行业见解
网络安全:智能生产的智能防御
发表于02/28/2018.
| By: Ray Chalmers, Contributing Editor
保护你的网络意味着选择正确的组件,包括硬的和软的
如果没有网络安全漏洞的通知,我们很难度过一个工作日。据报道,今年2月21日,黑客侵入特斯拉的云环境,窃取计算机资源,挖掘加密货币(称为“cryptojacking”),一些与地图、遥测和车辆服务相关的专有数据也被曝光。
据Tesla发言人表示,违约赛迅速纠正,他补充说,违约者认为客户隐私或损害其车辆的安全性。
这样的攻击不会停止。在全球不断扩大的市场和行业应用的推动下,自动化和互联设备方面的支出和增长创下纪录,这也见证了安全思维的崛起。保护生产数据意味着对网络基础设施和协议、点解决方案(传感器、处理器、电机、控制器)以及它们如何配合和通信做出选择。
改善制造供应链的网络安全是一个特别迫切的需求。面对不断提高生产效率的压力,制造供应链必然是相互连接、集成和相互依赖的。确保整个供应链的安全并不是一个自上而下的任务。相反,它取决于当地工厂层面的安全决策。制造商的多样性——从大型、复杂的公司到小型工场——造成了最薄弱环节的弱点。[1]
新兴的公共/私营伙伴关系是一个指导来源。美国国家网络安全卓越中心(NCCoE)是美国国家标准与技术研究所(NIST)的一部分,是一个协作中心,行业组织、政府机构和学术机构在此共同努力应对最紧迫的网络安全挑战。NCCoE和NIST与技术合作伙伴——从《财富》50强的市场领导者到专门从事IT安全的小公司——合作,开发模块化的、易于适应的网络安全解决方案示例,演示如何使用商业可用的技术应用标准和最佳实践。
例如,NIST工程实验室(EL)与NCCOE一起将生产一系列解决方案,用于制造制造组织的四个网络安全功能。每个示例将突出显示个人安全问题:行为异常检测,IC(工业控制系统)应用程序白名单,恶意软件检测和缓解,以及ICS数据完整性。
NIST EL和NCCoE将安全特征映射到NIST网络安全框架(CSF),该框架将为制造商提供基于标准的安全控制。CSF将涵盖两个不同但相关的实验室设置:代表离散制造的基于机器人的制造飞地和类似于化学制造行业使用的过程控制飞地。
在NIST的机器人装配示例中,网络捕获可从多个点获取。
NIST网络安全框架核心的五大功能是:
识别- 制定组织理解,以管理系统,资产,数据和能力的网络安全风险。活动包括了解业务背景,支持关键功能的资源以及相关网络安全风险。
保护-制定并实施适当的保障措施,以确保关键基础设施服务的交付,并限制或遏制潜在网络安全事件的影响。该功能的结果包括:访问控制;提高认识和培训;以及信息保护过程和程序。
检测-制定并实施适当的活动来确定网络安全事件。该函数中的结果类别示例包括:异常和事件;安全持续的监控;和检测流程。
回应-对检测到的网络安全事件制定并实施适当的响应。这一职能范围内的成果类别包括:应对规划;通信;分析;缓解;和改进。
恢复- 制定并实施适当的活动,以维持恢复力的计划,并由于网络安全事件恢复任何受损的能力或服务。该职能中的结果的示例包括恢复规划,改进和通信。
此外,NCCoE还在整个试验台中包括各种可路由和不可路由的工业协议。路由协议包括基于Internet协议(IP)的协议(如传输控制协议(TCP)和用户数据报协议(UDP)),以及工业应用层协议(如以太网/IP、开放平台通信(OPC)和Modbus/TCP)。
非ip路由协议包括传统的现场总线协议,如DeviceNet。非路由协议的使用允许通过现场总线协议和使用它们的控制器对网络安全进行更深入的研究;然而,在NIST工业控制系统网络安全路线图研讨会上,非路由协议的优先级较低。这是因为非路由协议被设计成数据流的开放通道;不是为安全通信而设计的。NCCoE认为,这些类型的遗留协议不太可能被修改为包括认证和加密等安全保护,可能更倾向于基于边界的安全机制。
这个正在进行的测试平台的预期结果是一个公开可用的NIST网络安全实践指南,详细说明了实施网络安全示例解决方案所需的实际步骤。干扰操作的一种方法是在生产过程中引入异常数据,无论是有意还是无意的。虽然示例解决方案将重点放在网络安全上,但它也可能在检测与安全无关的异常情况时为制造商带来剩余利益。
集成的安全频谱
简而言之,安全并非存在于真空中。自动化供应商正在将安全性集成到包括数据收集、性能监视和预测性维护在内的整个自动化范围中。罗克韦尔自动化(Rockwell Automation)连接服务投资组合经理Sherman Joshua这样描述:“我们的员工在客户的设备上行走,收集其所有资产和配置文件,并将它们置于一个层次。之后,我们会使用综合工具进行持续评估,进行被动监控,保持库存最新。”
在此“前”阶段的网络安全还涉及罗克韦尔自动化合格补丁管理服务,该服务将补丁发布到客户网站,并为客户和罗克韦尔自动化团队提供清单,以制定和执行适当的补丁计划。这些准备服务还包括:
- 脆弱性和风险评估
- 工业控制系统(IC)安全区和工业非军事区(DMZ)分割,以及
- 工业安全对策部署,如防火墙,遗留设备的应用程序白名单,以及赛门铁克的保护软件,罗克韦尔自动化伙伴。
Joshua说:“除了简单地监控交换机和服务器,我们还会评估资产健康状况,因为设备性能也可以指示可能发生的异常事件。”“如果一个开关或其他组件意外升温,这可能意味着攻击。”
除了监控和报告客户的网络和硬件外,Joshua还添加了他们还可以使用Rockwell的新FactoryTalk Network Manager软件来监视和解决自己的网络,只需几乎需要专业知识。“FactoryTalk Network Manager能够混合我们和我们的用户监控网络,”Joshua解释说。“IT的信息技术(IT)马力在运营技术(OT)技能集中。”
SCADA或SQL ?
语言可以发挥作用。传统的数据采集系统采用监控和数据采集(SCADA)系统。但是在过去的15到20年里,许多制造商已经在结构化查询语言(SQL)上标准化了企业数据库、企业资源管理和制造执行系统。虽然可以使用中间件将SCADA与SQL数据库集成在一起,但专家表示,这种架构并非理想的数据记录解决方案,原因有三。
首先,即使在内部IT专家或外部顾问的帮助下,SCADA中间件也很复杂。其次,因为这些中间件系统没有提供直接数据库链接,因为它会消耗周期时间并减少
生产效率。最后,需要经常进行维护,以确保这些操作系统和硬件保持可操作、最新的状态,并且不会产生自身的安全漏洞。
欧姆龙(Chicago, IL)为Sysmac NJ机器自动化控制器(MAC)提供了SQL客户端功能,提供了一个简单、耐用的设备,可以直接将数据日志保存到其SQL数据库中。欧姆龙自动化与安全战略客户经理John Altamirano表示:“SCADA确实是简单需求的复杂解决方案。“我们开发了带有SQL的Sysmac NJ MAC,因为我们的客户想要一种简单的方式来记录数据。NJ提供了这一功能,以及更快的生产速度和无缝架构。”
NJ系列MAC使用工业强化处理器和固态驱动器记录数据,并同时访问多达三个关系数据库系统。处理器可以通过广泛的工业网络收集数据,包括以太网(套接字服务)、以太网/IP、EtherCAT、PROFINET和DeviceNet,然后通过以太网将数据直接发送到SQL服务器。更重要的是,2012年NSS实验室漏洞威胁报告披露,73%的已知漏洞都是在新的SCADA系统中发现的。此外,安全研究表明,SCADA协议和开发软件仍然脆弱。Altamirano说:“数据记录是大多数公司的首要任务。“对工程师来说,使用SQL更容易,对他们的公司也更安全。”
被动采集,动态建模
施耐德电气(Andover, MA)有一个独特的安全方法,它称为动态端点建模。它执行IP (Internet协议)“元数据”的被动收集,其中包括来自网络的IP地址、端口和其他标志。通常,网络动态端点建模将传感器连接到交换机或交换机堆栈。根据供应商的不同,这些交换机配置了一个端口,以提供从交换机到传感器的数据流。
重要的是,这是一种单向连接。一旦传感器接收到数据,它就会提取元数据并将其转发到建模,然后将其转发到仪表板以进行用户分析。为了允许这些通信,传感器上的一个网络端口以“混杂的”模式配置用于收集数据,而另一个端口被配置用于将该数据转发到驻留在云中的仪表板。
其结果是:动态端点建模学习并建模网络上所有设备的行为,包括设备如何连接、连接到何处、连接什么以及连接到谁。建立基线行为模型意味着偏离基线的任何更改都将警告端点可能发生的妥协或恶意活动。动态端点建模不依赖于有效负载或已知签名来确定异常。该公司表示,因此,与传统的入侵检测预防系统(IDPS)和下一代防火墙不同,它不会受到加密的阻碍。
动态端点建模在构建行为模型时使用以下五个分析维度:
- 角色。动态算法识别用于分析和检测从学习基线转移的活动的设备角色。
- 团体。算法通过将它们与其他类似设备进行比较来评估已知学习行为的设备。
- 一致性。算法检测设备从其已知行为发生变化时,包括流量流和访问。
- 规则。算法通过协议、端口和黑名单通信等端点检测已知模式的变化。
- 预测。算法从过去的行为和分析预测学习行为。对学习的系统进行评估以进行预测预测。
这些安全维度允许动态端点建模系统知道何时有新设备出现在网络上或第一次访问Internet。如果设备在网络上的行为超出了习得的行为模式,它也会发出警报。
采取整体策略
专家要求在工业网络安全方面更加全面思考。这意味着解决跨越单位和供应链的技术,管理实践,劳动力培训和学习过程的改进。解决新兴的安全挑战需要承诺持续改进,以及研究和开发的投资(研发),风险评估和威胁意识。
一世除了在联邦层面跟上新兴的网络安全研究,这里还有一些常识性的建议,供每个人在工厂层面实施:
- 识别和划分您的关键信息和技术。知道谁可以访问关键信息。不要把所有的鸡蛋放在一个篮子里 - 更好地失去比整个画面的拼图。
- 对经理进行风险行为培训,这些行为特征表明内部间谍行为的可能性增加,包括未被报告的国外旅行、寻求与工作职责无关的专有或机密信息、对被调查的偏执,以及对职业失望的过度愤怒。
- 确保人力资源、安全、IT和所有员工之间的协调和协作,不仅是为了更新密码和安全补丁,而且是为了创建一种问责和安全的文化,在这种文化中,数据保护被视为每个人的责任。
任何组织的最佳资产都是那些受过培训、有意识、有奉献精神的员工,他们能够发现问题,并有勇气向管理层提出问题。
威胁似乎每天都在出现,解决方案也应该如此。生产效率的价值在于明智地分享和安全地保护它。
引用:
[1] Mfreesight:制造业联盟(Ann Arbor,MI)
要了解更多关于这一趋势的信息,请观看我们最近的网络研讨会。”保持连接的应用程序安全“