亿迅智能制造网
工业4.0先进制造技术信息网站!
首页 | 制造技术 | 制造设备 | 工业物联网 | 工业材料 | 设备保养维修 | 工业编程 |
home  MfgRobots >> 亿迅智能制造网 >  >> Industrial Internet of Things >> 物联网技术

物联网安全:工业物联网可以从最近的 DDoS 攻击中学到什么?

上周五的 Mirai DDoS(分布式拒绝服务)攻击揭示了当前物联网部署的一个根本弱点,并表明新安全模型的绝对必要性。 DDoS 攻击针对的是消费物联网设备,但消费物联网和工业之间有许多相似之处。这次攻击涉及数以百万计的 IP 地址 [i],数量庞大且前所未有的设备。不幸的是,它似乎很容易执行,尤其是因为 Mirai 僵尸网络的源代码很容易访问。入侵一系列消费物联网设备(互联网摄像头、DVR 等)的主要工具是一组默认的、制造商设置的密码。 [ii] 有多少人在运行的工业设备上遇到过默认密码?或者也许最好问一下,有多少人遇到过已更改的密码?后者可能更容易计算。

很容易认为这种特定的攻击在工业网络中可能不会采用相同的形式。在网络设计、使用的设备类型、网络管理和访问控制方面存在多种差异。然而,这次攻击中使用的策略与工业应用非常相关。利用一个或多个并非主要目标的受感染设备来关闭另一台设备或整个网络 - 我们需要计划防御此类攻击。

这种攻击有一些关键特征,尤其是在发起攻击的设备方面:

  1. 这些设备部署在偏远且难以管理的位置。软件更新是偶发的,如果它们发生的话。

  2. 这些设备无需直接维护或操作员参与即可运行。如果涉及“管理员”,只需设置并忘记它。

  3. 设备可以访问更广泛的网络并在网络中共享数据。

  4. 该设备很容易受到攻击。

  5. 网络上的数据依赖于某种级别的网络或传输安全,而不是本质上安全的。

  6. 受感染的设备不是最终目标,而是实现不同目标的工具。这意味着设备制造商几乎没有动力花钱设计安全系统。

这听起来像您使用过的工业网络吗?对我来说确实如此。

虽然我们想认为工业设备和网络的安全性比这更好,但不幸的是事实并非如此。我们只需要看看 2015 年对乌克兰配电 SCADA 系统的攻击即可证明。工业网络的安全性主要依赖于匿名性和与公共网络的隔离。但随着更多设备部署在工业应用中,更多的私有网络连接到网络,这几乎不再足够。访问这些网络并不总是直接攻击,而是可能来自物理漏洞(例如 Stuxnet 攻击),这可能会在安全防火墙中打开一个漏洞,进一步危及设备。更不用说由于设计不良的软件而无意中破坏了网络。物联网系统的设计应该假设网络中会有我们无法阻止的不良行为者。所使用的技术和标准必须旨在减轻此类行为者的潜在不利影响。那么解决方案是什么?

第一个要求是保护设备本身;行业需要改进和开发系统来签名和保护从硬件芯片到操作系统、库和有权运行的应用程序的所有内容。这是基本的。自下而上的安全必须成为这些网络的规范。信任链、安全启动和使用可信签名软件的安全操作系统必须是在工业网络中运行的必要条件。

但是,我们不能假设网络上的所有设备都是安全的,并且必须在设备或应用程序受到威胁时做好操作计划。数据对于工业网络的运行至关重要,安全性应该是任何数据的基本质量。

是否有一个标准可以让安全成为基础设施的一部分,并且易于实施但高度稳健?是的,OMG Secure DDS 标准和 RTI Connext® DDS Secure 就是这样的解决方案。 RTI Connext DDS 基于 OMG Secure DDS 标准,包括以下功能:

  1. 发现身份验证
  2. 以数据为中心的访问控制
  3. 密码学
  4. 标记和记录
  5. 不可否认性
  6. 安全多播

不仅如此,它还与传输无关,并且是使用插件架构构建的。这意味着数据和通信的安全性独立于所使用的网络传输,并且可以替换标准安全库(使用标准 API)以满足应用程序的安全要求。

安全 DDS 方法与其他网络安全解决方案之间存在主要区别。使用 DDS:

  1. 安全性是基础架构的一部分,包含在服务质量指标中。
  2. 它可以在数据主题级别实现对数据的细粒度访问控制,我们称之为数据流安全。
  3. 它允许组合安全功能,包括加密、身份验证和访问控制,因此可以根据数据主题的需求对安全性进行微调。
  4. 所有这些都是通过配置完成的,因此应用程序员不需要理解或管理安全实现,它可以由系统架构师处理。

Secure DDS 是一种完全不同的安全方法,从一开始就将安全性构建到基础架构中。这对安全架构的易用性、性能和稳健性具有许多积极的好处。但不要相信我们的话,问问我们的客户,他们在一些最关键的网络应用程序上使用 DDS Secure。

工具存在,我们只需要使用它们并绘制一条迁移到这种新安全范式的路径。您可以在此处了解有关 RTI Connext DDS Secure 的更多信息,如果您想了解有关 RTI 保护 IIoT 的解决方案的更多信息,请与我联系。

[i] http://www.techrepublic.com/article/dyn-ddos-attack-5-takeaways-on-what-we-know-and-why-it-matters/

[ii] http://www.computerworld.com/article/3134746/security/fridays-iot-based-ddos-attack-has-security-experts-worried.html


物联网技术

  • 嵌入式
  • 传感器
  • 云计算
  • 物联网技术

    1. 拆解物联网系列:安全挑战以及您可以采取的措施
    2. 工业物联网安全之路
    3. 寻找通用物联网安全标准
    4. 解决工业物联网的安全漏洞
    5. 保护物联网免受网络攻击
    6. 工业物联网发展前景
    7. 连接物联网——窄带机会
    8. 5G 可以为联网汽车提供什么?
    9. 我们正在为企业中的物联网奠定基础
    10. 物联网安全:我们可以从最近的威胁中学到什么
    11. 保护从网络层到应用层的物联网
    12. 保护工业物联网:日益严峻的安全挑战——第 1 部分