行业见解
网络安全A必须安全的IIOT机器人
发表于06/22/2018.
作者:Tanya M. Anandan,机器人工业协会特约编辑
机器人要想安全,它也必须是安全的。信息物理系统正在兴起。4.0行业,智能,连接工厂的愿景继续推动机器人技术的繁荣。
精明的制造商正在使用联网的机器人和它们产生的深刻数据来简化机器人维护,最大化生产效率,并提高产品质量。随着越来越多的机器人相互连接,企业和云,网络安全风险增加。
这些威胁不仅仅是数据泄露和生产延迟。针对高度灵活、强大的机器人系统的网络攻击带来了严重的安全问题。机器人在执行任务时行动迅速,意志坚定。我们想要确保他们的意图在任何时候都是纯洁的。
随着人机合作的日益普及移动机器人,这些担忧有所加剧。AI-enabled机器人正在获得更多自主权。今天的机器人的真正力量居住在他们的大脑中。在潜在易受网络角质的软件中。
随着信息技术(IT)和运营技术(OT)的融合,网络安全不再是“别人的问题”。在工业物联网时代,网络安全人人有责。威胁可以一直渗透到车间。
所有人都准备好了。网络安全需要每个人都保持警惕。
TÜV Rheinland全球OT和工业网络安全首席技术官奈杰尔•斯坦利(Nigel Stanley)表示:“网络安全直到最近才通过操作技术和机器人进入人们的头脑。”“这一直被视为一个信息技术问题。过去5年,黑客入侵操作技术系统的次数大幅上升。”
成立于1872年,TÜV Rheinland是独立检测、检验和认证服务的领导者。全球总部设在德国科隆。北美业务总部设在马萨诸塞州的利特尔顿。斯坦利感兴趣的领域是安全的运营技术方面,包括自动驾驶车辆、铁路系统、智能制造、机器人、发电站,以及他所说的介于两者之间的一切。
网络安全也影响各种尺寸,大型跨国公司和中小企业(中小企业)的制造商。
“如果你拍了一个典型的供应链,你可能有一个非常安全的设施,但供应链是不安全的,”斯坦利说。“如果黑客正在对植物发动攻击,请查看供应链和较小的制造商提供提供设备,例如机器人的设备,将是一个更容易的目标。这是大型和小型制造商需要考虑的事情。“
共同责任-机器人制造商,集成商,操作者
涉及网络安全的责任时,ONU仍然依赖于许多级别。在机器人空间,基本上三组股票责任。它从设备制造商开始。这些是机器人,机器人控制器和辅助设备的设计者和制造商,如机器人视觉的机器视觉传感器。
“制造商负责确保其产品尽可能安全,”斯坦利解释。“当他们设计产品时,他们需要确保它们在整个设计过程中实现安全措施,并编写尽可能安全的固件。然后,您拥有实施者或系统集成商。他们将制造商的产品拿走并将上下文应用于它,并且该背景可能会影响网络安全。最后你有运营商,人们实际运行生产工厂。他们的工作是以确保尽可能快地减轻网络风险的方式,为设备和系统的一生留下来确保该工厂保持安全。“
当你想到网络攻击时,脑海中可能会浮现出机器人手臂疯狂摆动、移动机器人在工厂里疯狂奔跑的场景。在现实中,更有可能出现的情况要阴险得多。事实上,它可以完全隐形。以世界上第一起网络物理攻击为例stuxnet.。
机器人以其可重复性而闻名,但如果控制系统落入坏人之手,机器人最大的优势可能会成为一种负担。恶意攻击会使机器人轴的旋转发生几度的改变,这可能会超过零件公差,危及质量并影响下游工艺。现在,把它每分钟乘以几部分,再加几天或几周,你就会明白了。
机器人固件和软件可以以相同的方式攻击,可以利用操作系统中的未括在一起的漏洞,以便在PC上获得控制。
斯坦利说:“归根结底,没有一个系统是完全安全的。”“这是一个艰巨的挑战。隐形攻击可能非常具有破坏性,因为一家公司可能在意识到问题之前生产出大量组件。”
特斯拉的最新困境都证明了网络攻击的阴险本质。威胁可以来自许多来源,无意的或有意的,甚至来自内部。
网络安全风险在多个层面影响工业物联网体系结构。(由Exida提供) |
深度防御
工业物联网体系结构是多层次、多维的。攻击者通常会找到最薄弱的环节。
“纵深防御”概念是网络安全最佳实践的标志。在这种策略中,存在多个安全层,因此如果一个层发生故障,后续的层可以提供必要的安全防御。
“如果你有这些多层,那么你仍然有合理的机会保护你的系统,”CFSE、CISA的Mike Medoff说,他是宾夕法尼亚州Sellersville的exida网络安全认证主任。“也许攻击者可以破坏一到两个层面,但他们必须经历的步骤越多,他们就越难破坏系统。如果你让它变得足够艰难,最终他们会放弃。”
至少,深度战略的防御将延迟攻击者并允许时间检测和响应措施。
“你不可能把所有东西都围起来,然后保护起来,”迈多夫说。“人们找到了绕过这些栅栏的方法。从本质上说,你希望在控制系统架构的每一层都构建安全性。”
Medoff逐层描述了一些组件。
在机器人内部,通常有一个嵌入式操作系统。然后是在机器人上运行的应用程序代码。一个很大的区域是所有的通信代码,将接收和处理命令给机器人。它所连接的系统显然是不同的,但它通常是连接到更基于pc的系统上。这些系统可能有数据库,或者与机器人相关的配置,然后是它们自己的操作系统。然后云服务器和它们的软件通过网络界面与设备、机器人和用户通信。”
Exida成立于1999年,是一家可靠性和安全专家,是一家专业从事自动化系统安全,报警管理和控制系统网络安全标准的领先产品认证和知识公司。虽然EXIDA作为公司与产品开发人员,集成商和最终用户一起使用,以评估功能安全和网络安全的系统,MEDOFF集中在开发方面更多。最近,他发现自己更经常与移动机器人开发人员一起工作。
“我有时与一些关心安全和网络安全的初创公司合作,所以他们从一开始就参与我们的服务,”迈多夫说。“通常你不会看到这一点。初创公司通常只专注于将产品推出市场。但我确实看到这种情况开始改变。”
精明的公司正在积极主动。网络安全需要团队方法。
进攻与防守
在安全领域内,有两种基本方法 - 冒犯性和防御性安全。我们来自莱茵TÜV的专家帮助我们了解意义。
Nathaniel Cole是网络安全测试和认证的首席技术官。他的团队正在犯罪。它们在开发和最终实施状态期间主动测试客户的设备。该检验扩展到机器人和工业系统,为消费者,医疗和能源部门以及其他行业的企业IOT。
“我们在那里找到漏洞,潜在地打破设备或打破系统,或打破基础设施,并展示如何发生这种情况,”科尔说。“尽我们所能,我们可以模仿恶意行为者,他们的动机,并根据在设备内可能识别的威胁行事。”
测试物联网设备以应对网络安全威胁需要分析其整个生态系统。(由TÜV Rheinland提供) |
测试不仅仅适用于设备本身。它涉及到攻击者可以访问的整个生态系统(如图所示)。这包括设备外壳和硬件、用户和网络接口;部署到设备上的任何数据,如设备智能应用的第三方库和自定义源代码;任何连接到该设备的移动应用程序;设备与之通信的任何系统都可能位于云中或公司网络中。
“在防守方面,”科尔说,“你可能有监控或威胁分析。你要观察个人、系统和网络设备的行为,以便检测和响应潜在的恶意活动。”
这种防御角色可以扩展到实现和维护控制,以帮助保护这些设备。示例包括防火墙、气隙、网络配置和日志。
无论是冒犯还是防守,既不是另一个角色。您需要一个全面的计划。TÜV莱茵TÜV采取混合方法。
风险在默认情况下
它对于机器人运算符或最终用户来说至关重要,以在设备的初始设置下更改默认用户名和密码。安装默认密码的机器人是黑客的轻松猎物。
“让制造商在安装时强迫运营商更改默认密码和用户名,将有助于确保这些设备的安全,”科尔说。“这不仅仅是机器人行业。有恶意软件入侵摄像头,恒温器和路由器。
他继续说:“随着机器人设备变得互联,安全通信不一定会实现。”“作为攻击性安全从业者,我们不一定能够闯入并获得访问权限,但网络内的某些人肯定能够看到这种通信。你可以开始想办法控制这些流量并可能获得对机器人的访问权限。我们已经看到,我们有可能通过网络接口获得管理能力,并完全改变机器人设备的工作方式。它没有以某种方式进行保护、加密或散列,以混淆来回传输的数据。它不再提供数据完整性,但也不再为设备提供安全性。因为现在,我们知道如何与它互动。”
安全的设计
机器人的网络安全仍然是一个不成熟的领域。科尔表示,机器人行业开始了解其重要性,以及如何一直到机器人实现的初始设计中的安全性。
“这不仅仅是制造商的责任,”他说。“实施者(机器人集成商)很重要,但您仍然拥有运营商,他们将在和季节中运行该设备,谁有责任在深度建立安全性。这超出了设备本身,实现了它们的外围,其内部网络构建和能力。“
物联网机器人系统的网络安全需要多步骤的方法,包括一个健壮的应用安全程序。(由TÜV Rheinland提供) |
必须考虑到整个生态系统。这在远程监控应用中尤其重要。
“如果你有远程监控能力,你有一个可以通过桌面浏览器和手机访问的网页界面,这些也会发挥作用,因为你可以来回发送数据,”科尔说。“你需要一定程度的安全保证,你在远程监控设备中看到的数据是安全的。
您还必须考虑所有起作用的软件,包括用于辅助设备(如机器视觉摄像机)的软件、功能性安全设备(如激光扫描仪)、其他传感器和机器人手臂末端工具的软件。Cole说,你需要确保这些设备输入信息的完整性,这样就不会被操纵来让机械臂或控制器做一些它不应该做的事情。
“请记住,对于制造商来说,重要的是,他们不是需要建立100%的安全机器人,”科尔说。“他们正在尝试构建用于多个用例的东西。他们希望在实施者和运营商中允许创造力,以使用该机器人控制器和手臂具有不同的附件,但它们可能想要使用它。这使得安全性很难建立安全性,因为制造商不知道所有的实施情况。但是,他们可以构建允许实施者和运营商将其替换终点线以确保它的组件。需要防御深度和协作以确保这些功能。“
调试软件
据exida的Medoff称,漏洞百出的软件是网络攻击者的主要切入点。无错误软件对工业物联网机器人系统至关重要。
“人们不明白,漏洞的来源通常是软件中的漏洞。你需要从源头上预防它们,也就是在开发产品的时候,而不是在事后,现在这种情况往往发生得更频繁。”
麦道夫说,一个常见的误解是,人们只是认为软件漏洞是伴随着这个领域而来的,并且将永远存在。我们能做的就是对他们做出反应。
“如果我们可以让公司改变他们开发产品的方式,他们不必始终存在。这可能是一个巨大的障碍,但我认为这是必须做的事情。只要你拥有所有这些错误和漏洞,你就会战斗失败。
“系统中最薄弱的链接是可以攻击的最弱点,因此所有这些不同的层都必须受到保护,”继续介入。“除非每个人都在遵循同一剧本,否则真的很难这样做。”
这就是行业标准发挥作用的地方。
自动化网络安全标准
国际电工委员会(IEC)与国际自动化协会(ISA)一致发表了一系列标准和技术报告,这些报告定义了实施安全工业自动化和控制系统(IACS)的程序。该标准为创建产品,集成系统和操作工业自动化和控制系统的人提供了指导。
ISA / IEC 62443标准包含七个基本要求(FR)。TÜVRheinland的斯坦利建议机器人制造商确保他们的产品尽可能多地满足这些要求。
- FR 1识别和认证控制(IAC)。通过验证任何请求访问的用户的身份和验证的身份来保护设备;
- FR 2使用控制。通过在允许用户执行操作之前验证必要的特权已经被授予,防止对设备资源进行未经授权的操作;
- fr3系统完整性。确保应用程序的完整性,以防止未经授权的操作;
- FR 4数据机密性。确保沟通渠道和数据仓库中的信息的保密性,防止未经授权的泄露;
- FR 5受限的数据流。通过区域和管道对控制系统进行分段,以限制不必要的数据流动;
- FR 6及时响应事件。通过通知适当的权限,报告所需的违规证据,并在发现事件时及时纠正措施来响应安全违规行为;
- FR 7资源可用性。确保应用程序或设备免于劣化或拒绝基本服务。如果正确解决,这些要求将减少工业机器人系统中的许多网络安全风险。
标准为公司提供了一种更简单的方法来评估他们的供应商,并确定他们是否有适当的安全协议。
斯坦利说:“如果我是一个机器人制造商,我希望我的网络安全得到某种认可,那么我就会希望我的机器人受到IEC 62443的评估。”“这样做的好处在于,你可以在评估确定机器人的安全程度后,为其指定一个安全级别。”
安全级别分类可以用来区分竞争对手的设备。
有关更多信息,斯坦利撰写的“工业机器人和网络安全”的白皮书可从TÜV莱茵兰州提供。WhitePaper讨论了机器人的网络风险的例子,并为机器人制造商,集成商和运营商提供了建议。
当机器人供应商和用户在寻找合作伙伴来帮助他们解决网络安全的多层次复杂性时,考虑服务供应商的过往记录和经验是很重要的。一个了解制造领域,特别是自动化领域,并且拥有行业标准工作知识的团队是一个很好的选择。
底线,IIT机器人系统的各个级别都有漏洞。这是每个人都有责任评估和减轻网络安全风险。对于一个安全的机器人,它也必须是网络安全。