广告

您的工厂可能成为下一个网络攻击目标…

时间:2020-03-20 作者:Erik Halthen,ADI产品开发经理 阅读:
如果下一波网络攻击就发生在今天,您该如何因应不断发生变化的网络风险?攻击者以设备软件为目标,还是在网络中插入恶意数据?您的工厂可能成为下一个网络攻击目标,您准备好了吗?
广告
ASPENCORE

假设您是一家领导级制造企业的负责人,主要负责整个区域的营运,在某一天和往常一样工作时,突然接到报告,称最大一家工厂的产品出现了瑕疵。这种问题已经出现了一段时间,并且一直在加剧中,但是,工厂经理却无法确定出现瑕疵的根源为何。目前工厂似乎一切运作如常,我们应该让所有设备停止运转,以实施更详细的诊断?还是继续运转,期望这种问题可以自行消失,产品输出回归正常?R3jEETC-电子工程专辑

最后,您决定让设备停止运转,然后执行非常规维护。经过几小时的诊断,问题似乎取得突破了。虽然从表面来看一切如常,但是PLC软件存在异常问题。进一步诊断之后,显然是工厂遭遇了黑客攻击!但是,为何没能早一点发现问题呢?黑客必定很聪明,将恶意代码隐藏起来,让操作人员觉得一切正常。R3jEETC-电子工程专辑

几周之后,随着产品瑕疵逐渐增多,工厂不得不让所有设备停止运转,虽然工厂之后恢复了运转,但是我们是否成功隔离了所有受影响的设备?幸运的是,我们要求所有厂区设备(包括驱动器和服务器)都采用了硬件信任根,所以我们能够对全球所有可能受影响的设备实施软件更新。也许这次更新能够让我们位于其他地区的工厂避免出现同样的问题。R3jEETC-电子工程专辑

随着网络攻击面不断变化,安全风险不断增加,对边缘安全解决方案的需求也越来越大。工厂必须采取弹性措施抵御网络攻击,就是要能够在工厂受到攻击时迅速检测出并尽快恢复运转。现在,问题已经不再是会不会受到攻击的问题,而是,何时会受到攻击?建构互连工厂时要求配置智能边缘设备,以使得能够在受到攻击后恢复运转。这需要在最低层级实现安全性:即硬件本身。能够信任设备最低层级的引导,并发布软件更新,这样,工厂将能够快速恢复正常营运。R3jEETC-电子工程专辑

R3jEETC-电子工程专辑

图1:随着网络攻击面继续发生变化,对边缘安全解决方案的需求日益成长R3jEETC-电子工程专辑

是什么改变着安全风险?

对边缘运算的需求提高,意味着会涌现更多的互连设备,其需要根据接收的数据与现实世界进行交流。这些智能设备是能否取得当今数字时代成果的关键。随着运算能力日益普及,对安全的需求也会增加以因应不断增加的网络风险。下一次何时看到智能咖啡机因遭受网络攻击而被勒索赎金的新闻,可能也只是时间问题。即使勒索的赎金可以忽略不计,但攻击咖啡机的动机确实存在,因为防护水平低,很容易就能攻击成功,所以攻击值得一试。R3jEETC-电子工程专辑

想想看,一个人要挟持整个工厂需要付出多大的努力。但潜在回报是大幅增加的,所以攻击者发起攻击的动机也更大。对于IT和OT融合网络而言,仅依赖关键基础设施的防火墙已经不再有效。应该假设已经有人取得了存取工厂网络的权限。因此,必须保证所有互联设备都采用设备完整性和可靠的认证协议。R3jEETC-电子工程专辑

R3jEETC-电子工程专辑

图2:网络经济。R3jEETC-电子工程专辑

网络连接设备需要能够透过网络上的其他设备进行验证,设定共享密钥,对数据执行签名,以及验证接收到的数据。我们可以使用标准方法做到上述这些面向,但是,工厂仍存在一些限制,在某些用例中,实现安全性具有一定的难度。例如,运动控制应用对时间的敏感性会导致产生延迟容限,使得传统方法实施设备间验证时遇到阻碍。透过使用标准公共密钥基础设施,设备间彼此挑战,可确立真实性,并使用TLS等方法来交换共享会话密钥。R3jEETC-电子工程专辑

许多工厂应用已采用这种方法。但是,这种方法不适合高速运动控制应用,因为许多设备都需要在特定的时间范围内进行互动操作。当延迟要求以毫秒为单位时,必须选择合适的消息验证方案,以达到所需的安全和速度水平。从控制器到控制回路上所有设备的数据需要同时接收。有效实现这种数据流动的一种方法是所有设备都使用相同的共享会话密钥。这需要采用独特的网络配置,让所有设备都能够透过安全管理器实施验证;该安全管理器会为指定安全组中的所有设备提供相同的会话密钥。这些密钥使用标准TLS进行交换,并在时间关键型操作期间恢复使用替代协议。R3jEETC-电子工程专辑

R3jEETC-电子工程专辑

图3:运作环境。R3jEETC-电子工程专辑

将认证和完整性扩展到网络边缘节点

例如,ADI Chronous portfolio工业以太网络连接解决方案的产品系列可在控制回路的边缘实现安全通讯。该设备位于套接字点,能够保护系统内每个节点的网络通讯安全,同时尽量减少在功率、性能和延迟之间的取舍。R3jEETC-电子工程专辑

这些可扩展以太网络解决方案提供在高度时间敏感型应用中扩展安全性的方法,以因应不断变化的安全风险,例如:R3jEETC-电子工程专辑

• 保护工厂控制网络的边缘安全,以建立弹性和可信架构。R3jEETC-电子工程专辑

• 允许在整合OT/IT TSN网络内安全连接机器人、驱动器和生产机器。R3jEETC-电子工程专辑

• 在高度时间关键型应用环境中(根据需要)提供身份验证和加密方式。R3jEETC-电子工程专辑

ADI Chronous工业以太网络安全解决方案支持快速实现互连工厂。利用其安全开发流程,相关工业以太网络解决方案可确保安全设计支持系统应用,同时支持在整个产品生命周期内管理风险。此外,工业以太网络解决方案提供多种安全特性,例如密钥生成/管理、安全引导、安全更新和安全内存存取。在工业控制回路边缘设备中,整合安全性将提供扩展解决方案所需的数据可信度,而能够在工厂环境中做出实时的决定。R3jEETC-电子工程专辑

透过确保达到以下各项要求,将可加速迈向工业4.0:R3jEETC-电子工程专辑

• 机器/工人安全R3jEETC-电子工程专辑

• 可靠操作R3jEETC-电子工程专辑

• 产品质量R3jEETC-电子工程专辑

• 正常运行时间和吞吐量R3jEETC-电子工程专辑

• 生产效率R3jEETC-电子工程专辑

• 生产指标和洞察力R3jEETC-电子工程专辑

如果下一次网络攻击发生在今天,您该如何因应不断发生变化的网络风险?攻击者以设备软件为目标,还是在网络中插入恶意数据?无论如何,您的设备需要能够提供安全通讯,从容地因应下一次攻击,并且尽快恢复运作。这需要在最低层级实现安全性:即硬件本身。能够信任设备最低层级的引导,并发布软件更新,如此一来,工厂方能够恢复正常营运。R3jEETC-电子工程专辑

责编:Yvonne GengR3jEETC-电子工程专辑

ASPENCORE
本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 美国游说欧洲禁用中国产安检设备,改用美国产 继鼓动全球其他国家禁用华为通信设备后,美国政府近期继续向中国挥舞“不公平贸易行为”的大棒,但实际情况正是美国在用不公平手段对待中国高科技企业。近日,他们又对中国最大的安检设备供应商同方威视(Nuctech)下手了,这场行动由美国国家安全委员会和一些美国机构领导,他们认为同方威视在欧洲不断扩大的业务,对西方安全和美国企业构成了威胁……
  • J.D. Power新车辆质量报告:特斯拉垫底 第三方研究机构J.D. Power 发布2020 年最新车辆初始质量报告显示,获得第一名的品牌是道奇(Dodge),其次是起亚(KIA) 和雪佛莱(Chevrolet),特斯拉(Tesla Inc., )则以每一百辆车出现 250 个问题,成为榜单上的最后一名。一个有趣的地方是,在其他所有新车发生的问题中,每四个就有一个是关于信息系统,唯有特斯拉的问题集中在烤漆、内装和车内异音……
  • 2G/3G 进入腾退阶段,5G+X 模组无差别补位 今年以来,中央密集部署,加快推进“新型基础设施”建设进度。其中,5G被认为是 “新基建”七大领域的领头羊。5G不仅自身成为新的经济增长点,同时还与物联网、大数据、人工智能等行业紧密结合,填补了2G/3G网络腾退后的通信标准。例如5G+NB-IoT、5G+Wi-Fi 6、5G+GNSS等满足垂直应用领域的模块产品,已经进入商用阶段……
  • 特斯拉APP大面积宕机,众多车主被困 5月13日晚,特斯拉国内数位车主发微博称,特斯拉App大面积宕机,致使手机无法与车链接,手机钥匙失效,导致无法获取车辆信息、无法点亮车内仪表盘、中控屏。多车主处于“盲开”状态。直到当晚十一点半左右,也就是宕机发生4个多小时后,特斯拉官方做出回复,已经修复完成……
  • 不注重设备安全性就别做IoT生意! 2020年全世界的物联网设备安装量将达到350亿台,这意味着有350亿个让黑客威胁安全性的机会。
  • 反制美国,中国发布新版网络安全审查办法 4月27日,据中华人民共和国国家互联网信息办公室,中共中央网络安全和信息化委员办公室第6号文件,中国12个部门联合发布新版网络管制法案。外界认为,这是在美国不断制制裁中国移动通讯设备制造商华为后,中国展开的新一轮针对美国的反制措施。“审核办法”的核心内容是中国主要网络基础设施运营商在购买零部件和服务时,必须接受是否危害国家安全的审查,这与特朗普政府禁止使用华为产品的主张相同……
广告
热门推荐
广告
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了