China
欢迎访问施耐德电气网站

欢迎访问我们的网站。

您可以选择其他国家/地区以查看可用产品或转至我们的全球网站了解公司信息

选择其他国家或区域
Default Alternative Text

植入端到端的信任和安全

工业自动化的历史令我着迷。 持续创新和新技术使起源于工业时代的新技术快速进入信息时代。 当生产率似乎到达攀及极限之时,互联网促进生产率和效率达到之前难以想象的高度。 不幸的是,随着工业自动化进入当今数据驱动、互联网连接的世界,它仍不断加速,越过了数字安全。

欢迎进入数字时代,在这里,虚拟领域的一个匿名黑客就可以破坏工业自动化系统。 我们如何保障系统安全,同时仍然满足企业利益相关者的需求? 运营技术(OT)团队仍然要求高弹性和可用性。 信息技术(IT)团队要求网络连接、企业安全、以及合规。 这两个团队还必须接纳这一领域的新成员:数据分析师需要实时数据捕捉、共享和分析,用于每一个业务决策。

本文讨论工业自动化系统安全的现状,改善这一现状的技术和组织挑战,以及向工业控制系统(ICS)和数据采集与监视控制系统(SCADA)嵌入端到端的信任和安全的动态模式。

犯罪和冲突的新领域

SCADA和ICS系统遭受物理入侵和攻击主要是二十世纪的乱象。 当今的绝大多数攻击都出自掌握丰富资源和具有强烈动机的黑客之手,他们常常是精湛的软件工程师,服务于其它大陆的网络犯罪集团。 商业竞争对手和民族国家是最新出现的网络战争参与者,战场已蔓延,生产设施、娱乐公司、重要基础设施无一幸免。 列举一些值得关注的案例:

  • 最臭名昭著的工业自动化系统攻击案例发生在2010年,震网计算机蠕虫攻击伊朗核浓缩设施内的工业可编程控制器,暗中操纵离心机的反馈数据。 这被视为民族国家实施的第一批攻击,尽管官方从未确认攻击来源。
  • 2014年12月,德国联邦机构确认德国炼钢厂遭到恶意电子邮件攻击,黑客通过该恶意电邮可渗入生产网络。 工厂的控制系统被连累,阻止熔炉被关停。 结果就是第一次遭遇生产系统“严重的物理损坏”;它将我们迅速带入给人类带来安全威胁的网络物理攻击新时代。
  • 2014年12月,一家领先的工业自动化系统提供商在油气管道内所用的远程终端装置控制器内加入一系列漏洞。 这些漏洞包括隐藏功能、认证旁路、和硬编码证书,可以远程利用设备。 尽管迄今尚未报告任何破坏活动,存在此类缺陷可能导致极其可怕的后果。

悲哀的是,这类安全事件的损失和频率都在与日俱增。 登录工业控制系统网络应急响应团队(ICS-CERT)网站 (https://icscert.us-cert.gov)了解警告、公告和报告的攻击事件的当前列表。

攻击数据

数据捕捉是当今具有竞争性的分析洞察武器,它可以改善和优化每个业务领域的流程。 对于制造商而言,投资数百万美元实现10%-20%的效率提升,这可非比寻常。 效率来自于数据驱动的决策,通过客户使用和需求、采购、供应链优化、生产制造工艺、预测规划等方面的洞察制定决策。

通过修改和暗中操纵数据,黑客可在不知不觉中劣化公司流程。 即使这些领域中最细微的数据操纵,都可能摧毁利润微薄的业务。

关于安全的谬见和误解

许多谬见和误解妨碍了工业自动化系统安全的发展。 最常见的谬见和误解包括:

  • “我们的OT系统安全无虞,因为我们的生产线不联网。” 这是很常见也很危险的误解。 从2010年以来,任何生产控制系统已经不大可能实现真正隔离了。 仅仅可以进入生产系统的一个用户登陆互联网,或者使用笔记本电脑或平板电脑连接系统,都会带来安全漏洞。 还记得伊朗核浓缩设施和德国炼钢厂吗? 无需赘述。
  • “我们运行的是有着20年历史的专用系统,不易受到现代攻击工具和技术的袭击。” 遗留专用系统易受攻击优势体现在通信和协议中,而不是系统本身。 通过隐藏实现安全已经不再可行。 从物质世界进入软件提供动力的虚拟/数据驱动世界带来了全新的安全挑战。 如果数据存在价值,那么黑客就会千方百计接近它。
  • “安全供应商提供的魔盒能够保护我们的运营技术,与防火墙和入侵探测系统保护IT系统的方式相同。” 并不存在保障整个联网ICS系统安全的良方。

安全部署模式

建立永久信任链

当前的客户端-服务器工业自动化系统已经迁移至edge-to-cloud架构,实现成本优化和灵活性。 他们仍然面临当今的互联世界所带来的安全挑战。 无论何种应用,确保安全始于建立设备、数据和系统之间的信任链。 信任系统内的所有内容必须经过认证和确认,确保每一点的互操作性和完整性值得信任。

当然,工业自动化系系统的可用性要求和遗留本质带来了挑战。 首要是保护ICS基础设施的现有投资。 因此,可行的安全模式必须可同时用于现有系统和新系统。 此外,安全是一个动态过程,因为安全需求、策略、和威胁探测方法随时间不断变化。 所以,可行的解决方案必须具有适应性和可以更新。

基本要求

嵌入的安全部署模式建立并确保信任的互操作性,这对于工业自动化互联性至关重要。 该模式有三个核心要求:

  • 硬体设备(嵌入安全保护的“东西”)
  • 安全通信(相互讨论的“东西”)
  • 安全监控和管理(对变化和事件的响应)

硬体设备

建立信任链始于确认设备身份。 之前确认设备身份的方法,比如使用IP和媒体访问控制(MAC)地址,并不值得信赖: IP地址经常变化,黑客很容易假冒,而MAC地址可以轻易重置。 所以,设备认证必须从物理层 — 硬件内的处理器开始。

设备强化可以使用可信执行技术,利用嵌入的安全协同处理器(设计用于在防止篡改的硬件空间内储存密匙的专用微处理器)。 这可以实现芯片本身执行加密操作,比如衡量启动进程、操作系统、虚拟机或应用程序内的信任水平。 该进程的一个主要方面就是精确测量代码、数据结构、配置、信息、或者任何可能载入内存的内容。 测量结果包括使用安全散列算法的密码散列,任何测量的代码、配置或数据被更改或破坏时,实现完整性校验和探测。 应用于磁盘上的软件,确定软件载入内存和执行之前是否已被篡改。

继续建立信任链并通过完整的软件堆栈进行验证,包括在启动进程中、整体系统内,甚至数据已加密并传输至云空间时。

考虑到工业自动化的广泛采用机器与机器通信,信任设备和数据的执行至关重要。 例如,信任设备可以对信任的工业控制传感器接收到的数据进行数字化签名。 如果黑客操纵数据,数据签名就不准确,并且被监控系统标记。 这种情况下,不信任的数据片段和产生这些数据片段的机器或传感器就被清除。

安全通信

信任的交易空间时允许授权商业通信的逻辑区域。 设备必须确保每个区域内的数据可信性和完整性。 两项嵌入式安全创新实现了过去和现在/未来的信任区域之间的通信:智能安全网关,用户可以安全集合、过滤并将数据从边缘分享到云;信任执行环境,可以在任何地方安全和可信地执行应用数据。

智能网关:连接过去和未来

这是工业自动化普遍存在遗留系统的一个原因:它们可行。 事实上,有些已经完善了数十年。 新类别的智能网关(有些只有2英寸x2英寸那么小)对于扩展遗留系统非常重要,可以将其连接至新一代的智能基础设施上。 这些网关物理隔离遗留系统、生产区和外部世界,限制工业自动化系统的攻击面。 网关可以保障一台设备或多台设备的安全,无需对设备进行任何形式的改变,是具有吸引力的初步安全解决方案,可以在环境内建立一致的安全水平。

同样地,任何硬体设备、安全网关必须安全启动,在网络上认证,然后代表背后的设备执行任何数量的安全和通信工作。 可以通过确认完整性计算、验证证书、应用密码学、建立可信通信链路,连接信任的交易空间。 网关还应包括管理网关所隶属的生产系统的协议,可以延长系统寿命,维修和更新时无需实地访问。

可信执行环境:无处不在的安全和隐私

可信执行环境阻止任何设备执行恶意代码,增强安全性。 它使用虚拟化和加密技术为只有批准设备可以访问的应用和数据创造安全空间。 这些环境是安全、可信的区域,保护数据不被篡改,使数据和应用对可能传输、存储、和加工敏感信息的第三方不可见。

即使在未知实体操作的虚拟机内,可信执行环境也可以确认数据真实性,创建之后证明完整性的数字化签名。 例如,Amazon Cloud等云服务提供商提供的工业自动化系统的生产数据,可以进行安全存储和加工,确保数据不会被秘密改动。

安全监控和管理

IT行业的一条古老格言:监控不了的东西,你就无法管理 有效监督分布式工业自动化系统要求通过企业管理控制台集中管理设备的能力,以及监控、收集和分析所有设备上的事件信息实现整个系统端到端态势感知的能力。

企业安全管理控制台

企业管理控制台允许IT人员管理复杂设置,整体查看高度分布化的环境。 管理控制台是IT远程提供、管理和更新设备上的软件的地方,以及确定和完善策略,并将这些策略推广到设备上。 例如,嵌入设备可能包括白名单策略,它确定适当的应用、数据、通信和其它允许设备执行的功能。

一家公司的企业管理控制台应该紧密集成安全信息和活动监控(SIEM)解决方案和其它安全模块。 提醒一句:供应商和安全管理组件之间的集成水平差异显著。 更高的集成水平可以大幅简化复杂度,加速精确的态势感知、缩短管理时间并减少费用。 另外,可扩展性也已成为SIEM和企业管理控制台的重要能力。

安全信息和事件监控

SIEM解决方案收集、合并、关联、评估接触工业自动化系统的所有托管设备的安全事件,并确定优先顺序。 SIEM通过基线趋势分析、异常检测和报警,结合所有事件的态势和情景感知。 行为能力有助于区分正常和异常运作模式,优化策略,尽量减少错误判断引起的报警和响应。 SIEM数据对于开展取证,进一步洞察安全事件和设备故障也至关重要。

建立生态系统

考虑到当今工业化自动系统的分布式和互联本质,实现端到端的安全需要众多供应商共同努力。 为了解决这一挑战,行业合作已经展开,生产和重要基础设施原始设备制造商(OEM)积极成立企业安全供应商协会,确保互操作性,设定开放标准,确定应用程序编程接口。 彻底安全地建造新系统和工业控制设备,设计采用安全技术,确保向后和向前兼容。

建议: 提示、秘诀和重要见解

企业各不相同 — 每家企业都有独特的安全基础设施、运营技术和流程。 有些企业在创建集中IT/OT安全解决方案方面已经取得重大进展,而其它企业还停在在初期。 无论位于哪一个阶段,下面是需要牢记的总方针。

  • 成立特别小组。 确保纳入IT和OT员工。 找出生产和工业系统控制组内的核心人员,让其参与简报和活动。 走访工厂或生产设施,与主管和一线人员交流。
  • 阶段性规划。 目标是合理时间范围内可以实现和可以衡量的核心职能。 比如,首先为设施内的主要设备或生产区域部署智能网关,将其作为事件监控、管理和策略完善的试点。
  • 挑选易相处、有能力的供应商。 潜在供应商是否是包括系统集成商、安全专家和生产OEM在内的已证实的生态系统的一部分? 考虑到安全工业自动化系统存在难以处理的复杂性,不存在单一供应商解决方案或技术良方。 安全是否其核心竞争力? 他们知否具有嵌入式安全和重要基础设施的专门技术? 最后,他们是否不仅仅是只能提供幻灯片演示或图纸(即,他们是否具有参考架构和客户参考文件,他们是否能够提供明确的架构设计和集成计划)?
  • 坚持可扩展性。 确定管理和监控技术可以扩展,能够处理潜在的并购活动,以及随着公司或公用事业发展壮大随之而来的联网设备和有关安全事件大幅增加所面临的问题。

继续,考虑如何使用核心理念将更高水平的嵌入安全、安全通信和易处理性集成到工业自动化系统中。 毕竟,现在,没人绝对安全。

快速回顾

  • 互联工业自动化系统面临新的安全挑战,比如非法入侵、工业间谍和蓄意破坏。
  • 保障系统安全要求跨越所有设备、数据和系统的信任链。
  • 架构要求包括硬体设备、安全通信、以及一致的安全监控和管理。

通过数据操纵实现恶意接管。 假想案例

这是一个残酷的世界。 不道德的企业将采用一切手段改善企业自身前景,伤害竞争对手,包括非法入侵、工业间谍和蓄意破坏。

思考一个理论案例:一家大型化工集团想要接管一个不想被收购的竞争对手。 通过非法侵入竞争对手的生产系统,操纵库存订单,或细微改动材料规范,就可以对产品质量造成不利影响。 此举造成客户满意度下降,销量减少,盈利下滑,很可能从未被发现。 结果就是股东不满意,为收购方创造收购机会和有利的收购价格。

工业自动化系统尤其容易受到这种攻击趋势的影响,因为很多这种系统现在都已联网,但是缺乏足够保护。 而且,考虑到自动化系统的广泛性,很多日常决策都通过机器-机器交互完成,缺乏适当的安全考量,使其难以跟踪。

尽管网络战争明显是道德败坏的商业决策,但是其经济价值却难以争论。

通过修改和暗中操纵数据,黑客可在不知不觉中劣化公司流程。

两项嵌入式安全创新实现过去和现在/未来之间的可信区域之间的通信:智能安全网关。 . . 和可信执行环境。

资源

ISA99

www.isa.org/isa99

ISA安全合规协会

www.isasecure.org

关于作者

Sven Schrecker (sven_schrecker@mcafee. com)是英特尔安全(Intel Security)的 loT安全解决方案集团的首席架构师。 他担任工业互联网联盟安全工作组的联合主席,致力于实现跨越现有(棕色地带)和新(绿色地带)技术的端到端安全的开放型标准平台。

敬请访问www.isa.org/intech/20150401,阅读在线版本。

版权所有 国际自动化协会 2015年3月/4月

本文由来自InTech的Sven Schrecker所著,并通过了NewsCred出版商网络的合法授权。