新闻中心
关于工业自动化网络安全的研究
多年以来工业控制系统的网络安全在很大程度上被人们忽视了。这在精心策划的网络攻击兴起之前很少会受到业界和学术界的关注。但今日与过往不同,因黑客攻击而产生的负面影响已渐渐让大家改变了看法。现在的关键问题在于我们无法将历来IT界中已创造的网络安全防护方法简单直接地应用到工业系统中。所以是时候为OT(自动化)界提供一类完整且适用的方法了。
作者: STEFAN HUBER, THOMAS ROSENSTATTER, OLAF SASSNICK, JOSEF RESSEL CENTRE ISIA工业网络安全
在过去二十年中,COPA-DATA和萨尔茨堡应用科学大学(SUAS)极为重视彼此强强合作的伙伴关系。 其中最近合作的一个突出项目是约瑟夫·雷塞尔的智能和安全工业自动化中心(JRC ISIA)。在该2.50M研究中心于2022年7月启动后。作为此中心的三个合作伙伴之一,共同参与了其三个领域之一的工业网络安全研究。
长期以来,工业系统很少有受到网络攻击的安例,主要原因在于其与互联网等其他网络的隔离,以及该行业系统的专有特质。然而,由于兴起的物联网和工业 4.0 的一个关键要求是数据渗透性,需要将工业设备和系统相互连接。这造成了在过去五年间( 2018年至2023 年)连接入物联网的设备数量翻了一番,从 80 亿增长至 167 亿个/台。这种持续增长的趋势使得保护其网络安全成为了一项紧迫的任务,对其恶意者用来攻击的潜在次数(攻击面)已经在大幅增加。
网络攻击策划者的动机因人而异。在2022年最常见的黑客动机是间谍活动和获取货币收益。间谍活动的目标是在不被受害者发现的情况下非法获取有访问权限限制的敏感数据(例如知识产权)。在另一方面,获取收益对受害者来说其伤害更为明显,因为它可能会使得设施变得不可用,直接导致生产停机。这一类黑客通常是要求赎金以换取受害者设施的可用性或数据的恢复性。习惯上被称为勒索软件攻击。通过盗窃用户数据在暗网上出售这些有价值的信息以获利可能是另一种收益方式。 该类攻击者的共同目标是能够成功发起高级别的持续威胁(APT),这会使攻击者能够保持对受害者系统不为人所知的非法访问。
2022 年,在欧盟网络安全局 (ENI-SA)的报告中,清晰注明了工业部门是勒索软件攻击的普遍目标(占所有 623 起攻击事件中的 27.8%)。原因之一可能是,过去几十年来所部署的应对网络安全威胁的方法,可以有效地、更好地保护传统信息技术(IT)系统免受攻击。而工业生产系统通常缺乏这类安全防护方法,因此对于理性的攻击者来说,这类攻击在经济上更有性价比。除此之外,通用系统(如Linux和通用计算机硬件)也越来越多地被工业领域所采用。
总而言之,以前只有在传统IT领域才被了解的网络安全挑战在现在的工业生产环境中已变得越来越重要。遗憾的是,为 IT 设计的安全解决方案和方法无法直接迁移到生产环境中。这需要新的或经过调整的方法和工具才行。因为这两个网络世界在本质上是不同的。在 IT 领域,经典的设备是网管台式电脑,而在生产环境中,它是业务技术(OT) ——作为组成生产线的机器设备。IT管理下的台式PC可以被视为一个独立设备; 如有必要,其更新在大多数时候都允许重新启动的。与之相反,流程技术是不能以上述方式维护,否则会让整个生产线的生产停滞。所以OT更像是传统IT 环境中的关键网络基础设施,在这类场景中,中断会影响更多的连接设备,并对业务产生重大影响。OT 安全很难
不断变强的威胁形势要求我们提高 OT的安全性。我们需要开发适合 OT特质的安全解决方案,并为即将到来的向更智能、灵活和高度自动化的生产转变做好准备。美国的国家标准与技术研究院(NIST)正在监测这一演变。并在着手制定NIST SP 800-82文件以创建OT系统安全指南。这项工作将与ISA/IEC 62443标准一起强化OT安全需求快速增长的重要性。相比更传统的IT安全实践,OT安全的特点是以下面所讨论的约束条件所带来的特殊性挑战。
停机成本高昂。
生产线是复杂的系统,涉及来自不同供应商的可编程逻辑控制器(PLC)、执行器和传感器,它们相互交互。无法立即安装安全更新(或涉及高成本),因为系统关闭并非易事,这需要正确遵循预定义的过程才能实现。我们需要包括长期规划的安全更新方法(如部署新证书),并不会使系统容易受到攻击。我们还需要相应的技术解决方案,以确保OT在整个设备生命周期中的安全性,包括调试和维护阶段。→更新系统的安全性很困难。
安全需要得到保证。
一旦发现安全漏洞,理想情况下,应立即发布更新的软件以修复漏洞。然而,由于需要采取行动的紧迫性及其更新的复杂性,修复过程中可能引入故障的风险也会增加。从而当工业机械操纵物理世界时,操作人员可能会发生潜在的危险情况。为了将风险降至最低,应遵循功能安全标准(如ISO 13849),并要求外部机构进行认证。认证过程不仅限于机械本身,还包括控制软件。对控制软件的重大更改需要重新认证,这需要额外的时间和资源投入。因此,安全问题无法像在传统的IT 环境中那样快速修复。→修复系统的安全性是很困难的。
计算能力是有限的。
工业操作技术有包含各类的硬件平台,范围从 X86-64 架构到定制设计的微控制器。该平台的共同要求是需要硬件实时功能,以确保制造过程控制的需要。因此,在此类系统中实施安全算法可能会导致性能下降的问题。在最坏的情况下,无法通过软件更新来充分提供安全机制,而是需要重新设计整个硬件平台。然而,即使有足够的计算资源可用,维护良好的密码库也不一定可用于正在使用的平台,并导致需要额外的开发和移植工作。鉴于此类工作的性质,它通常会导致低质量的实现,这更有可能包含危险的错误。→实现系统的安全性是困难的。
生产线是有目的的。
生产线是独一无二的,专为生产特定商品的要求而设计。安装在生产线上的工业设备通常由不同专业的供应商制造,这导致了硬件和软件的组装多样化。例如,印刷电路板(PCB)装配线是由用于放置电子元件的搬运设备、去除元件水分的烘箱、印制设备、进行最终焊接的回流焊设备和用于传送元件的 PCB 装载设备组成。相应的工业控制系统(ICS)通常也会非常复杂,并包含了不同的物理接口和通讯协议,有时可能还需要额外的适配器来实现生产控制所需的互操作性。这种广泛的系统异构性使其很难构建用于检测恶意网络攻击的通用解决方案。→检测网络攻击是很困难的。
网络攻击需要有缓冲。
在IT 安全方面,已经开发了自动化安全防护来从根本上缓解网络攻 击。例如包括防止恶意代码执行(恶意软件检测)和保护网络免受拒绝服务攻击的机制。然而,在OT业内,目前没有这类自主防护的空间, 因为这会影响机器的运行和功能安全。系统自动做出这类防护以防范网络攻击的能力必须与未来的智能工厂一起以一种共同进化的方式发展来实现。→对网络攻击做出反应是很困难的。
需要新的方法和技术。
工业 4.0 (RAMI 4.0) 参考建设模型指导可作为工业 4.0 系统(包括产品)的架构索引。尽管相应的标准(DIN SPEC 91345)强调了安全性的必要性,但其并没有建议保护OT架构的方法,无法解决诸如所需的安全级别,如何实施关键基础设施(PKI)及如何处理证书续订等挑战。→设计一个安全的OT架构是很困难的。
JRC ISIA的研究
数字化助手通过接收来自整个自动化金字塔各层的信息,来检测和控制机器是否异常的结论。
现代化和未来的工厂往往更具适应性、灵活性、自主性和智能性。这将释放系统的高级优化和分析的潜力,实现批次生产单件化,缩短产品上市时间,并允许在面临严峻的人口结构转型下、单件工资成本较高的地区进行生产。
因为科学成果转化为产品生产力的时间尺度很长,所以我们需要尽早开发未来工厂的基本方法和机制。
JRC ISIA(约瑟夫·雷塞尔智能和安全工业自动化中心)最近五年会在三个研究领域(系统架构、人工智能和网络安全)致力于建立一个更加自主、更智能的工厂先决条件的研究。更准确地说,它正在研究工业机器的数字化助手,应用于如工业设备或数控(NC)机床,这些设备将执行安全异常检测或生产安全参数化等任务,以支持人员操作并提高自主性水平。
对于像JRC ISIA这样的研究中心来说,明智地选择研究课题并在不同区域间发挥协同作用。下面,我们简要介绍 JRC ISIA解决的两个主要网络安全主题。
测试平台和安全架构。
JRC ISIA的一个主要战术优势是研究人员的跨学科专业知识,其涵盖了网络安全、机器学习、工业自动化、系统工程和控制理论。目前正在完成的所有三个研究领域的共同测试平台的工作,其中包括一条由机器人和注塑机组建的硬件环路(HiL)模拟生产线。其所研究的技术基于开放的平台通信 统一架构(OPC UA)。 这不仅可以为研发团队提供了互操作性和语义丰富的信息模型,还包含了 对适用安全架构的要求。然而,目前的最佳做法仍未完全解决建立 具有OT意识的PKI基础设施和安全证书管理的挑战。精心设计的安全架构始于威胁建模,例如 STRIDE。但是,它不能计入实体的生命周期。在OT中,这是一个重要的问题,实际上是RAMI 4.0 参考模型的一个核心。若能将网络安全方法与基于模型的OT方法充分结合,将会产生非常适用 OT 的安全方法。
入侵检测和蜜罐技术。
在过去的几十年中的数代入侵检测系统基本上是基于开放系统互连 (OSI)7层模型向上发展的。研究团队以行为入侵检测的形式来推断这种演变。也就是说,我们通过观察工业设备的行为模式来检测可能源于安全事件的异常情况。
更准确地说,该团队是在一个由OPC UA地址空间跨越的高维状态空间中跟踪工业设备的状态,该状态空间通过语义信息模型进行-建模,类似于用于制造成型机的欧洲塑胶设备(EUROMAP)配套规范。团队发现这些状态空间轨迹(在适当的子空间中)在离散自动化中是周期性的,这是由于(很大程度上)重复生产的行为。这为通过训练机器学习模型以捕获良性轨迹的子空间奠定了基础,并且从根本上实现了异常检测。
一个具体的机器学习模型就是一种深度信念网络。它们也可以作为一个生成模型使用。也就是说,我们可以创建行为逼真的人工轨迹。然后,这些信息可以用来为蜜罐技术提供行业样本,并通过蜜罐技术在OPC UA地址空间中提供生产环境下人工操作的真实行为。
研究合作伙伴
斯蒂芬·胡伯
研究是企业在高科技产业中长期成功的必要条件。所有的合作伙伴受益于团队的研究工作——无论是通过研究成果、校友,还是通过大学内外正在展开交流所受到的影响。
约瑟夫·雷塞尔中心将努力开展基础应用研究。源自基础研究的方法与工业应用之间的差距往往很大。在这方面,与COPA-DATA等公司合作伙伴建立值得信赖的长期合作伙伴关系,使我们能够调整我们的研究课题,使其具有国际相关性,同时应对具有国际竞争力的研究挑战。
通过这一承诺,COPA-DATA也为萨尔茨堡工业信息学的生动研究生态系统做出了贡献。
Stefan Huber是JRC ISIA的负责人,也是JRC ISIA的信息技术和数字化部门的研究负责人。SUAS。他是一名计算机科学家和数学家,并于 2011 年获得博士学位。他曾是萨尔茨堡大学的高级科学家,奥地利IST的博士后,并领导了一个研发团队和项目在2019年加入SUAS之前,曾在贝加莱工业自动化公司工作。
托马斯·罗森施塔特
托马斯·罗森斯塔特(Thomas Rosenstatter)是一名研究员在JRC ISIA专注于网络安全,是高级讲师SUAS。他曾是瑞典RISE研究所的研究员,并在瑞典查尔姆斯理工大学获得计算机科学与工程博士学位。他的研究重点是设计安全且有弹性的网络物理系统。
奥拉夫·萨斯尼克
Olaf Saßnick 是 JRC ISIA 的研究员,专注于网络安全,也是 SUAS 的讲师,专注于传感器、自动化和嵌入式系统。他于 2015 年获得硕士学位,并在工业界担任嵌入式软件工程师,直到 2020 年加入 SUAS。