公平地說(shuō)，運(yùn)營(yíng)技術(shù) (OT) 和工業(yè)控制系統(tǒng) (ICS) 的網(wǎng)絡(luò)安全遠(yuǎn)遠(yuǎn)落后于企業(yè) IT 的網(wǎng)絡(luò)安全。然而，向工業(yè)物聯(lián)網(wǎng) (IIoT) 邁進(jìn)意味著縮小這一差距并保護(hù)制造流程以及能源、健康和交通等關(guān)鍵基礎(chǔ)設(shè)施現(xiàn)在至關(guān)重要。

　　隨著連接性的增加和單個(gè)組件連接到網(wǎng)絡(luò)(允許遠(yuǎn)程監(jiān)控、軟件更新、更好的數(shù)據(jù)分析以及來(lái)自此類(lèi)系統(tǒng)的自動(dòng)化)，攻擊面顯著增加，防止網(wǎng)絡(luò)攻擊的需求成為業(yè)務(wù)當(dāng)務(wù)之急。這不僅適用于關(guān)鍵基礎(chǔ)設(shè)施，例如2013/14 年俄羅斯蜻蜓攻擊，而且全面而言，例如臺(tái)積電 2018 年由 WannaCry 惡意軟件變種導(dǎo)致的關(guān)閉。

　　僅就制造業(yè)而言，Verizon 最新的數(shù)據(jù)泄露調(diào)查報(bào)告在過(guò)去一年中記錄了 200 多起基于間諜活動(dòng)的安全漏洞和 700 多起出于經(jīng)濟(jì)動(dòng)機(jī)的攻擊。

　　行業(yè)標(biāo)準(zhǔn)的制定、協(xié)議和認(rèn)證在保護(hù)此類(lèi)系統(tǒng)方面發(fā)揮著關(guān)鍵作用。

　　工業(yè)物聯(lián)網(wǎng)的演變

　　OT 中的網(wǎng)絡(luò)安全之所以滯后，主要是因?yàn)樵S多遺留系統(tǒng)是為非連接世界創(chuàng)建的。雖然事件甚至發(fā)生在 80 年代——參見(jiàn)1982 年報(bào)道的中央情報(bào)局對(duì)蘇聯(lián)天然氣基礎(chǔ)設(shè)施的攻擊——機(jī)會(huì)更少，黑客更難實(shí)施。

　　事實(shí)上，直到世紀(jì)之交，當(dāng)以太網(wǎng)被引入時(shí)，OT 系統(tǒng)才變得更加廣泛連接。因此，今天仍在使用的許多單獨(dú)組件從未針對(duì) TCP/IP 連接的含義進(jìn)行設(shè)計(jì)，某些連接工業(yè)電子設(shè)備的通信協(xié)議(例如 Modbus)也沒(méi)有設(shè)計(jì)。

　　此外，許多運(yùn)行此類(lèi)系統(tǒng)的組織希望從孤立的 OT 模型轉(zhuǎn)變?yōu)楦踊ヂ?lián)的 IT 甚至 IIoT 模型，以此作為更有效地使用數(shù)據(jù)的一種方式。要使用舊設(shè)備做到這一點(diǎn)，并將數(shù)據(jù)從工廠(chǎng)的一側(cè)移動(dòng)到另一側(cè)，必須打開(kāi)防火墻端口和針孔，從而增加攻擊面。

　　就其本質(zhì)而言，OT 系統(tǒng)是分層的，安全標(biāo)準(zhǔn)通常反映了Purdue 模型，其中網(wǎng)絡(luò)分為功能層：從 0 級(jí)(傳感器和執(zhí)行器)到 OT 環(huán)境，再到最高級(jí)別 5 級(jí)，公司的企業(yè)IT網(wǎng)絡(luò)。數(shù)據(jù)流經(jīng)這些級(jí)別以提供有關(guān)工廠(chǎng)的數(shù)據(jù)，并為 ICS 提供業(yè)務(wù)環(huán)境以調(diào)整性能或設(shè)置交付計(jì)劃。

　　普渡模型(來(lái)源：物聯(lián)網(wǎng)安全基金會(huì))

　　該模型也非常適合 IIoT 設(shè)備;可以說(shuō)，每個(gè)物聯(lián)網(wǎng)設(shè)備都是“盒子里的普渡模型”，帶有傳感器、處理器和與企業(yè)網(wǎng)絡(luò)的連接。但是，對(duì)于智能城市中使用的遠(yuǎn)程監(jiān)控設(shè)備，系統(tǒng)不只是連接到企業(yè)網(wǎng)絡(luò)，而是直接連接到云，如果你愿意的話(huà)，可以達(dá)到 6 級(jí)。這使它們更接近于互聯(lián)網(wǎng)傳播的威脅。

　　安全標(biāo)準(zhǔn)、指南、法規(guī)

　　隨著互聯(lián)網(wǎng)對(duì)我們的經(jīng)濟(jì)和社會(huì)福祉變得越來(lái)越重要，創(chuàng)新在整個(gè)價(jià)值鏈中盛行，需要標(biāo)準(zhǔn)和法規(guī)來(lái)保護(hù)所有利益相關(guān)者免受意外后果和惡意意圖的影響。

　　我們不再處在一個(gè)遵循預(yù)先定義的 M2M 模型的世界中，其中只有一個(gè)(或極少數(shù))供應(yīng)商的已知設(shè)備構(gòu)成系統(tǒng)，并且每個(gè)元素都可以信任。這種舊模型意味著可以專(zhuān)門(mén)為供應(yīng)商實(shí)施專(zhuān)有協(xié)議：例如，ABB 或霍尼韋爾，它們各有不同，有時(shí)甚至?xí)a(chǎn)生矛盾。

　　轉(zhuǎn)向 IIoT 系統(tǒng)改變了這一點(diǎn)。不僅設(shè)備來(lái)自多個(gè)供應(yīng)商，傳感器還連接到 LoRa 或 5G 等廣域網(wǎng) (WAN)，并位于遠(yuǎn)程。因此，需要在整個(gè)生態(tài)系統(tǒng)中使用和采用標(biāo)準(zhǔn)。

　　正如已經(jīng)指出的那樣，“標(biāo)準(zhǔn)的偉大之處在于有這么多可供選擇”，但有這么多標(biāo)準(zhǔn)制定機(jī)構(gòu)，難怪TüV Reinland 的 2019 年網(wǎng)絡(luò)安全趨勢(shì)報(bào)告警告說(shuō)：“工業(yè)物聯(lián)網(wǎng)面臨重大標(biāo)準(zhǔn)挑戰(zhàn)?！?/p>

　　這里值得一提的包括美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 的通用標(biāo)準(zhǔn) SP 800-82 和 ISA/IEC 62443，以及來(lái)自政府組織的若干行業(yè)特定標(biāo)準(zhǔn)和指南。還有來(lái)自 ABB、通用電氣和西門(mén)子等主要參與者的供應(yīng)商特定標(biāo)準(zhǔn)。

　　還值得注意的是，沒(méi)有標(biāo)準(zhǔn)可以從傳感器一直延伸到云端。此外，傳統(tǒng)上，標(biāo)準(zhǔn)之間存在一些沖突和矛盾，導(dǎo)致不兼容和/或不合規(guī)。然而，這在 OT/IIoT 領(lǐng)域變得越來(lái)越少，我們通常會(huì)在這些領(lǐng)域看到融合。即使是特定于供應(yīng)商的協(xié)議現(xiàn)在也參考了更廣泛的標(biāo)準(zhǔn)，例如 SP 800-82，尤其是 ISA/IEC 62443。

　　SP 800-82

　　SP 800-82 始于 15 年前，作為 NIST 的 ICS 和監(jiān)督控制和數(shù)據(jù)采集 (SCADA) 系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

　　它專(zhuān)門(mén)解決 ICS 威脅和漏洞，以及風(fēng)險(xiǎn)管理、推薦實(shí)踐、架構(gòu)和工具。每次更新都變得更加全面，例如，為低、中和高影響的 ICS 設(shè)備添加了量身定制的安全基線(xiàn)。

　　NIST 還在解決中型公司對(duì) ICS 安全性的擔(dān)憂(yōu)，并已開(kāi)始擴(kuò)大機(jī)器人、智能交通和化學(xué)加工等領(lǐng)域的測(cè)試平臺(tái)。

　　ISA/IEC 62443

　　具有國(guó)際性，適用于 ICS 用戶(hù)而不僅僅是供應(yīng)商，這可能是最突出的 ICS 網(wǎng)絡(luò)安全系列標(biāo)準(zhǔn)。

　　創(chuàng)建這些規(guī)范是為了比 SP 800-82 更具體地針對(duì)工業(yè)控制用例。它們提供了一個(gè)靈活的框架來(lái)減輕當(dāng)前和未來(lái)工業(yè)自動(dòng)化和控制系統(tǒng)的安全漏洞。

　　與 SP 800-82 一樣，它們旨在防止對(duì)公眾和員工造成危險(xiǎn)、喪失公眾信心、違反監(jiān)管要求、IP 盜竊、經(jīng)濟(jì)損失和國(guó)家安全攻擊，并已成為許多行業(yè)特定標(biāo)準(zhǔn)的基礎(chǔ).

　　與普渡模型相匹配，它們是分層的，分為四個(gè)層次：一般、政策和程序、系統(tǒng)和組件。尚未全部發(fā)布，但有四個(gè)特別值得強(qiáng)調(diào)：62443-2-4(系統(tǒng)集成政策);62443-4-1(安全開(kāi)發(fā)生命周期的要求);62443-4-2(組件安全規(guī)范);和 62443-3-3(安全要求和級(jí)別)。

　　這些標(biāo)準(zhǔn)很詳細(xì)，代表了整個(gè)工業(yè)控制部門(mén)的要求。概述了每個(gè)級(jí)別的安全要求，以保護(hù)正常運(yùn)行時(shí)間、知識(shí)產(chǎn)權(quán)和安全，并對(duì) IIoT 生態(tài)系統(tǒng)中的每個(gè)利益相關(guān)者有明確的期望。各個(gè)供應(yīng)商的指導(dǎo)方針和行業(yè)特定標(biāo)準(zhǔn)(用于能源生產(chǎn))現(xiàn)在通?；? 62443，翻譯相關(guān)小節(jié)以適應(yīng)該行業(yè)的語(yǔ)言和協(xié)議。

　　聯(lián)合國(guó)歐洲經(jīng)濟(jì)委員會(huì)的網(wǎng)絡(luò)安全通用監(jiān)管框架已整合 ISA/IEC 62443，美國(guó) NIST SP 800-82 已與之保持一致。

　　還值得注意的是，該標(biāo)準(zhǔn)因訪(fǎng)問(wèn)成本高而受到批評(píng)，這可能會(huì)阻止或減緩公司實(shí)施最佳實(shí)踐的速度。

　　行業(yè)特定標(biāo)準(zhǔn)

　　如前所述，為保護(hù)電力網(wǎng)絡(luò)等關(guān)鍵基礎(chǔ)設(shè)施而制定了許多行業(yè)特定標(biāo)準(zhǔn)。例如，美國(guó)能源部與美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 合作開(kāi)發(fā)了基于 ISA/IEC 62443 的標(biāo)準(zhǔn)。該組織熱衷于強(qiáng)調(diào)最佳實(shí)踐，已在信息圖中發(fā)布了其建議。

　　這些也符合英國(guó)國(guó)家網(wǎng)絡(luò)安全中心制定的能源基礎(chǔ)設(shè)施指南。

　　雖然標(biāo)準(zhǔn)經(jīng)常重疊，但仍有解釋和實(shí)施的空間。我們?nèi)绾未_保每個(gè)人都選擇以一致的方式解釋它們，以及我們?nèi)绾魏饬亢弦?guī)程度?當(dāng)每個(gè)傳感器和每個(gè)控制系統(tǒng)都不同時(shí)，就會(huì)有認(rèn)證系統(tǒng)。

　　雖然政府現(xiàn)在要求關(guān)鍵基礎(chǔ)設(shè)施必須滿(mǎn)足一定的安全級(jí)別，但安全漏洞主要集中在薄弱環(huán)節(jié)。在購(gòu)買(mǎi) IIoT 設(shè)備時(shí)，詢(xún)問(wèn)供應(yīng)商是否對(duì)設(shè)備進(jìn)行了充分的滲透測(cè)試，以及它是否滿(mǎn)足與其他供應(yīng)商同等水平的所有要求。

　　以能源為例：如何確保所有加入網(wǎng)絡(luò)的智能電表的可信度?為此，我們必須建立信任，然后通過(guò)這些通用標(biāo)準(zhǔn)強(qiáng)制執(zhí)行。

　　部分原因正在發(fā)生變化：美國(guó)國(guó)防部今年宣布了網(wǎng)絡(luò)安全成熟度模型認(rèn)證計(jì)劃。網(wǎng)絡(luò)安全從作為任何采購(gòu)周期的第四個(gè)支柱——連同成本、進(jìn)度和性能——轉(zhuǎn)變?yōu)榛A(chǔ)。此外，第三方評(píng)估現(xiàn)在是強(qiáng)制性的。

　　成本是安全的敵人，對(duì)這些系統(tǒng)進(jìn)行全面認(rèn)證的成本非常高。再加上缺乏認(rèn)證機(jī)構(gòu)，很容易理解為什么許多部門(mén)仍在使用自我認(rèn)證。

　　因?yàn)闆](méi)有一刀切的方法，標(biāo)準(zhǔn)仍然必須針對(duì)單個(gè)組織進(jìn)行情境化。讓專(zhuān)家能夠確定組織的運(yùn)營(yíng)和戰(zhàn)略背景背景，然后應(yīng)用這些最佳實(shí)踐是至關(guān)重要的。然而，技能?chē)?yán)重短缺。

　　零信任，轉(zhuǎn)向 IIoT、云、邊緣計(jì)算

　　基礎(chǔ)設(shè)施的管理方式發(fā)生了重大變化。傳感器現(xiàn)在位于遠(yuǎn)程并通過(guò) WAN 進(jìn)行通信，這使得隔離其中一些功能變得更加困難，包括控制和分析功能。

　　Covid-19 大流行以及為家庭工作人員提供遠(yuǎn)程訪(fǎng)問(wèn)監(jiān)控系統(tǒng)的需求只會(huì)加速這一趨勢(shì)。這也增加了加強(qiáng)安全的緊迫性。

　　這需要超越 ISA/IEC 62443 和 NIST SP 800-82 來(lái)更具體地解決 IIoT 及其在工業(yè)環(huán)境中引入云和邊緣計(jì)算的問(wèn)題。

　　從歷史上看，OT 安全依賴(lài)于隱式信任，基于假定的可信網(wǎng)絡(luò)。系統(tǒng)不再基于單一或幾乎單一的供應(yīng)商模型。隨著來(lái)自多個(gè)供應(yīng)商的 IIoT 設(shè)備數(shù)量的增加，隱含的信任是不夠的。我們需要“零信任”網(wǎng)絡(luò)，確保設(shè)備關(guān)系和安全狀態(tài)，并強(qiáng)化設(shè)備以抵御不受信任的環(huán)境。事實(shí)上，這是物聯(lián)網(wǎng)安全基金會(huì)智能建筑工作組的重點(diǎn)。

　　IT 已經(jīng)朝著這個(gè)方向發(fā)展。IIoT 世界也應(yīng)該如此。事實(shí)上，供應(yīng)商和標(biāo)準(zhǔn)機(jī)構(gòu)一直在研究設(shè)備的自動(dòng)部署配置：例如，英特爾及其Secure Device Onboarding現(xiàn)已提交給 FIDO 聯(lián)盟。

　　這在現(xiàn)實(shí)世界(例如智能城市部署)中意味著，傳感器安裝將成為即插即用，設(shè)備知道要聯(lián)系的來(lái)源，從而與基礎(chǔ)設(shè)施的其他部分建立信任關(guān)系。

　　這將通過(guò)邊緣計(jì)算和人工智能部署加速，因此傳感器、執(zhí)行器和控制系統(tǒng)將變得更加智能：當(dāng)它們收集數(shù)據(jù)時(shí)，它們還可以檢查其有效性。

　　我們從安全可靠的芯片、軟件和基于云的管理系統(tǒng)開(kāi)始，它們的通信同樣安全可靠。結(jié)果是強(qiáng)大的基礎(chǔ)設(shè)施。但這也意味著必須建立標(biāo)準(zhǔn)和認(rèn)證。

　　增加的連接性意味著增加的脆弱性，而防火墻不是答案。它們創(chuàng)造了一種虛假的安全感，并沒(méi)有真正保護(hù)關(guān)鍵系統(tǒng)。在這樣一個(gè)世界中，我們都可以在確保連接安全方面發(fā)揮作用。對(duì)于那些希望從擁有更智能的 IIoT 系統(tǒng)中受益的人，請(qǐng)記住這些明智的話(huà)：“如果它不安全，它就不是智能的?！?/p>

　　–John Moor 是物聯(lián)網(wǎng)安全基金會(huì)的常務(wù)董事。本文是與 Paul Dorey 教授(CSO 機(jī)密)、Pam Gupta(OutSecure)、Paul Kearney 教授(伯明翰城市大學(xué))、Nirmal Misra(設(shè)備管理局)和 Haydn Povey(Secure Thingz)合作編寫(xiě)的。