向右滑动:上一篇 向左滑动:下一篇 我知道了
广告

您的工厂可能成为下一个网络攻击目标…

时间:2020-03-20 作者:Erik Halthen,ADI产品开发经理 阅读:
如果下一波网络攻击就发生在今天,您该如何因应不断发生变化的网络风险?攻击者以设备软件为目标,还是在网络中插入恶意数据?您的工厂可能成为下一个网络攻击目标,您准备好了吗?

假设您是一家领导级制造企业的负责人,主要负责整个区域的营运,在某一天和往常一样工作时,突然接到报告,称最大一家工厂的产品出现了瑕疵。这种问题已经出现了一段时间,并且一直在加剧中,但是,工厂经理却无法确定出现瑕疵的根源为何。目前工厂似乎一切运作如常,我们应该让所有设备停止运转,以实施更详细的诊断?还是继续运转,期望这种问题可以自行消失,产品输出回归正常?s5LEETC-电子工程专辑

最后,您决定让设备停止运转,然后执行非常规维护。经过几小时的诊断,问题似乎取得突破了。虽然从表面来看一切如常,但是PLC软件存在异常问题。进一步诊断之后,显然是工厂遭遇了黑客攻击!但是,为何没能早一点发现问题呢?黑客必定很聪明,将恶意代码隐藏起来,让操作人员觉得一切正常。s5LEETC-电子工程专辑

几周之后,随着产品瑕疵逐渐增多,工厂不得不让所有设备停止运转,虽然工厂之后恢复了运转,但是我们是否成功隔离了所有受影响的设备?幸运的是,我们要求所有厂区设备(包括驱动器和服务器)都采用了硬件信任根,所以我们能够对全球所有可能受影响的设备实施软件更新。也许这次更新能够让我们位于其他地区的工厂避免出现同样的问题。s5LEETC-电子工程专辑

随着网络攻击面不断变化,安全风险不断增加,对边缘安全解决方案的需求也越来越大。工厂必须采取弹性措施抵御网络攻击,就是要能够在工厂受到攻击时迅速检测出并尽快恢复运转。现在,问题已经不再是会不会受到攻击的问题,而是,何时会受到攻击?建构互连工厂时要求配置智能边缘设备,以使得能够在受到攻击后恢复运转。这需要在最低层级实现安全性:即硬件本身。能够信任设备最低层级的引导,并发布软件更新,这样,工厂将能够快速恢复正常营运。s5LEETC-电子工程专辑

s5LEETC-电子工程专辑

图1:随着网络攻击面继续发生变化,对边缘安全解决方案的需求日益成长s5LEETC-电子工程专辑

是什么改变着安全风险?

对边缘运算的需求提高,意味着会涌现更多的互连设备,其需要根据接收的数据与现实世界进行交流。这些智能设备是能否取得当今数字时代成果的关键。随着运算能力日益普及,对安全的需求也会增加以因应不断增加的网络风险。下一次何时看到智能咖啡机因遭受网络攻击而被勒索赎金的新闻,可能也只是时间问题。即使勒索的赎金可以忽略不计,但攻击咖啡机的动机确实存在,因为防护水平低,很容易就能攻击成功,所以攻击值得一试。s5LEETC-电子工程专辑

想想看,一个人要挟持整个工厂需要付出多大的努力。但潜在回报是大幅增加的,所以攻击者发起攻击的动机也更大。对于IT和OT融合网络而言,仅依赖关键基础设施的防火墙已经不再有效。应该假设已经有人取得了存取工厂网络的权限。因此,必须保证所有互联设备都采用设备完整性和可靠的认证协议。s5LEETC-电子工程专辑

s5LEETC-电子工程专辑

图2:网络经济。s5LEETC-电子工程专辑

网络连接设备需要能够透过网络上的其他设备进行验证,设定共享密钥,对数据执行签名,以及验证接收到的数据。我们可以使用标准方法做到上述这些面向,但是,工厂仍存在一些限制,在某些用例中,实现安全性具有一定的难度。例如,运动控制应用对时间的敏感性会导致产生延迟容限,使得传统方法实施设备间验证时遇到阻碍。透过使用标准公共密钥基础设施,设备间彼此挑战,可确立真实性,并使用TLS等方法来交换共享会话密钥。s5LEETC-电子工程专辑

许多工厂应用已采用这种方法。但是,这种方法不适合高速运动控制应用,因为许多设备都需要在特定的时间范围内进行互动操作。当延迟要求以毫秒为单位时,必须选择合适的消息验证方案,以达到所需的安全和速度水平。从控制器到控制回路上所有设备的数据需要同时接收。有效实现这种数据流动的一种方法是所有设备都使用相同的共享会话密钥。这需要采用独特的网络配置,让所有设备都能够透过安全管理器实施验证;该安全管理器会为指定安全组中的所有设备提供相同的会话密钥。这些密钥使用标准TLS进行交换,并在时间关键型操作期间恢复使用替代协议。s5LEETC-电子工程专辑

s5LEETC-电子工程专辑

图3:运作环境。s5LEETC-电子工程专辑

将认证和完整性扩展到网络边缘节点

例如,ADI Chronous portfolio工业以太网络连接解决方案的产品系列可在控制回路的边缘实现安全通讯。该设备位于套接字点,能够保护系统内每个节点的网络通讯安全,同时尽量减少在功率、性能和延迟之间的取舍。s5LEETC-电子工程专辑

这些可扩展以太网络解决方案提供在高度时间敏感型应用中扩展安全性的方法,以因应不断变化的安全风险,例如:s5LEETC-电子工程专辑

• 保护工厂控制网络的边缘安全,以建立弹性和可信架构。s5LEETC-电子工程专辑

• 允许在整合OT/IT TSN网络内安全连接机器人、驱动器和生产机器。s5LEETC-电子工程专辑

• 在高度时间关键型应用环境中(根据需要)提供身份验证和加密方式。s5LEETC-电子工程专辑

ADI Chronous工业以太网络安全解决方案支持快速实现互连工厂。利用其安全开发流程,相关工业以太网络解决方案可确保安全设计支持系统应用,同时支持在整个产品生命周期内管理风险。此外,工业以太网络解决方案提供多种安全特性,例如密钥生成/管理、安全引导、安全更新和安全内存存取。在工业控制回路边缘设备中,整合安全性将提供扩展解决方案所需的数据可信度,而能够在工厂环境中做出实时的决定。s5LEETC-电子工程专辑

透过确保达到以下各项要求,将可加速迈向工业4.0:s5LEETC-电子工程专辑

• 机器/工人安全s5LEETC-电子工程专辑

• 可靠操作s5LEETC-电子工程专辑

• 产品质量s5LEETC-电子工程专辑

• 正常运行时间和吞吐量s5LEETC-电子工程专辑

• 生产效率s5LEETC-电子工程专辑

• 生产指标和洞察力s5LEETC-电子工程专辑

如果下一次网络攻击发生在今天,您该如何因应不断发生变化的网络风险?攻击者以设备软件为目标,还是在网络中插入恶意数据?无论如何,您的设备需要能够提供安全通讯,从容地因应下一次攻击,并且尽快恢复运作。这需要在最低层级实现安全性:即硬件本身。能够信任设备最低层级的引导,并发布软件更新,如此一来,工厂方能够恢复正常营运。s5LEETC-电子工程专辑

责编:Yvonne Gengs5LEETC-电子工程专辑

本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
您可能感兴趣的文章
  • 从一开始就确保安全是保护IP的关键 随着物联网的发展,以及嵌入式应用的复杂性快速攀升,创新的产品和业务模式层出不穷。但是我们如何确保投资得到保护?如何确保所有互联设备获得适当的安全性?由于IP方面仍然是公司真正价值的主要部分,因此从硬件和软件这两个角度来看,这些问题的重点就归结于对这些IP提供保护。
  • 新一代安全存储架构可望提供高容量、低成本之解决方案 由摩尔定律预测的半导体制程稳定发展,几乎从各方面来看皆对嵌入式系统开发商贡献卓著。
  • 美国将出台新措施:禁用美国设备造华为芯片 报道称,美国商务部正起草对所谓外国直接产品规定进行调整的计划,该规定限制外国企业将美国技术用于军事或国家安全产品。据知情人士称,相关调整将允许商务部要求世界各地的芯片企业在获得许可的情况下,才能使用美国设备生产供应给华为技术有限公司(Huawei Technologies Co.)的芯片。
  • 电源“保护”也可以很简单 通常,关于电源“保护"的挑战都是一些明摆在我们面前的问题,但难以预期的原因在于涉及工作量的多少以及如何让产品上市的阻碍…
  • 量子芯片引领密码学迈向新里程 未来当量子计算机出现后,很可能让我们的信息安全陷入风险,而新加坡南洋理工大学开发的量子芯片是否能提供解决之道?
  • 有点太像人类...又不够有人性的AI 因为AI是如此被动吸收被馈入的数据,因此只能反映出存在于人类开发者心中的偏见──无论是有意识或无意识的…
相关推荐
    广告
    近期热点
    广告
    广告
    广告
    可能感兴趣的话题
    广告