基于云的制造软件的新网络安全工具和技术在保护关键工厂车间数据和机器的斗争中显示出希望
网络安全给银行和零售业的各种网络投下了长长的阴影企业到政府、能源、医疗保健、公用事业和大型工业制造业务。几乎每天都有关于网络上最新的消费者、商业或政府数据泄露的可怕头条新闻警告,因为聪明的黑客使用无数的网络钓鱼计划、病毒和恶意软件来利用公司网络漏洞,而且通常是不了解网络安全的用户的轻信危险。随着越来越多的工厂资产连接到 Web,特别是随着物联网 (IoT) 设备的爆炸式增长,当今的制造管理人员必须寻找坚如磐石的技术来保护他们的工厂车间机器和任务关键型知识产权资产现在哦通常驻留在基于云的软件中。
西门子网络安全运营中心 (CSOC) 持续监控当前和新出现的网络活动。 对工业制造网络的黑客攻击更为罕见,最引人注目的案例是 Stuxnet 蠕虫病毒,它在大约五年前感染了控制伊朗核离心机的工业设备。自袭击发生以来,人们普遍猜测这是美国和以色列共同努力的结果。在那种情况下,Stuxnet 是一种零日攻击蠕虫,旨在将计算机代码嵌入到用于控制伊朗离心机的西门子 Simatic PLC 和 STEP 7 软件中。蠕虫导致离心机运行不正常,并最终损坏了系统。
最近,一家德国钢铁制造厂的运营在去年受到严重阻碍,并在网络窃贼攻破其安全防御系统后关闭。德国钢厂的高炉受到通过公司业务系统进入网络的恶意代码的危害,最终导致工厂关闭。
互联工厂的漏洞
随着制造商向更多- 连接的工厂系统,对高度安全的系统的需求甚至更大,以防止黑客远离制造网络的大量 IP 数据和关键任务车间设备。 “在产品开发的生命周期中,有各种各样的系统,并且该链条上的许多元素并不是为安全而设计的,”数字制造和设计创新的数字制造共享副主任 Jim Barkley 说。 Institute (DMDII; Chicago), PLCs, network streams, and other fac器。 “制造业每年产生的数据比任何其他经济部门都多。那里有很多潜力。您需要在每个信任边界进行控制——在机器级别、操作层和 PLC。”
作为机床制造商和机器控制供应商已经采用了更新的技术,例如用于车间机床数据交换的开放式架构 MTConnect 基于 XML 的标准,连接和收集更大量的制造数据以利用来自车间的制造过程指标金矿(参见“为什么制造需要数据收集”在 2015 年 10 月的制造工程和 /technologies/articles/2015/12---december/feature-1-cybersecurity-waverley-labs-sdp-cloud-cybersecurity.jpg 上“alt= “功能 1 Cybersecurity Waverley Labs SDP cloud cybersecurity.jpg”width="" height="" />一种新的开源软件定义边界 (SDP) 安全方法将为较小的制造业务带来易于部署、成本较低的基于云的安全性。 Waverley 的系统是数字制造设计与创新研究所 (DMDII) 的数字制造共享项目正在考虑的系统之一。
工业网络攻击在很大程度上是低调的,没有获得金融、政府和其他方面所需的广泛报告目标。 “大多数制造公司不需要发布有关网络攻击的信息。然而,国土安全部 ICS-CERT 确实保留了每年发布的有关工业网络安全攻击的信息,”西门子美国数字工厂(佐治亚州诺克罗斯)副总裁兼工厂安全服务主管 Rajiv Sivaraman 说。例如,在 2014 财年,国土安全部发布了名为 ICS-CERT Year in他说,Review(2014 年)记录了 245 起报告的事件。 “回顾之前的报告,您会发现针对工业网络和设备的攻击频率和复杂性普遍增加。
“除了技术差距之外,工业控制系统 [ICS] 网络安全的一个重要问题是普遍缺乏意识,”Sivaraman 说。 “缺乏对潜在攻击的认识可能导致早期检测和保护的投资减少。这导致有关攻击是否实际发生以及由此产生的影响的信息有限。”
利用云优势
在许多情况下,采用基于云的解决方案可为组织提供优势降低成本、部署速度和软件设计等因素。云软件还可以在网络安全领域提供优势,尤其是在成本和云优化方面。
“基于云的软件和相关网络技术使能够更安全地传输设计数据和状态信息,”Sivaraman 说。 “如果数据被加密,可以降低以窃取 IP [知识产权] 为目标的攻击成功的可能性。旨在破坏操作的攻击,例如通过注入虚假数据或指令,同样可以通过加密和其他保护措施来减少。借助基于云的软件和良好的安全控制,可以提高设计和生产数据的机密性和完整性。
“一般来说,工业安全解决方案需要基于不同保护层的整体方法,”Sivaraman 说. “这些涉及工厂安全、网络安全和维护系统完整性。”他补充说,工厂安全包括对工厂和工业控制设备的物理访问、安全策略和流程以及安全意识。 “网络安全涉及基于以下方面的自动化组件的保护分段生产网络、生产和办公网络的安全分离,以及安全单元/区域概念的使用。”
成本是云系统受青睐的主要因素,特别是对于任何中小型制造企业在云中寻找安全系统的操作。
Concurrent Technologies Corp.,一家应用科学研究和开发专业服务公司,为政府和政府提供高级别的安全帮助。大型企业和小型制造商。“我确实认为云计算可以提供帮助,”DMDII 的 Barkley 说。 “很多人对云有疑虑,但总的来说,我认为云行业正在解决这个问题。云的妙处在于它允许虚拟化很多服务。这是它的弹性元素,它为我们提供了破坏黑客的新方法。”
Barkley 补充说,云的灵活性为用户提供了真正的优势,以应对“高级持续威胁”这可能发生在网络安全漏洞尝试中。 Barkley 说:“如果你可以快速切换 IP 地址或网络,你就可以打破这个循环。”
云系统的低成本发挥着巨大的作用,尤其是对于许多中小型妈妈-流行商店,他补充说。 “他们通常没有资金来购买高端企业软件套件,如果加上服务成本,这可能会非常昂贵,而服务成本通常占生命周期总拥有成本的较大份额使用比软件的初始购买价格。”
开源解决方案
为了克服成本障碍,DMDII 有一个公开的项目电话——DMDII-15-13 Cyber安全ity for Intelligent Machines——为开发人员提供高达 200 万美元的资金,用于竞标提供基于云的开源安全软件。作为奥巴马政府于 2014 年创建的制造研究机构之一,DMDII 正在致力于开发一种开源软件工具,该工具将成为一个开放式架构通信平台,并将在整个数字线程中实现即插即用功能.该软件称为数字制造共享 (Digital Manufacturing Commons,简称 DMC)。
“我们希望提供价格合理的工具,”巴克利说。 “许多可能更像是 SaaS [软件即服务] 类型——低成本、一次性通过、大部分是自动化的。”该开源软件旨在提供更多“点菜式”的网络安全方法,以减轻通常无力承担企业级软件项目的商店的成本负担。
来自 DP Technology 的支持云的 Esprit 2015 CAM 软件利用来自 MachiningCloud GmbH 基于云的数据库的加工工具数据。经济实惠的云计算解决方案对于希望确保其网络安全的小型制造商至关重要。Concurrent Technologies Corp.(CTC;宾夕法尼亚州约翰斯敦)是一家应用科学研究和开发专业公司服务组织,最近与美国国家标准与技术研究所(NIST;马里兰州盖瑟斯堡)在宾夕法尼亚州开展的制造扩展合作伙伴关系 (MEP) 计划中的小型制造商合作。大约 90% 的客户是政府机构,但 CTC 已经开始CTC 高级副总裁兼首席技术官 Vicki Barbur 指出,与小型制造商合作开展涉及公司云计算和大数据分析平台的项目
Barbur 说,Lockheed 或 Raytheon 等制造商可以负担得起大型、复杂、网络安全的网络架构,但较小的制造商根本没有资源,因此更容易受到网络攻击。 “我们如何以极具成本效益的方式做到这一点?”巴伯说。 “小型制造商正在寻找具有成本效益的简单系统。”
“小型制造商确实没有能力采用大型系统,”CTC 首席 IS 安全工程师 Dom Glavach 说。 “每个人都清楚地意识到违规的可能性,他们正在寻找一个起点。”
CTC 正在帮助小型制造商提供评估工具,以确定最适合他们需求的网络安全系统,他补充说,使用 NIST 网络安全框架作为模型。 “我真的认为这是每个制造商都需要回答的问题,”Glavach 说。 “N第一个,你必须弄清楚什么是你最重要的资产。”
隐藏你的云资产
在更有前途的新应用程序中,有一个开源云版本的软件Defined Perimeter (SDP),一种向黑客隐藏数据的“黑云”系统,由网络和数字风险管理顾问 Waverley Labs LLC(弗吉尼亚州沃特福德)开发。
虽然不完全是《星际迷航》中的罗慕伦伪装设备,Waverley Labs 的 Black Cloud 使潜在黑客基本上看不到公司或制造数据,将公司的应用程序移动或包装在本地或公共或私有云、非军事区 (DMZ)、数据中心的服务器中,甚至在应用程序服务器内部。已在洛克希德马丁和其他大型制造商的大型系统中部署的黑云概念正在适应 Waverley 正在开发的开源模型,该公司已经提交了竞标使用 DMDII 的 DMC 开源系统。
“如果你看看 NIST 和其他机构的重大安全实践,他们需要在基础设施层修补、更新和监控系统,”说Waverley Labs 的创始人兼首席执行官 Juanita Koilpillai。她说,云供应商在网络、操作系统级别和软件即服务基础设施层做了很多工作,但在基础设施即服务 (IaaS) 层,客户负全部责任以保护他们的系统。 “问题就在这里,”Koilpillai 说。 “每个人都说‘我们更安全了’,但哪一部分更安全?
“最终,安全性必须在网络堆栈的所有层实施,从你的电线到应用程序中的用户界面,”Koilpillai 说,“这就是软件定义边界的全部内容。这实际上是一个非常新的保护网络应用程序的方法。该模型设置为仅允许来自授权连接的 TCP [传输控制协议] 连接,并且边界还在用户身份验证后在端口和协议级别发布用户级访问,这样连接就不会被重铸或劫持”
她指出,验证和验证用户和设备的层对潜在的网络入侵者是隐藏的。 “它能够将所有这些整合在一起,与真正隐藏在防火墙后面的服务器进行通信,而防火墙仅在用户请求访问时打开。在防火墙上打了一个针孔,进行了通信,然后关闭了。因此,服务器完全隐藏在所有网络扫描和黑客最初开始寻找他们可以破解的内容的常见努力之外。”
对于大多数制造业务,处理这些网络安全rity 任务是困难和耗时的。 “你必须根据你的应用做出很多明智的决定,”Koilpillai 说。 “我们认为有必要这样做。”
该公司正在与云安全联盟、Verizon 和国土安全部 (DHS) 合作开发开源版本。她补充说,Waverley 的很多工作都是与联邦机构合作的,Black Cloud 概念可以很容易地适应制造业。 Black Cloud 使用相互传输层安全(Mutual TLS)协议,但 Koilpillai 补充说,在制造业中,可能还需要其他协议。 “他们对此很担心。 TCP/IP 类型的通信已在 Internet 中使用了很长时间,”Koilpillai 说。 “制造车间、大数据系统和 IT 系统都是相互关联的。当你连接这个网络时,你需要扩展你的边界以隐藏e 关键基础设施,在本例中为车间,以确保每条消息都经过身份验证和加密。”
保护、测试云
随着基于云的企业软件激增并且由于成本节约和其他原因而变得更受欢迎,人们质疑这些云安全资产是否与企业软件的本地版本一样安全。但许多专家认为,与本地软件相比,云软件具有许多明显的优势,包括安全性。
“很明显,攻击经常发生,”KeyedIn Solutions Inc. 技术执行副总裁 Kevin Hurley 说。 (明尼阿波利斯),KeyedIn Manufacturing 基于云的企业资源规划 (ERP) 软件的开发商。
Hurley 说,保护云应用程序是重中之重,KeyedIn 采用来自第三方供应商的高端安全性Dimension Data 锁定其 ERP 客户的数据。 “你走进某个研究所Hurley 说。
正确执行的云应用程序可以为用户提供比某些本地安装更有效的安全性。 “在某些情况下,在本地设施中,人们忙于做其他事情——也许安全不是主要优先事项,或者他们错过了安全补丁,也许他们没有做拒绝服务安全,或者软件不是最好的从安全的角度来看,”赫尔利说。 “其中一些软件系统可能已有 10 年、15 年、20 年的历史。任何这些因素都可能使您的本地系统面临风险。”
通过 KeyedIn Manufacturing,用户可以获得符合 ISO 2700 标准的 SaaS 应用程序,KeyedIn 确保其客户遵守安全策略,Hurley 补充道。客户数据也与其他客户数据分开,甚至在客户公司内部也是如此,Paul Leghorn 补充说,KeyedIn SaaS 基础设施副总裁。
“这里只有极少数人可以接触数据,”Leghorn 说。对于 KeyedIn 应用程序,客户还可以使用两步验证,从而提高安全级别。 “通常我们不会在会话中重新进行身份验证,”Leghorn 补充道。 “你的客户管理员负责这件事。他们可以确信没有人可以闯入,因为这是您链中的最薄弱点。”
对于基于云的 PLM 软件开发商 Arena Solutions(加利福尼亚州福斯特城)而言,安全性排名第一堆栈的优先级。 “当我们从客户入手时,我们实际上是从如何保护他们的应用程序开始,”工程与运营执行副总裁马文祥说。
除了多个防火墙外,Arena 还为用户提供动态访问控制,允许管理员拥有数量非常有限的可以访问通知的人马云说。 “从一开始,我们就做多重防火墙。它是硬件和软件的结合,”他说。
Arena PLM 的安全模型采用安全套接字层 (SSL) 加密,用户名和密码验证由与主应用程序分开维护的强化身份验证服务提供服务。 Arena 为客户提供基于 IP 的访问限制选项,以及两步身份验证选项,数据管理安全性是目前浏览器支持的最强的,使用 2048 位 RSA 公钥和高达 256 位加密.
需要保持警惕
要阻止黑客入侵,不仅需要基于云的设计创新,还需要云用户保持警惕。马云表示,当今世界必须对云网络安全进行渗透测试,而这些测试最好由第三方完成。 “我们与第三方进行了渗透测试,其中涉及一个应用程序应用测试和网络测试,”马说。 “第三方实际上设置了它,但我们预先写好了,然后没人知道它什么时候会发生。”该公司通常每年至少进行一次网络测试。
“我们通过第三方 IT 安全咨询公司进行渗透测试,”KeyedIn 的 Leghorn 说。 “他们测试代码、系统和 SQL 数据库,以及防火墙本身。开放了哪些端口?他们可以从您的系统中发现什么很重要,因为对于黑客来说,这是他们的日常工作——了解人们可以做什么。它提供了有用的信息,您必须定期执行此操作,至少每年一次。”
通过渗透测试,KeyedIn 的政策是根据保密协议与客户共享该信息,Leghorn 补充说。 “你不想放弃任何东西。作为一项政策,我们不允许客户端进行渗透测试,以保护整个服务的稳定性冰。”
本文首次发表于 2015 年 12 月版的《制造工程》杂志。
