工业互联网网络体系安全防护研究(二)
发布日期:2022-12-05 作者: 来源:信息安全与通信保密杂志社 分享:
态势感知技术是对相关环境的理解,包括态势数据的收集、分析、警报、呈现、使用操作,以及安全信息的生成和维护活动,有助于形成一个整体的操作图景。在理想情况下,工业互联网安全和实时态势感知应该无缝地跨越IT和OT子系统,并且不干扰任何正常的工业控制运营业务流程,设计中必须考虑到安全性,应该尽早评估风险,而不是事后考虑安全性。由工业互联网网络安全态势感知系统提供从各种生产现场传感器和设备收集信息所需的“网络-物理-人”的耦合数据,并提供一个报告和控制接口,便于在管理和保护生产与关键基础设施的物理元素时有效地实现人在回路的参与。工业互联网态势感知对于攻防对抗环境中的人类决策极为重要,安全分析人员必须了解正在发生的事情,以便提高决策的速度和有效性,并确定如何在未来更有效地缓解威胁。态势感知取决于任务的具体背景和任务中个人的角色,传感器和操作数据提供了有关正在发生的事情的原始资料。大数据分析和人工智能将态势信息转化为对正在发生的事情及对任务的影响,同时可以实现对感知预期结果的理解。在工业互联网的上下文中,蜜罐可以以不同的方式实现,其主要取决于应用场景。例如,在OT网络中,低交互蜜罐可以模拟网络服务器(例如生产过程中的控制站)的操作,而在现场网络中,蜜罐使用能够模拟远程终端控制系统(Remote Terminal Unit,RTU)操作的实现,如协议仿真器(Supervisory Control and Data Acquisition,SCADA)。在企业的流程控制网络或信息与通信网络中,高交互蜜罐是有足够运行技术条件的(甚至以虚拟机的形式在同一主机上共存),同时还可以模拟最小服务的低交互蜜罐。此外,在某些情况下,一些针对系统的攻击可以重定向到蜜罐,从而提供有关攻击者及其意图的更多信息。现场总线蜜罐运行于工业现场控制网络中,与网络中已有的可编程控制器(Programmable Controller,PLC)、RTU、传感器和执行器互联互通和信息共享,并绑定网络中未使用的IP地址段。其基本工作原理是:通过最大限度地模拟生产控制环境中的PLC、RTU及执行器的行为和服务。现场总线蜜罐主要工作于现场总线层,因此具有较高的迷惑性,可以引诱攻击者更加深信当前面对的是一个值得攻击的目标。同时,通过充当工业互联网的诱饵,向上一级分布式生产控制系统(例如SCADA系统、分布式控制系统(Distributed Control System,DCS)的主站系统、PLC系统的上位机等)发送异常工业互联网设备事件及设备相应ID,并引导攻击事件的应急响应过程。现场总线蜜罐的存在形态一般是模拟PLC,模仿真实PLC的行为和操作,也可以模拟RTU、传感器或执行器等。在正常情况下,现场总线蜜罐将等待来自某个探测网络或假冒主站的入侵者试图访问网络的连接尝试。实际上,任何连接该蜜罐设备的尝试都可能产生安全事件,因为根据蜜罐的设计初衷,现场总线蜜罐中的任何活动都是非法和未经授权的(除蜜罐本身的管理操作外)。图3为用于监控现场总线网络的现场总线蜜罐的基本结构。
图 3 现场总线蜜罐的基本结构
密网技术是在蜜罐技术的基础上发展而来的,工业互联网入侵行为的网络特性需要更大范围的诱捕技术,通过在工业互联网网络上设置一些特殊的诱捕机群,并在其上运行专用的模拟软件,模拟工业互联网网络上运行操作系统的主机群,将其并入到网络上的安全域,对其进行低级别的安全保护,可以让入侵者更容易地进入系统。入侵者进入系统后,其所有行为将受到系统软件的监视和记录。通过收集关于入侵者行为的数据,系统软件可以分析入侵者的行为,达到通过蜜网构建网络攻击行为分析模型,吸引攻击者攻击的目的。
5.3 人工智能技术下的工业攻防网络
对生产制造企业实施的网络攻击通常分为工业间谍、工业破坏和数据盗窃3类,每类攻击行为追求的目标各不相同,有些目的是获取公司的机密信息,如机器或产品的最新技术发展,而有些目的则是金钱利益。在人工智能协助下实施的网络攻击将更精确、更有效地绕过工业生产控制系统,结合人工和计算机辅助方法的攻击利用办公IT信息系统和生产控制网络中的各种数据源和通信系统识别漏洞,形成对办公IT信息系统、生产控制网络和人工智能系统自身的立体网络攻击。
从宏观层面分析,人工智能辅助的网络攻击有两种基本类型:技术性攻击和对组织结构的攻击。两者之间有时会有一些重叠或差异,不易区分。更简单的攻击类型包括钓鱼攻击——发送大量包含各种恶意软件链接的电子邮件,最广为人知的攻击事件之一是WannaCry蠕虫勒索病毒;更智能的攻击类型包括鱼叉式网络钓鱼攻击——在攻击过程中,恶意攻击者将发送个性化的电子邮件,其中包含具有后门功能的特洛伊木马等内容的链接。鱼叉式网络钓鱼攻击也可用于0-day攻击,0-day漏洞是未公开的软件安全缺陷,暂时没有可用的补救补丁程序,攻击者可能会滥用这些漏洞。工业互联网系统,特别是现场控制设备的组件常使用出厂默认密码,且在默认情况下禁用安全选项。因此,在工业互联网域中安装组件很容易,但非常不安全。一般30%的工业应用出厂后程序无法更改,并且很难说服工业控制系统制造商研发具有安全功能的产品组件。直到最近几年,在几次工业控制信息安全事件的推动下,一些工业制造商才开始改变其产品的默认安全状态,而与此问题密切相关的威胁是在工业控制设备中包括密码在内的身份认证信息通常不加密,网络攻击者可以在内存中以明文形式,或在通信过程中通过窃听的方式获取这些重要信息。此类威胁的典型案例是一家知名制造商的PLC设备外包装清楚地显示钻孔模板,并说明电源插头和非屏蔽双绞线(Unshielded Twisted Pair,UTP)电缆的连接位置,并且随设备附带的光盘和一份两页的安装手册明确说明可以在连接PLC的网络计算机设备中启动光盘。这导致PLC安装时没有任何密码保护就可以直接连接到互联网。使用Shodan类互联网搜索引擎的恶意攻击者可以很容易发现这些没有任何身份认证保护措施或只有简单防护机制的PLC设备,并进一步控制该PLC设备以实施下一步网络攻击行动。终端侧安全防护技术主要有:高效灵活配置的网关过滤技术,易于识别和使用的端点通信策略,基于加密的通信端点之间的强相互认证,通过强制执行从策略派生的访问控制规则的授权机制和加密机制,确保交换信息的机密性、完整性和实时性。其中需要特别注意的是高效灵活配置的网关过滤技术,传统的工业自动控制领域强调信息流保护技术,而工业互联网则倾向于使用加密控制技术同时结合保护技术,例如应用于传输层[如传输层安全性协议(Transport Layer Security,TLS)]或中间件层[如数据分发服务(Data Distribution Service,DDS)]的加密控制等,通过终端侧配合采用各层通信链路相应的安全控制和技术机制来抵御不同的网络攻击。建立端侧设备安全的第一步是使用支持加密的身份认证协议进行身份认证(如果建立了公钥基础设施,则通过交换身份证书进行身份认证),然后,通信双方必须根据策略中定义的访问控制规则交换数据。例如,在医疗设备工业系统中,具备采集病人真实的医学指标的终端设备,一般不允许共享患者的数据。为确保被交换时信息的机密性和完整性,应使用标准加密技术[如高级加密标准(Advanced Encryption Standard,AES)等对称算法和RSA等非对称算法]、消息认证技术和消息认证码,以实现端侧加密。特别需要注意的是,针对不提供交换信息的完整性和机密性的工业互联网通信协议,可以通过加密和认证的隧道式路由,或者通过信息流控制技术进行保护,进而提高这类协议的安全性。这些技术通常使用在进行身份认证过程中协商建立的加密密钥,但应注意避免没有身份认证过程的单纯加密。此外,由于传统网络安全缺乏考虑工业场景,特别是工业制造厂商对所有机器和设备在各种环境条件下的正常和安全运行有特殊要求。因此,符合气候条件(例如灰尘、湿度、温度等)、机械条件(例如冲击、振动等)和安全条件(例如限制功耗以避免爆炸)要求,需要基于安全性额外考虑加固措施。随着工业互联网带来的价值密度变高,对工业系统进行恶意攻击的方式也越来越多,其中一个不可否认的原因是,工业互联网通信网络在生产制造业中越来越普及。以前孤立的控制设施现在通过跨越国界的通信网络连接起来,供应链沿线的合作活动也越来越自动化,产生了额外的攻击目标,这意味着可以在更大的范围内发现漏洞,价值链和与之相关的业务可能受到入侵和破坏。本文从通用安全技术、终端安全、安全审计3个方面出发,提出了工业互联网网络体系安全框架,旨在应对工业互联网网络安全的复杂性,期待抛砖引玉激发同行思路,虽然工业互联网网络安全面临重重挑战,但后续仍将关注互联网分层的纵深防御技术,通过不同层级的各类安全措施的部署,研究“与攻击周旋”的工业互联网网络安全实践课题。引用本文:郭刚,林紫微,杨超,等.工业互联网网络体系安全防护研究[J].信息安全与通信保密,2022(9):9-17.
作者简介 >>>
郭 刚,男,硕士,高级工程师,主要研究方向为工业互联网应用、网络、安全、工业大数据等;
林紫微,男,硕士,中级工程师,主要研究方向为工业互联网终端设备、物联网设备、网络、安全等;
杨 超,男,硕士,中级工程师,主要研究方向为工业互联网应用、网络、安全、工业大数据等;
郑康伟,男,硕士,中级工程师,主要研究方向为工业互联网终端设备、网络、安全等;
叶林佶,男,硕士,高级工程师,主要研究方向为工业互联网应用、网络、安全、工业大数据等;
王浩人,女,硕士,助理工程师,主要研究方向为工业互联网应用、网络、安全、工业大数据等。
选自《信息安全与通信保密》2022年第9期(为便于排版,已省去原文参考文献
