阻止不可避免的黑客攻击

制造商必须与网络世界的“黑帽”搏斗，以确保流程安全

不是会不会被黑的问题，而是什么时候被黑的问题。

网络安全专家说，最近一波勒索软件攻击，包括去年春天在全球爆发的臭名昭著的“Wanna Cry”恶意软件，对用户的数据进行加密，直到他们支付或找到解锁系统的方法。

为了打击越来越聪明的网络犯罪分子，制造业务必须在工厂自动化控制和网络设备中采用网络安全软件解决方案和“强化”硬件的强大组合，并部署更新的网络安全标准和最佳实践。有了这些工具，制造商就有更好的机会防止攻击或在攻击发生后解决它们。

网络安全咨询公司 Spohn Security Solutions（德克萨斯州奥斯汀）的高级安全顾问 Timothy Crosby 说：“这些攻击广泛且持续存在。他指出，许多工业系统很容易受到攻击，因为它们使用的是较旧的嵌入式操作系统，包括 Windows XP、Windows 2003 和 Windows 2000。 ，他们将定期成为目标，”他说。 “需要有一个整体的方法——没有灵丹妙药。”

根据身份盗窃资源中心（亚利桑那州斯科茨代尔）和 Cyber​​Scout（圣地亚哥）在 1 月份发布的一份报告，2016 年数据泄露事件增加了 40%。违规数量在 2016 年创下 1083 起的历史新高，轻松超过了 2015 年报告的接近创纪录的 780 起违规事件，盗窃涉及广泛的商业、教育、政府/军事、健康/医疗和银行/金融机构。报告称，黑客、窃取和网络钓鱼类型的攻击连续第八年成为数据泄露事件的主要原因，占总泄露事件的 55.5%，比 2015 年增加 17.7%。

采取整体方法

最近的攻击，如 Wanna Cry，或 2016 年出现的 Petya 恶意软件在乌克兰的重大破坏，都针对关键基础设施，包括公用事业和其他政府设施。 “当攻击发生时，它们通常会从站点中溢出，”UL LLC（伊利诺伊州诺斯布鲁克）的首席工程师 Ken Modeste 说。他补充说，与乌克兰的设施相比，美国和北美其他地区的设施得到了 FBI 和其他政府机构的更多支持，以恢复关键业务。

去年，UL 发布了 UL 全球网络安全保证计划 (UL CAP)，该计划有助于降低工业物联网 (IIoT) 中网络设备激增带来的安全和性能风险。 UL CAP 帮助公司识别符合 UL 2900 系列网络安全标准的安全风险，并提出将工业控制系统、医疗设备、汽车、楼宇自动化和其他领域的风险降至最低的方法。

“我们在测试中建立的标准是 [基于公司的] 最佳实践，”Modeste 说。他补充说，使用硬编码密码——那些嵌入在设备中且无法更改的密码——是一个不应该做的例子。 “这是一个根本性的缺陷，”他说。 “勒索软件正以网络钓鱼方法进入组织。他们点击它，恶意软件开始传播。大多数时候，勒索软件就是这样进入的。”

对员工进行网络安全培训是阻止网络攻击的一大关键。 “培训是解决这个问题的重要途径。网络钓鱼是一个主要问题。坏人正在进行物理侦察，”莫德斯特说。 “机会对他们有利。”

Siemens PLM Software（德克萨斯州普莱诺）工厂安全服务负责人 Henning Rudoff 表示，最近的勒索软件攻击显示了工业环境的漏洞。 “为了保护工厂、系统、机器和网络免受网络威胁，有必要实施并持续维护一个整体的、最先进的工业安全概念，例如 IEC 62443 所描述的，”Rudoff说。 “随着数字化程度的提高，工业安全变得越来越重要。

“工业安全是数字化企业的核心要素，是西门子迈向工业 4.0 的方法，”Rudoff 指出。 “与之前针对重点目标的专门攻击不同，当前的勒索软件攻击范围广泛，可以影响工业网络的任何运营商。”

西门子正在多方面应对网络威胁，包括在全球范围内创建其 CSOC（网络安全运营中心），并在慕尼黑、里斯本和俄亥俄州米尔福德开展安全运营，工业安全专家在那里监控全球设施的安全事件并采取适当的对策（请参阅“保护云端制造数据”，制造工程 ，2016 年 7 月。）

公司还能做些什么来防止黑客破坏制造业务或渗透政府设施和公用事业基础设施？ “所有级别都必须同时独立地受到保护——从工厂管理层到现场级别，从访问控制到复制保护，”Rudoff 说。 “这就是为什么西门子的全面保护方法提供贯穿所有级别的防御——纵深防御。”这是基于工业应用安全领先标准 ISA99/IEC 62443 的建议。

Rudoff 补充说，为了做到这一点，西门子的产品和解决方案不断发展，以使其更加安全。他说，西门子针对自己的工业产品定义了基于 IEC 62443 的工业整体安全概念 (HSC)。 “HSC 保护开发和制造环境的完整性和保密性。沿着产品、解决方案和服务的生命周期，在开发和生产部门中定义和监控 HSC 措施。”

Rudoff 补充说，西门子的 HSC 有五个杠杆：意识、最先进的功能、流程改进、事件处理以及产品的安全性、解决方案、服务和周围 IT 基础设施的安全性。 “西门子的数字工厂和过程与驱动部门的开发流程已获得德国 TÜV [技术检验协会] 颁发的 IEC 62443 认证，表明其致力于保护公司自身的开发流程。此外，PCS 7 等工业系统已通过 IEC 62443 标准认证。”

Rudoff 说，强烈建议尽快应用产品更新并使用最新的产品版本。 “除了使我们自己的工业产品更加安全之外，西门子还为我们的自动化产品以及我们自己的网络安全产品和安全服务提供了先进的安全功能。例如，S7 控制器的安全功能包括 PLC 程序块的专有技术保护、复制保护、访问保护和通信完整性。西门子的网络安全产品 [例如 Scalance 和 Ruggedcom 系列] 支持远程访问、建立隔离区、安全冗余和单元保护的用例，”Rudoff 说。

他说，西门子工厂安全服务代表了一种整体方法。在早期阶段检测到威胁和恶意软件，分析漏洞并启动全面的安全措施。 “持续监控使工厂运营商能够透明地了解其工业设施的安全性。”

将安全与网络安全相结合

勒索软件的全球威胁已经结束了业界的自满情绪。 “NotPetya 成功地瞄准了乌克兰的关键基础设施，并影响了 80 多个其他国家；受打击最严重的是德国、俄罗斯和英国，”Spohn Security Solutions 的克罗斯比指出，他说 49% 的美国企业都有专门的 IT/数据安全计划。 “在欧洲，我看到的最高百分比是英国的 37% 和德国的 34%。鉴于 NotPetya 的工作原理，在 Mimikatz 阶段 [黑客使用的工具] 收集的凭据可能会发生其他攻击。根据 Tripwire 的一项调查，如果发生这种情况，大多数组织不会比 WannaCry 和 NotPetya 在 5 月和 6 月袭击之前做好准备。”

罗克韦尔自动化公司（密尔沃基）的首席产品安全官 Lee Lane 指出，在 Petya/NotPetya 攻击中，广泛的加密恶意软件旨在针对受影响的公司进行分布式拒绝服务 (DDoS)。 “这对马士基、联邦快递和几家生命科学公司等公司造成了真正的损害。通过拒绝服务，他们会引出一堆服务器同时攻击目标。这将是一种不同的攻击方式，但会产生巨大的影响，”莱恩说。 “他们进来了，阻止了最终目标的运作。”

他说，这种停工不仅对直接受影响的公司造成了阻碍，而且还会产生连锁反应。 “想想如果没有制造 ERP [企业资源规划] 软件会发生什么，”Lane 说。 “它会带走所有的订单、所有的制造计划，以及关于你要运送到哪里的信息。”

恶意代码——无论是勒索软件、DDoS 还是零日恶意软件，例如在激活之前处于休眠状态并处于延迟状态的 Stuxnet 代码——被广泛的网络攻击者使用。 “有很多所谓的‘坏演员’，从希望瞄准洛克希德或其他国防公司的民族国家，到许多人错过的：内部人员、公司内部的员工，”莱恩说。

他说，ISIS 和黑客活动分子等恐怖组织也瞄准了电网和公用事业等关键基础设施。 “最近的一份 IBM 安全情报报告指出，从 2015 年到 2016 年，攻击数量增加了 110%，而这正是报道的内容，”Lane 补充道。

罗克韦尔自动化专注于工业自动化，不仅开发将安全与安保相结合的硬件和软件，还为客户提供工业安全、自动化和网络安全方面的咨询服务。 “你需要拥有合适的人员、流程和合适的工具，”莱恩说，“网络安全也是如此。你必须有人可以保护你的网络。”

他说，识别和记录资产是一个关键的起点。 “网络威胁是真实存在的，并且呈上升趋势，并且可能造成物质损失，”莱恩指出。 “你必须识别和权衡资产的重要性。” Lane 补充说，使用美国国家标准与技术研究院的网络安全框架也是一个很好的起点。

罗克韦尔提供其 FactoryTalk Asset Manager 软件以及用于网络安全保护的安全功能和强化。 “在您购买自动化系统之前，请与一家公司交谈，看看他们是否有安全程序。路线图如何在整个公司内完成安全功能和强化，”Lane 说。 “寻找具有强化功能的产品，能够更好地抵御网络攻击。例如，如果您遭遇数据风暴，您的通信系统是直接关闭还是进入休眠状态？”

一些保护措施包括能够检测到硬件的变化，如罗克韦尔的 ControlLogix 控制系统，可以提醒操作员注意恶意软件的存在，让他们关闭系统和/或修复问题。 “你可以用密码保护 PLC，”Lane 说。 “控制器上有一个钥匙开关。每个 PLC 都有一个端口，以及一个 keyport 开关。”该系统还为用户提供了有助于恢复的存档功能。从这些情况中自动或受控恢复是高级网络安全工具的一个关键特性。

“今天，我们的安全系统已经生产多年。如果你确实有网络漏洞，你不能依赖很多这些安全系统，”莱恩说。 “将两者结合起来至关重要。这是正确的做法。传统上，安全和安保是分开的。”

UL CAP 计划为用户提供对抗网络威胁的指南和工具。 Modeste 指出，去年，UL 发布了其 UL CAP 标准的第一版，目前 UL 正在测试 35 种产品。 “他们有反恶意软件工具，并且开始添加更多的勒索软件工具，”他说。他说，防止覆盖引导记录或文件系统管理等操作系统控制非常重要。 “越来越多的工具即将问世，许多不同的产品中都部署了传感器。”

等待中

在某些情况下，网络攻击直到入侵之后才被发现，这使得解决变得更加困难。 PFP Cyber​​security（弗吉尼亚州维也纳）的联合创始人兼首席执行官 Steve Chen 指出，网络攻击者在 2015 年成功地在思科路由器的固件、国家安全局 (NSA) 的系统，甚至是安装在军事应用中的电子组件中安装了恶意软件)，正式名称为 Power Fingerprinting Inc.

PFP 的网络安全系统使用设备监控、射频 (RF) 信号处理、大数据分析以及运行时检测和修复工具。 Chen 说，使用弗吉尼亚理工大学许可的技术，PFP Cyber​​ 开始获得一些政府合同，并在去年为其网络安全系统获得了四项新专利，此外还获得了两项先前许可的专利。

“我们使用异常检测而不是特征检测，”陈说。 “下一个挑战是如何更快地检测恶意软件。所谓的检测间隔一般为200天左右。我们的信念是我们可以检测并修复攻击，我们已经证明了这一点。”

PFP 在 7 月于拉斯维加斯举行的 Black Hat USA 会议上展示了其系统。 “你无法阻止攻击，”陈说。 “你必须假设你会受到攻击。”他补充说，该公司有两种部署模型，一种在设备内部，另一种在外部。

“如果我们在里面，那么我们可以检测到 [异常] 并自动修复，”Chen 说。

PFP 旨在为物联网设备提供一个安全平台，使用基于云的软件和服务，或者为本地软件，使用其射频扫描技术来检测和修复恶意软件。该公司的 PFP Dashboard 用于其合作伙伴提供的 SaaS（软件即服务）平台。

“我们试图模仿震网是什么，”陈说。 “看不到。”

陈说，除了恶意软件检测外，该系统还可用于检测假冒芯片，而无需打开产品装运的盒子。 “在这种情况下，客户可以对它们进行盲测。它对存储芯片进行软扫描。”他补充说，这可能会为从海外批量购买产品的公司节省大量资金。

“我们有一项正在申请的专利。我们使用相同的过程，相同的数学，相同的解决方案，”陈说。 “在这种情况下，我们只是将能量（射频）放入未通电的设备中。”

Chen 希望最终将 PFP 的技术授权给半导体制造商。该公司的网络安全套件目前针对企业和政府应用，但目标是为思科路由器提供天线，这些路由器是固件植入攻击的目标。

“对于家庭用户，我们的计划是推出便携式扫描仪，”陈说。 “世界会更安全。目前，所有物联网设备都没有安全保障。”