0
  • 聊天消息
  • 系統(tǒng)消息
  • 評(píng)論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會(huì)員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

解決不斷增長(zhǎng)的IIoT網(wǎng)絡(luò)中的安全漏洞

星星科技指導(dǎo)員 ? 來源:embedded ? 作者:Joppe Bos ? 2023-05-05 09:21 ? 次閱讀

工業(yè)物聯(lián)網(wǎng) (IIoT) 的核心是提供始終在線的過程數(shù)據(jù)收集、分析功能云和充滿可操作見解的儀表板。通過訪問此類信息,團(tuán)隊(duì)可以提高效率和產(chǎn)品質(zhì)量,加快決策速度,并減少設(shè)備停機(jī)時(shí)間和運(yùn)營(yíng)成本。然而,有時(shí)隨意的部署方法使這些系統(tǒng)容易受到網(wǎng)絡(luò)攻擊,因?yàn)榘踩酝ǔJ枪静幌胪顿Y的領(lǐng)域,直到為時(shí)已晚。

傳統(tǒng)上,現(xiàn)場(chǎng)總線連接的設(shè)備與封閉網(wǎng)絡(luò)中的PLC和人機(jī)界面相連,操作技術(shù)(OT)和信息系統(tǒng)(IT)之間存在氣隙(圖1)。由于IIoT依賴于對(duì)OT數(shù)據(jù)的訪問,因此消除了這種氣隙,但并不總是通過對(duì)安全隱患進(jìn)行適當(dāng)評(píng)估來實(shí)施。

工業(yè)系統(tǒng)通常被視為網(wǎng)絡(luò)犯罪分子的有吸引力且容易的目標(biāo),因?yàn)槠涔裘鎻V闊,而且缺乏聯(lián)合安全策略。許多此類攻擊已經(jīng)發(fā)生,針對(duì)從制造設(shè)施到關(guān)鍵基礎(chǔ)設(shè)施(如配電和水處理廠)的所有內(nèi)容。在一項(xiàng)針對(duì)安全專業(yè)人員的獨(dú)立調(diào)查中,60% 的受訪者表示他們?cè)诰W(wǎng)絡(luò)攻擊后支付了贖金,其中一半情況下的支付金額超過 500,000 美元。

了解攻擊面

使用的入口點(diǎn)廣泛而多樣,攻擊的嚴(yán)重性取決于攻擊者的意圖和能力。大多數(shù)是由網(wǎng)絡(luò)安全專家執(zhí)行的,利用他們的知識(shí)針對(duì)保護(hù)不力和過時(shí)的Windows平臺(tái)或已知漏洞的舊Linux安裝。這會(huì)導(dǎo)致數(shù)天的停機(jī)時(shí)間,因?yàn)橹匦掳惭b系統(tǒng)或恢復(fù)備份以確保清除系統(tǒng)中犯罪分子創(chuàng)建的惡意軟件和管理員帳戶。

常識(shí)意味著防病毒軟件和補(bǔ)丁更新應(yīng)該保護(hù)IT系統(tǒng)。但是,補(bǔ)丁通常只有在發(fā)現(xiàn)弱點(diǎn)后才會(huì)發(fā)布,當(dāng)然,只有在安裝它們時(shí)才有用。組織經(jīng)常落后于安裝安全補(bǔ)丁的原因有很多,通常是因?yàn)闀r(shí)間和金錢的限制。此外,這是對(duì)安全性的被動(dòng)響應(yīng),而不是主動(dòng)響應(yīng)。毫不奇怪,全面的網(wǎng)絡(luò)彈性和恢復(fù)戰(zhàn)略正迅速成為一項(xiàng)普遍需求。

其他網(wǎng)絡(luò)犯罪分子在工程和用于控制工廠的設(shè)備方面擁有額外的專業(yè)知識(shí)。無論是通過合法還是非法手段獲得對(duì)站點(diǎn)的物理訪問,他們對(duì)可編程邏輯控制器 (PLC) 和站點(diǎn)功能的理解都允許他們?cè)斐蓳p害。這可能涉及操作執(zhí)行器不恰當(dāng)?shù)鼗旌弦后w或改變過程壓力或溫度的限制,使操作員面臨風(fēng)險(xiǎn)并損壞或破壞加工材料。

一般來說,攻擊很少?gòu)腛T設(shè)備開始。對(duì)系統(tǒng)的初始進(jìn)入通常是通過使用社會(huì)工程的IT系統(tǒng)實(shí)現(xiàn)的,例如網(wǎng)絡(luò)釣魚電子郵件,其余使用OT的攻擊都是從那里引導(dǎo)的。

從 OT 環(huán)境發(fā)起的攻擊的結(jié)果

攻擊的結(jié)果從煩人到破壞性不等。攻擊者已經(jīng)接管了訪問控制系統(tǒng)以部署拒絕服務(wù)(DoS)攻擊,或重新編程PLC以將錯(cuò)誤數(shù)據(jù)傳輸?shù)剿麄兛刂频脑O(shè)備。一些通過傳輸控制協(xié)議 (TCP) 進(jìn)行通信的早期設(shè)備無法生成隨機(jī)初始序列號(hào) (ISN),從而啟用了 DoS 和惡意消息注入。據(jù)報(bào)道,此類網(wǎng)絡(luò)攻擊造成的損失累計(jì)為每分鐘 1,000 美元。

另一個(gè)核心問題在于在OT設(shè)備上運(yùn)行的軟件。與PC和筆記本電腦不同,許多不運(yùn)行支持更新的類似Windows或Linux的操作系統(tǒng)。相反,一旦安裝,除非維護(hù)團(tuán)隊(duì)明確執(zhí)行,否則他們可能不會(huì)收到任何新版本的固件。這需要物理訪問設(shè)備以更換存儲(chǔ)卡或執(zhí)行更新。盡管此類更新需要物理訪問硬件,但不太可能檢查固件本身的真實(shí)性,從而有可能引入惡意軟件。此外,除非已實(shí)施安全性,否則添加到OT網(wǎng)絡(luò)的新設(shè)備不需要證明其身份。因此,可以安裝受損的硬件,為網(wǎng)絡(luò)犯罪分子提供OT系統(tǒng)的后門。

政府和行業(yè)反擊

與安全一樣,從系統(tǒng)設(shè)計(jì)開始,安防問題就需要作為工業(yè)控制系統(tǒng)的核心原則來解決。這是政府和標(biāo)準(zhǔn)組織意識(shí)到與攻擊公共基礎(chǔ)設(shè)施相關(guān)的風(fēng)險(xiǎn),一直在努力解決的問題。在歐盟,《歐盟網(wǎng)絡(luò)安全法》加強(qiáng)了歐盟網(wǎng)絡(luò)安全機(jī)構(gòu)ENISA的作用。他們的作用范圍從識(shí)別肇事者和網(wǎng)絡(luò)威懾到提供歐盟范圍內(nèi)認(rèn)可的網(wǎng)絡(luò)安全認(rèn)證。美國(guó)也通過其國(guó)家工業(yè)安全計(jì)劃(NISP)啟動(dòng)了類似的努力。在《加強(qiáng)美國(guó)網(wǎng)絡(luò)安全法案》(SACA)的支持下,它要求報(bào)告對(duì)關(guān)鍵基礎(chǔ)設(shè)施的重大網(wǎng)絡(luò)攻擊和任何贖金支付。

當(dāng)然,除非設(shè)備制造商和系統(tǒng)開發(fā)人員也獲得解決問題的指導(dǎo),否則僅靠立法并不能改善這種情況。國(guó)際電工委員會(huì)(IEC)率先應(yīng)對(duì)這一挑戰(zhàn),將包括恩智浦在內(nèi)的工業(yè)自動(dòng)化和安全專家聚集在一起。IEC 2021 于 62443 年獲得批準(zhǔn),提供了一個(gè)由四部分組成的標(biāo)準(zhǔn),用于解決 OT 的網(wǎng)絡(luò)安全問題。它使用基于風(fēng)險(xiǎn)的方法來預(yù)防和管理不同利益相關(guān)者的安全風(fēng)險(xiǎn),從運(yùn)營(yíng)商和服務(wù)提供商到組件和系統(tǒng)制造商。

半導(dǎo)體解決方案中融入的安全功能

像恩智浦這樣的公司集成電路IC)的安全功能方面有著悠久的專業(yè)知識(shí)。功能范圍從保護(hù)設(shè)備內(nèi)存中固件的知識(shí)產(chǎn)權(quán) (IP) 到滿足通用標(biāo)準(zhǔn) (ISO/IEC 15408) 的功能,這些功能描述了具有評(píng)估保證級(jí)別 (EAL) 的安全評(píng)估的嚴(yán)格性和深度。這些功能使處理基于此類IC的設(shè)備和系統(tǒng)的利益相關(guān)者能夠更有效地應(yīng)對(duì)安全風(fēng)險(xiǎn)。

微控制器MCU) 和片上系統(tǒng) (SoC) 器件是 PLC 和工業(yè) PC 的核心。它們具有支持原始設(shè)備制造商 (OEM) 符合 IEC 62443 的安全功能。典型的起點(diǎn)是具有不可變硬件信任根的安全啟動(dòng)機(jī)制。必須使用安全密鑰存儲(chǔ)來備份對(duì)設(shè)備各部分的通信和訪問的信任。許多解決方案使用物理不可克隆功能(PUF),這些功能依賴于芯片晶體管中自然發(fā)生的變化來提供唯一的身份。

可編程IC必須提供一個(gè)接口,允許開發(fā)人員下載和檢查其代碼的功能。此類調(diào)試端口提供對(duì)所有 MCU 和 SoC 功能的訪問,其權(quán)限與內(nèi)部處理器相同。為了確保此接入點(diǎn)不會(huì)被惡意使用,安全設(shè)備在授予調(diào)試功能之前使用基于證書的身份驗(yàn)證,這與在兩個(gè)受信任方之間建立安全的 Internet 通信非常相似。

由于連接性是IIoT的核心,支持已建立的公鑰基礎(chǔ)設(shè)施(PKI)的算法必須高效運(yùn)行。這些通常在硬件中使用 AES-256、SHA2-256、ECC 和 RSA 的加密加速器實(shí)現(xiàn)。真正的隨機(jī)數(shù)生成是良好安全性的核心,是安全芯片的另一個(gè)核心功能,應(yīng)用程序代碼可以用來解決前面描述的ISN生成弱點(diǎn)。

使用安全元素添加安全性

并非所有應(yīng)用都能證明與大型MCU和SoC相關(guān)的成本是合理的。有些需要電源優(yōu)化的處理器來延長(zhǎng)電池壽命,例如無線遠(yuǎn)程傳感器。其他產(chǎn)品只需要進(jìn)行身份驗(yàn)證,例如供應(yīng)商批準(zhǔn)的更換零件。這些類型應(yīng)用中使用的緊湊型MCU通常缺乏其較大表親的豐富安全功能。

安全元件 (SE) 是獨(dú)立的 IC,可提供與片上解決方案相同的安全級(jí)別。它們放置在需要增強(qiáng)安全性的MCU旁邊并與之連接。這些即用型解決方案配有軟件支持包,可與MCU固件集成,還可以支持Linux、Windows和Android系統(tǒng)。預(yù)集成的安全性簡(jiǎn)化了對(duì) IEC 62443 的合規(guī)性,為產(chǎn)品提供了用于 IIoT 身份驗(yàn)證、云載入和其他類似任務(wù)的安全身份。

OEM 面臨的核心挑戰(zhàn)是管理 SE 所需的密鑰和證書,確保攻擊者無法在產(chǎn)品上市之前收集它們以供將來攻擊。恩智浦等半導(dǎo)體供應(yīng)商提供服務(wù),以支持SE的IIoT預(yù)置和定制配置,以及用于無線設(shè)備身份管理以及產(chǎn)品整個(gè)生命周期的密鑰和證書的刪除和吊銷的云平臺(tái)。

總結(jié)

勒索軟件形式的網(wǎng)絡(luò)攻擊的結(jié)果使企業(yè)損失了大量資金。然而,網(wǎng)絡(luò)犯罪分子可能對(duì)制造綜合體和關(guān)鍵基礎(chǔ)設(shè)施造成的損害可能導(dǎo)致嚴(yán)重的安全或環(huán)境后果、收入損失和聲譽(yù)受損,這些都會(huì)迅速波及整個(gè)供應(yīng)鏈。IIoT為OEM和社會(huì)帶來了難以置信的好處,由于新的制造技術(shù)和更實(shí)惠的價(jià)格,創(chuàng)新更廣泛地可用。但是,這不能以犧牲安全性差為代價(jià)。所需的安全性是現(xiàn)成的,半導(dǎo)體供應(yīng)商提供硬件和服務(wù)以及正確實(shí)施所需的專業(yè)知識(shí)。通過對(duì)風(fēng)險(xiǎn)的適當(dāng)分析、正確的技術(shù)解決方案和支持,IIoT的安全挑戰(zhàn)是可以克服的。

審核編輯:郭婷

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
  • 傳感器
    +關(guān)注

    關(guān)注

    2551

    文章

    51099

    瀏覽量

    753606
  • mcu
    mcu
    +關(guān)注

    關(guān)注

    146

    文章

    17149

    瀏覽量

    351214
  • 物聯(lián)網(wǎng)
    +關(guān)注

    關(guān)注

    2909

    文章

    44635

    瀏覽量

    373400
收藏 人收藏

    評(píng)論

    相關(guān)推薦

    國(guó)產(chǎn)智能掃地機(jī)器人被曝存在安全漏洞,易隱私泄露

    的視頻內(nèi)容。   據(jù)外媒報(bào)道,一國(guó)品牌(Diqee)所生產(chǎn)制造的主打安全功能的360攝像頭智能掃地機(jī)器人存在安全漏洞,可能會(huì)受到黑客攻擊,從而操縱機(jī)器人查看用戶家里的隱私情況。   雖然一些高端
    發(fā)表于 07-27 09:29

    萬物互聯(lián)時(shí)代,搭建網(wǎng)絡(luò)安全的生態(tài)系統(tǒng)迫不及緩

    ,隨著物聯(lián)網(wǎng)加速融入人們的生產(chǎn)生活,傳統(tǒng)的網(wǎng)絡(luò)攻擊和風(fēng)險(xiǎn)正在向物聯(lián)網(wǎng)和智能設(shè)備蔓延。2017年,國(guó)家信息安全漏洞共享平臺(tái)收錄的安全漏洞,關(guān)于聯(lián)網(wǎng)智能設(shè)備的
    發(fā)表于 08-24 15:59

    軟件安全漏洞的靜態(tài)檢測(cè)技術(shù)

    軟件安全漏洞問題日益嚴(yán)重,靜態(tài)漏洞檢測(cè)提供從軟件結(jié)構(gòu)和代碼尋找漏洞的方法。該文研究軟件漏洞靜態(tài)檢測(cè)的兩個(gè)主要方面:靜態(tài)分析和程序驗(yàn)證,重點(diǎn)
    發(fā)表于 04-20 09:38 ?17次下載

    Linux發(fā)現(xiàn)更多安全漏洞LHA 與imlib受到波及

    Linux 發(fā)現(xiàn)更多安全漏洞 LHA 與imlib 受到波及 日前,開放源開發(fā)商已經(jīng)發(fā)出警告,稱兩種Linux 部件內(nèi)出現(xiàn)嚴(yán)重的安全漏洞。利用這些漏洞
    發(fā)表于 06-12 10:07 ?509次閱讀

    Intel發(fā)布補(bǔ)丁 修復(fù)vPro安全漏洞

    Intel發(fā)布補(bǔ)丁 修復(fù)vPro安全漏洞 近日來自波蘭的研究人員指出Intel基于芯片的安全保護(hù)措施存在安全漏洞,其TXT(可信賴執(zhí)行技術(shù))的執(zhí)行錯(cuò)誤
    發(fā)表于 12-24 09:06 ?662次閱讀
    Intel發(fā)布補(bǔ)丁 修復(fù)vPro<b class='flag-5'>安全漏洞</b>

    ios好用嗎,蘋果安全漏洞不斷 密碼形同虛設(shè)

    ios真的好用嗎?還記得很久以前通過相機(jī)繞過鎖屏密碼進(jìn)入系統(tǒng)的ios漏洞嗎?現(xiàn)在ios系統(tǒng)又曝光了一個(gè)類似的安全漏洞。新的ios安全漏洞允許任何訪客繞過鎖屏密碼來查看iPhone上的照片和消息,通過這
    發(fā)表于 11-18 23:21 ?1125次閱讀

    IIoT安全漏洞怎樣解決

    在制造環(huán)境采用工業(yè)物聯(lián)網(wǎng)(IIoT)技術(shù)可大幅提高效率并降低營(yíng)運(yùn)成本。
    發(fā)表于 08-25 09:48 ?1016次閱讀

    基于安全漏洞威脅模式的網(wǎng)絡(luò)表示學(xué)習(xí)算法

    時(shí),面臨著稀疏、高維等問題,進(jìn)而難以有效地捕獲網(wǎng)絡(luò)信息。為此,針對(duì)網(wǎng)絡(luò)安全漏洞的分類問題,文中提出了一種基于漏洞威脅模式的網(wǎng)絡(luò)表示學(xué)習(xí)算法——HSEN2vec。該算法旨在最大限度地捕獲
    發(fā)表于 05-31 16:04 ?13次下載

    基于區(qū)塊鏈的網(wǎng)絡(luò)安全漏洞檢測(cè)系統(tǒng)

    基于區(qū)塊鏈的網(wǎng)絡(luò)安全漏洞檢測(cè)系統(tǒng)
    發(fā)表于 06-19 15:44 ?13次下載

    基于循環(huán)神經(jīng)網(wǎng)絡(luò)的Modbus/TCP安全漏洞測(cè)試

    基于循環(huán)神經(jīng)網(wǎng)絡(luò)的Modbus/TCP安全漏洞測(cè)試
    發(fā)表于 06-27 16:39 ?30次下載

    如何減少網(wǎng)絡(luò)安全潛在的威脅安全漏洞

    在大型公司會(huì)受到安全攻擊是家常便飯的時(shí)代,即使投入了大量保護(hù)資金,較小型公司也更容易受到攻擊。許多企業(yè)仍然沒有將網(wǎng)絡(luò)安全視為減少潛在威脅的強(qiáng)制性措施。在幾乎所有的安全漏洞案例,企業(yè)都
    的頭像 發(fā)表于 12-16 17:45 ?2970次閱讀

    飛騰入選首批CITIVD信創(chuàng)政務(wù)產(chǎn)品安全漏洞專業(yè)庫(kù)技術(shù)支撐單位

    近日,在工業(yè)和信息化部網(wǎng)絡(luò)安全管理局組織指導(dǎo)下,由國(guó)家工業(yè)信息安全發(fā)展研究中心負(fù)責(zé)建設(shè)和運(yùn)營(yíng)的“信創(chuàng)政務(wù)產(chǎn)品安全漏洞專業(yè)庫(kù)”(簡(jiǎn)稱:CITIVD)正式頒發(fā)首批技術(shù)支撐單位證書。憑借在信創(chuàng)和信息
    的頭像 發(fā)表于 03-15 09:28 ?707次閱讀
    飛騰入選首批CITIVD信創(chuàng)政務(wù)產(chǎn)品<b class='flag-5'>安全漏洞</b>專業(yè)庫(kù)技術(shù)支撐單位

    如何降低網(wǎng)絡(luò)安全漏洞被利用的風(fēng)險(xiǎn)

    的領(lǐng)軍企業(yè)——國(guó)聯(lián)易安的產(chǎn)品市場(chǎng)專家給出了答案: 一是明白什么是網(wǎng)絡(luò)安全漏洞。網(wǎng)絡(luò)安全漏洞也稱為脆弱性,是信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過程,有意或無意產(chǎn)生的可被威脅利用的缺陷,這些缺陷存在于件
    的頭像 發(fā)表于 09-13 15:37 ?1069次閱讀

    如何消除內(nèi)存安全漏洞

    “MSL 可以消除內(nèi)存安全漏洞。因此,過渡到 MSL 可能會(huì)大大降低投資于旨在減少這些漏洞或?qū)⑵溆绊懡抵磷畹偷幕顒?dòng)的必要性。
    發(fā)表于 12-12 10:29 ?759次閱讀
    如何消除內(nèi)存<b class='flag-5'>安全漏洞</b>

    再獲認(rèn)可,聚銘網(wǎng)絡(luò)入選國(guó)家信息安全漏洞庫(kù)(CNNVD)技術(shù)支撐單位

    近日,國(guó)家信息安全漏洞庫(kù)(CNNVD)公示2023年度新增技術(shù)支撐單位名單。經(jīng)考核評(píng)定,聚銘網(wǎng)絡(luò)正式入選并被授予《國(guó)家信息安全漏洞庫(kù)(CNNVD)三級(jí)技術(shù)支撐單位證書》。 ? ? 國(guó)家信息安全
    的頭像 發(fā)表于 12-21 10:14 ?661次閱讀
    再獲認(rèn)可,聚銘<b class='flag-5'>網(wǎng)絡(luò)</b>入選國(guó)家信息<b class='flag-5'>安全漏洞</b>庫(kù)(CNNVD)技術(shù)支撐單位