從容應對“網絡挾持”，從最低層級解決安全風險！

時間：2020-04-30 16:15:23

關鍵字：網絡網絡攻擊 ADI 工業(yè)以太網

手機看文章

掃描二維碼
隨時隨地手機看文章

[導讀]好文章當然要分享啦~如果您喜歡這篇文章，請聯系后臺添加白名單，歡迎轉載喲~ 您是一家領先制造企業(yè)的負責人，負責整個北美地區(qū)的運營，在某天和往常一樣工作時，突然接到報告，稱最大一家工廠的產品出現了瑕疵。這種問題已經出現了一段時間，且一直在加劇，

好文章當然要分享啦~如果您喜歡這篇文章，請聯系后臺添加白名單，歡迎轉載喲~

您是一家領先制造企業(yè)的負責人，負責整個北美地區(qū)的運營，在某天和往常一樣工作時，突然接到報告，稱最大一家工廠的產品出現了瑕疵。這種問題已經出現了一段時間，且一直在加劇，但工廠經理卻無法確定出現瑕疵的根源。工廠似乎一切運行如常。我們是讓所有設備停止運行，實施更詳細的診斷？還是繼續(xù)運行，期望這種問題自行消失，產品輸出回歸正常？

最終，您決定設備停止運行，然后執(zhí)行非常規(guī)維護。經過幾小時的診斷，問題似乎取得突破。雖然從表面來看一切如常，但是PLC軟件存在異常問題。進一步診斷之后，顯然是工廠遭遇了黑客攻擊！但是，為何沒能早一點發(fā)現問題呢？黑客必定很聰明，將惡意代碼隱藏起來，讓操作員覺得一切正常。幾周之后，隨著產品瑕疵逐漸增多，工廠不得不讓所有設備停止運行，雖然工廠之后恢復了運行，但是我們是否成功隔離了所有受影響的設備？幸運的是，我們要求所有廠區(qū)設備（包括驅動器和伺服器）都采用了硬件信任根，所以我們能夠對全球所有可能受影響的設備實施軟件更新。也許這次更新能夠讓我們位于日本的工廠避免出現同樣的問題。

隨著網絡攻擊面不斷變化，安全風險不斷增加，對邊緣安全解決方案的需求也越來越大。工廠必須采取彈性措施抵御網絡攻擊，就是說要能夠在工廠受到攻擊時迅速檢測出并盡快恢復運行?，F在，問題已經不再是我是否會受到攻擊，而是何時會受到攻擊。構建互聯工廠時要求配置智能邊緣設備，能夠在受到攻擊后恢復運行。這需要在最低層級實現安全性：即硬件本身。能夠信任設備最低層級的引導，并發(fā)布軟件更新，這樣，工廠將能夠快速恢復正常運營。

從容應對“網絡挾持”，從最低層級解決安全風險！

圖1. 隨著網絡攻擊面繼續(xù)發(fā)生變化，對邊緣安全解決方案的需求日益增長。

什么在改變安全風險？

對邊緣計算的需求意味著會涌現更多的互聯設備，需要根據接收的數據與現實世界進行交互。這些智能設備是能否取得當今數字時代成果的關鍵。隨著計算能力日益普及，對安全的需求也會增加，以應對不斷增加的網絡風險。下一次何時看到智能咖啡機因遭受網絡攻擊而被勒索贖金的新聞，可能也只是時間問題。即使勒索的贖金可以忽略不計，但攻擊咖啡機的動機確實存在，因為防護水平低，很容易就能攻擊成功，所以攻擊值得一試。想想看，一個人要挾持整個工廠需要付出多大努力。但潛在回報大幅增加，所以攻擊者發(fā)起攻擊的動機也更大。對于IT和OT融合網絡，僅依賴關鍵基礎設施的防火墻已經不再有效。應該假設有人已經獲取了訪問工廠網絡的權限。因此，必須保證所有互聯設備都采用設備完整性和可靠的認證協議。

從容應對“網絡挾持”，從最低層級解決安全風險！

圖2. 網絡經濟。

網絡連接設備需要能夠通過網絡上的其他設備進行驗證，設置共享密鑰，對數據執(zhí)行簽名，以及驗證接收到的數據。我們可以使用標準方法做到上述這些，但是工廠存在一些限制，在某些用例中，實現安全性有一定難度。例如，運動控制應用對時間的敏感性會導致產生延遲容限，這導致使用傳統方法實施設備間驗證時遇到阻礙。通過使用標準公共密鑰基礎設施，設備間彼此挑戰(zhàn)，以確立真實性，并使用TLS等方法來交換共享會話密鑰。許多工廠應用已采用這種方法；但是，這種方法不適合高速運動控制應用，因為許多設備都需要在特定的時間范圍內進行互操作。當延遲要求以毫秒為單位時，必須選擇合適的消息驗證方案，以達到所需的安全和速度水平。從控制器到控制環(huán)路上所有設備的數據需要同時接收。有效實現這種數據流動的一種方法是所有設備都使用相同的共享會話密鑰。這需要采用獨特的網絡配置，讓所有設備都能夠通過安全管理器實施驗證；該安全管理器會為指定安全組中的所有設備提供相同的會話密鑰。這些密鑰使用標準TLS進行交換，并在時間關鍵型操作期間恢復使用替代協議。

從容應對“網絡挾持”，從最低層級解決安全風險！

圖3. 運行環(huán)境。

將認證和完整性擴展到網絡邊緣節(jié)點

ADI Chronous? 工業(yè)以太網連接解決方案的產品系列支持在控制環(huán)路的邊緣實現安全通信。我們的設備位于通信端點，能夠保護系統內每個節(jié)點的網絡通信安全，同時盡量減少在功率、性能和延遲之間的取舍。這些可擴展以太網解決方案提供在高度時間敏感型應用中擴展安全性的方法，以應對不斷變化的安全風險，例如：

保護工廠控制網絡的邊緣安全，以建立彈性和可信架構。
允許在集成OT/IT TSN網絡內安全連接機器人、驅動器和生產機器。
在高度時間關鍵型應用環(huán)境中（根據需要）提供身份驗證和加密方式。

ADI Chronous工業(yè)以太網安全解決方案支持快速實現互聯工廠。利用ADI的安全開發(fā)流程，我們的工業(yè)以太網解決方案可確保安全設計支持系統應用，同時支持在整個產品生命周期內管理風險。ADI的工業(yè)以太網解決方案提供多種安全特性，例如密鑰生成/管理、安全引導、安全更新和安全存儲器訪問。在工業(yè)控制環(huán)路邊緣設備中集成安全性將提供擴展解決方案所需的數據可信度，從而能夠在工廠環(huán)境中做出實時決定。

通過確保達到以下各項要求，加速邁向工業(yè)4.0：

機器/工人安全
可靠操作
產品質量
正常運行時間和吞吐量
生產效率
生產指標和洞察力

如果下一次網絡攻擊發(fā)生在今天，您會如何應對不斷發(fā)生變化的網絡風險？攻擊者以設備軟件為目標，還是會在網絡中插入惡意數據？無論如何，您的設備需要能夠提供安全通信，從容應對下一次攻擊，盡快恢復運行。這需要在最低層級實現安全性：即硬件本身。能夠信任設備最低層級的引導，并發(fā)布軟件更新，這樣，工廠將能夠恢復正常運營。

從容應對“網絡挾持”，從最低層級解決安全風險！