作者:(美)斯拉瓦尼·巴塔查尔吉
出版社:机械工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
工业物联网安全试读:
前言
工业物联网(IIoT)正在为我们带来巨大的社会和经济机遇。它开启了一个自主机器和智能过程的崭新时代。然而,互联互通会带来一个不可避免的副作用,即我们将暴露于网络入侵的威胁之中。因此,安全性也就成为IIoT部署过程中人们最关注的问题。IIoT安全性与物理系统的可靠性,以及人与环境的物理安全性等有着错综复杂的联系。
本书为读者提供了针对IIoT安全各个方面的内容,以及用来构建和部署安全IIoT解决方案的实践技术。在本书中,我们将从专业视角为读者介绍IIoT安全的基本原则、威胁模型、参考架构,以及现实生活中的案例分析。
本书涵盖了用来设计基于风险的安全控制方案的各种实用工具,并且深入讨论了多层防御相关技术,包括IAM、端点安全、互联技术以及基于边界和云环境的应用,如此读者才能牢固掌握重要的安全规程。除了开发人员、架构师、生产经理、制造商和业务经理之外,很多相关人员都应该关注对IIoT生命周期中的流程、标准化操作、治理所进行的安全加固,以及对新兴技术(例如,区块链、AI/机器学习、TSN以及量子计算)可用性所进行的评估,从而大规模地实现稳定且具有社会效益的互联系统。
本书读者对象
本书的目标读者是IIoT从业者,包括IIoT研究人员、安全专家、架构师、开发人员以及业务利益相关者。任何需要深入理解工业设施互联所带来的独特物理安全和信息安全挑战,以及需要学习实用方法来保护工业资产的人,都可以从本书中获益。
本书主要内容
第1章介绍基本的IIoT概念、定义,以及保护ICS/SCADA/DCS系统所面临的独特挑战。本章还就一些典型IIoT用例的安全评估工作进行了深入研讨。
第2章帮助读者深入理解工业应用中的数据流、参考架构以及IIoT的风险管理方法。最后,本章基于工业互联网安全框架(Industrial Internet Security Framework,IISF),建立了一个端到端的IIoT安全架构。
第3章全面介绍用于保护IIoT架构的身份与访问控制技术及其演化发展。
第4章介绍端点安全的重要主题,帮助读者真正理解保护IIoT端点的重要性、挑战以及解决方案。
第5章介绍工业互联网连接框架(Industrial Internet Connectivity Framework,IICF),同时从深度与广度两方面探讨IIoT连接技术和架构,从而帮助读者深入洞察其安全态势。
第6章利用现实中的IoT系统云环境示例,讲解从边界到云端保护IIoT应用的安全技术。
第7章讨论IIoT安全在管理与治理方面的重要角色,目的是为业务经理和业内人士提供一些指导意见。
第8章帮助读者理解众多的新兴技术,并在保护联网的工业用例方面对其进行评估。
第9章涉及本书讨论的IIoT安全的各个方面,并且结合实例进行讲解。
第10章对本书提到的技术发现进行简要总结,并对下一步要做什么进行了总结陈述与展望。
如何使用本书
为满足具有IT或业务背景的技术专业人员以及组织的业务经理的需求,本书进行了精心编排。第3~6章都包含了一些高级内容,因此要求读者具有一定的IT背景,并具有一些工业方面的基础知识。其余章节则为具备技术和业务背景的IIoT从业人员提供了至关重要的知识。
下载本书彩图
本书中所用的截图和样图,可以从http://www.packtpub.com通过个人账号下载,也可以访问华章图书官网http://www.hzbook.com,通过注册并登录个人账号下载。
本书约定警告或重要的注意事项。小建议或小窍门。第1章一个前所未有的机会“任何足够先进的技术都与魔法无异。”——Arthur C.Clarke
网络连接从根本上改变了我们所知道的世界,在过去40年里,联网计算推动了以互联网和基于互联网的应用为中心的全球经济,尤其是万维网,它重新定义了人类的交流方式以及我们在购物、银行和旅行方面的体验。然而,当这种互联互通的概念超越了人类的边界而扩展到其他设备和机器时,这些机器数据中潜在的价值创造了前所未有的机会,其中的大部分我们仅仅是参与其中,还没有加以利用。
当今智能互联时代,开创了具有巨大增长潜力的新市场,特别是几乎所有的工业公司都处于从数字智能获取利益的压力中。在过去五年里,大多数垂直行业(尤其是制造业、交通运输业、零售业和医疗保健行业)已经开始大规模地采用联网技术。这些技术统称为工业物联网(IIoT)。
然而,确保IIoT的部署可以抵抗网络攻击仍然是一个重大挑战。IIoT安全漏洞造成的后果要比传统IT部署的危害严重得多。在IIoT系统被非法入侵的情况下,除了通常的基于信息技术的损失(如声誉损失和财务损失)外,还可能造成生命损失或环境损害。由于IIoT与物理环境交互,因此从攻击对象、攻击者和影响等方面来看,电子商务与IT基础设施的安全范式在网络物理领域中存在显著差异。
然而,尽管网络不安全是互联互通不可否认的一面,但不能依赖含糊的安全。工业数据和云连接带来了不可忽视的巨大优势。工业界将采用这些新技术,因此必须在充分安全和安全控制之间取得平衡。
对于任何互联行业,不管是从业务还是感性上来说,安全都是当务之急。国际上开展了大量的研究、创新和投资活动,以确保互联行业的安全。本书将结合这些活动,为读者提供对IIoT安全的全面理解,并为读者提供实用的专业知识和工具,用来解决技术和业务方面的问题。读者将在此书中找到计划、设计和构建弹性IIoT系统所需的重要概念和技术,并可从IIoT安全专家关于这些主题的经验中获益。
在本章中,我们将通过讨论以下主题来打好基础:·定义工业物联网·工业物联网安全:一种商业必然·网络安全与网络物理物联网安全·工业“物”、连接和运维技术(OT)·IT和OT结合:真正的含义·工业物联网部署架构·IT和OT安全基础的差异·工业威胁、漏洞和风险因素·网络物理攻击的演变·工业物联网用例:检查网络风险缺口1.1 定义工业物联网
安全是工业物联网的一个基本要素。在深入研究工业物联网安全框架的案例前,让我们首先定义和理解工业物联网的延伸。
物联网本身是一个广义的概念,导致它被定义和描述的方式多种多样。国际互联网工程任务组(IETF)称:“在物联网的概念中,‘物’是非常多样的,比如电脑、传感器、人、执行器、冰箱、电[1]视、汽车、手机、衣服、食物、药品、书籍,等等。”
然而,对于本书讨论的范围,我们将主要依据以下物联网的定义:“物联网是一种将唯一可标识的‘物’与互联网连接起来的网络。这些‘物’具有传感/执行和潜在的可编程能力。通过独特的识别和感知,可以收集‘物’的信息,‘物’的状态可以随时随地被任何东西[2]改变。”
该定义提到了关于物的信息的集合,以及从任何地方在任何时间通过任何事情改变事物状态的可能性。换句话说,连在一起的物从设计上来说很容易获取信息和被控制,且不需要权限。这突出了保护物联网安全的重要性,本书将在其余部分对该主题进行深入探讨。
从功能上来看,物联网本质上是实现物理资产数字化和互联的推动者。通过嵌入通信协议栈和软件逻辑(或智能),诸如应用程序、传感器、执行器或者任何设备或机器等实体,可在无人为干预的情况下进行数据通信。通过分析所产生的大量数据(相当大的数据)可以获得基于数据驱动的洞察力,并能提供额外的产品和服务。[1] 参见https://www.tandfonline.com/doi/full/10.1080/23738871.2017.1366536。[2] 参见https://iot.ieee.org/images/files/pdf/IEEE_IoT_Towards_Definition_Internet_of_Things_Revision1_27MAY15.pdf。1.1.1 工业物联网、工业互联网以及工业4.0
物联网对工业和企业操作进行了数字化改造,把机器、人员和过程变得更加智能化,并将其连接起来。物联网融合了多个领域的技术进步,包括:·网络连接的创新(低能耗无线、边界、云技术)·低成本传感和机器学习的计算·传感器生成的大数据·机器对机器(M2M)通信·已经在工业界存在了很多年的自动化技术
工业物联网也可称为工业互联网,这个术语最初是由通用电气公司(GE)提出的。通用电气公司将工业互联网定义为“融合全球工业系统先进的计算、分析、低成本传感和如今互联网所允许的最新水平的连接能力”(GE-IIoT)。
通用电气公司的工业互联网是工业环境的第三次创新浪潮,前两次是工业革命,随后是互联网革命,如图1-1所示。
工业4.0是一个数字改造工程(https://www.i-scoop.eu/industry-4-0/),由德国在2011年提出并在欧洲被广泛引用(ISP-4IR),它指的是连接着物理网络的系统(在本章后面讨论)。工业互联网的概念可与第四次革命相媲美,如图1-2所示。图1-1 工业互联网——第三次工业创新浪潮(来自https://www.i-scoop.eu/industry-4-0/)图1-2 工业4.0作为第四次工业革命(4IR)(部分改编自DKFI 2011www.dfki.de)
工业4.0主要利用大数据/分析和物联网等技术来实现制造业的数字化转型。信息技术(IT)和运维技术(OT)、机器人技术、数据、人工智能以及制造过程的融合推动了这一转变,实现了工厂互联、智能化分散制造、自优化系统以及信息驱动的网络物理环境中的数字化供应链,这些有时也被称为4IR(ISP-IIoT)。
据顶级分析公司称,在未来10年里,联网机器的数量预计将达到数百亿,而随着生产率的加速增长,全球国内生产总值(GDP)预计将以两位数的速度增长。推动工业物联网使用的核心是效率、数据管理、生产率和安全性的提高。
有趣的是,为了实现可靠的系统和架构,这一波不同垂直行业的数字化变革浪潮也是安全技术的关键驱动力。1.1.2 消费者与工业物联网
随着智能手机的普及,传感器嵌入式连接设备的价值有了巨大的飞跃。手持式移动电话从一种数据和语音通信设备转变为一种多功能产品,包括导航、新闻、天气、健康等方面的功能。iPhone本身就拥有许多传感器,包括感应传感器、运动/加速度传感器、环境光传感器、湿度传感器、陀螺仪传感器、指南针传感器等。Apple Watch、Fitbit、Amazon Echo等产品开创了智能个人可穿戴设备、家庭控制设备的全新时代,继而开辟了全新的细分市场,这些家庭和个人设备是最容易被理解的物联网。
然而,当这些相同的原则应用于企业和工业大小的规模时,其复杂性和益处都成倍增加。工业互联网联盟(IIC)成立于2014年3月,其使命是通过创建“连接对象、传感器和大型计算系统”的标准来加速工业应用物联网的发展,这正式地描述了工业物联网来自消费者物联网,相比于工业物联网,后者更关注个人和家庭自动化设备和电器,并处理不同的安全类型。
在本书中,术语IIoT指的是可扩展的物联网架构,适用于各种垂直行业的企业,如能源、水利、农业、石油和天然气、交通、智能城市、医疗保健、建筑自动化等。
在很多情况下,IIoT这个术语的使用仅限于连接,就像Internet连接计算机那样。然而,我们认为IIoT不仅仅是连接的概念,它包括嵌入式智能、网络连接、大数据利用、机器学习/人工智能、智能供应链以及先进的分析驱动的商业洞察。诸如ISP-IIoT、ISP-4IR、GE-IIoT等约定是对附录A的引用。1.2 工业物联网安全:一种商业必然
通过先进的IT平台实现工业机械设备(或任何实物资产)的数字化互联,是一项独特的进步,开创了前所未有的社会和经济机遇。在工业上,物理世界和网络世界的融合意味着可以在数千英里外操作(设备),可实现主动检测和修复机器故障、数字化跟踪供应链、远程提供保养护理,以及许多类似的用途。
毫无疑问,这些用途是有前景的。然而,网络威胁是无处不在的连接的祸根,目前它是IIoT领域的主要威胁。
在2017年,物联网行业62%的从业人员表示,在使用IoT方面,他们首先担心的是网络安全和数据隐私问题,其次是缺乏互操作性和互联性的标准(IOT-WLD)。
在传统工业环境中,隐匿确保了安全性。物理隔离是保护敏感工业系统的普遍安全策略。根据定义,物理隔离系统不连接任何外部网络或系统。在一个资产永远无法完全免受入侵的数字时代,物理隔离这种策略似乎存在问题。
联网企业系统以提高生产率是需要付出一定代价的。据报道,Equifax网络安全漏洞在2017年8月暴露了数百万用户的身份信息,这只是DDoS攻击、勒索软件、欺诈交易甚至干预国家管理和治理的众多实例之一。
虽然企业网络犯罪的影响主要限于财务、品牌声誉和隐私方面的损失,但人们担心,针对关键资产的犯罪行动所造成的安全漏洞,会有更严重的影响。例如,航空公司数据库中的一个漏洞可能会暴露机密的乘客记录和个人数据。然而,通过破坏飞机的飞行控制系统,可以实时操纵高度敏感的航空数据。例如,导航仪表板可以显示的高度比飞机实际飞行的高度更高。航空公司数据库中的漏洞已经非常严重了,然而,失去高度(和安全)可能会有更严重的后果(WLT-ICS)。针对核设施、制造工厂、智能电网或连接的医院环境的网络安全入侵可能会对基础设施造成巨大破坏,并导致生命损失。
这就是为什么安全在每个IIoT系统中都如此重要的准则。在任何IIoT部署中,安全既不能单独考虑,也不能事后考虑。过程、人员和事物——所有IIoT架构的三个组件——决定了其物理安全性和信息安全性需求。工业物联网安全包含完整的解决方案生命周期,本书提供了对大部分问题的安全指导。对相关行业的独特安全特性的认识和理解、风险评估、跨产品生命周期的缓解以及安全设计原则是任何成功的IIoT业务策略的核心。否则,代价高昂的安全威胁所带来的损失可能远远超过IIoT对社会和经济所带来的收益。1.3 网络安全与网络物理物联网安全
网络安全是互联网孕育出来的。随着网络的发展,存储在给定网络域中的信息(数据)和智能(软件程序和应用程序)变得更容易被非法访问。为了防止此类访问及其后果,网络信息安全成为一门不可或缺的学科。网络安全通常可以定义为保护计算系统(服务器、应用程序端点)、数据和网络免受未经授权的访问、恶意攻击以及其他形式的故意和无意损害的过程、协议和实践的技术栈。
工业互联网安全可以被看作网络安全的一个超集,因为工业互联网安全还包括网络物理系统的安全。什么是网络物理系统[1]
网络物理系统(CPS)是指任何与物理世界交互的网络连接设备,例如连接到数据网络的恒温器。在工业环境中,网络物理系统的一个常见示例是工业控制系统(ICS)。ICS是一个通用术语,用来描述可用于控制工业过程的各种控制系统和仪器,这包括从控制逻辑较少的小型控制器模块到大型控制器。
大规模集成电路通常使用数据采集与监控(SCADA)系统、分布式控制系统(DCS)或可编程逻辑控制器(PLC)进行部署,所有系统都接收来自远程传感器的数据,远程传感器测量过程变量(PV),将这些数据与所需的预设点(SP)进行比较,并派生出命令函数,这些命令函数可通过最终控制元件(FCE,如控制阀)来控制一个过程。
当一个CPS连接到一个外部网络(比如一个集中的云基础设施)时,我们可称其为一个网络物理物联网。图1-3是对ICS或网络物理系统的概括。该系统可以控制汽车的发动机性能和加速度,也可以用来控制电网中的温度。
在网络安全方面,主要关注的是保护数据本身,个人资料隐私及身份保护是首要工作。在网络物理安全的情况下,可见的控制很重要。例如,如果一个发电厂的温度传感器被黑客远程攻击,那么它会错误地输出非常高的温度值,进而导致控制系统关闭整个发电厂。在相反的情况下,也就是说,如果传感器的输出远低于它应该输出的值,那么控制动作可能会导致更危险的后果。图1-3 ICS功能流程图(NIST-800-82r2)
任何CPS/ICS系统的一般特征包括:·能够通过通信信道与物理环境进行交互,以接收输入(如温度)和反馈。在这种情况下,与网络攻击不同的是,攻击者可以通过远程触发一系列动作,在不破坏系统的情况下造成损害。这些行为可以被感知,进而导致CPS表现出意想不到的行为,这更加表明保护通信信道和终端设备的必要性。·管理和控制通常是分布式的。·关于读数、状态和信任的不确定性。·涉及具有确定性性能要求的实时控制循环。·从地理上来说,可以分布在一个大的区域,而组件所在的位置缺乏物理安全。
这些特性使得网络物理安全比网络安全更加复杂。在CPS中,由于环境的相互作用,安全漏洞会对物理环境安全产生影响。
这就要求网络物理控制系统具有内在的弹性。当一个控制系统暴露在异常状态下,包括有意和无意的错误、恶意攻击和干扰时,它能够保持状态感知和良好的稳定状态等级,意味着它具有弹性(RIE-GERT)。[2]Barry Boehm等人将safety与security区分如下:safety指系统不得损害世界;security指世界不得损害系统(IOT-SEC)。[1] 英文全称为Cyber-Physical System,也译为信息物理系统。——编辑注[2] Barry Boehm,Axelrod,W.C.,Engineering Safe and Secure Software Systems,p.61,Massachusetts,Artech House,2013。1.4 工业“物”、连接和运维技术
在ITU-T Y.2060中,我们在IoT背景下有了以下关于设备和事物的定义(ITU-IOT):“设备:具有强制性通信能力,具有传感、执行、数据捕获、数据存储、数据处理等可选能力的装备。事物:物理世界(物理事物)或信息世界(虚拟事物)的对象,能够被识别并集成到通信网络中。”
在IoT环境中,通信和数据解码能力是工业“物”的固有属性。随着工业数字化和连通性的不断提高,工业“物”包括广泛的设备,从低内存、功率和计算占用开始。除了物理资产,其也包括虚拟对象。例如,某些IoT云平台使用数字“孪生”概念,这是其物理对等物(如风力涡轮机)的精确数字复制,以便获得更好的预测,也更容易访问CPS,进而实现高效的故障检测和修复。
从某种意义上说,属于IIoT范畴的技术和平台为提高流程效率和优化水平奠定了基础,开创了新的商业模式和收益模式。连通性是这些进步的一个不可或缺的方向,不幸的是,其带来的另一面是网络威胁。随着标准连接技术取代专有的工业协议,在IT领域常见的威胁(如恶意软件、数据渗漏、未经授权的远程访问等)也越来越适用于工业网络。1.4.1 运维技术
运维技术(OT)是指用于检测或诱导物理过程变化的硬件和软件,其涉及直接监视和控制物理设备(如阀门、泵等)的技术。例如,考虑发电站或铁路机车制造设施的ICS/SCADA系统所涉及的计算和连接技术,该系统监视和控制各种物理系统和工厂程序。
随着物联网行业加速发展,在典型的行业部署中评估当前的工业资产和技术,并确定在不损害弹性的情况下向更高效率过渡的实际机制是很重要的。因此,在深入研究工业物联网安全之前,本节将讨论目前流行的工业设备、系统和技术。1.4.2 机器对机器
虽然机器对机器(M2M)常常与IoT混淆,但在过去的二三十年里,它一直存在于各行各业。一般来说,M2M指的是这样一种技术,它使机器能够在不需要人工干预的情况下交换信息并执行操作。因此,M2M是IoT发展的基础。引用GART-IOT的话:“M2M系统的关键部件是:现场部署的带有嵌入式传感器的无线设备或具有互补性有线接入的RFID无线通信网络,包括但不限于蜂窝通信、Wi-Fi、ZigBee、WiMAX、无线局域网(WLAN)、通用DSL(xDSL)和光纤接入(FTTx)。”
蜂窝移动M2M通信行业的发展可以追溯到1995年,当时西门子开发并发布了一款名为M1的GSM数据模块。M1基于西门子手机S6,用于M2M工业应用,它使机器能够通过无线网络进行通信。
在工业领域,除了远程监控和现场资产控制之外,M2M遥测是一个非常常见的用例。1.4.3 SCADA、DCS和PLC概述
SCADA是一种分布式控制系统架构,用于控制地理上分散的资产。分布式系统(如电网、油气管道、配水、铁路运输等配电系统)均高度依赖于集中数据采集和控制。SCADA控制中心通过长途通信网络监控现场站点的警报和数据,这些来自远程站点的信息用于将自动化或操作人员驱动的监视命令推送到远程现场设备(本节稍后将讨论),以控制本地操作,如阀门的开启/关闭、断路器的关闭、传感器数据的收集等(NIST-800-82r2)。
DCS在功能上类似于SCADA,但它通常用于连续性制造程序的本地控制,如发电厂的燃料或蒸汽流量、炼油厂的石油以及化工厂的蒸馏。由于DCS将控制功能定位在工厂附近,因此对于控制室位于附近的情况,DCS是一种更经济、更安全、更可靠的选择。
PLC在大多数工业过程中被广泛使用。PLC是固态闭环控制系统的组成部分,在SCADA和DCS中用于对汽车装配线等离散过程进行操作控制。
DCS和PLC通信是在工厂或设备内实现本地化的,它们使用的是可靠且高速的局域网(LAN)技术。相反,SCADA系统覆盖更大的地理区域,需要考虑远程传感器网络中的远程通信挑战、延迟和数据丢失。
集成电路是一种包罗万象的工业技术,通常包括SCADA、DCS和PLC功能。1.4.4 工业控制系统架构
ICS(工业控制系统)是一个通用术语,指用于执行本地和远程设备资产的数据采集、监视和管理控制的工业系统。前面我们讨论了SCADA、DCS和PLC,它们是分布式资产和操作的集中监视和控制的基本构件,这些资产和操作有时分散在数千平方公里的范围。图1-4显示了制造控制系统的各个功能层次。图1-4 计算机化制造的功能层次
根据上图,我们了解到以下情况:·现场设备(如传感器和控制阀)位于层次0。·工业微控制器和输入/输出(I/O)模块位于层次2。·控制室的组成部分位于层次2,包括带有综合过程信息的监管计算机和操作员控制屏幕。·在层次3表明生产控制主要涉及生产活动和资产的监控。·生产调度函数在层次4中被捕获。
现场设备是远程站控制的设备,根据来自中央控制站的自动化或操作人员驱动的命令进行操作。这些控制站根据从其他远程站接收到的信息来生成命令,例如,打开或关闭阀门和断路器、从传感器系统收集数据、监视本地环境的警报条件等(NIST-800-82r2)。
这些特定行业的组件与数字或模拟系统交互,并将数据暴露给外部世界,它们提供机器对机器、人对机器和机器对人的能力,以便集成电路交换信息(实时或接近实时),从而支持IIoT背景下的其他组件。这包括传感器、解释程序、翻译程序、事件生成器、日志记录器等。
工厂设备和装置包括传感器、执行器以及控制阀等,它们根据集成电路的命令进行感知和操作。
图1-5显示了ICS/SCADA系统的各个组件。图1-5 SCADA系统的功能组件(NIST-800-82r2)
ICS组件和数据网络
这里提供了各种ICS/SCADA控制组件的概述:·控制服务器:控制服务器托管监控软件(用于DCS和PLC),通过ICS网络与下属控制设备进行通信。·主终端(MTU):MTU或SCADA服务器在SCADA系统中充当主导者,而远程终端单元和位于远程现场站点的PLC设备充当服务者。·远程遥测单元(RTU):RTU支持SCADA远程站的数据采集和控制。作为现场设备,RTU配备了有线和无线(无线电)接口。·智能电子设备(IED):这是智能传感器/执行器,包含获取数据、与其他设备通信以及执行本地处理和控制所需的功能。IED可以将模拟输入传感器、模拟输出、低级控制能力、通信系统和程序存储器集成在一个设备中。·人机界面(HMI):HMI通常驻扎在集中控制室,包括软件和硬件,允许操作员监视状态流程控制、修改控制设置、配置设置点和控制算法,并在出现紧急情况时以手动操作替代自动操作。HMI显示流程状态信息,并向通常可以上网的监管人员报告。·历史数据和IO服务器:历史数据是一个集中的数据库,用于记录ICS中所有处理过的信息,支持各种计划和报告生成的功能,而IO服务器收集和缓冲来自PLC、RTU和IED的信息。
ICS网络组件
工业控制网络涉及控制等级各个层次之间的大量连接,如图1-6所示。
现场设备和传感器通常与现场总线控制器通信,现场总线控制器可以唯一地识别它们。对于长距离SCADA通信,使用路由器连接局域网和广域网。使用工业防火墙实现网络隔离策略。防火墙支持对特定网段上的资源进行基本的访问控制。此外,根据深度包检查(DPI)功能,也有可能进入协议级过滤。考虑一个带有DPI的防火墙示例,它可以查看Modbus通信流,以管理基于数据源的读、写和读/写权限。
考虑到OT流量的性质和涉及的协议,这些防火墙与IT或下一代防火墙有很大不同,我们将在后面的章节中更深入地讨论这一点。在SCADA系统中,调制解调器仍然用于MTU和远程现场设备之间的远程串行通信。DCS和PLC使用调制解调器和远程接入点获得对现场站点的远程访问,用于操作、维护和诊断目的的命令、控制和配置更改。例如,使用个人数字助理(PDA),通过无线接入点在局域网访问数据,使用笔记本电脑和调制解调器的连接来远程访问ICS系统。
现场总线协议
ICS网络包含确定性的、严格的控制环路。现场总线是指用于实时分布式控制的ICS网络,这些协议通常被定义为满足特定行业垂直的需求,是专有的,因此互操作性有限。这样的例子包括通用工业协议(CIP)、Modbus(Modbus-serial、Modbus-TCP)、DNP3、Profibus、Profinet、Powerlink Ethernet、OPC、EtherCAT、HTTP/FTP、GOOSE、用于自动化变电站的GSSE(在IEC 61850标准中定义)等。
其中,许多协议既支持串行协议又支持基于以太网的TCP/IP协议,它们早在20世纪60年代就开始部署了。这些协议中存在许多漏洞,这些漏洞将在第5章中讨论。图1-6 分布式ICS/SCADA连接图(NIST-800-82r2)
总之,OT技术的发展方向与信息技术大相径庭,其生命周期长达数十年。在工业操作中,最大限度地增加设备的正常运行时间是至关重要的。因此,今天的许多工业部署都遵循旧的技术方案,这些技术方案从来没有考虑到安全性和互操作性,了解这些技术对于规划和设计安全的IIoT架构来说非常重要。
尽管现在已经出现OT部署的安全技术,但工业互联网通过最先进的软件、固件和连接范式进一步拓展了边界,因此需要在思维模式上进行转变。1.5 IT和OT结合:真正的含义
工业系统产生大量的数据,工业互联网和工业4.0的引入正在推动这一领域产生的数据环境的变化。例如,在制造工厂中,传感器产生的数据可以用于控制和执行,可能包含遥测和诊断数据。后者可能不会被控制级设备立即处理,但是这种遥测和诊断数据可以通过更高的业务应用功能进行分析,以实现过程优化、异常检测、预测性维护和其他增值应用。
传统上,工业企业将其业务和IT领域分开。OT和IT领域的操作动态也很谨慎,这对物联网有两大影响:·物联网解决方案涉及连通性和硬件/软件解决方案,由相当复杂的供应商生态系统提供。一些物联网解决方案(如联网汽车、车队管理等)涉及多个工业垂直领域的技术,这要求对系统联动操作有更大的需求。这些因素正在推动OT环境向开放的、基于标准的、基于IT的解决方案过渡,如互联网协议栈、容器化软件平台等。·物联网主张利用机器和传感器数据的价值来创建高效的流程和服务,执行高级分析的集中式云平台是IIoT架构的重要组件。OT平台和ICS/SCADA网络现在使用基于IP的通信连接到云。这种无处不在的连通性将企业暴露在新的网络风险和攻击载体中,提高了企业IT和OT网络安全互联的必要性。
虽然传统工业部署(棕地)可能继续存在,但IIoT也是优先考虑安全性和将安全性集成到新架构中的主要推动者。
从安全的角度来看,IT和OT的融合是将OT环境中的安全和可靠性原则与IT环境中的网络安全原则相结合。现在是时候让工业安全的意义变得清晰,并且让工业终端用户更容易理解和确保安全了,这是一个需要系统性投入的关键问题。1.6 工业物联网部署架构
虽然IIoT架构有许多特定于用例的变体,但在本节中,我们将考虑一个基本的示例架构,随后的章节也将介绍多个IIoT参考架构和基于相应架构的案例学习。
大多数物联网部署都涉及新旧技术。在图1-7中,该架构的主要组件是:·传感器网络(通过Wi-Fi/BLE进行通信)·控制器/聚合器·连接工业系统和基于云分析平台的边缘网关·用于数据可视化和视图的业务应用程序图1-7 典型的IIoT部署架构在本书中,常使用“绿地”(greenf ield)和“棕地”(brownf ield)这两个词。前者指的是从零开始开发IIoT用例,而不是在现有部署的基础上构建的;后者是指在现有部署的基础上构建。
如图1-8所示,在棕地部署的情况下,SCADA网络通过边缘网关连接到云,需要在入口和边界设备的出口进行流量安全控制。图1-8 用于ICS/SCADA系统的棕地IIoT架构
对于大型风电场,远程风车单元由ICS/SCADA系统控制。随着IIoT的使用,风电场与基于云的IoT平台相连,风力涡轮机的数据被发送到数据中心、在云中进行分析等。涡轮数据必须通过一个边界设备,可能是网关、中心集线器或边缘控制器,这种边界设备从风电场传感器收集遥测和诊断信息。在这个边界设备中,会发生许多协议握手和数据转换,因此,它为攻击者注入恶意软件提供了一个最佳位置。易受攻击的边界设备需要加强安全防范措施,例如,深度检查数据包流的IT和OT协议(MODBUS、TCP和UDP)数据,对于检测异常非常重要。
在这种环境下,涉及多个供应商和技术的部署,可能会产生较多失误、疏忽和错误配置的情况。因此,必须有足够的可见性,才能准确地看到OT网络中发生了什么。在传统的OT网络中,与IT网络相比,在流量、源目标信息等方面存在严重的通信不可见性,这是因为,在历史上,OT环境被认为不会受到网络攻击的影响。此外,人们错误地认为专有技术和隔离方案在设计上是安全的。1.7 IT和OT安全基础的差异
为理解IIoT安全的范畴,我们需要正确地看待信息技术和物联网的不同操作流、优先级以及过去几十年的发展,这种差异也会影响安全方案。在OT环境中采用基于标准的IT技术需要采用IT安全的最佳案例,然而如果不能提高工业系统的安全性和可靠性,以及提高保护物理资产和过程的能力,那么这些案例必须保留,这些显著的特征使IIoT安全成为我们必须要战胜的挑战。1.7.1 操作优先级
图1-9说明了在安全操作上IT环境和OT环境中的优先级的比较。图1-9 IT和OT的不同优先级
在保护ICS和SCADA网络时,要优先保护工厂、人员和过程。工业控制涉及工程过程(例如,阀门的开启/关闭、使能量水平升高/降低等)。这些控制和命令必须以确定的方式运行。因此,虽然工业控制在技术上不是安全架构的组成部分,但安全方法必须适应工业控制要求。
在IT网络中,检查网络层流量可能就足够了,但是为了保护OT环境,工业防火墙应该执行深度包检查,以监视和分析应用层中的实际命令。
OT系统和基础设施的可用性将根据优先级进行说明,随着数据中心模型和物联网的引入,数据完整性在某些用例中可能比可用性更加重要。
在IT环境中,数据机密性、完整性和系统可用性是主要的优先级顺序(不一定按任何特定顺序排列,如在某些用例中,系统可用性优先于机密性)。1.7.2 攻击面和威胁对象
在IT和OT环境中,攻击面有很大的不同。在IT环境下,攻击面是以不断发展和交织的技术堆栈为特点,使攻击面极具流动性和动态性;IT数据通信主要是分层的、纵向的。IT网络安全方法通常是基于威胁的,不断为新的恶意软件和病毒填补漏洞。IT环境下,威胁对象(攻击者)通常以金钱利益为目标,从事从小型到大型的有组织的网络犯罪。
在OT环境中,虽然过程和控制是确定的,但攻击面可能非常庞大。多样化的部署方式会招致多渠道的恶意或无意的网络攻击。在OT中,攻击面横向扩散,因为没有很多流量穿过DMZ。OT网络风险包含完全不同类型的对象。在ICS中,攻击者通常不追求金钱,而是涉及国家行为主体,其主要动机是在商业、国家或政治领域造成大规模破坏。
图1-10展示了典型工业用例中的攻击面。图1-10 IT和OT域中的攻击面
关键基础设施的相互依存
通过大量信息和通信技术,工业系统在物理上以复杂的方式高度互联和相互依赖,这种依赖性常常导致多个组织或业务实体的相互作用。
在关键基础设施中,这种协作模型通常被称为系统的系统(system of system)。工业互联网和工业4.0进一步强化了这一概念,因为工业物联网解决方案通常涉及多种技术、系统和生态系统相互合作,系统中任何一部分的故障都可直接或间接地影响到其他连接的系统。
以电力传输SCADA系统为例,在该系统中,通过中断无线通信网络可引发级联故障。在缺乏足够的监测和恢复能力的情况下,这种故障可能导致一台或多台发电机组脱机,这反过来又会导致变电站断电,进而造成严重失衡,引发整个电网的级联故障,最终将导致大规模停电,并可能影响到依赖电网发电的石油和天然气生产、炼油厂作业、水处理系统、废水收集系统和管道运输系统等。
表1-1总结了IT和ICS安全的不同特性(在一个前期工业物联网环境中)(NIST-800-82r2)。表1-1 IT和ICS中安全优先级的比较
尽管存在这些差异,但需要注意的是,IT和OT安全在某些领域存在并集,根据Gartner的80/20经验法则(GART-IIoT),随着OT中越来越多的IT技术被采用,OT所面临的安全问题80%都是相同的,而剩下的20%则是分散的,涉及诸如人员、环境和系统等关键资产。
关于物理隔离OT环境的话题,以下是来自GE-Wurldtech研究报告(WLT-ICS)的一些综合指导:“如果工业资产的一部分与互联网(或其他脆弱的企业网络)隔离开来,它们就不会受到网络攻击,这一普遍看法在高度互联的企业中已不再适用。虽然工业网络的物理隔离是可能的,但有几个原因可以解释为什么这对工业企业来说不是一个可靠的安全措施。例如,Wi-Fi、以太网端口和USB端口都存在易受攻击的地方。公司与外界之间的文件传输是不可避免的,因为黑客可以通过这种文件传输来安装恶意软件以渗透到组织的网络中。越来越多的公司鼓励员工采用自带设备(BYOD)的模式,然而,通过被盗的个人设备进行网络攻击的可能性很高。即使一个工业网络是完全安全隔离的,它也仍然容易受到内部员工意外或故意破坏的潜在威胁。控制这种内部攻击载体的唯一方法是持续监测网络并实施严格的访问控制机制。”
总之,在构建IIoT安全策略时,ICS和IT系统在操作流和风险模式上的差异需要仔细考虑。为了对抗这些采用IIoT而暴露出来的新的攻击载体,工业企业需要予以关注。在OT中仅仅应用传统IT安全的方法可能会引发更多的问题。因此,需要评估OT基础设施特有的漏洞和攻击面,需要采用IT端存在的安全最佳方案,如增加对资产和流量的可见性。IT和OT之间“安全标准”的衡量需要考虑人和环境安全。OT专有的漏洞需要优先处理,现有的安全缺口也需要解决。1.8 工业威胁、漏洞和风险因素
正如我们在前一节中看到的,除了物理安全和弹性之外,关于IIoT安全的讨论都需要考虑信息保障(IA)的核心因素。在IIoT中,数据的机密性和完整性与控制的弹性以及物理资产和人员的安全性一样重要。基于此,我们将IIoT安全的定义如下:·机密性:保护敏感信息不被泄露,维护数据私密性。·完整性:信息在没有检测到的情况下没有被无意或有意修改。·身份认证:数据被已知实体访问,同时确保该数据属于已知身份或端点(通常遵循身份认证)。·不可否认性:确保个人或系统以后不能否认执行了某个操作。·可用性:确保信息在需要时可用。
除了这些核心之外,弹性和安全性的原则被定义为:·弹性:确保工业控制系统在应对干扰(包括意外和恶意的威胁)时保持状态感知和正常运行水平的能力。·安全性:确保在发生攻击时,受影响的系统不会对环境或人造成危害或损坏。
在这些IIoT安全原则的基础上,让我们研究与联网工业系统相关的典型威胁、漏洞和风险因素。1.8.1 威胁和威胁对象
威胁可以定义为对给定系统的潜在攻击,威胁对象指的是那些触发或施加攻击的敌人。在工业系统中,例如风力涡轮机,威胁对象可能是大自然或人为破坏。
在IIoT中,威胁会影响信息和物理环境,数据的机密性和完整性——无论是控制还是有效载荷——都存在被利用的可能性。对IoT平台、软件和固件的未经授权的访问和操作也是潜在的威胁。另一方面,IoT设备和控制系统暴露在物理可靠性、弹性和安全性威胁之下,控制系统的传输功能、状态评估滤波器、传感、反馈回路等也会被恶意攻击者盯上。例如,操纵传感器/执行系统可能导致控制阀传输危险的化学物,可能直接对环境或相关系统造成损害。
尽管一些公司声称拥有工业级的安全能力,但工业安全并没有“灵丹妙药”。数字技术的应用暴露了新的攻击类型和攻击面。IIoT安全的一种实用方法是采用深度防御策略进行安全防护,其中每种防御机制都使攻击者更加难以对付。
深度防御方法(也称为城堡方法)是在IA中发现的一个概念,其中多层安全控制(防御)放置在整个架构中被保护,其目的是在任何一个安全控制失效或漏洞被利用时提供冗余,使系统仍将受到保护。这种防御机制可以涵盖系统生命周期内的人员、过程、技术和物理安全等方面。对于特定的场景,系统架构师需要考虑数据流是如何流动的,以及如何保证数据流的安全。在给定的环境中,确定哪些数据很重要且需要保护也是十分关键的。
在IIoT系统中,威胁对象包括:·网络攻击者:当前,攻击的复杂性不断增加,与暗网相关的金钱交易也在增加。即使不涉及金钱利益,网络攻击者也可能进行间谍、欺骗、恶意软件注入或发起DDoS攻击。·僵尸网络运营商:发动协同攻击,以分发网络钓鱼行动、垃圾邮件、导致DDoS攻击的恶意软件或勒索软件攻击。·犯罪和恐怖组织:国家、国际商业间谍和有组织的犯罪组织也能构成威胁,可以控制程序、鉴别信息等,而且常常受到政治利益的驱使。·内部人员:内部人员造成的攻击可能是有意的,也可能是无意的。虽然心怀不满的内部人士可能是造成严重损害的威胁参与者,但WiFi/以太网/USB端口/BYOD可能无意导致恶意攻击。事实上,在企业中,无意的人为错误造成的事故比例更高。
其他威胁对象包括钓鱼者、垃圾邮件发送者、恶意软件/间谍软件作者、工业间谍等。1.8.2 漏洞
漏洞是指系统中固有的、可能使系统面临威胁的软件和硬件的脆弱点。系统漏洞可能是其设计、实施、测试或运营中的产物。漏洞不可避免,需要使用适当的测试和积极的补救手段来处理。
部署中的任意漏洞都可能受到攻击,有经验的网络攻击者可以发现潜在漏洞,这使得攻击面更加复杂和可怕。在接下来的章节中,针对IIoT安全策略和对策,将更深入地讨论该话题。
以下小节包含适用于任何网络物理物联网安全计划(NIST-800-82r2)的常见漏洞的分类列表。
策略和过程漏洞
下面列出了一些策略和过程漏洞:·ICS安全策略不足。·缺乏正规的ICS安全培训和意识培训。·安全架构和设计不足。·缺乏基于ICS安全策略开发的文档化的安全程序。·ICS设备实施指南不足或不充分。·缺乏安全执行的管理机制。
平台漏洞
下面列出了一些平台漏洞:·在发现安全漏洞之前,可能不会开发操作系统和供应商软件补丁。·不维护操作系统和应用程序安全补丁。·未经充分测试便可实现操作系统和应用程序安全补丁。·不会存储或备份关键配置。·身份验证和授权不足,安全性更改测试不足。·关键系统的物理保护不足(位置,未授权访问)。·对ICS组件的不安全远程访问。·关键组件缺乏冗余。
软件平台漏洞
下面列出了一些软件平台漏洞:·在默认情况下,不启用缓冲区溢出和已安装的安全策略,包括拒绝服务(DoS)、密码未加密,以及对未定义、定义不清或“非法”的条件处理不当。·检测/预防软件未安装、沙箱不足、配置和编程软件的认证和访问控制缺失、入侵检测/预防软件日志记录不足、事件未检测等。
网络漏洞
以下列出了有关网络漏洞的主要注意事项:·安全能力不足的传统协议。·脆弱的网络安全架构。·未存储或备份的网络设备配置。·未加密密码,未设置密码过期策略。·应用的访问控制不足。·网络设备的物理保护不足。·不安全的物理端口。·非关键人员有权访问设备和网络连接。·关键网络的冗余度不足。·没有定义的安全边界,没有充分使用的防火墙,以及用于非控制流量的控制网络。·缺乏对通信的完整性检查。·客户端和接入点之间的数据保护不足。1.8.3 风险
风险可定义为漏洞被成功利用的概率和随后的相关损失。虽然安全漏洞是平台固有的,但风险指的是利用该漏洞造成预期损害的可能性。例如,用于处理会计数据的工业计算机可能正在运行具有已知的身份认证和远程访问控制缺陷的应用程序。如果这台计算机是安全隔离的,那么与这些缺陷相关的风险几乎可以忽略不计。然而,当连接到互联网时,相关风险会大大增加(IOT-SEC)。威胁和风险评估的流程序列如图1-11所示。图1-11 威胁和风险评估的流程序列(来自《Practical IoT Security Book》,Packt Publishing)
风险可以通过威胁建模(将在第2章中描述)来管理,这有助于确定与漏洞利用相关的可能的泄露、影响和总成本,有助于评估泄露对攻击者的重要作用以及他们发动攻击的技能水平等。风险管理实践有助于部署缓解策略。
棕地IoT部署引入的一些ICS风险例子如下:·应用具有已知漏洞的开放标准协议和技术·控制系统与外部网络和数据中心的连接·不安全的、欺骗性的连接·有关控制系统技术信息的广泛可用性1.9 网络物理攻击的演变
在过去十年中,工业界网络攻击的频率和复杂程度已经发生了显著变化。
在2000年以及相关的Y2K问题之前,网络攻击很少被报道,也不太复杂,通常涉及通过破解密码入侵计算机。而在过去十年中,攻击变得更加复杂,涉及勒索软件、恶意软件注入的拒绝服务攻击,以及数据欺骗等。不断增长的协作机制和多达10万个节点的僵尸网络的形成,共同描绘了一幅关于未来安全的暗淡前景。在巨额资金支持下,国家角色和网络犯罪分子可攻击一个国家的社会、金融和关键基础设施。网络攻击者的类别如图1-12所示。图1-12 网络攻击者的类别:类型和动机(改编自Frost and sullivan(FSV-IoT))
美国国土安全部(DHS)C级信息说明书(DHS-NCCIC)的网络安全要求工业企业领导人在日益紧密联系的行业环境中应优先考虑网络安全战略,它以Havex和BlackEnergy为例,强调了恶意软件攻击的增长速度和复杂程度。Havex作为远程访问木马(RAT)运行,可以将未经授权的控制命令注入ICS/SCADA设备,并导致关键基础设施(如水和能源)拒绝服务攻击;而BlackEnergy则是另一种特洛伊木马类型的漏洞,可以入侵HMI软件以访问控制系统。1.10 工业物联网用例:检查网络风险缺口
基于目前的讨论,你可能会感受到工业互联网带来的巨大机遇。摩尔定律与移动技术和云计算技术的融合在多方面均实现了突破,包括预测服务、智能流程、高效控制、万物连接、更新的收益流以及(最重要的)更好的生活水平。
随着网络从最后一英里移动到最后一微米,现场传感器、水灌溉泵和汽车发动机正在转换为数据源和接收器。正如连接、分析和控制的协同随行业部门的不同而不同,安全漏洞、攻击面和网络威胁的属性也是如此。在本节中,我们将讨论一些特定行业的IIoT用例的网络风险缺口,这有助于读者正确看待本书其余部分所讨论的IIoT安全方法。1.10.1 能源和智能电网
发电和配电(智能电网)中的物联网连接是使公共事业公司与其零售商和企业消费者进行通信的重要案例,这种双向通信使得面向需求的能源生产以及燃料和成本优化成为可能(NIST-SMG)。有了智能计量系统,公共事业工作人员不再需要亲自到消费者的房子里去获得仪表读数,这使得计量和计费更加准确并节省了成本。在跟踪和报告使用情况方面的准确性使公共事业公司能够更好地了解客户的能源使用情况,从而能够优化使用并将使用时间从高峰时段推迟。
发电设施是一个“系统的系统”的典型例子,它具有高度分布式的控制系统和网络。一般来说,智能电网的实现主要依赖于有线和无线的TCP/IP网络。
在全球许多发电设施中,目前使用的网络防御实践往往已经过时。风险管理实践和安全控制的使用不足,例如,具有DPI能力和访问控制的工业防火墙,使这些设施暴露于网络风险之下。
对于关键基础设施,网络攻击对其的影响可能会波及其他相互依赖的系统,如水净化设施、智能城市交通控制系统等。在第9章中,详细剖析了电网网络攻击。
数据表明,能源部门更容易受到网络攻击,超过15%的工业网络
试读结束[说明:试读内容隐藏了图片]