IIoT安全威胁不断上升

工业物联网的快速增长是质疑这些系统是多么安全的今天,如何提高安全性,以及谁应该负责。

这些问题是交错的转变被处理的数据量越来越大,移动大量数据的成本和速度,和不断增加的频率和成本的攻击。

“数字数据是1.5到2年翻一番,”史蒂文说哇,系统和解决方案的副总裁和一个杰出的发明家Rambus。“这是导致越来越多的人关注安全。数据正变得更有价值。”

随着,过程数据的系统越来越复杂。

“挑战的复杂性是一维的,”马克Canel说,副总统的安全系统和技术手臂。“有分层技术,从物理IP,其中的关键,这将使信任是嵌入式的根,一直到应用程序和介于两者之间的。也有复杂的过程来构建所有的这些东西,供应他们,加载代码和加载密钥。最大的挑战之一是没有标准化跨整个物联网世界。”

但与物联网的,都有一个共同努力IIoT空间中确定最佳实践和关闭安全漏洞。事实上,一个物联网供应商协会本周发布了网络安全指南,旨在提高工业物联网的安全网络。向导显示了如何准备一些最终用户公司获得一套新的物联网系统。

端点安全最佳实践发表的,物联网联盟,是一个指南,旨在方便工业操作员工发现他们通过指导方针从几个组织所需的安全信息。指南的目标受众——工厂老板或经理、工厂设备制造商和集成商和经销商一起工业生产和工业控制系统——确切地知道如何让自己的工厂他们应该和系统的工作方式。但他们往往很难确定问题或解决方案时确保新安装的工业物联网网络,高级负责人史蒂夫•汉娜英飞凌科技和三个报告的合著者之一。

指南的大部分观众包括工程师专门从事操作和流程管理,在公司工作通常运行在工业控制系统(ICS)或SCADA应用程序,根据韦伯院长,首席技术官Mocana和IIC论文的合著者。

起床对IT系统的速度而不是OT(操作技术),以及网络安全而不是物理安全,需要改变前景。但更实际,它也需要大量的阅读——超过一千页的重技术材料网络卫生和物联网设计建议IIC的框架,以及其他NIST 4.0 IEC和德国政府的行业。

“这是很多工业工程师,要求操作人员,制造商曾是他们所做的操作节奏,不是网络安全,”韦伯说。“网络安全让他们摸不着头脑。这让他们思考合规目标并试图让他们思考低级对象仍然需要安全恒温器,例如,可以作为一个入口点的攻击。”

指南包括简单的共同安全条款的定义包括根的信任,安全的引导,信任锚,和信任链接让观众熟悉这些概念,汉娜说。其定义的端点,这是任何设备计算能力和网络连接,使论点,可以攻击任何设备,成为一个危险的入口点,无论看起来多么微不足道。

边缘的“工业社会只是实现他们的系统也可以被恶意的目标从脚本kiddy到近乎旗鼓相当的民族国家,”韦伯说。攻击公用事业、工业企业、金融机构和其他组织会立即影响到大量的客户不仅仅是有可能的,因为有很多黑客和恶意软件。“这可能是政策决定像[2015]BlackEnergy3[malware-based]袭击乌克兰的能源网(据称由俄罗斯政府)。”

破坏性的黑客
公用事业和工业企业最喜欢攻击的目标,可能是由于攻击的广泛影响和通常采取的相对简单陈旧,undersecured系统。2017年6月,几家研究公司认为CrashOverride / Industroyer恶意软件是为了攻击和破坏ICS设施,尤其是电力系统。它包括一个额外的工具来利用西门子SIPROTEC保护继电器的弱点,从卡巴斯基实验室2017年9月的一份报告称。

2017年2月到2018年2月,3.3%的节点在工业自动化系统中袭击cryptocurrency矿工根据卡巴斯基实验室,发现大多数攻击来自互联网和经常攻击Win32电脑。

2017年3月,安全公司德拉戈报道大约3000工业场所受到传统的一道恶意软件,每年一个恶意软件,伪装的像一个合法的软件为西门子可编程序逻辑控制器已经流传了至少四年,试图感染工业企业。恶意软件攻击常规的计算机系统,而不是物联网设备,但是有三个部分的恶意软件专门为智能设计的工业机械,Stuxnet BlackEnergy Havex,罗伯特·m·李称,德拉戈的创始人。

有大量的恶意软件可以感染物联网设备,然而,这反过来又可以为工业企业创建灾难和其他人,因为很多设备船与很少或没有安全,根据海顿·波维SecureThingz创始人兼首席技术官,物联网安全基金会的董事会成员。

的2016年DDoS攻击在DNS提供商达因,例如,来自成千上万的打印机,IP摄像机住宅网关和婴儿监视器已经感染了Mirai恶意软件利用弱或没有密码。新IoT-targeting恶意软件包括物联网部队和收割者使用破解技术渗透的设备。僵尸网络发展顺利,以至于Bitdefender实验室一直密切关注的增长到超过32000个节点,Ars Technica发现一个主动发动DDoS攻击300 gbit /秒仅为20美元。

人们需要更多的关心自己的设备,但物联网设备制造商需要满足他们一半通过添加一些安全特性,使设备难以破解,更容易管理或信任,Povey说。

“大孔(物联网安全)是由设备引起的,没有根的信任,”理查德·纽厄尔说,高级Microsemi corp .首席产品设计师”他们没有相信执行环境,他们没有一个明确的ID。(物联网设备制造商)太忙让设备工作,没担心安全,”

问题的一部分是一个重新定义的计算完成。“传统上人们不担心边缘设备,因为他们认为他们可以保护网络的网关,但这并不阻止有人发起拒绝服务攻击使用单片机在冰箱里,“Povey说。“这真的是下一代工业革命,但物联网不是设计时考虑到安全,所有良好的数据我们可以得到这些设备,他们可以做很多伤害,。”

有很多的压力,降低成本和芯片组简单,但添加一个非常基本的安全的IC元素到现有的芯片成本30美分,还能“让你创建身份在广泛的层面上,“Povey说。“现实最好去为一个完整的设备和一个完全集成的安全微控制器等瑞萨的协同作用集成安全的核心元素和抗干扰和让你AES加速度和真正的随机数生成。另一个选择是一个STM32h7设备,所有PKI的基础设施。或者你可以有一个单独的小微控制器和一个8位或16位处理器,有效或手臂CryptoIsland或CryptoCell。所有这些选项在市场上或在未来几个月。”

Microsemi的客户一直在戒备森严的企业非常感激安全并愿意为此付出代价,但是其他人已经开始意识到他们不能让物联网设备没有保护和仍然期望得到充分利用。

“这不是每个人,但客户要求这种识别能力的各种各样的互联网基础设施和物联网应用,”纽厄尔说。“政府和国防部承包商理解安全很好,但是如果你的工作你的方式向另一个极端,财务人算出来,医务人员就几乎没有意识到有一个问题,因为无线设备和心脏起搏器可以砍。”

不幸的是,许多芯片制造商不相信物联网安全可以盈利。大约38%的半导体公司高管接受采访2016麦肯锡公司/ GSA的一项调查表示,他们的客户希望安全解决方案,将取消98%的风险,但只有15%的人认为客户会支付溢价20%或更高,42%的人认为消费者将不支付费用和预期价格下降。

图1:比例的受访者希望安全但不愿意支付溢价。来源:麦肯锡公司/ GSA

董事长兼首席执行官查尔斯•许eMemory,喜欢物联网安全指导方针扑灭由美国国土安全部门在2016年,这表明,物联网芯片制造商有基于硬件的安全,和设备制造商需要添加标识和身份验证功能和一个函数,如果设备被砍,将导致它失败安全、可靠。

“物联网是受欢迎的,安全是非常重要的,特别是对于端点设备,”徐说。“既然你通常不会有很强的计算能力在终点,您的安全必须简单、可靠。”

是否供应商单独添加安全性并不重要,为了应对政府的指导方针或英特尔等vendor-led集团增强的隐私ID项目,但芯片设计者和设备制造商需要添加的东西更容易填补空白,纽厄尔说。

“这是很重要的,当你建立这些网络通信链接,你知道你在跟谁说话,”他说。“这不该是一个栈溢出错误等问题,已经存在了30年,你仍然有应用程序堆栈溢出问题。”

编者斯珀林对此报道亦有贡献。