Security Talks Episode 6: Smart Factory Cybersecurity Tips From Ninad, B&R Industrial Automation安全講座：Ninad 的智慧工廠網路安全提示

工業自動化的歷史讓我著迷。持續的創新和新技術使起源於工業時代的製造流程，直接進入資訊時代。正如生產力似乎達到頂峰一樣，網路幫助將生產力和效率提高到了以前無法想像的水準。

不幸的是，隨著工業自動化席捲當今數據驅動、網路連接的世界，它在沒有離開加速器的情況下超越了數位安全。

歡迎來到數位時代，在某些虛擬環境中的匿名駭客，可以將扳手插入工業自動化系統。我們如何在滿足企業利益相關者需求的同時保護這些系統？營運技術 (OT) 團隊仍然需要高彈性和可用性。資訊技術 (IT) 團隊需要互連性、企業安全性和合規性。這兩個團隊都必須適應新的孩子：需要即時數據捕獲、共享和分析業務中每個決策的數據分析師。本文討論了工業自動化系統安全的現狀，改進它的技術和組織挑戰，以及將端到端信任和安全嵌入工業控制系統 (ICS) 和監督控制與數據採集 (SCADA) 系統的動態模型。

犯罪和衝突有一個新的地址

對 SCADA 和 ICS 系統的實體入侵和攻擊，在很大程度上是 20 世紀的現象。如今，絕大多數攻擊都是由資源充足、積極性高的攻擊者實施的，這些攻擊者通常是為其他大陸的網路犯罪集團工作的優秀軟體工程師。商業競爭對手和民族國家是最新的網路戰參與者，因為戰場已經擴大到包括製造設施、娛樂公司和關鍵基礎設施。以下是一些值得注意的例子：

· 對工業自動化系統最臭名昭著的攻擊發生在 2010 年，當時 Stuxnet 電腦蠕蟲，攻擊了伊朗核濃縮設施內的工業可編程邏輯控制器，巧妙地操縱了離心機單元的反饋數據。這被認為是一個民族國家進行的首批攻擊之一，儘管攻擊的來源從未被權威地確定。
· 2014 年 12 月，一家德國聯邦機構證實，一家德國鋼鐵廠成為惡意電子郵件的攻擊目標，該電子郵件允許駭客進入生產網路。該工廠的控制系統受到損害，導致熔爐無法關閉。結果是生產系統第一次經歷了「巨大的實體損壞」；它將我們帶入了對人類安全構成威脅的網路實體攻擊的新時代。
· 2014 年 12 月，一家領先的工業自動化系統供應商，修補了其用於石油和天然氣管道的遠端終端單元控制器的一系列缺陷。這些漏洞包括隱藏功能、身份驗證繞過和硬編碼憑據，這可能允許遠端利用設備。儘管迄今為止尚未報告任何違規行為，但此類漏洞的存在可能會導致極其可怕的後果。

可悲的是，這些類型的安全事件在損害和頻率方面都在不斷增加。有關警報、建議和報告的攻擊的最新列表，請訪問工業控制系統網路應急響應小組(ICS-CERT) 網站。

攻擊數據

數據捕獲和分析是當今的競爭武器 —— 生成分析洞察力，從而改進和優化每個業務領域的流程。製造商投資數億美元以實現 10% 到 20% 的效率提升的情況並不少見。效率來自數據驅動的決策，這些決策是透過從客戶使用和需求、採購、供應鏈優化、製造生產流程、預測計劃等方面，獲得的洞察力而獲得的。透過駭客攻擊和巧妙地操縱數據，攻擊者可以在任何人都不知道的情況下，對公司的流程進行反優化。即使是這些領域中最微妙的數據操作，也會削弱利潤微薄的企業。

安全神話和誤解

許多神話和誤解阻礙了工業自動化系統安全的發展。最常見的包括：

· 「我們的 OT 系統仍然是安全的氣隙，因為我們的生產線沒有連接到網路。」這是一個流行且非常危險的誤解。自 2010 年以來，任何製造控制系統都不太可能真正孤立。只有一個用戶可以在登錄到 Internet 時訪問生產系統，或者使用筆記型電腦或平板電腦連接到系統，就會產生安全漏洞。還記得伊朗核濃縮設施和德國鋼鐵廠嗎？說夠了。
· 「我們正在運行一個擁有 20 年歷史的專有系統，該系統不易受到現代攻擊工具和技術的攻擊。」遺留專有系統中的漏洞，有時存在於通信和協議中，而不僅僅是系統本身。透過默默無聞的安全不再起作用。從實體世界轉移到由軟體驅動的虛擬/數據驅動世界，帶來了全新的安全挑戰。如果數據有價值，駭客就會想辦法訪問它。
· 「安全供應商將提供一個神奇的盒子，它可以保護我們的操作技術，就像防火牆和入侵檢測系統，保護我們的 IT 系統一樣。」沒有什麼靈丹妙藥可以保證整個連接網路的 ICS 系統的安全性。

安全佈署模型

建立永久信任鏈

當前的客戶端 - 伺服器工業自動化系統已轉向邊緣到雲端架構，以提高成本和靈活性。他們面臨著當今互聯世界帶來的安全挑戰。無論應用如何，確保安全首先要在設備、數據和系統之間建立信任鏈。可信系統中的所有內容，都必須經過身份驗證和驗證，以確保每個點的可信互操作性和完整性。當然，可用性要求和工業自動化系統的遺留特性增加了挑戰。保留對 ICS 基礎設施的現有投資非常重要。因此，可行的安全模型必須適用於現有系統和新系統。此外，安全是一個動態過程，因為安全需求、策略和威脅檢測方法，會隨著時間而變化。所以，任何可行的解決方案都必須具有適應性和可更新性。

基本要求

嵌入式安全佈署模型建立，並確保了對工業自動化互連非常重要的可信互操作性。該模型具有三個核心要求：

強化設備（嵌入式安全保護「事物」）
安全通信（「事物」需要相互通信）
安全監控和管理（響應變化和事件）

硬化裝置

建立信任鏈始於驗證設備的身份。以前驗證設備身份的方法（例如使用 IP 和媒介訪問控制 (MAC) 地址）是不可信的：IP 地址會定期更改，很容易被駭客欺騙，而 MAC 地址可以很容易地重置。因此，設備身份驗證必須從實體級別開始 —— 硬體中的處理器。設備強化可以使用受信任的執行技術，該技術利用嵌入式安全協處理器（專用微處理器，目的在將加密密鑰儲存在防篡改硬體容器中）。

這允許晶片本身執行加密操作，例如測量引導過程、操作系統、虛擬機或應用 app 中的信任級別。這個過程的一個關鍵方面是精確測量代碼、數據結構、配置、資訊或任何可以加載到內存中的東西。測量包括使用安全散列算法的加密散列，如果任何測量的代碼、配置或數據被更改或損壞，該算法允許完整性驗證和檢測。

這適用於駐留在磁碟上的軟體，以確定在將軟體加載到內建記憶體，並執行之前它是否已被篡改。信任鏈將繼續透過完整的軟體堆棧建立和驗證，包括在啟動過程中，以及在整個系統中 —— 即使數據被加密並傳輸到雲端中。鑑於推動工業自動化的機器對機器通信的普及，可信設備和數據的執行非常重要。例如，受信任的設備可以對受信任的工業控制感測器接收到的數據進行數位簽名。如果駭客操縱數據，數據簽名將不準確並被監控系統標記。在這種情況下，不可信的數據及其起源的機器或感測器將是清晰的。

安全通信

可信事務空間，是允許授權業務通信的邏輯區域。設備必須確保每個區域內數據的信任和完整性。兩項嵌入式安全創新，允許在過去和現在/未來的可信區域之間進行通信：智慧安全 Gateway，使用戶能夠安全地聚合、過濾和共享從邊緣到雲端的數據；和可信的執行環境，允許在任何地方安全和可信地執行應用數據。

智慧閘道器：連接過去與未來

遺留系統在工業自動化中如此流行是有原因的：它們可以工作。事實上，有些已經改進了幾十年。新型智慧 Gateway（一些小至兩英寸乘兩英寸）對於透過將遺留系統，連接到下一代智慧基礎設施來擴展它們非常重要。這些閘道器（Gateway）在實體上將遺留系統、生產區和外部世界分開，限制了工業自動化系統的攻擊面。

Gateway 可以保護一個或多個設備，而無需以任何方式修改設備，使其成為一種有吸引力的初始安全解決方案，可以在環境中創建一致的安全級別。與任何加固設備一樣，安全 Gateway 必須安全啟動、在網路上進行身份驗證，然後代表其後面的設備執行任意數量的安全和通信任務。它們可以透過驗證完整性計算、驗證證書、應用密碼學和建立可信通信鏈接，來提供鏈接可信交易空間。Gateway 還可以包括管理它們所連接的生產系統的協議，這可以延長這些系統的壽命，允許在沒有實體現場訪問的情況下，進行維修和更新。

可信執行環境：隨時隨地的安全和隱私

可信執行環境，透過防止任何設備執行惡意代碼來增強安全性。它使用虛擬化和加密技術為只有經過批准的設備，才能訪問的應用和數據創建安全容器。這些環境是安全、受信任的區域，可確保數據的防篡改保護，使可能傳輸、儲存和處理敏感資訊的第三方無法看到數據和應用。

即使在由未知實體操作的虛擬機中，受信任的執行環境也可以驗證數據的真實性，並創建數位簽名以在以後證明其完整性。例如，來自雲端服務提供商（如亞馬遜雲）儲存和流程的工業自動化系統的生產數據可以安全地維護，以確保數據沒有被秘密更改。

安全監控與管理

IT 中有一條古老的公理：你無法管理無法監控的內容。分佈式工業自動化系統的有效監督需要能夠透過企業管理控制台集中管理設備，以及監控、收集和分析所有設備上的事件資訊，以實現整個系統的端到端態勢感知的能力。

企業安全管理控制台

企業管理控制台允許 IT 員工管理複雜性，並具有高度分佈式環境的全球可見性。管理控制台是 IT 遠端配置、管理和更新設備上的軟體，以及定義和優化策略，並將這些策略推送到設備的地方。例如，嵌入式設備可能包括白名單策略，這些策略定義了適當的應用、數據、通信和允許設備執行的其他功能。

公司的企業管理控制台，應與其安全資訊和事件監控 (SIEM) 解決方案，以及其他安全模組緊密整合。這裡要注意一點：供應商和安全管理組件之間的整合級別差異很大。更高級別的整合可以大大簡化複雜性，加速準確的態勢感知，並減少管理時間和費用。此外，可擴展性成為 SIEM 和企業管理控制台的關鍵能力。

安全資訊和事件監控

SIEM 解決方案，從涉及工業自動化系統的所有受管設備收集、整合、關聯、評估和確定安全事件的優先級。SIEM 透過基線趨勢、異常檢測和警報過程，將所有事件的情境和上下關聯感知結合起來。行為能力有助於區分正常和異常操作模式，並改進策略以最大限度地減少誤報警報和反應。SIEM 數據對於進行取證，以更深入地了解安全事件或設備故障也至關重要。

建構生態系統

鑑於當今工業自動化系統的分佈式、互連性質，實現端到端安全性必須是多供應商的努力。為了應對這一挑戰，行業合作正在進行中，因為製造和關鍵基礎設施原始設備製造商 (OEM) ，正積極與企業安全供應商結成聯盟，以確保互操作性、設置開放標準，並定義應用編程介面。新系統和工業控制設備，正在從頭開始安全建構，並採用確保向後和向前相容性的安全技術進行設計。

忠告：提示、技巧和批判性見解

沒有兩家企業是相同的 —— 每家企業都有獨特的安全基礎設施、營運技術和流程。一些在創建融合 IT/OT 安全解決方案方面，取得了相當大的進展，而另一些則處於早期階段。無論組織位於此連續體中的哪個位置，都需要牢記以下一些一般準則。

· 成立專案組。確保它包括 IT 和 OT 員工。在你的製造和工業系統控制組中尋找關鍵參與者，並將他們包括在簡報和活動中。參觀工廠或製造設施，並與主管和一線人員交談。
· 分階段計劃。目標是在合理的時間範圍內，可實現和可衡量的核心功能。例如，首先在一個設施的關鍵設備或生產區佈署智慧 Gateway，然後將該場景用作事件監控、管理和策略改進的試點。
· 選擇與他人合作良好的有能力的供應商。潛在供應商是否是經過驗證的生態系統的一部分，包括系統整合商、安全專家和製造 OEM？鑑於保護工業自動化系統的巨大復雜性，沒有單一供應商解決方案或技術靈丹妙藥之類的東西。安全是他們的核心競爭力嗎？他們是否具備嵌入式安全和關鍵基礎設施方面的專業知識？最後，他們能否提供比幻燈片或願景文件更多的東西（即，他們是否有參考架構和客戶參考，他們能否提供清晰的架構設計和整合計劃）？
· 堅持可擴展性。使某些管理和監控技術規模化，以處理潛在的併購活動，以及隨著公司或公用事業的發展，網路連接設備和相關安全事件肯定會急劇增加。

展望未來，考慮如何使用這些核心概念在工業自動化系統中，建構更高級別的嵌入式安全性、安全通信和可管理性。畢竟，這些天，沒有人可以太安全。

透過數據操作進行的惡意收購：一個假設的例子外面的世界很艱難。不道德的玩家會不擇手段地透過傷害競爭對手，來改善自己的前景 —— 包括駭客攻擊、工業間諜活動和破壞活動。考慮這個理論上的例子：一家大型化工集團想要收購一個不想被收購的競爭對手。

透過入侵競爭對手的生產系統、操縱庫存訂單或稍微改變材料規格，可能會對產品品質產生負面影響。這可能會降低客戶滿意度，降低銷售額並降低盈利能力，而這可能不會被發現。由此產生的股東不滿，可能會產生收購機會和有利的收購價格。工業自動化系統特別容易受到這種攻擊趨勢的影響，因為這些系統中的許多現在都連接到網路而沒有足夠的保護。

而且，鑑於自動化系統的普及，許多日常決策都是通過機器對機器的交互做出的，如果沒有適當的安全考慮，它們很難追踪。儘管網絡戰顯然是一個道德破產的商業決策，但很難討論其經濟價值。

ISA 提供基於標準的工業網路安全培訓、證書計劃、合格評定計劃和技術資源。請訪問以下 ISA 鏈接了解更多資訊：

關於作者
Sven Schrecker 是 Intel Security 物聯網安全解決方案事業部的首席架構師。他是工業網路聯盟安全工作組的聯合主席，負責開發基於標準的開放平台，以實現跨現有（棕地）和新（綠地）技術的端到端安全