工业4.0面临的网络安全挑战

背景

对工业4.0的需求是显而易见的。化学部门内部的改进动力至关重要。此外，化学工业也为几乎任何其他制造业供应链做出了贡献，因此也有很大的潜力。产品改进、提高成本效率和业务优化是此次数字化转型的一些关键驱动因素。我们更有理由期待这种趋势会继续下去。但是，数字安全又如何呢？

传统上，工业控制系统（ICS）或操作技术（OT）与企业IT网络严格分离。ICS普渡大学的参考模型发现了太多的设施，并描述了一个分层、细分良好的网络。这一点如此重要的主要原因之一是，许多ICS组件，如自动化控制器、PLC和SCADA系统，在设计时没有考虑到安全性。他们需要安全可靠，安全成了事后的想法。当然，网络安全还有更多

而不是网络分割。IEC 62443等标准定义了如何使用网络安全管理系统将网络安全风险管理到可接受的水平。目前的平均安全态势是否已经足够成熟，足以抵御勒索软件等网络攻击，这可能会引起争议。不幸的是，在实践中，我们看到了许多相反的例子。

除了这些挑战之外，工业4.0倡议还推动了超连通性，这导致了OT网络的更多暴露、更通用的IT服务和云连接的使用，“绕过”了传统的分段参考模型。同样，如果网络安全不是事后考虑的话，这也不一定是坏事。我们是从过去吸取了教训，还是会再次犯同样的错误？

云诊断案例：

在第一个示例中，实现了从各种OT仪器收集数据的解决方案。所谓的“边缘设备”从仪器中收集过程和诊断数据，然后将其发送到云应用程序进行分析。最终用户和供应商都可以利用此云平台执行基于条件的维护或提供远程支持。

边缘设备安装在具有两个独立网络连接的网络上，即所谓的“双宿”系统。它在It网络中有一个连接用于与云通信，在OT网络中有第二个连接用于从OT仪器收集信息。云连接还受到一个安全加密的VPN隧道的保护。此外，边缘设备被配置为仅将数据从OT网络发送到云，到OT网络的流量是不可能的。

乍一看，这似乎是一个适当、安全且细分良好的解决方案。然而，当设备被添加到整个网络图中时，很明显，它有可能在OT和it网络之间创建旁路。对IT网络的详细审查和网络扫描显示了一个正在运行的管理服务，用于配置边缘设备。最终用户并不知道这一点，IT网络中的任何人都可以使用此连接。很明显，访问配置所需的密码处于默认状态，很容易从供应商手册中检索到。此外，边缘设备还运行过时的固件，其中包含公开的安全漏洞。所有这些事实一起提供了边缘设备上先前未知的攻击向量。这意味着黑客可能攻击边缘设备，使用默认凭据登录，通过滥用旧固件中的已知漏洞获得更多权限，并突入OT网络。该攻击路径在该网络图中可视化。

请注意，此攻击路径不可通过云使用，因为该部分仍由VPN保护。然而，由于边缘设备没有安装在受保护的网络区域中，如受防火墙保护的IT/OT DMZ，因此此设置提供了从IT跳到OT环境的潜在旁路。这个问题是通过结合脆弱性评估进行威胁模型评估而发现的。这些方法将在解决方案部分进行更详细的描述。

远程访问网关案例：

第二个示例是关于远程访问网关的。这是一种向第三方供应商提供远程访问和诊断数据的通信设备。在这种情况下，这是服务合同的一部分，该合同附带了一些安装在工厂中的重型机械。供应商使用远程访问进行远程维护，并在出现任何操作问题时进行故障排除。对最终用户的好处是显而易见的：减少了停机时间，降低了维护成本。

远程访问网关也由供应商与现场维护团队合作进行配置和安装。网关使用具有最强可用加密技术的VPN隧道创建与供应商的安全网络连接。

同样，这种设置在表面上看起来非常安全。虽然VPN隧道本身是安全和受保护的，但它的设置方式引入了多个安全问题。

第一个问题是关于远程曝光。由于网关需要从供应商网络到供应商网络的双向连接，因此需要在防火墙中允许此流量。然而，由于未知的原因，防火墙并没有被限制为只允许来自特定供应商的VPN流量，而是允许来自互联网上任何地方的所有类型的流量。这很可能是因为在重型机械的安装和调试过程中，没有太多关注网络安全，而网关只是交付的一小部分。错误配置的另一个常见原因是，解决方案在调试过程中无法正常工作，并且在故障排除过程中放宽了防火墙规则。之后，这些设置将保留。IIoT设备发现自己直接连接到互联网，并最终可以通过例如Shodan1（一个用于连接设备的特定搜索引擎）找到，这并不罕见。甚至还有专门针对OT设备和协议的特定小节。

第二个问题是网关的配置。由于这是供应商范围的一部分，该供应商还负责该设备的安全维护和配置。由于到网关的所有流量都是由VPN加密的，最终用户不知道供应商可以在这个设备上做什么。经过调查，很明显，供应商有可能更新配置，并为自己提供更多必要的特权。

最后，网关功能是提供对相关机器的特定组件的远程访问。然而，由于该设备的实现较差，网关也可以直接或间接访问更多的设备。此外，由于缺乏对多个网络连接的分割，理论上可以连接到几乎整个OT网络。

解决方案

最好的解决方案是在新项目的设计阶段纳入网络安全，尤其是当涉及IIoT或其他远程连接时。这不仅适用于新设施，也适用于现有场地的扩建或改造。当然，说起来容易做起来难。OT网络并不总是适合纳入所有技术要求，同时可能缺乏技术专业知识。此外，由于这些解决方案大多是由业务或运营驱动的，它们可能会完全忽略项目阶段的网络安全影响。最后，提供各种连接的许多不同的IIoT实现可能已经存在于处于维护阶段的设施中，或者有时甚至不为最终用户所知。在接下来的部分中，将描述一些可能的方法，为这些问题提供解决方案。

设计评审和威胁建模

在设计审查期间，与技术所有者、解决方案架构师和/或供应商一起审查和讨论所有可用的和相关的设计文件。需要注意的是，这种方法既适用于新设施（CAPEX），也适用于现有设施（OPEX）。特别是对于后者，将此审查与现场评估相结合是很有价值的，下一节将对此进行解释。设计审查的好处是，安全设计可以根据公司安全政策、行业标准和组织和/设计评审和威胁模型评估2既可以在现有环境中执行，也可以基于设计文件在新系统或系统扩展中执行。上述第二个用例是在设计审查评估期间发现的。最后，还值得注意的是，威胁建模还将为后续技术评估提供非常有用的信息，例如渗透测试，这将在下一节中进行描述。或行业特定的最佳实践。发现的设计缺陷、违反政策或偏离这些最佳实践的情况可以得到缓解。

对于威胁建模，使用了相同的设计信息，但此评估采用了不同的方法，并使用了黑客的思维方式。这是一种结构化的方法，用于在范围内绘制主题的所有可能攻击路径的威胁。在交互式会话期间，会创建一个图表，提供攻击表面的完整概述，以及是否需要任何额外的缓解措施。

现场安全评估

现场评估3采用了一种更实用、自下而上的方法来识别现场技术层面的风险。设计和体系结构审查与现场考察和系统演练相结合。评估将包括IEC 62443中规定的功能要求的所有重要方面。

该评估的第一阶段类似于设计审查，在设计审查中，与设施所有者、技术代表和/或供应商分析和讨论所有现有文件。然而，需要额外的深度来审查所有主要的IEC 62443功能要求。

在现场访问期间，将实际系统状态与当前对OT网络的理解进行比较。此外，还会对特定设备的配置进行审查，以深入了解潜在的安全问题。例如，审查防火墙配置、网络路由和VLANS、安装的软件和运行的服务，以调查OT网络的暴露情况。此外，还评估了用户身份验证和授权、安全控制、备份策略和安全监控，以确定OT网络弹性。

最后，在OT网络上的战略点上被动地收集各种网络流量样本。这些捕获使用了现有网络流量的副本，不会干扰可能脆弱的OT设备。然后对流量进行分析，并将结果与所有先前的信息相关联。可选地，还可以执行专门定制的选择性扫描，以最少干扰的方式检索附加信息。结果可能导致发现未知主机、开放端口、弱协议、意外的网络连接或其他未知的安全问题。例如，前面介绍的第一个用例是在站点评估期间发现的。

漏洞和渗透测试

漏洞评估和渗透测试，通常缩写为VAPT4，更进一步，是一种更详细的技术评估。目标是搜索未知漏洞，并测试这些漏洞是否可以被利用。这也将说明某个网络安全问题的后果，以及这对组织意味着什么。

这些VAPT测试提供了对当前网络弹性的详细了解，以及可能需要什么样的改进。然而，这些评估更具侵入性，众所周知，较旧的遗留OT系统无法处理这一问题。在扫描漏洞时，关键系统甚至可能停止运行。因此，通常不建议在实时OT环境中执行这些测试。

同时，一些技术确实存在，比如被动扫描，仍然可以安全使用。或者，通过仔细选择权利范围或使用备用设备，仍然可以在不影响生产过程的情况下进行侵入性渗透测试。当然，这需要一种非常具体的方法，针对OT系统和范围内的系统进行定制。另一个好机会是将VAPT测试作为安装、测试和调试过程的一部分，如工厂验收测试（FAT）和现场验收测试（SAT）。这可能适用于新系统或系统扩展。

评估结果可用于采取措施缩小安全差距，降低组织中的风险。关于第一个用例，渗透测试可以调查假设的攻击路径是否对攻击者实际可行。结果可能决定最终的安全缓解解决方案。

结论和未来方向

预计未来几年，包括化工行业在内的所有行业都将继续保持工业4.0和IIoT的趋势。这将主要由业务和运营效益推动。只要网络安全不是事后才考虑的，这是罚款。重要的是将安全设计和运营成本直接纳入这些智能举措的商业案例，并验证其对OT网络安全态势的影响。内部和外部安全设计审查可以在此阶段提供 协助。对于现有的解决方案和系统，有多种方法可以审查和验证当前的安全状态，从而提供了在潜在问题产生任何业务影响之前主动解决这些问题的机会。最终目标仍然是实现安全、可靠和具有成本效益的生产，并将网络风险管理到可接受的水平，以支持这些目标。