IEC 62443 系列標(biāo)準(zhǔn)：如何防御基礎(chǔ)設(shè)施網(wǎng)絡(luò)攻擊

本文探討了IEC 62443系列標(biāo)準(zhǔn)的基本推理和優(yōu)勢(shì)，這是一組旨在確保網(wǎng)絡(luò)安全彈性的協(xié)議 保護(hù)關(guān)鍵基礎(chǔ)設(shè)施和數(shù)字化工廠。這一領(lǐng)先的標(biāo)準(zhǔn)提供了廣泛的安全層;然而，它給那些尋求認(rèn)證的人帶來了一些挑戰(zhàn)。我們將解釋安全IC如何為努力實(shí)現(xiàn)工業(yè)自動(dòng)化控制系統(tǒng)（IACS）組件認(rèn)證目標(biāo)的組織提供必要的幫助。

介紹

盡管網(wǎng)絡(luò)攻擊可能越來越復(fù)雜，但I(xiàn)ACS以前在采取安全措施方面進(jìn)展緩慢。這部分是由于缺乏此類系統(tǒng)的設(shè)計(jì)者和操作員的共同參考。IEC 62443系列標(biāo)準(zhǔn)為更安全的工業(yè)基礎(chǔ)設(shè)施提供了一條前進(jìn)的道路，但企業(yè)必須學(xué)習(xí)如何應(yīng)對(duì)其復(fù)雜性并了解這些新挑戰(zhàn)，以便成功利用它。

工業(yè)系統(tǒng)面臨風(fēng)險(xiǎn)

配水、污水和電網(wǎng)等關(guān)鍵基礎(chǔ)設(shè)施的數(shù)字化使得不間斷的訪問對(duì)日常生活至關(guān)重要。然而，網(wǎng)絡(luò)攻擊仍然是這些系統(tǒng)中斷的原因之一，預(yù)計(jì)它們還會(huì)增長。

工業(yè) 4.0 需要高度連接的傳感器、執(zhí)行器、網(wǎng)關(guān)和聚合器。這種增加的連接性增加了潛在網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)，使安全措施比以往任何時(shí)候都更加重要。美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）等組織的成立說明了其重要性，并表明了對(duì)保護(hù)關(guān)鍵基礎(chǔ)設(shè)施和確保 他們抵御網(wǎng)絡(luò)攻擊的彈性。2

為什么選擇IEC 62443？

2010年，Stuxnet的出現(xiàn)將工業(yè)基礎(chǔ)設(shè)施推向了脆弱狀態(tài)。3Stuxnet是世界上第一個(gè)公開的網(wǎng)絡(luò)攻擊，表明攻擊可以成功地從遠(yuǎn)處針對(duì)IACS。隨后的攻擊鞏固了工業(yè)基礎(chǔ)設(shè)施可能通過針對(duì)特定類型設(shè)備的遠(yuǎn)程攻擊而受到損害的認(rèn)識(shí)。

政府機(jī)構(gòu)、公用事業(yè)公司、IACS 用戶和設(shè)備制造商很快明白 IACS 需要得到保護(hù)。雖然政府和用戶自然傾向于組織措施和安全策略，但設(shè)備制造商調(diào)查了可能的硬件和軟件對(duì)策。然而，由于以下原因，安全措施的采用緩慢：

基礎(chǔ)設(shè)施的復(fù)雜性

利益相關(guān)者的不同利益和關(guān)注點(diǎn)

各種實(shí)施和可用選項(xiàng)

缺乏可衡量的目標(biāo)

總體而言，利益相關(guān)者在確定適當(dāng)?shù)陌踩?jí)別方面面臨著不確定性，即如何仔細(xì)平衡保護(hù)與成本。

國際自動(dòng)化學(xué)會(huì)（ISA）成立了工作組，在ISA99倡議下建立共同參考，最終導(dǎo)致了IEC 62443系列標(biāo)準(zhǔn)的發(fā)布。這組標(biāo)準(zhǔn)目前分為四個(gè)級(jí)別和類別，如圖 1 所示。由于其全面的范圍，IEC 62443標(biāo)準(zhǔn)包括組織政策，程序，風(fēng)險(xiǎn)評(píng)估， 以及硬件和軟件組件的安全性。該標(biāo)準(zhǔn)的完整范圍使其具有獨(dú)特的適應(yīng)性并反映了當(dāng)前的現(xiàn)實(shí)。此外，ISA在解決IACS中涉及的所有利益相關(guān)者的各種利益時(shí)采取了綜合方法。一般來說，安全問題因利益相關(guān)者而異。例如，如果我們考慮知識(shí)產(chǎn)權(quán)盜竊，IACS 運(yùn)營商 將對(duì)保護(hù)制造過程感興趣，而設(shè)備制造商可能關(guān)心保護(hù)人工智能 （AI） 算法免受逆向工程。

圖1.IEC 62443 是一項(xiàng)全面的安全標(biāo)準(zhǔn)。

此外，由于 IACS 本質(zhì)上很復(fù)雜，因此必須考慮整個(gè)安全范圍。如果沒有安全設(shè)備的支持，僅靠程序和策略是不夠的，而如果程序沒有正確定義其安全使用，則健壯的組件將毫無用處。

圖 2 中的圖表顯示了 IEC 62443 標(biāo)準(zhǔn)通過 ISA 認(rèn)證的采用率。正如預(yù)期的那樣，由行業(yè)主要利益相關(guān)者定義的標(biāo)準(zhǔn)加速了安全措施的實(shí)施。

圖2.一段時(shí)間內(nèi)的 ISA 認(rèn)證數(shù)量。4

獲得IEC 62443合規(guī)性：一項(xiàng)復(fù)雜的挑戰(zhàn)

IEC 62443 是一個(gè)非常全面和有效的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，但其復(fù)雜性可能是壓倒性的。文件本身的長度接近1000頁。獲得對(duì)網(wǎng)絡(luò)安全協(xié)議的清晰理解涉及學(xué)習(xí)曲線，并且超出了吸收技術(shù)語言的范圍。IEC 62443中的每個(gè)部分都必須理解為一個(gè)更大整體的一部分，因?yàn)檫@些概念是相互依賴的（如圖3所示）。

例如，根據(jù)IEC 62443-4-2，必須針對(duì)整個(gè)IACS進(jìn)行風(fēng)險(xiǎn)評(píng)估，其結(jié)果將決定確定設(shè)備目標(biāo)安全級(jí)別的決策。5

圖3.認(rèn)證過程的高級(jí)視圖。

設(shè)計(jì)符合IEC 62443標(biāo)準(zhǔn)的設(shè)備

最高安全級(jí)別要求實(shí)施硬件

IEC 62443 以簡(jiǎn)單的語言定義了安全級(jí)別，如圖 4 所示。

圖4.IEC 62443 安全級(jí)別。

IEC 62443-2-1 要求進(jìn)行安全風(fēng)險(xiǎn)評(píng)估。作為此過程的結(jié)果，每個(gè)組件都被分配一個(gè)目標(biāo)安全級(jí)別 （SL-T）。

如圖1和圖3所示，標(biāo)準(zhǔn)的某些部分涉及流程和程序，而IEC 62443-4-1和IEC 62443-4-2則涉及組件的安全性。符合 IEC 62443-4-2 標(biāo)準(zhǔn)的組件類型包括軟件應(yīng)用程序、主機(jī)設(shè)備、嵌入式設(shè)備和網(wǎng)絡(luò)設(shè)備。對(duì)于每種組件類型，IEC 62443-4-2 根據(jù)它們滿足的組件要求 （CR） 和需求增強(qiáng) （RE） 定義功能安全級(jí)別 （SL-C）。表1總結(jié)了SL-A，SL-C，SL-T及其關(guān)系。

讓我們以網(wǎng)絡(luò)連接的可編程邏輯控制器（PLC）為例。網(wǎng)絡(luò)安全要求對(duì) PLC 進(jìn)行身份驗(yàn)證，以免它成為攻擊的入口。一種眾所周知的技術(shù)是基于公鑰的身份驗(yàn)證。關(guān)于IEC 62443-4-2：

級(jí)別 1 不考慮公鑰加密

級(jí)別 2 需要常用的流程，例如證書簽名驗(yàn)證

級(jí)別 3 和 4 要求對(duì)身份驗(yàn)證過程中使用的私鑰進(jìn)行硬件保護(hù)

從安全級(jí)別 2 開始，需要許多安全功能，包括基于涉及密鑰或私鑰的加密機(jī)制。對(duì)于安全級(jí)別 3 和 4，在許多情況下需要對(duì)安全或加密功能進(jìn)行基于硬件的保護(hù)。這就是工業(yè)組件設(shè)計(jì)人員將從交鑰匙安全I(xiàn)C中受益的地方，嵌入基本機(jī)制，例如：

安全密鑰存儲(chǔ)

側(cè)信道攻擊防護(hù)

負(fù)責(zé)功能（如）的命令

消息加密

數(shù)字簽名計(jì)算

數(shù)字簽名驗(yàn)證

這些交鑰匙安全I(xiàn)C使IACS組件開發(fā)人員無需將資源投入到復(fù)雜的安全基元設(shè)計(jì)中。使用安全I(xiàn)C的另一個(gè)好處是，從本質(zhì)上可以利用通用功能和專用安全功能之間的自然隔離。當(dāng)安全集中在一個(gè)元素中而不是分散在整個(gè)系統(tǒng)中時(shí)，更容易評(píng)估安全功能的強(qiáng)度。從這種隔離中還可以保留對(duì)組件的軟件和/或硬件修改的安全功能驗(yàn)證。無需執(zhí)行升級(jí) 需要重新評(píng)估整個(gè)安全功能。

此外，安全I(xiàn)C供應(yīng)商可以實(shí)現(xiàn)在PCB或系統(tǒng)級(jí)別無法實(shí)現(xiàn)的極強(qiáng)保護(hù)技術(shù)。強(qiáng)化的EEPROM或閃存或物理不可克隆功能（PUF）就是這種情況，可以實(shí)現(xiàn)對(duì)最復(fù)雜攻擊的最高級(jí)別的抵抗力?？傮w而言，安全I(xiàn)C是構(gòu)建系統(tǒng)安全性的良好基礎(chǔ)。

邊緣安全

工業(yè) 4.0 意味著隨時(shí)隨地進(jìn)行傳感，因此需要部署更多的邊緣設(shè)備。IACS 邊緣設(shè)備包括傳感器、執(zhí)行器、機(jī)械臂、帶有 I/O 模塊的 PLC 等。每個(gè)邊緣設(shè)備都連接到高度網(wǎng)絡(luò)化的基礎(chǔ)設(shè)施，并成為黑客的潛在切入點(diǎn)。不僅攻擊面與設(shè)備數(shù)量成比例地?cái)U(kuò)展，而且設(shè)備的不同組合本身也會(huì)擴(kuò)展攻擊媒介的多樣性?！拌b于現(xiàn)有平臺(tái)，有很多可行的攻擊媒介，端點(diǎn)和邊緣設(shè)備的暴露率都在增加，”應(yīng)用程序安全和滲透測(cè)試供應(yīng)商SEWORKS的首席技術(shù)官Yaniv Karta說。例如，在復(fù)雜的IACS中，并非所有傳感器都來自同一供應(yīng)商，也不共享相同的架構(gòu)，在微控制器、操作系統(tǒng)或通信堆棧方面。每種架構(gòu)都有其自身的弱點(diǎn)。結(jié)果，IACS積累并暴露在其所有漏洞中，如圖所示 由 MITRE ATT&CK 數(shù)據(jù)庫6 或 ICS-CERT 公告提供。7

此外，隨著工業(yè)物聯(lián)網(wǎng)物聯(lián)網(wǎng)（IIoT）在邊緣嵌入更多智能的趨勢(shì)，8正在開發(fā)設(shè)備來做出自主系統(tǒng)決策。因此，確保設(shè)備硬件和軟件可信更為重要，因?yàn)檫@些決策對(duì)安全、系統(tǒng)操作等至關(guān)重要。此外，保護(hù) 設(shè)備開發(fā)人員免受盜竊（例如，與AI算法相關(guān)）是一個(gè)常見的考慮因素，可以推動(dòng)采用交鑰匙安全I(xiàn)C可以支持的保護(hù)的決定。

另一個(gè)重要的一點(diǎn)是，網(wǎng)絡(luò)安全不足可能會(huì)對(duì)功能安全產(chǎn)生負(fù)面影響。功能安全和網(wǎng)絡(luò)安全交互很復(fù)雜，討論它們值得單獨(dú)寫一篇文章，但我們可以強(qiáng)調(diào)以下內(nèi)容：

IEC 61508：電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全要求基于IEC 62443進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析。

雖然IEC 61508主要側(cè)重于危害和風(fēng)險(xiǎn)分析，但每次網(wǎng)絡(luò)安全事件嚴(yán)重時(shí)，它都會(huì)要求進(jìn)行后續(xù)的安全威脅分析和漏洞分析。

我們列出的IACS邊緣設(shè)備是嵌入式系統(tǒng)。IEC 62443-4-2 定義了這些系統(tǒng)的特定要求，例如惡意代碼保護(hù)機(jī)制、安全固件更新、物理防篡改和檢測(cè)、信任根配置以及啟動(dòng)過程的完整性。

利用ADI的安全認(rèn)證器滿足您的IEC 62443目標(biāo)

ADI公司的安全認(rèn)證器（也稱為安全元件）旨在滿足這些要求，同時(shí)兼顧易于實(shí)施和成本效益。帶有主機(jī)處理器完整軟件堆棧的固定功能IC是交鑰匙解決方案。

因此，安全實(shí)施委托給ADI，元件設(shè)計(jì)人員可以專注于其核心業(yè)務(wù)。安全身份驗(yàn)證器本質(zhì)上是信任的根，提供安全且不可變的根密鑰/機(jī)密和代表設(shè)備狀態(tài)的敏感數(shù)據(jù)（例如固件哈希）的存儲(chǔ)。它們具有一套全面的加密功能，包括身份驗(yàn)證、加密、安全數(shù)據(jù)存儲(chǔ)、生命周期管理和安全啟動(dòng)/更新。

芯片基因?物理不可克隆功能（PUF）技術(shù)利用晶圓制造過程中自然發(fā)生的隨機(jī)變化來生成加密密鑰，而不是將其存儲(chǔ)在傳統(tǒng)的閃存EEPROM中。利用的變化是如此之小，以至于即使是用于芯片逆向工程的昂貴、最復(fù)雜、侵入性技術(shù)（掃描電子顯微鏡、聚焦離子束和微探測(cè)）提取密鑰的效率也很低。集成電路以外的任何技術(shù)都無法達(dá)到這樣的電阻水平。

安全身份驗(yàn)證器還支持證書和證書管理鏈。9

此外，ADI在其工廠提供高度安全的密鑰和證書預(yù)編程服務(wù)，以便原始設(shè)備制造商（OEM）可以接收已經(jīng)配置的器件，這些器件可以無縫加入其公鑰基礎(chǔ)設(shè)施（PKI）或啟用離線PKI。其強(qiáng)大的加密功能可實(shí)現(xiàn)安全固件更新和安全啟動(dòng)。

安全認(rèn)證器是為現(xiàn)有設(shè)計(jì)添加高級(jí)安全性的最佳選擇。它們節(jié)省了以較低的BOM成本重新構(gòu)建設(shè)備以確保安全性的研發(fā)工作。例如，它們不需要更換主微控制器。例如，DS28S60和MAXQ1065安全認(rèn)證器滿足IEC 62443-4-2的所有要求，如圖5所示。

DS28S60和MAXQ1065采用3 mm×3 mm TDFN封裝，適合空間受限的設(shè)計(jì)，其低功耗完美地滿足了最受功耗限制的邊緣器件的需求。

圖5.安全認(rèn)證器具有符合 IEC 62443 要求的功能。

IACS組件架構(gòu)已經(jīng)具有滿足IEC 62443-4-2要求的安全功能的微控制器，也可以從用于密鑰和證書分發(fā)目的的安全身份驗(yàn)證器中受益。這將使OEM或其合同制造商免于投資處理秘密IC憑證所需的昂貴制造設(shè)施。這種方法還可以保護(hù)存儲(chǔ)在微控制器中的密鑰，以便通過JTAG等調(diào)試工具提取。

結(jié)論

通過整合和采用IEC 62443標(biāo)準(zhǔn)，IACS利益相關(guān)者為可靠和安全的基礎(chǔ)設(shè)施鋪平了道路。安全認(rèn)證器是符合IEC 62443標(biāo)準(zhǔn)的組件未來的基石，這些組件需要強(qiáng)大的基于硬件的安全性。OEM 可以放心地進(jìn)行設(shè)計(jì)，因?yàn)樗麄冎腊踩纳矸蒡?yàn)證器將幫助他們獲得他們所尋求的認(rèn)證。

審核編輯：郭婷