中国电子技术网

设为首页 网站地图 加入收藏

 
 

您的工厂可能成为下一个网络攻击目标。您做好应对准备了吗?

关键词:网络边缘节点 网络攻击

时间:2022-01-10 10:30:03      来源:ADI

随着网络攻击面不断变化,安全风险不断增加,对边缘安全解决方案的需求也越来越大。工厂必须采取弹性措施抵御网络攻击,就是说要能够在工厂受到攻击时迅速检测出并尽快恢复运行。现在,问题已经不再是我是否会受到攻击,而是何时会受到攻击。构建互联工厂时要求配置智能边缘设备,能够在受到攻击后恢复运行。

作者:Erik Halthen 

您是一家领先制造企业的负责人,负责整个北美地区的运营,在某天和往常一样工作时,突然接到报告,称最大一家工厂的产品出现了瑕疵。这种问题已经出现了一段时间,且一直在加剧,但工厂经理却无法确定出现瑕疵的根源。工厂似乎一切运行如常。我们是让所有设备停止运行,实施更详细的诊断?还是继续运行,期望这种问题自行消失,产品输出回归正常?最终,您决定设备停止运行,然后执行非常规维护。经过几小时的诊断,问题似乎取得突破。虽然从表面来看一切如常,但是PLC软件存在异常问题。进一步诊断之后,显然是工厂遭遇了黑客攻击!但是,为何没能早一点发现问题呢?黑客必定很聪明,将恶意代码隐藏起来,让操作员觉得一切正常。几周之后,随着产品瑕疵逐渐增多,工厂不得不让所有设备停止运行,虽然工厂之后恢复了运行,但是我们是否成功隔离了所有受影响的设备?幸运的是,我们要求所有厂区设备(包括驱动器和伺服器)都采用了硬件信任根,所以我们能够对全球所有可能受影响的设备实施软件更新。也许这次更新能够让我们位于日本的工厂避免出现同样的问题。

随着网络攻击面不断变化,安全风险不断增加,对边缘安全解决方案的需求也越来越大。工厂必须采取弹性措施抵御网络攻击,就是说要能够在工厂受到攻击时迅速检测出并尽快恢复运行。现在,问题已经不再是我是否会受到攻击,而是何时会受到攻击。构建互联工厂时要求配置智能边缘设备,能够在受到攻击后恢复运行。这需要在最低层级实现安全性:即硬件本身。能够信任设备最低层级的引导,并发布软件更新,这样,工厂将能够快速恢复正常运营。


图1. 随着网络攻击面继续发生变化,对边缘安全解决方案的需求日益增长。

什么在改变安全风险?

对边缘计算的需求意味着会涌现更多的互联设备,需要根据接收的数据与现实世界进行交互。这些智能设备是能否取得当今数字时代成果的关键。随着计算能力日益普及,对安全的需求也会增加,以应对不断增加的网络风险。下一次何时看到智能咖啡机因遭受网络攻击而被勒索赎金的新闻,可能也只是时间问题。即使勒索的赎金可以忽略不计,但攻击咖啡机的动机确实存在,因为防护水平低,很容易就能攻击成功,所以攻击值得一试。想想看,一个人要挟持整个工厂需要付出多大努力。但潜在回报大幅增加,所以攻击者发起攻击的动机也更大。对于IT和OT融合网络,仅依赖关键基础设施的防火墙已经不再有效。应该假设有人已经获取了访问工厂网络的权限。因此,必须保证所有互联设备都采用设备完整性和可靠的认证协议。


图2. 网络经济。

网络连接设备需要能够通过网络上的其他设备进行验证,设置共享密钥,对数据执行签名,以及验证接收到的数据。我们可以使用标准方法做到上述这些,但是工厂存在一些限制,在某些用例中,实现安全性有一定难度。例如,运动控制应用对时间的敏感性会导致产生延迟容限,这导致使用传统方法实施设备间验证时遇到阻碍。通过使用标准公共密钥基础设施,设备间彼此挑战,以确立真实性,并使用TLS等方法来交换共享会话密钥。许多工厂应用已采用这种方法;但是,这种方法不适合高速运动控制应用,因为许多设备都需要在特定的时间范围内进行互操作。当延迟要求以毫秒为单位时,必须选择合适的消息验证方案,以达到所需的安全和速度水平。从控制器到控制环路上所有设备的数据需要同时接收。有效实现这种数据流动的一种方法是所有设备都使用相同的共享会话密钥。这需要采用独特的网络配置,让所有设备都能够通过安全管理器实施验证;该安全管理器会为指定安全组中的所有设备提供相同的会话密钥。这些密钥使用标准TLS进行交换,并在时间关键型操作期间恢复使用替代协议。


图3. 运行环境。

将认证和完整性扩展到网络边缘节点

ADI Chronous 工业以太网连接解决方案的产品系列支持在控制环路的边缘实现安全通信。我们的设备位于通信端点,能够保护系统内每个节点的网络通信安全,同时尽量减少在功率、性能和延迟之间的取舍。这些可扩展以太网解决方案提供在高度时间敏感型应用中扩展安全性的方法,以应对不断变化的安全风险,例如:

• 保护工厂控制网络的边缘安全,以建立弹性和可信架构。
• 允许在集成OT/IT TSN网络内安全连接机器人、驱动器和生产机器。
• 在高度时间关键型应用环境中(根据需要)提供身份验证和加密方式。

ADI公司的ADI Chronous工业以太网安全解决方案支持快速实现互联工厂。利用ADI的安全开发流程,我们的工业以太网解决方案可确保安全设计支持系统应用,同时支持在整个产品生命周期内管理风险。ADI的工业以太网解决方案提供多种安全特性,例如密钥生成/管理、安全引导、安全更新和安全存储器访问。在工业控制环路边缘设备中集成安全性将提供扩展解决方案所需的数据可信度,从而能够在工厂环境中做出实时决定。

通过确保达到以下各项要求,加速迈向工业4.0:

• 机器/工人安全
• 可靠操作
• 产品质量
• 正常运行时间和吞吐量
• 生产效率
• 生产指标和洞察力

如果下一次网络攻击发生在今天,您会如何应对不断发生变化的网络风险?攻击者以设备软件为目标,还是会在网络中插入恶意数据?无论如何,您的设备需要能够提供安全通信,从容应对下一次攻击,尽快恢复运行。这需要在最低层级实现安全性:即硬件本身。能够信任设备最低层级的引导,并发布软件更新,这样,工厂将能够恢复正常运营。

作者


Erik Halthen

Erik Halthen作为Sypris Electronics(2016年被ADI公司收购)的一员,具有深厚的网络安全解决方案背景。Erik在ADI网络安全卓越中心工作,担任工业解决方案领域的安全系统经理。凭借其担任防务行业网络安全项目经理的经验,Erik致力于开发能够满足工业物联网的关键市场需求的领先安全解决方案。

  • 分享到:

 

猜你喜欢

  • 主 题:自主移动机器人(AMR)平台方案介绍
  • 时 间:2024.11.19
  • 公 司:安森美

  • 主 题:PIC®和AVR®单片机如何在常见应用中尽展所长
  • 时 间:2024.11.26
  • 公 司:DigiKey & Microchip

  • 主 题:盛思锐新型传感器发布:引领环境监测新纪元
  • 时 间:2024.12.12
  • 公 司:sensirion