我們都聽說過物聯網(IoT)和工業物聯網(IIoT),也知道這兩者是不同的,因為物聯網通常應用於消費市場,而IIoT則應用於工業領域。但是,像工業網際網路聯盟(Industrial Internet Consortium;IIC)這樣的專業團體到底如何定義IIoT?

此團體將IIoT視為一個連接和整合操作技術(Operational Technology;OT)環境的體系,例如工業控制系統(ICS),包含企業系統、商務流程與分析系統。這些IIoT體系與ICS和OT不同,因為它們與其他系統和人員廣泛連接,而它們與資訊技術(IT)系統不同之處在於,它們使用的感測器和致動器與實體世界相互作用,若產生不可控制的變化時可能會導致危險。

感測器或連網設備為封閉系統的一部分,而IIoT的好處是能夠收集和分析數據,然後根據數據顯示的內容來執行任務。然而,這種連接性也增加了那些可能想要攻擊系統的風險,以及越來越多的網路攻擊,進而癱瘓系統。

英特爾(Intel)正在推動美國能源部(DoE)計劃中,減少網路事件的其中一個專案,以提高電力系統邊緣(power system edge)的安全性。由於電網邊緣(grid edge)設備直接並透過雲端平台相互溝通,因此該計畫的研究在於提升安全性,著重在互通性並提供即時情境認知(situational awareness)。

首先,在棕地(brownfield)需要透過安全的閘道器或傳統電力系統設備來實現,然後作為綠地(greenfield)的內部現場可程式化邏輯閘陣列(field programmable gate array;FPGA)的升級設計,或是做為目前設備的一部分,目標是在不妨礙重要電力輸送功能的正常運作方式下,減少網路攻擊。

英特爾物聯網安全解決方案首席架構師兼IIC安全工作小組聯合主席Sven Schrecker表示,在為IIoT系統設計和部署設備時,安全不應該是唯一的考量因素,開發人員應該更廣泛地思考以下五個總體關鍵因素:

˙功能安全(safety)

˙信賴性(reliability)

˙資訊安全(security)

˙隱私性(privacy)

˙恢復性(resilience)

雖然開發工程師可能必須將安全功能加入到晶片、軟體或平台中,但他們不一定能意識到他們的工作符合公司對於安全性政策方面所規劃的遠大目標。Schrecker說:「安全策略必須由IT團隊和OT團隊共同擬定,以便每個人都知道那些設備能互相溝通。」。

建立信任鏈(Chain of Trust)

主要重點是從一開始就建立安全性政策和信任鏈,然後在設備的整個生命週期中,透過設計、開發、生產過程來維護它。信任必須建立在設備、網路和整個供應鏈上。

物聯網安全基金會(IoT Security Foundation)董事會成員暨Secure Thingz執行長和創辦人Haydn Povey表示,安全性需要由四個層面著手:

˙CxO級別(CxO level)

˙安全架構師(security architect)

˙開發工程師(development engineer)

˙營運經理(operations manager)

開發或設計工程師需要採用公司的安全性政策,他們也許能定義如何辨識和驗證自己的產品、如何安全地提供軟體和硬體更新,以及在晶片或軟體中加入這些元素。信任鏈的第四個層面是OEM參與製造IIoT網路產品或部署這些產品的部分。在這裡,生產或營運經理需要確認每個電子零件都有自己獨特的身份,並且可以在供應鏈的每個環節進行安全認證。

當談論到硬體和軟體缺乏信任鏈時,MITRE資深主任工程師兼IIC的指導委員會成員Robert Martin說:「連接工業系統有很多不同的技術堆疊(tech stacks)。」他並警告:「事實上,微處理器的微小變化,會對於在此運作的軟體產生意想不到的影響。如果我們重新編譯軟體,在不同的作業系統中執行,將會有不同的運作方式,但沒有人能對這些變化所導致的軟體故障情況加以解釋。」

他補充:「在建築產業,有相應的法規與認證,若進行的變更會影響到安全性,將因此受到處罰。但在軟體技術方面則沒有類似的管理體制。」

IIoT安全性設計考量因素

那麼,從哪裡開始為IIoT進行安全性設計,以及必須考慮哪些設計因素?

目前有各種產業指南,例如IIC的物聯網安全架構及其製造概況,提供在工廠中實施此架構的詳細資訊,或是美國國家標準暨技術研究院(NIST)的網路安全架構(Cybersecurity Framework)。開發工程師的首要任務是確定如何將安全策略或安全架構應用在IIoT端點的全部或部分設備的設計和生命週期管理上面。

考量範圍包含從啟用具有唯一身份的設備,到能夠保護設備、辨識攻擊,並恢復、修復和修補設備。Arm物聯網設備解決方案副總裁Chet Babla表示:「此過程與保護其他系統沒有什麼不同,需要從頭開始考慮安全性問題。」

他解釋:「第一部分是分析什麼是入侵載體(threat vectors)?你想保護什麼?」Arm去年推出了自己的平台安全架構(PSA),以支援物聯網設備的開發人員。Babla表示,PSA與設備無關,因為該公司正在努力鼓勵產業考慮安全性問題。

分析、架構、建置

PSA架構包括三個階段——分析、架構和建置。Babla說:「分析是我們努力強調的核心部分。」舉例來說,這代表著進行入侵模型分析,Arm已經為資產追蹤器、水表和網路攝影機的常用案例導入了三個分析文件,此種分析相當重要,並且得到了其他人的迴響。

Martin評論:「我們需要開始討論硬體中潛在的弱點,並能夠模擬攻擊模式,以及製作測試案例。」設計工程師需要考量整個生態系統,從晶片到雲端,在實施一個包含不可變動的系統、或不可更改身份的設備方面,應啟用信任根(RoT),並確保可以安全地執行無線OTA更新和身份驗證。Babla說:「然後可以考慮在晶片、接入點和雲端進行緩解(mitigation)。」

20181008NT31P1 Arm的PSA鼓勵開發人員首先考慮入侵威脅,然後再考慮設計和履行(implementation)。(資料來源:Arm)

生命週期管理(LCM)

有人認為,將IIoT安全性與傳統物聯網安全問題區分開來的一個重要考慮因素在於LCM。Povey表示,LCM在軟體更新或更改IIoT設備配置時會有影響。在IIoT環境中,連網設備、感測器和控制系統不會或不應該連接到開放網路中。

因此,某些類型的設備LCM控制層需要成為IIoT設備的一部分,這可以是用於設備報告、配置和管理的複雜軟體。但是,IIoT網路中的安全需求會根據系統中的端點而有所不同,因為它可能包含非IP的智慧控制器離線內部網路,和某種類型的保護或與外部網路隔離的設計,並且還可能有IP或非IP的無線設備和感測器。

作為LCM功能的一部分,所有端點設備都需要在工業系統中被管理和控制,這讓工廠能在導入、配置和管理端點設備/產品,並加入到內部工廠網路時,能進行控制。

IIoT安全解決方案的高階目標包含以下:

˙產品端點認證(設備、感測器、控制系統)——端點產品是真的,並非偽造品?提供產品製造商的可追溯性、生產日期和任何其他相關資訊。

˙產品端點配置和使用控制——端點的安全管理和配置控制方面,有各種權限和使用模式之控制或限制。

˙端點控制狀態的安全控制。

˙端點維護——包括安全的軟體更新。控制系統和端點間的安全通訊,以及確保控制系統數據在儲存方面的安全性。

˙進階安全防護——入侵偵測和安全監控。

在較低層級啟用此端點產品安全的基礎,是以下對於端點設備的要求:

˙不可變更的設備身份——設備必須具有不可更改/受保護的身份,必須透過加密方式進行驗證。產品能辨識自己並驗證出誰是製造者、相關日期和其他資訊。

˙不可變更的RoT——除了設備身份之外,還有配置到產品中的RoT。其中包括低階的安全啟動程式(secure boot manager)、認證和非對稱金鑰組,允許設備支持雙邊身份驗證並啟用安全軟體更新。RoT的某些部分要求金鑰和其他項目應在某種類型的安全儲存區域中受到保護,以防止金鑰資訊從產品中被提取。

˙不可變更的安全性啟動程式——某種類型的低階安全啟動程式,可在應用之前,驗證設備/產品的所有韌體和配置更新。只有安全啟動管理程式才能安裝並將低階的配置更新應用於端點設備/產品。

˙LCM軟體/服務——某種類型的低階LCM控制服務,可以管理端點產品,包括軟體更新和配置更改。

20181008NT31P2 設計時,考量到設備層級的安全性與物聯網設備的整個生命週期。(資料來源:Secure Thingz)

安全區域(Security enclaves)

Povey表示:「在設備採購方面,受到一些因素影響,例如啟用標準機制以推出更新、此更新將如何儲存在邊緣設備,以及設備和記憶體資源影響等因素。」

他並補充:「你需要考慮安全區域,以及隱藏秘密和基本金鑰的位置,還有如何為設備添加浮水印。」工程師應該在不考慮晶片商與架構的情況下,在開發環境中將這些因素納入考量。一般的產業共識是,安全元件確實需要嵌入到硬體中,以確保其可信任度,因為晶片級加密可以被執行和保護。

GE電力、自動化和控制部門控制和邊緣平台總經理Rich Carpenter說:「我們試圖從硬體層開始建立RoT,且我們的深度防禦(defense-in-depth)機制要求入侵發生時,不會透過系統進行傳播。」他還提到,GE使用現成的可信任平台模組(TPM),並採用英特爾和AMD處理器。

英特爾預期將從硬體著手。Schrecker說:「擁有硬體RoT非常重要。硬體身份燒錄到系統中,並具有晶片層級的身份,這代表著它可以被追蹤,而重要地是能確保晶片不是偽造的,並且能夠進行身份驗證和更新。」他補充,硬體安全性並不能取代軟體安全性,只是提高了安全性。

總之,在設計IIoT設備的安全性時,關鍵的考量因素是使設備不可變更(immutable)、能夠提供可信任和安全的啟動,並在整個生命週期內管理設備安全性,其中還包括OTA軟體更新和修補。

在發生攻擊的情況下,需要有一種方法可以準確地辨識設備,將其恢復到之前已知的良好狀態,然後能夠適時在攻擊點(point of attack)解決問題。將這些原則考慮在內,是進到下一步—硬 體建置(hardware implementation)的良好開始。

(參考原文: Designer's Guide to IIoT Security,by Nitin Dahad)