公平地说,运营技术 (OT) 和工业控制系统 (ICS) 的网络安全远远落后于企业 IT 的网络安全。然而,向工业物联网 (IIoT) 迈进意味着缩小这一差距并保护制造流程以及能源、健康和交通等关键基础设施现在至关重要。
随着连接性的增加和单个组件连接到网络(允许远程监控、软件更新、更好的数据分析以及来自此类系统的自动化),攻击面显着增加,防止网络攻击的需求成为业务当务之急。这不仅适用于关键基础设施,例如2013/14 年俄罗斯蜻蜓攻击,而且全面而言,例如台积电 2018 年由 WannaCry 恶意软件变种导致的关闭。
仅就制造业而言,Verizon 最新的数据泄露调查报告在过去一年中记录了 200 多起基于间谍活动的安全漏洞和 700 多起出于经济动机的攻击。
行业标准的制定、协议和认证在保护此类系统方面发挥着关键作用。
工业物联网的演变
OT 中的网络安全之所以滞后,主要是因为许多遗留系统是为非连接世界创建的。虽然事件甚至发生在 80 年代——参见1982 年报道的中央情报局对苏联天然气基础设施的攻击——机会更少,黑客更难实施。
事实上,直到世纪之交,当以太网被引入时,OT 系统才变得更加广泛连接。因此,今天仍在使用的许多单独组件从未针对 TCP/IP 连接的含义进行设计,某些连接工业电子设备的通信协议(例如 Modbus)也没有设计。
此外,许多运行此类系统的组织希望从孤立的 OT 模型转变为更加互联的 IT 甚至 IIoT 模型,以此作为更有效地使用数据的一种方式。要使用旧设备做到这一点,并将数据从工厂的一侧移动到另一侧,必须打开防火墙端口和针孔,从而增加攻击面。
就其本质而言,OT 系统是分层的,安全标准通常反映了Purdue 模型,其中网络分为功能层:从 0 级(传感器和执行器)到 OT 环境,再到最高级别 5 级,公司的企业IT网络。数据流经这些级别以提供有关工厂的数据,并为 ICS 提供业务环境以调整性能或设置交付计划。
普渡模型(来源:物联网安全基金会)
该模型也非常适合 IIoT 设备;可以说,每个物联网设备都是“盒子里的普渡模型”,带有传感器、处理器和与企业网络的连接。但是,对于智能城市中使用的远程监控设备,系统不只是连接到企业网络,而是直接连接到云,如果你愿意的话,可以达到 6 级。这使它们更接近于互联网传播的威胁。
安全标准、指南、法规
随着互联网对我们的经济和社会福祉变得越来越重要,创新在整个价值链中盛行,需要标准和法规来保护所有利益相关者免受意外后果和恶意意图的影响。
我们不再处在一个遵循预先定义的 M2M 模型的世界中,其中只有一个(或极少数)供应商的已知设备构成系统,并且每个元素都可以信任。这种旧模型意味着可以专门为供应商实施专有协议:例如,ABB 或霍尼韦尔,它们各有不同,有时甚至会产生矛盾。
转向 IIoT 系统改变了这一点。不仅设备来自多个供应商,传感器还连接到 LoRa 或 5G 等广域网 (WAN),并位于远程。因此,需要在整个生态系统中使用和采用标准。
正如已经指出的那样,“标准的伟大之处在于有这么多可供选择”,但有这么多标准制定机构,难怪TÜV Reinland 的 2019 年网络安全趋势报告警告说:“工业物联网面临重大标准挑战。”
这里值得一提的包括美国国家标准与技术研究院 (NIST) 的通用标准 SP 800-82 和 ISA/IEC 62443,以及来自政府组织的若干行业特定标准和指南。还有来自 ABB、通用电气和西门子等主要参与者的供应商特定标准。
还值得注意的是,没有标准可以从传感器一直延伸到云端。此外,传统上,标准之间存在一些冲突和矛盾,导致不兼容和/或不合规。然而,这在 OT/IIoT 领域变得越来越少,我们通常会在这些领域看到融合。即使是特定于供应商的协议现在也参考了更广泛的标准,例如 SP 800-82,尤其是 ISA/IEC 62443。
SP 800-82
SP 800-82 始于 15 年前,作为 NIST 的 ICS 和监督控制和数据采集 (SCADA) 系统网络安全标准。
它专门解决 ICS 威胁和漏洞,以及风险管理、推荐实践、架构和工具。每次更新都变得更加全面,例如,为低、中和高影响的 ICS 设备添加了量身定制的安全基线。
NIST 还在解决中型公司对 ICS 安全性的担忧,并已开始扩大机器人、智能交通和化学加工等领域的测试平台。
ISA/IEC 62443
具有国际性,适用于 ICS 用户而不仅仅是供应商,这可能是最突出的 ICS 网络安全系列标准。
创建这些规范是为了比 SP 800-82 更具体地针对工业控制用例。它们提供了一个灵活的框架来减轻当前和未来工业自动化和控制系统的安全漏洞。
与 SP 800-82 一样,它们旨在防止对公众和员工造成危险、丧失公众信心、违反监管要求、IP 盗窃、经济损失和国家安全攻击,并已成为许多行业特定标准的基础.
与普渡模型相匹配,它们是分层的,分为四个层次:一般、政策和程序、系统和组件。尚未全部发布,但有四个特别值得强调:62443-2-4(系统集成政策);62443-4-1(安全开发生命周期的要求);62443-4-2(组件安全规范);和 62443-3-3(安全要求和级别)。
这些标准很详细,代表了整个工业控制部门的要求。概述了每个级别的安全要求,以保护正常运行时间、知识产权和安全,并对 IIoT 生态系统中的每个利益相关者有明确的期望。各个供应商的指导方针和行业特定标准(用于能源生产)现在通常基于 62443,翻译相关小节以适应该行业的语言和协议。
联合国欧洲经济委员会的网络安全通用监管框架已整合 ISA/IEC 62443,美国 NIST SP 800-82 已与之保持一致。
还值得注意的是,该标准因访问成本高而受到批评,这可能会阻止或减缓公司实施最佳实践的速度。
行业特定标准
如前所述,为保护电力网络等关键基础设施而制定了许多行业特定标准。例如,美国能源部与美国网络安全和基础设施安全局 (CISA) 合作开发了基于 ISA/IEC 62443 的标准。该组织热衷于强调最佳实践,已在信息图中发布了其建议。
这些也符合英国国家网络安全中心制定的能源基础设施指南。
虽然标准经常重叠,但仍有解释和实施的空间。我们如何确保每个人都选择以一致的方式解释它们,以及我们如何衡量合规程度?当每个传感器和每个控制系统都不同时,就会有认证系统。
虽然政府现在要求关键基础设施必须满足一定的安全级别,但安全漏洞主要集中在薄弱环节。在购买 IIoT 设备时,询问供应商是否对设备进行了充分的渗透测试,以及它是否满足与其他供应商同等水平的所有要求。
以能源为例:如何确保所有加入网络的智能电表的可信度?为此,我们必须建立信任,然后通过这些通用标准强制执行。
部分原因正在发生变化:美国国防部今年宣布了网络安全成熟度模型认证计划。网络安全从作为任何采购周期的第四个支柱——连同成本、进度和性能——转变为基础。此外,第三方评估现在是强制性的。
成本是安全的敌人,对这些系统进行全面认证的成本非常高。再加上缺乏认证机构,很容易理解为什么许多部门仍在使用自我认证。
因为没有一刀切的方法,标准仍然必须针对单个组织进行情境化。让专家能够确定组织的运营和战略背景背景,然后应用这些最佳实践是至关重要的。然而,技能严重短缺。
零信任,转向 IIoT、云、边缘计算
基础设施的管理方式发生了重大变化。传感器现在位于远程并通过 WAN 进行通信,这使得隔离其中一些功能变得更加困难,包括控制和分析功能。
Covid-19 大流行以及为家庭工作人员提供远程访问监控系统的需求只会加速这一趋势。这也增加了加强安全的紧迫性。
这需要超越 ISA/IEC 62443 和 NIST SP 800-82 来更具体地解决 IIoT 及其在工业环境中引入云和边缘计算的问题。
从历史上看,OT 安全依赖于隐式信任,基于假定的可信网络。系统不再基于单一或几乎单一的供应商模型。随着来自多个供应商的 IIoT 设备数量的增加,隐含的信任是不够的。我们需要“零信任”网络,确保设备关系和安全状态,并强化设备以抵御不受信任的环境。事实上,这是物联网安全基金会智能建筑工作组的重点。
IT 已经朝着这个方向发展。IIoT 世界也应该如此。事实上,供应商和标准机构一直在研究设备的自动部署配置:例如,英特尔及其Secure Device Onboarding现已提交给 FIDO 联盟。
这在现实世界(例如智能城市部署)中意味着,传感器安装将成为即插即用,设备知道要联系的来源,从而与基础设施的其他部分建立信任关系。
这将通过边缘计算和人工智能部署加速,因此传感器、执行器和控制系统将变得更加智能:当它们收集数据时,它们还可以检查其有效性。
我们从安全可靠的芯片、软件和基于云的管理系统开始,它们的通信同样安全可靠。结果是强大的基础设施。但这也意味着必须建立标准和认证。
增加的连接性意味着增加的脆弱性,而防火墙不是答案。它们创造了一种虚假的安全感,并没有真正保护关键系统。在这样一个世界中,我们都可以在确保连接安全方面发挥作用。对于那些希望从拥有更智能的 IIoT 系统中受益的人,请记住这些明智的话:“如果它不安全,它就不是智能的。”
–John Moor 是物联网安全基金会的常务董事。本文是与 Paul Dorey 教授(CSO 机密)、Pam Gupta(OutSecure)、Paul Kearney 教授(伯明翰城市大学)、Nirmal Misra(设备管理局)和 Haydn Povey(Secure Thingz)合作编写的。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)