OT和工業物聯網中的網路安全標準
2021-03-04
作者
John Moor,物聯網安全性基金會(IoT Security Foundation)常務董事
操作科技(OT)和工業控制系統(ICS)的網路安全性大大落後於企業資訊科技(IT)的網路安全性,這樣說毫不為過。隨著工業物聯網(IIoT)的發展,這一差距必須縮小…
操作科技(OT)和工業控制系統(ICS)的網路安全性大大落後於企業資訊科技(IT)的網路安全性,這樣說毫不為過。隨著工業物聯網(IIoT)的發展,這一差距必須縮小,不僅要對製造過程的安全進行防護,還要保護能源、健康和運輸等關鍵基礎設施。
隨著連接數的增加,越來越多的設備接入到網路,以實現遠端監控、軟體更新、更好的資料分析,以及系統自動化,攻擊面隨之大大增加,保護網路免受攻擊成為企業當務之急。這些攻擊不只是針對關鍵的基礎架構(例如2013/14俄羅斯駭客組織「Dragonfly」攻擊),而是可能發生在所有系統中(例如由WannaCry演變的惡意軟體導致台積電2018年停工事件)。
據Verizon發佈的最新資料洩露調查報告顯示,僅就製造業而言,過去一年中就有200多次間諜型安全攻擊,以及700多次經濟型攻擊。
產業標準的制定、認可和認證對於保護此類系統發揮著重要作用。
IIoT的演進
OT的網路安全性之所以落後,很大程度是因為許多傳統的系統都是為非連網的世界而創建。儘管攻擊事件早在80年代就時有發生(例如1982年CIA對蘇聯天然氣基礎設施攻擊的報導),但那時的攻擊機會要少一些,且駭客入侵更困難。
實際上,直到世紀之交乙太網路出現以後,OT系統才廣泛連接起來。也就是說,目前使用的許多元件並未針對TCP/IP連接應用設計,也未針對工業電子設備的某些通訊協議(例如Modbus)進行設計。
此外,許多擁有此類系統的組織希望從孤立的OT模型轉變為互連的IT甚至IIoT模型,從而更有效地使用資料。如果使用傳統的舊設備,將資料從工廠的一端傳到另一端時,必須打開防火牆埠和針孔,這樣會增加被攻擊的可能。
從本質上講,OT系統是分層的,安全標準通常符合Purdue模型。在Purdue模型中,網路分為不同的功能層:從第0層(感測器和致動器),往上通過OT環境,到最高的第5層,即公司的企業IT網路。資料流程經這些層,ICS將根據工廠資料和業務的具體情況來調整性能或設定交貨時間表。
圖1:Purdue模型。
(來源:IoT Security Foundation)
Purdue模型也適合IIoT設備。可以說每個物聯網裝置都是一個現成的Purdue模型,包含一個感測器和一個處理器,並且連接到企業網路。但是,對於遠端監控設備 (如智慧城市中使用的設備),系統不只是連接到企業網路,還可以直接連接到雲端(第6層),因而更容易受到來自網際網路的攻擊。
安全標準和法規準則
網際網路對我們的經濟和社會生活越來越重要,整個價值鏈中不斷出現創新,因此需要制定標準和法規來保護所有參與者免受惡意攻擊。
在預定義M2M模型中,系統是由一家(或很少幾家)供應商提供的已知設備構成,每個設備都可以信任。這種舊模型意味著專有協議只能專門針對某一家供應商實施,例如,ABB或Honeywell,它們各不相同,甚至互相矛盾。不過,現在我們身處的世界已經發生了變化。
變化是因為使用了IIoT系統。設備來自多家供應商,感測器也遠端連接到LoRa或5G等廣域網路(WAN),因此需要為整個生態系統制定標準。
然而,可選的標準太多是個大問題,面對如此眾多的標準制定機構,難怪TÜV Reinland《2019年網路安全趨勢》報告發出警告:「IIoT面臨標準的巨大挑戰」。
值得一提的是,標準包括美國國家標準暨技術研究院(NIST)的通用標準SP 800-82和ISA/IEC 62443,以及由政府機構制定的一些特定產業標準和指南。還有由ABB、奇異(GE)和西門子(Siemens)等大廠提供的特定供應商標準。
還要注意的是,沒有哪一種標準從感測器到雲端全都適用。另外,標準之間通常存在一些衝突和矛盾,導致不相容和/或不合規。但這種情形在OT/IIoT領域變得越來越少見,我們通常會看到標準的融合。現在,甚至連供應商的協議都引用了其他標準,例如SP 800-82,特別是ISA/IEC 62443。
SP 800-82
SP 800-82由NIST在15年前發佈,是ICS和監督控制與資料擷取(SCADA)系統的網路安全標準。
它專門解決ICS安全威脅和漏洞,涉及風險管理、推薦方法、體系架構和工具。每次更新後,例如為重要性分別是低、中、高的ICS設備添加量身訂做的安全基準,標準會變得更全面。
NIST也在著手解決中等規模的公司對ICS安全性的擔憂,開始增加用於機器人、智慧運輸和化學處理的測試設備。
ISA/IEC 62443
ISA/IEC 62443可能是最重要的ICS網路安全標準,不僅適用於供應商,也適用於ICS使用者。
與SP 800-82標準相比,這些規範更專注於工業控制應用。它們提供了一個靈活的框架,防止當前和未來的工業自動化和控制系統出現安全性漏洞。
與SP 800-82一樣,這些規範旨在防止對公眾和員工造成危害、喪失公信力、違反法規要求、IP盜竊、經濟損失和國家安全攻擊,已成為許多特定產業標準的基礎。
與Purdue模型一樣,它們也是分層的,共分為四層:常規、策略和過程、系統及元件。這些標準目前尚未全部發佈,特別值得一提的有四個:62443-2-4 (系統整合策略)、62443-4-1 (安全開發生命週期要求)、62443-4-2 (元件安全規範)、62443-3-3 (安全性要求和等級)。
這些標準十分詳細,涵蓋整個工業控制領域,並且描述了每一層的安全要求,包括保護正常運作、智慧財產權和安全性,同時對IIoT生態系統中的每個參與者都有明確的要求。現在,各供應商指南和特定產業標準(能源產生)通常基於62443,並翻譯了相關部分以適合該產業的語言和協議。
聯合國歐洲經濟委員會網路安全通用監管框架已整合ISA/IEC 62443,且美國的NIST SP 800-82也與它保持一致。
值得注意的是,該標準因收費昂貴而受到批評,這可能會阻止或減緩其應用速度。
產業特定標準
如前所述,許多產業特定標準都是用來保護關鍵基礎設施的,例如電網。美國能源部(United States Department of Energy)與美國國土安全部(DHS)網路安全和基礎設施安全局(CISA)合作開發了基於ISA/IEC 62443的標準。為了最有效地使用這些標準,該組織以圖表形式提出了建議。
這些標準也符合英國國家網路安全中心(U.K. National Cyber Security Center)開發的能源基礎設施指南。
標準內容經常重複,而且還需要進一步的解釋和實現。如何確保每個人都以同樣的方式解釋這些標準,以及如何衡量合規程度?當每個感測器和每個控制系統不同時,則可使用認證系統。
現在政府規定關鍵基礎架構必須滿足一定等級的安全性,安全攻擊通常集中在薄弱點。購買IIoT設備時,務必詢問供應商是否對設備進行了充分的滲透測試,以及能否像其他供應商一樣滿足所有要求。
以能源為例,如何確保接入網路的所有智慧電錶都可以信任?我們必須建立信任,然後透過這些通用標準來實現。
其中一部分正在發生變化,美國國防部(DoD)於2020年宣佈了「網路安全成熟度模型認證」(Cybersecurity Maturity Model Certification)計畫。
網路安全曾是採購環節的第四大要素(其他三大要素是成本、進程和績效),現在已逐漸成為採購的基礎。此外,現在還要求協力廠商評估。
但是成本與安全性是互相衝突的,若要對這些系統進行全面認證,成本極高。再加上缺乏認證機構,就很容易理解為什麼許多產業現在仍在使用自我認證。
由於不存在一種「萬能」的方法,所以各組織仍然必須根據具體情況來制定標準。很重要的一點是,這些組織需要擁有足夠的專家,從營運和策略上確定自身情況,然後進行最好的實踐。但是,目前專業人才嚴重缺乏。
零信任朝IIoT、雲端和邊緣運算發展
基礎架構的管理方式已發生了巨大變化。現在,感測器遠端安裝並透過WAN回傳資訊,在這種情況下,隔離其中一些功能(包括控制和分析功能)會變得更加困難。
在COVID-19疫情下,需要為在家上班的人們提供遠端接入監控系統,增強安全性的要求變得更加迫切。因此,需要在ISA/IEC 62443和NIST SP 800-82之外制定新的標準,更好地應用於IIoT,以及在工業環境中導入雲端和邊緣運算的情況。
從歷史來看,OT安全源於絕對信任,而這又建立在假設網路可以信任的基礎上。系統不再由某一個供應商提供,不同供應商提供的IIoT設備數量越來越多,依靠絕對信任已經不夠。我們需要「零信任」(zero trust)網路,在這種網路中,設備關係和安全狀態可以信任,設備抵抗不可信環境的能力更強。實際上,這是物聯網安全性基金會(IoT Security Foundation)智慧建築工作小組的重心。
IT正朝著這個方向發展,IIoT世界也應如此。確實,供應商和標準組織一直關注著設備的自動部署,例如,英特爾(Intel)已向FIDO (Fast IDentity Online)聯盟提交了「安全設備啟用」(Secure Device Onboarding)方案。
在現實世界中(如智慧城市部署),這意味著未來的感測器可以隨插即用,設備知道在與基礎設施的其他部分建立信任關係時要跟誰聯繫。
邊緣運算和人工智慧(AI)的部署將加速其發展,感測器、致動器和控制系統將變得更加智慧:在收集資料時,它們還可以檢查資料的有效性。
安全可靠的晶片、軟體和基於雲端的管理系統,它們之間的通訊也必須安全和可信,才能得到強健的基礎設施。但是,這也意味著必須建立標準和認證。
隨著連線性的不斷增加,意味著安全性漏洞越來越多,防火牆並不是有效的解決方案。防火牆會導致人們產生錯誤的安全感,實際上它並不能真正保護關鍵系統。在我們身處的世界,所有人都可以發揮作用,確保連接安全。人們希望IIoT系統更加智慧,但請謹記:「如果不安全,那就不智慧」。
(參考原文:Cybersecurity Standards in OT and Industrial IoT,by John Moor)
本文同步刊登於EDN Taiwan 2021年3月號雜誌
