文档中心
/catalog/4bb0343d66c24bd889666591a20d6827//Document/259967305744453.html/Document/259605852491845.html/Document/257095105118277.html/Document/256770076913733.html/Document/250406147940421.html/Document/250029127565381.html/Document/245455754592325.html
工业网络安全:保护制造企业的数字化和智能互联(四)

导读:

本栏目系列文章将筛选国际上具有借鉴价值的工业制造业软件质量领域行业报告进行翻译整理,最后结合我国行业现状做出解读以及建议。本文为报告第一章部分,主要介绍了美国制造行业面对的网络安全威胁。整个报告预计分为7篇文章发布,最后一篇为国内专家解读,敬请关注。

第三章

建立一个国家层面的关于制造网络安全的倡议

研发挑战和机遇

所有的制造企业都应该尽快利用现有技术和实践来减少网络威胁,还需要继续进行不断的研究,开发新的工具和技术。由于数字化制造技术的多样性和折衷性,以及制造企业与整个供应链中各个公司网络的普遍集成,这项研究需要的资金和组织实力不是单个工厂或公司层面可以支撑的。必须有国家、行业和学术机构共同参与。所需的工具和技术包括:

1.强大的零件验证技术

2.自动化风险评估和检测工具

3.用于审计攻击范围和性质的工具

4.对新兴威胁和漏洞情况进行共享、分析和优先级排序

5.用于收集情报的蜜罐(Decoys)

6.具有跨领域适用性的参考架构

零件鲁棒验证技术

由于制造系统通常由多个独立采购的组件组成,因此必须进行部件和材料的可靠性验证,以确保制造系统和所生产产品的安全性。由于遗留系统的使用寿命以及所使用的机器和流程的多样性,这一挑战对制造商来说是重要且独特的。

为应对这一挑战,需要对方法进行研究,提供适用于传统设备的部件验证和风险评估,其中包括:

➤ 识别现有攻击向量的技术

➤ 预测未来安全漏洞的方法,因为今天不是漏洞的东西明天可能会成为漏洞(例如,远程密钥)

➤库存系统,用于维护制造参数(零件的制造地点、时间和方式)和生命周期中使用过的零件数据

➤ 在具有广泛功能和控制器的多个供应商的不同时代的机器之间建立信任的方法

➤明确对手如何成功攻击网络或物理目标的防御能力

在现有技术中,攻击图是描述系统漏洞的一个很好的手段,对设计响应式安全措施也很有帮助。基于红队攻击发现,这些图通常是手动构建的,手工构建的模式限制了可以分析的系统的规模。而自动攻击图生成器将有助于对制造业中常见的大型多样系统进行分析。

自动风险评估和检测工具

NIST 网络安全框架表明,有效控制网络安全风险,需要建立使用自动化安全评估风险和检测威胁的机制。然而,当前的大多数标准采用的都是手动检查的形式。例如,我们以往通常使用的评估方法渗透测试,它不能扩展,依赖于人工,不能提供持续的评估。持续评估非常必要,值得我们关注。因为被攻击者通常并不知道他们何时受到攻击,他们也无法实时检测攻击。随着系统的网络物理系统变得越来越庞大、相互关联程度越来越高,检测系统必须比人工检测团队更快、更稳健地做出响应。需要研发创建可以在 运营技术 环境中安全使用的持续、自动化测试来取代渗透测试的技术。

实现自动化风险评估和检测,制造商需要:

➤ 可以验证零件是否正常组装的监控功能

➤ 能够利用从车间采集的数据

➤具有分析用户和员工行为的能力

➤ 监控通信模式差异的能力

➤ 可以保护数字签名的技术解决方案(例如,区块链等分类账技术)

通用风险评估工具的开发也很关键。每个制造商,无论大小,都面临着必须管理的风险。对于每家公司来说,针对出现的每种新威胁重新设计自己的保护或缓解措施效率低、成本高。因此,研究界必须开发可针对独特风险模型量身定制的通用风险评估工具。

审计攻击程度和性质的工具

除了开发预防和阻止网络攻击的工具外,还需要进一步研究和改进针对已经得逞的攻击进行审计的工具。为了确保攻击已经被完全审计,需要有检查数字签名的能力,因为攻击者可能试图掩盖其踪迹。一个可用的解决方案是使用自动分类账技术防止修改数据中的数字签名,如区块链。理论上,区块链数据在设计上是安全的,可以适用于维护零件和交互过程(processes)的全生命周期数据。

在将技术应用于制造过程之前,必须实现实时创建区块链或类似安全数据的能力。目前已经在进行了许多研究和实施工作,将区块链技术应用于金融以外的行业。例如, 芬兰的 Kouvola Innovation 正在测试区块链在供应链管理中的使用。内华达州的一家初创公司 Filament 正在利用区块链构建传感器的分布式通信网络。IBM、英特尔、飞利浦和其他公司也正在将区块链的使用扩展到各个与制造业有关的领域。

安全情报的共享、分析和优先级排序

为了使这些通用的风险评估和审计工具真正有效,制造商需要在确保安全的前提下建立数据共享机制。ISAC/ISAO 或类似组织(建议 3)可以有效地收集整体数据。通过工具来尽可能接近实时地分析数据,尽可能以自动化的方式为制造社区提供可操作的安全情报。共享信息中确定的模式、趋势和影响将有助于减轻现有攻击造成的损害。同时还要向供应商和安全社区通报漏洞、补丁要求以及加强未来系统设计的方法。

情报收集蜜罐(decoy)

要想创建强大的数据存储库必须要针对制造企业和其他行业的攻击的详细信息进行编译,但是由于报告不严格或缺乏对已发生攻击的了解,不可避免会出现漏洞。红队和白帽黑客可以填补其中的一些空白。另一种收集更多安全情报的方法是使用结构良好的蜜罐程序。从蜜罐中收集到的情报,结合从实时漏洞中收集的以及白帽黑客发现的威胁和风险数据,有助于制造企业识别和分析风险趋势,改进系统的网络安全。确保蜜罐的性质(nature) 将成为最重要的问题。

具有交叉适用性的参考架构的开发

在现代,越来越多的工业传感器到驱动(包括“人在回路”human-in-loop)控制系统通过计算机和网络数据通信进行管理。

信息物理系统安全参考架构定义了 信息技术\运营技术的功能、标准和集成要求,这些要求通过全方位的制造设备接触点、多样化的运营模式、和企业以及不同的供应商的控制、建模和自动化平台多个方面去协同解决。制造参考架构的属性可参考NIST CPS 框架。架构应该反映充分解耦的关键功能层,以便可以修改和替换每一层,而不会无意中影响其他层。层通常包括物理组件、网络系统、数据管理、应用程序以及协作和业务流程。图 4 展示了一个面向制造的通用参考架构的示例。

 

图4.面向制造的通用参考架构。

安全检测工具 

包含传感器和执行器的组件可以在一定程度上物理位置和时间。运营技术和信息技术组件的特征应该使用标准化的组件/服务定义、描述和组件目录来明确定义。对遗留组件集成和迁移的支持应该包括物理工件、软件、协议、语义和其他关键属性。数据交换是一个重要方面,数据的性质及其可靠性、类型、身份和强制性透露都是关键属性。由出于保密、丰富数据或者其他的数据汇总需求的原因,数据通常被“融合”或与其他数据结合。访问通常受到“权利”或“特权”的限制。为了支持灵活性,组件的定义需要灵活和开放。

该架构应支持虚拟系统创建,可以适应不同的应用程序大小、不同的复杂程度和工作负载,也就是说,在简单应用程序中使用的组件,在非常大的、复杂的分布式系统中也可以使用。还应该允许由独立的、解耦的组件组成,以实现灵活性、健壮性和应对不断变化的情况的弹性。理想情况下,组件可以快速组装和扩展,即使在运行时也是如此。这些组件的接口应该基于定义明确、可解释的标准。支持应用多样性和可扩展性的一个关键是允许内部组件灵活性,同时通过标准化接口提供外部交互性。

参考架构必须足够广泛,推荐的原则和布局适用于不同行业的大部分公司,必须包括全套设备和操作的工程规范。控制区域之间——也就是衔接处更容易发生网络攻击,因此一个集成度差的系统将更容易受到攻击。

安全性是确保信息在使用、处理、存储和传输的过程中,得到必要的保护。CPS 的性质不仅会增加违规的后果,还会引入其他类型的漏洞。例如,CPS 中计时方面的漏洞就不同于网络安全中考虑的传统数据漏洞。必须通过设计来确保安全措施具有足够的灵活性,可以支持各种应用程序。需要涵盖组件安全和访问控制,以及时间、数据和通信安全等方面。在综合风险管理框架中,考虑安全性的同时,还应结合其他优先考虑和存在潜在冲突的问题,例如隐私、安全、可靠性和弹性。

这些系统的新参考架构将提高制造企业对其网络安全状态的认识。此外,为控制系统和组织/流程模型提供参考架构有助于制造企业更好地落地实践,提高其安全性。给制造企业创建了一个很好的参考范例。

关键的基本研发目标

当今保护系统和通信的方法几乎都是单一的并集中管理。物联网/万物互联 (IoT/IoE)、互联系统以及智能、数字供应链中的互联公司的出现,要求采用分散的方法确保设备和数据的安全。包含网络和实体设备的动态业务关系就要求需要将互联通信、网络空间、数据和云系统以及多公司合作伙伴关系和第三方责任等方面都考虑进去。端到端的时间管理和驱动具有新的特征,这些新的特征将会引入一些新的漏洞。参考架构必须在安全性方面进行设计。需要对下一代网络、通信和安全架构和管理结构进行研究,避免安全解决方案局限于现阶段而无法与时俱进。这也是美国国家科学基金会 (NSF) 善于定义和资助的研究类型。


一些关键的研发活动现在就应该启动了,并且需要随着未来条件的变化而不断发展:

1.通过系统工程方法来构建安全、有弹性的网络供应链参考架构,将一个个链接的网络空间看作系统组装设计/接口风险问题,强调安全的制作业系统和实践的可重复性。系统工程方法可用于开发 CPS 参考体系结构的系统,这些体系结构提供了可以跨领域适用的网络空间安全内部和层间接口。例如,喷气推进实验室 (JPL) 已经开发出了一种叫做集成模型中心工程的设计方法(IMCE,以及相关的基于模型的系统工程 [MBSE])。JPL 采用了 MBSE/IMCE,并在国防高级研究计划局 (DARPA) 的 F6 计划下改进了其预测建模和模型合成能力。这种方法可以根据虚拟环境中的当前流程和基准,对系统技术的各种组合进行实验、测试、验证和确认,并在投入部署成本之前选择这些技术来优化目标。这些方法可用于创建现有技术的基线,量化脆弱性领域,并确定关键的优先改进事项。

2.为制造信息技术/运营技术系统创建参考架构,使产品的选择更加灵活。制造商将更加信任由广泛的研究人员联盟在政府机构的支持下形成的参考架构,而不是单个软件公司提供的参考架构。有影响力的网络靶场有助于创建这样的参考架构。参考架构的开发需要协调一致的、系统的、跨学科 (运营技术/信息技术) 的工程方法。

3.开发将设计分析与云服务相结合的系统架构体系。对不同方面的安全性进行设计与自动检查和验证同样重要。云可以看作是别人的电脑。云连接的数量比许多管理者意识到的要多得多,也更普遍,因此需要制定合理的连接程序策略。

4. 定义和开发供应链网络安全框架,包括强大的部件验证技术、审计攻击和响应的方法、跨多个职能部门的通用语言以及相关标准的应用(如 ISA/IEC 62443 和 ISO 27001)。

5.开发软硬件“信任锚”框架,实现点对点、点对面的硬件和软件系统的分区数据管理。现在大多数策略都侧重于保护本地处理数据,这只能是一个短期解决方案。

 

关键的近期研发目标 

有助于实现关键近期目标的研发活动包括:

1.利用系统工程方法系统带来的网络供应链安全利好。如果安全 A + 安全 B =不安全,那么必须对 A 和 B 一起做什么才能使 A + B 安全或减轻影响?当网络空间因商业需求聚集在一起时,如何快速验证和确认系统安全?应用系统方法会阐明相关标准的现有分类,并将这些标准与理想状态模型进行比较,确定差距和解决差距的方法。使用这个理想状态模型,可以定义和描述制造商的“网络安全级别”。

2.开发用于评估风险、检测攻击和确定攻击程度的自动化工具。目前存在许多此类工具,但它们不能针对制造用途或生产环境的操作要求进行调整。需要对如何在运营环境中使用这些 信息技术 工具进行研究。为 信息技术 和 运营技术 开发基于分析的检测工具、使用数字孪生至关重要。

3. 开发自动化、强大的零件验证技术,以确保零件符合设计规范,从初始生产到最终组装、客户交付,在整个供应链中跟踪零件供应情况。在创造可信的环境这方面,像区块链这样的自动分类账技术拥有很不错的前景。

实现这些关键的近期和长期技术、工具和架构,需要一项研究计划,重点关注现有和不断发展的制造系统的网络安全需求。联邦政府应该:

 

建议 2:制定一项联邦研究计划,以应对制造业中的近期和长期网络安全挑战和机遇。

基础研究应该解决网络物理系统的系统工程方法论,设计网络安全和弹性,将链接的网络空间视为系统设计/接口风险问题。应立即开始且需要相关支持的关键开发活动包括:

a.为制造业创建系统和安全参考体系结构,定义运营技术和信息技术的功能、标准和集成要求。参考体系结构应该适用于各种制造设备、操作和企业,以及不同供应商的控制、建模和自动化平台。

b.建立软硬件信任锚框架,安全连接和管理制造系统中的设备、系统和数据,无需集中管理。

c.开发与云服务集成的系统间架构设计和分析。

有助于实现关键近期目标的研发活动有:

a.自动化漏洞评估和检测工具。 目前存在许多工具,但并未针对制造或生产环境的操作要求进行调整。

b.针对网路或机器,基于分析的检测,以及数字孪生的使用。

c.用于审计攻击范围的工具。

d.自动化、强大的零件验证技术,包括区块链等自动化分布式账本技术,用于可信零件和数据验证。