公平地說,運營技術 (OT) 和工業控制系統 (ICS) 的網絡安全遠遠落后于企業 IT 的網絡安全。然而,向工業物聯網 (IIoT) 邁進意味著縮小這一差距并保護制造流程以及能源、健康和交通等關鍵基礎設施現在至關重要。
隨著連接性的增加和單個組件連接到網絡(允許遠程監控、軟件更新、更好的數據分析以及來自此類系統的自動化),攻擊面顯著增加,防止網絡攻擊的需求成為業務當務之急。這不僅適用于關鍵基礎設施,例如2013/14 年俄羅斯蜻蜓攻擊,而且全面而言,例如臺積電 2018 年由 WannaCry 惡意軟件變種導致的關閉。
僅就制造業而言,Verizon 最新的數據泄露調查報告在過去一年中記錄了 200 多起基于間諜活動的安全漏洞和 700 多起出于經濟動機的攻擊。
行業標準的制定、協議和認證在保護此類系統方面發揮著關鍵作用。
工業物聯網的演變
OT 中的網絡安全之所以滯后,主要是因為許多遺留系統是為非連接世界創建的。雖然事件甚至發生在 80 年代——參見1982 年報道的中央情報局對蘇聯天然氣基礎設施的攻擊——機會更少,黑客更難實施。
事實上,直到世紀之交,當以太網被引入時,OT 系統才變得更加廣泛連接。因此,今天仍在使用的許多單獨組件從未針對 TCP/IP 連接的含義進行設計,某些連接工業電子設備的通信協議(例如 Modbus)也沒有設計。
此外,許多運行此類系統的組織希望從孤立的 OT 模型轉變為更加互聯的 IT 甚至 IIoT 模型,以此作為更有效地使用數據的一種方式。要使用舊設備做到這一點,并將數據從工廠的一側移動到另一側,必須打開防火墻端口和針孔,從而增加攻擊面。
就其本質而言,OT 系統是分層的,安全標準通常反映了Purdue 模型,其中網絡分為功能層:從 0 級(傳感器和執行器)到 OT 環境,再到最高級別 5 級,公司的企業IT網絡。數據流經這些級別以提供有關工廠的數據,并為 ICS 提供業務環境以調整性能或設置交付計劃。
普渡模型(來源:物聯網安全基金會)
該模型也非常適合 IIoT 設備;可以說,每個物聯網設備都是“盒子里的普渡模型”,帶有傳感器、處理器和與企業網絡的連接。但是,對于智能城市中使用的遠程監控設備,系統不只是連接到企業網絡,而是直接連接到云,如果你愿意的話,可以達到 6 級。這使它們更接近于互聯網傳播的威脅。
安全標準、指南、法規
隨著互聯網對我們的經濟和社會福祉變得越來越重要,創新在整個價值鏈中盛行,需要標準和法規來保護所有利益相關者免受意外后果和惡意意圖的影響。
我們不再處在一個遵循預先定義的 M2M 模型的世界中,其中只有一個(或極少數)供應商的已知設備構成系統,并且每個元素都可以信任。這種舊模型意味著可以專門為供應商實施專有協議:例如,ABB 或霍尼韋爾,它們各有不同,有時甚至會產生矛盾。
轉向 IIoT 系統改變了這一點。不僅設備來自多個供應商,傳感器還連接到 LoRa 或 5G 等廣域網 (WAN),并位于遠程。因此,需要在整個生態系統中使用和采用標準。
正如已經指出的那樣,“標準的偉大之處在于有這么多可供選擇”,但有這么多標準制定機構,難怪TüV Reinland 的 2019 年網絡安全趨勢報告警告說:“工業物聯網面臨重大標準挑戰。”
這里值得一提的包括美國國家標準與技術研究院 (NIST) 的通用標準 SP 800-82 和 ISA/IEC 62443,以及來自政府組織的若干行業特定標準和指南。還有來自 ABB、通用電氣和西門子等主要參與者的供應商特定標準。
還值得注意的是,沒有標準可以從傳感器一直延伸到云端。此外,傳統上,標準之間存在一些沖突和矛盾,導致不兼容和/或不合規。然而,這在 OT/IIoT 領域變得越來越少,我們通常會在這些領域看到融合。即使是特定于供應商的協議現在也參考了更廣泛的標準,例如 SP 800-82,尤其是 ISA/IEC 62443。
SP 800-82
SP 800-82 始于 15 年前,作為 NIST 的 ICS 和監督控制和數據采集 (SCADA) 系統網絡安全標準。
它專門解決 ICS 威脅和漏洞,以及風險管理、推薦實踐、架構和工具。每次更新都變得更加全面,例如,為低、中和高影響的 ICS 設備添加了量身定制的安全基線。
NIST 還在解決中型公司對 ICS 安全性的擔憂,并已開始擴大機器人、智能交通和化學加工等領域的測試平臺。
ISA/IEC 62443
具有國際性,適用于 ICS 用戶而不僅僅是供應商,這可能是最突出的 ICS 網絡安全系列標準。
創建這些規范是為了比 SP 800-82 更具體地針對工業控制用例。它們提供了一個靈活的框架來減輕當前和未來工業自動化和控制系統的安全漏洞。
與 SP 800-82 一樣,它們旨在防止對公眾和員工造成危險、喪失公眾信心、違反監管要求、IP 盜竊、經濟損失和國家安全攻擊,并已成為許多行業特定標準的基礎.
與普渡模型相匹配,它們是分層的,分為四個層次:一般、政策和程序、系統和組件。尚未全部發布,但有四個特別值得強調:62443-2-4(系統集成政策);62443-4-1(安全開發生命周期的要求);62443-4-2(組件安全規范);和 62443-3-3(安全要求和級別)。
這些標準很詳細,代表了整個工業控制部門的要求。概述了每個級別的安全要求,以保護正常運行時間、知識產權和安全,并對 IIoT 生態系統中的每個利益相關者有明確的期望。各個供應商的指導方針和行業特定標準(用于能源生產)現在通常基于 62443,翻譯相關小節以適應該行業的語言和協議。
聯合國歐洲經濟委員會的網絡安全通用監管框架已整合 ISA/IEC 62443,美國 NIST SP 800-82 已與之保持一致。
還值得注意的是,該標準因訪問成本高而受到批評,這可能會阻止或減緩公司實施最佳實踐的速度。
行業特定標準
如前所述,為保護電力網絡等關鍵基礎設施而制定了許多行業特定標準。例如,美國能源部與美國網絡安全和基礎設施安全局 (CISA) 合作開發了基于 ISA/IEC 62443 的標準。該組織熱衷于強調最佳實踐,已在信息圖中發布了其建議。
這些也符合英國國家網絡安全中心制定的能源基礎設施指南。
雖然標準經常重疊,但仍有解釋和實施的空間。我們如何確保每個人都選擇以一致的方式解釋它們,以及我們如何衡量合規程度?當每個傳感器和每個控制系統都不同時,就會有認證系統。
雖然政府現在要求關鍵基礎設施必須滿足一定的安全級別,但安全漏洞主要集中在薄弱環節。在購買 IIoT 設備時,詢問供應商是否對設備進行了充分的滲透測試,以及它是否滿足與其他供應商同等水平的所有要求。
以能源為例:如何確保所有加入網絡的智能電表的可信度?為此,我們必須建立信任,然后通過這些通用標準強制執行。
部分原因正在發生變化:美國國防部今年宣布了網絡安全成熟度模型認證計劃。網絡安全從作為任何采購周期的第四個支柱——連同成本、進度和性能——轉變為基礎。此外,第三方評估現在是強制性的。
成本是安全的敵人,對這些系統進行全面認證的成本非常高。再加上缺乏認證機構,很容易理解為什么許多部門仍在使用自我認證。
因為沒有一刀切的方法,標準仍然必須針對單個組織進行情境化。讓專家能夠確定組織的運營和戰略背景背景,然后應用這些最佳實踐是至關重要的。然而,技能嚴重短缺。
零信任,轉向 IIoT、云、邊緣計算
基礎設施的管理方式發生了重大變化。傳感器現在位于遠程并通過 WAN 進行通信,這使得隔離其中一些功能變得更加困難,包括控制和分析功能。
Covid-19 大流行以及為家庭工作人員提供遠程訪問監控系統的需求只會加速這一趨勢。這也增加了加強安全的緊迫性。
這需要超越 ISA/IEC 62443 和 NIST SP 800-82 來更具體地解決 IIoT 及其在工業環境中引入云和邊緣計算的問題。
從歷史上看,OT 安全依賴于隱式信任,基于假定的可信網絡。系統不再基于單一或幾乎單一的供應商模型。隨著來自多個供應商的 IIoT 設備數量的增加,隱含的信任是不夠的。我們需要“零信任”網絡,確保設備關系和安全狀態,并強化設備以抵御不受信任的環境。事實上,這是物聯網安全基金會智能建筑工作組的重點。
IT 已經朝著這個方向發展。IIoT 世界也應該如此。事實上,供應商和標準機構一直在研究設備的自動部署配置:例如,英特爾及其Secure Device Onboarding現已提交給 FIDO 聯盟。
這在現實世界(例如智能城市部署)中意味著,傳感器安裝將成為即插即用,設備知道要聯系的來源,從而與基礎設施的其他部分建立信任關系。
這將通過邊緣計算和人工智能部署加速,因此傳感器、執行器和控制系統將變得更加智能:當它們收集數據時,它們還可以檢查其有效性。
我們從安全可靠的芯片、軟件和基于云的管理系統開始,它們的通信同樣安全可靠。結果是強大的基礎設施。但這也意味著必須建立標準和認證。
增加的連接性意味著增加的脆弱性,而防火墻不是答案。它們創造了一種虛假的安全感,并沒有真正保護關鍵系統。在這樣一個世界中,我們都可以在確保連接安全方面發揮作用。對于那些希望從擁有更智能的 IIoT 系統中受益的人,請記住這些明智的話:“如果它不安全,它就不是智能的。”
–John Moor 是物聯網安全基金會的常務董事。本文是與 Paul Dorey 教授(CSO 機密)、Pam Gupta(OutSecure)、Paul Kearney 教授(伯明翰城市大學)、Nirmal Misra(設備管理局)和 Haydn Povey(Secure Thingz)合作編寫的。
網站客服
粵公網安備 44030402000946號