恒耀新闻 恒耀(www.xinshuzdh.com)机器人新闻|智能自动化制造

恒耀平台:网络安全之战蔓延到传感器

普渡大学模型的最低级别也已成为想要攻击制造设施的黑客的目标。自动化供应商正竭力帮助用户防御传感器和其他智能设备。

工业物联网(IIoT)被证明是传感器的双刃剑。当然,它带来的连接性简化了安装并简化了收集数据的分发。但是IIoT还使黑客更容易使用传感器闯入工业网络并造成麻烦。

传感器和其他智能设备已开始引起黑客注意的另一个原因是,这些设备中的大多数都不是为网络安全而设计的。此外,它们旨在收集和传递网络中的数据。“这些设备中的漏洞可能使黑客能够劫持会话,更改数据或修改数据收集模式,从而欺骗最终用户(无论是人还是机器),”微软副总裁Dave Weinstein说。网络安全供应商Claroty的威胁研究。

漏洞分为两个基本类别。第一个是软件漏洞,黑客可以利用该漏洞在内部对控制网络本身或外部对其他目标发起攻击。第二类漏洞是硬件。可以通过操纵硬件本身的物理属性来发起攻击,例如使用声学或电磁波进行欺骗数据的传导攻击。

温斯坦报告说:“硬件漏洞虽然比较可怕,但并不常见。” “大多数事件都与软件错误有关,比硬件漏洞更容易解决。”

即使如此,这些漏洞也可能对制造业务构成严重威胁。艾默生自动化解决方案的应用程序,网关和安全技术总监埃里克·布劳恩(Eric Braun)指出:“攻击者并没有针对信用卡号或其他个人信息。” 当涉及到对工业控制系统(ICSs)的攻击时,许多肇事者正在寻求造成人身伤害。为了证明这一点,Braun指出了2017年在一家石化厂发现的Triton恶意软件,该恶意软件旨在该设施的安全系统。

黑客最有可能向传感器或类似设备发起攻击的媒介是来自Purdue参考模型的较高的,面向Internet的层。这种攻击通常是从某种网络钓鱼方案开始的。“攻击者将针对个人,并试图使他们打开恶意附件或单击恶意链接,” Braun解释道。“这些行为将使攻击者能够窃取凭据,浏览网络并向下探查Purdue模型的较低层。”但是,在一个分段网络中,防火墙保护着每个分段,但是黑客不太可能深入钻研网络。

新的攻击媒介

如今,黑客更有可能攻击不再位于普渡大学模型概述的层次结构底部的传感器。如今的IIoT设备可以与需要交换数据的任何人或任何人直接通信。通过这种连接,例如,用于焊接机器人的驱动器可以通过云将利用率数据传输到机器人的制造商。“可以说,根据我的工作周期,我将需要在大约17天零四个小时内更换一个特定的零件,” Phoenix Contact产品营销经理Dan Schaffer说。

由于这种数据交换有助于最大化性能和正常运行时间,因此该机器人直接与Internet通信,而不是通过常规控制层次进行通信。这种直接通信可避免遵循Purdue模型或ISA99和IEC 62443等安全标准的安全网络的逻辑分段之间存在的几层防火墙。“如果机器人的操作系统存在缺陷,则可以允许机器人执行成为缓冲区溢出或某种其他通信攻击的受害者。” Schaffer指出。

此类漏洞可能会偷偷偷偷抓住最初根据Purdue或其他模型设计制造运营网络安全性的用户。沙弗说:“这些用户认为他们遵守该模型,但实际上并非如此。” “他们认为自己遵循的是最佳做法,但没有这样做。”

在吸引用户以这种方式放松警惕的设备中,有IP摄像头如今已经无处不在。Schaffer说:“视觉图像正成为过程数据的关键流。” “摄像机是廉价且易于部署的技术,可让您立即了解给定位置的情况。”由于这些设备通常在设计时就没有考虑网络安全性,因此从远程位置通过Internet传输的视频流很容易成为攻击。向量。

为了将观点带回家,Schaffer指出了两个漏洞,即溢出漏洞和身份验证漏洞,这些漏洞是最近在深圳云妮科技公司广泛使用的对等软件iLnkP2P中发现的。超过200万的IoT设备(包括IP摄像机)受到影响。黑客有可能利用这些漏洞来拦截视频流和窃取设备凭据。

不受保护的IP摄像机也属于IoT设备,容易受到银行业首次发现的Emotet Trojan恶意软件最近变种的攻击。新的变体将IP摄像机和其他IoT设备用作命令和控制攻击的代理,从而允许Emotet通过中介而不是直接与命令和控制服务器进行通信。

Phoenix Contact的mGuard安全路由器和其他设备可以用作工业网络中的防火墙。

抵御攻击

为了防范此类威胁,安全专家呼吁用户确保其传感器和智能设备安全地藏在合适的防火墙后面。而且,因为没有网络是不可渗透的,所以他们进一步建议用户制定一种防御策略,包括将网络划分为逻辑段以包含可能发生的任何入侵,并监视流量以检测并阻止这些入侵。

为了支持这项工作,自动化供应商推出了许多可用作工业网络中的防火墙的设备。例如,Phoenix Contact的FL mGuard网络安全设备系列包括工业级路由器和集中器。甚至公司的I / O设备和安全桥也旨在支持网络安全。此类设备使用加密来保护数据和身份验证协议,以仅允许授权流量。他们还可以根据流量的来源,来源和流量类型来主动阻止流量。

Schaffer说:“该技术与IT人员在其数据中心中使用的类型相同。” 但是,最大的不同是Phoenix Contact和其他自动化供应商正在将其用于控制柜的技术打包到工厂车间。这意味着设备经过了加固,可以承受制造设施中通常存在的湿度,温度和电磁干扰。另一个重要的区别是,这些工业安全设备设计为由控制工程师管理,而不是由管理生活网络的IT专家管理。

艾默生在其基于WirelessHART协议的无线技术中融入了许多相同的防御原理。“ WirelessHART在保护传感器网络方面已经做了很多工作,” Braun报告。“事实证明,它是某些未受保护的有线网络的非常安全的替代品。”

内置的安全措施可防止多种网络入侵,包括重播攻击,窃听,欺骗,中间人攻击和拒绝服务(DoS)攻击。例如,WirelessHART支持层并使用AES-128位加密使用多个密钥对所有数据进行加密。“此外,网络上的所有设备都经过了身份验证,因此用户不必担心不必要的或无赖的活动,” Braun说。

实际上,图尔克工厂自动化产品经理Aurel Buda表示,无线通信中的加密传输目前填补了Purdue模型较低层的空白。他说:“除无线通信系统外,自动化领域中几乎没有任何现场协议支持加密。”

Buda之所以缺乏支持,部分原因是制造公司试图在自动化和IT网络之间保持分离。在过去,人们认为这种分离使确保现场级通信成为不必要。Buda缺乏现场支持加密的另一个原因是金钱。他说:“安全的通信是有代价的。” “考虑到大型设施由数千个现场设备组成,使用本质安全的组件将大大增加其成本。”

入侵者侦察兵

结合关闭未使用的端口的做法,控制允许通过防火墙的流量将限制外部人员否则可能对网络具有的可见性。Schaffer指出:“不知道网络上的内容会使执行任何操作变得更加困难,更不用说恶意了。” “很难攻击看不见的东西。”

尽管良好的网络防御将努力使网络上的设备对于黑客来说尽可能不可见,但它将努力使对监督网络的授权人员的可见性最大化。“您无法保护看不到的东西,”韦恩斯坦解释说。“因此,用户至少必须提高其OT(运营技术)网络资产的可见性,以包括普渡模型0级和1级的那些传感器和其他设备。”

对于Weinstein而言,可见性已不仅仅是将它们添加到包含网络上的设备及其配置设置列表的详细清单中。可见性还包括检查这些设备之间的通信的能力。他说:“工业网络安全要求对每种资产的功能以及设备之间的关系有深入的了解。” “只有从网络的各个角落剖析和关联这些过程自动化对话,才能实现100%的可见性。”

为了帮助用户实现此目标,Claroty开发了使用多光谱数据采集(MDA),被动监视,主动查询和应用程序数据库解析的组合的工具。通过被动收集,这些工具可以自动盘点设施的资产并描述每种资产的通信模式。主动查询是用于收集无法通过被动监视收集的那些详细信息的目标过程。由于一些最丰富和最新的资产数据位于用于从备份还原系统的配置文件中,因此MDA还会解析这些大而复杂的二进制文件。模式的结果集合构成了Claroty软件用于检测安全问题的基准。

但是,最终,所有安全措施的可见性范围必须使传感器和其他设备处于保护网络其余部分的同一网络安全保护范围之内。Buda说:“保护自动化基础设施需要全面的网络安全概念,而这些安全概念必须在定期审核中进行重新评估。”

Tags:

发布: admin 分类: 智能自动化 评论: 0 浏览: 3
留言列表