计算机,或者单片机,攻破MCU有很多种方法。随着技术的发展,以及人们对嵌入式领域的信息安全和程序安全越来越重视,MCU的安全等级正在逐步提升,一些公司甚至推出了安全主控。所谓知己知彼,百战百胜,唯有了解了破解技术,才能更有效的做加密防护。这篇文章是俄国人Sergei P.Skorobogatov就读英吉利剑桥大学之博士论文,讲解了各种MCU的攻防技术,堪称一部小百科全书。
  • 动手给iPhone X换电池续命,电量恢复至120% EDN小编手中的iPhone X已使用了四年,电池衰退情况严重,但苹果官方电池换新动辄六七百,那么为何不亲自动手更换电池呢,为此小编开始搜索iPhone X电池更换教程,或者分享文章……
  • 监控器频发错误警报,竟由香蕉辐射引起? 我曾在美国核工业集团工作,设计用于核污染测试仪的电子系统,包括大门、袋装垃圾和车辆的监控器。在南非,我们安装了一台监控器在一家钢厂的火车轨道支线上,距主干线约100英尺。但是,有时候哪怕并没有火车通过,监控器也会发出警报......
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了