SANS研究所的官方网址:https://www.sans.org
SANS研究所成立于1989年,是一个合作研究和教育组织。 其项目现已覆盖全球超过165,000名安全专业人员。从审计员和网络管理员到首席信息安全官的一系列人员正通过SANS分享他们学到的经验教训,并一起想办法解决他们面临的挑战。
作者:Barbara Filkins
顾问:Doug Wylie
2018年7月
石凌志 翻译
1 摘 要
物联网广义上指的是连接任何设备的网络,不仅仅是典型的计算平台(计算机、平板电脑和智能手机)。物联网上的设备包括物理设备、车辆、家用电器和消费类电子产品等,基本上是嵌入式电子产品、软件、传感器、执行器和通信系统。在这个范畴内,IIoT(Industrial IoT)则专注于工业,通常是与关键基础设施相关的应用,包括:电力、制造业、石油和天然气、农业、采矿业、水务、运输和医疗保健等。
就像之前的ISA / IEC-62443定义的区域和管道概念模型一样,IIoT系统已经打破了自20世纪90年代以来传统的普渡企业参考体系架构PERA(本文后面简称“普渡模型”),这个架构主要强调物理和功能分离的设计规则。在IIoT系统,终端设备现在经常可以单独或者作为一部分直接连接到Internet。
随着工业互联网的发展,IIoT设备将越来越多。本次调查中的大多数组织预计,在可预见的未来,其连接设备的增长率将达到10%至25%,这一增长率将导致IIoT设备连接的系统大约每三到七年翻一翻。
在2017年的物联网预测综述中,福布斯报告称,预计未来七年内物联网设备的安装量将增加两倍(从2018年的23.14B增加到2025年的75.44B),在过去的一年中制造业占这一增长的84%。IPv6可以实现互联网地址空间的扩展,以满足设备数量大量增长的需求。但是从业务的角度看,尤其需要提高这些资产的可视化、高效性、安全性和控制能力。
在2018年SANS IIoT安全调查中,IIoT终端的安全性是受访者的主要关注点,网络安全控制和对策是IIoT安全的主要推动因素。IIoT连接设备的大部分增长预计将用于监控、状态、告警以及预测性维护,但超过50%的受访者仍在使用原来的设备直接控制操作和流程。 随着IIoT将工业运营越来越多地转向分布式在线流程,终端的可视性需要补充当今对网络流量和安全事件的收集和分析能力,以便进行事件响应和修复。
保护组织的IIoT基础设施,首先需要了解面临的威胁和风险。根据调查数据,在未来两年内,大家认为主要威胁来自IIoT生命周期管理问题和人为错误,其中最大的风险与产品和系统安装、配置、服务、支持和维护中的安全因素有关。主要原因是,攻击者将利用产品中固有的漏洞,或负责构建、操作和维护这些设备所使用的系统的人所引入的弱点,这与我们在其他网络系统中看到的不同。
在大多数工业环境中,当组织需要在持续运营和安全性之间做出选择时,安全性很少被优先考虑。
然而,关于组织是否有能力保护其IIoT环境,不同的人差异很大。越接近IIoT系统的人,越能认识到面临的巨大挑战性。最了解IIoT实施的人,即OT团队,对其组织保护这些设备的能力似乎最不自信,而公司领导和管理层(包括部门管理员)似乎最有把握。
IIoT的融合不仅仅与技术有关,也涉及到风险管理和预算定义。对于许多人来说,这种组织差异使得安全维护、人员配置和培训决策更难以执行。通常情况下大家将IT和OT的观点分开,在可用性、完整性、保密性和安全性目标之间设置适当的优先级,这种分歧有时会因公司领导层与运营之间的观点不同而无法落地。随着IT/OT运营融合,这种分歧开始逐渐被克服。但即使在今天,许多公司的顶层领导和车间运营人员在讲到风险承受能力和威胁态势时还是有很大的差异。
以下白皮书提供了调查的一些结果和建议。
2 问 题
因为IIoT可以带来明确的近期和长期利益,IIoT正在加速发展阶段。IIoT解决方案可以帮助降低成本并提高生产率,这可以体现在切实的投资回报率上。例如,通过使用智能和高度专业化的传感器,可以在机器上更快地收集更好的数据并应用数学、数据分析和机器学习等,来预测机器什么时候需要维护。
IIoT同时也面临重大的挑战。对互联资产的网络攻击可能导致知识产权的损失;通过破坏或损坏物理设备、系统和产品则可能造成的巨大的生产损失、经济损失,甚至严重受伤或死亡事件。在各种终端上实现有意义的网络通信具有很大的挑战性,尤其是现在大部分厂商都在使用专有协议。如果没有开放的标准协议,互操作性是一件很复杂的事。
SANS在2018年初开始了这项调查,主要研究可能促进或阻碍IIoT解决方案安全性的问题。鉴于IIoT系统的出现和发展,哪些限制正在影响跨行业的广泛连接?那些限制应该如何根据需求来定性?IT和OT安全从业者是否能够保护这些日益复杂的系统,同时确保更高的可靠性、操作完整性、效率和生产力?
3 IIoT的特性
自20世纪90年代后期以来,工业控制网络设计与普渡模型结合的越来越紧密,后者描述了执行复杂工业操作所需的应用程序和控制、数据流和执行边界的标准层次结构。普渡模型在设计控制系统的功能划分时非常有用,但它并不是一种安全架构。不能认为遵循了普渡模型的工控网络,就不需要在架构中实施安全控制。
当然,普渡模型可以帮助确定有效的安全设计,通过物理和逻辑分段以及资产的有效配置(如防火墙、IDS和IPS)来保护敏感控制、过程和安全设备免受其他外围网络节点的影响。
IIoT的发展需要打破这种传统方法,扩展为无边界工业系统,考虑新的控制系统架构和通信路径。
与之前的ISA / IEC-62443一样,IIoT将普渡模型层次结构模糊为更“联合”且更有效的架构,解除了层次和区域的划分以及行业所依赖的规范数据流。 受访者中有32%报告他们的设备直接连接到Internet,这些设备可能是单独连接也可能是作为IIoT系统的一部分。 另有32%的受访者表示他们的资产通过网关连接到企业,网关负责转换从外部设备(位于DMZ)收到的信息。见表1。
虽然普渡模型可以帮助读者了解IIoT连接到工控系统的位置,但它并未提供有关这些设备引入基础架构可能带来的风险信息。基于IP的协议和无线通信通道使IIoT系统能够更轻松地跨IT和OT网络和应用程序连接,更有效地集成流程和数据,同时也增加更多的漏洞和攻击面。
3.1 IIoT终端的定义
令人惊讶的是,大多数(40%)受访者的连接设备少于100个。少于100个连接设备不一定被解释为具有少量的终端。 IIoT终端的定义及其与IIoT设备的关系仍然是备受争议的主题。设备制造商可以将单个嵌入式传感器或致动器视为IIoT终端,而系统集成商可以将该终端定义为服务于较大子系统内的特定功能的这种设备的集合。资产所有者可以将终端视为在网关或边缘设备(例如风力涡轮机或冷却塔)后面屏蔽的更复杂的系统。见下图:
鉴于IIoT终端定义中的范围以及与设备的关系有些混乱,这里可能会低估IIoT设备的实际数量。这也指出资产管理的必要性,也就是了解你拥有什么以及如何配置,以及维护安全基础设施的重要性。保护你不知道的东西很难!
无论是直接连接还是间接连接,终端都在IIoT环境中无处不在。终端应该基于IIoT系统的特征来定义,特别是如果终端需要基于其在系统中的作用进行配置或编程。这是对终端进行安全保护的基本前提,不管是针对已知威胁还是未知威胁。IIC在2018年3月12日出版白皮书“终端安全最佳实践”,IIoT社区也正在开发终端安全相关的最佳实践。
3.2 IIoT设备使用情况
超过56%的受访者在IIoT系统中使用他们的连接设备来收集监控数据(71%),状态、告警(69%),和预测性维护(56%),直接控制操作和流程(53%)。见下图:
在监控、状态、告警等方面的广泛利用,说明现在的主要趋势就是使用额外的新传感器改造旧系统:收集关键数据以用于预测/预防性维护,优化性能(例如替换以前的手工流程)并提高生产力(补充人员缺失)。
为了正确看待这一点,请查看表1。在1级(过程控制)和0级(仪表)的OT网络侧,存在非IP(第2层、串口、USB)也表示旧设备的使用,提供本地的原有的不使用路由的专用设备的数据,以补充由较新的基于IP的设备提供的数据——所有这些都构成了更加全面的IIoT系统视图。
连接方法和布线可以提供一些IIoT设备使用情况的线索。由于安装成本和网络升级原因,这些连接的物理布线可能很昂贵。部分系统环境可能难以到达,在不方便安装的环境,可能需要移动或旋转设备的一部分,使得有线连接不切实际或不可能。
在这种情况下,无线是一种具有成本效益的(如果不是唯一的)可行的连接方法,尤其是如果设备不被认为是关键节点的话。
将设备利用率与连接方法进行比较确实表明,Wi-Fi和蜂窝连接的使用对于监控和状态来说比预测性维护和过程控制更高,这表明这可能是受访者遵循的趋势,也是受制于有线连接的实践和技术限制。见下图:
4 基于网络的终端管理
设备需要通过网络进行管理。受访者依赖于使用互联网协议来控制、配置和收集设备中的数据。大多数(72%)依赖互联网协议套件,有53%的终端使用基于IP的特定领域的协议,这说明了控制系统中使用的专有的、不可路由和点对点协议在逐渐被替代。见下图:
对于41%的受访者在其网络上收集有关IIoT设备和系统的特定安全和运营数据,大多数(82%)的受访者正在使用它进行可视化和调查备案,包括事件响应、灾难恢复和取证。
前三种数据收集方法主要用于使用网络日志记录、扫描和流量分析。近50%的受访者使用特定于设备的配置和监控软件,32%的受访者使用与IIoT连接设备进行手动而不是自动交互。即使在现在网络连接和自动化程度提高的情况下,人与IIoT设备的交互仍然普遍存在于近三分之一的资产所有者。见下图:
这些结果表明需要通过自动化手段提高对各种IIoT终端的可视性,人们认为这将逐步减少手动从本地IIoT设备收集安全数据和操作数据的压力。然而,这一目标仍然存在问题,因为并非所有IIoT设备都符合统一的通信和数据输出标准,无法轻松提供与IT级资产相同的数据。关于所采用的IIoT协议以及从终端采集数据的方式和格式,未来将需要进一步的统一。
38%使用特定于OT的应用程序来监控和跟踪网络活动,OT系统中的诊断和预测数据是预期或正常操作外观的极佳指标。随着时间的推移突然发生变化或异常趋势,例如减少输出、降低质量、间歇性中断、过早磨损或其他看似不稳定的行为,可能表示意外或恶意篡改、配置更改或仅仅是系统内存在威胁。然而,自动安全工具通常不使用这种面向过程的操作诊断和预测数据来评估系统的安全状态以及该姿势是否已经改变。网络是承担不同的通信活动和内容的基础,需要一些工具来适配设备厂商的特定协议或可能引起破坏操作的代理。
IIoT的增长是一个关键的信号,这意味着需要采取措施使IT和OT之间的一切可以互相操作,IT和OT正在逐步融合。受访者依靠各种方法、指南、框架、标准或管理方法来推动他们使用IIoT设备的安全性,如下图所示:
总体而言,79%的受访者将这些方法、指南、框架、标准或管理方法中的一种或多种结合起来,37%的受访者使用至少三种。大多数(57%)引用NIST网络安全框架(CSF),这是一个重要的指导原则,因为它包括与其他重要标准的映射。
遵循NIST CSF也可能意味着遵循NIST 800-82和NIST 800-53指南、ISO 27001、ISA / IEC 62443,以及在这个问题的开放式响应中提到的几个CIS关键安全控制。
5 终端比网络更让人担忧
总体而言,因为需要经常需要选择嵌入式软件/固件和设备,受访者将终端(而不是网络)列为IIoT解决方案中最易受攻击的方面,认为终端的安全风险最大。见表2。
但是,当被问到采取什么措施来防范IIoT系统的安全风险时,受访者选择基于网络的控制作为前三名,如下图所示:
“对终端的关注,包括它们的设计是否能够抵御攻击,可能源于IIoT作为设备或设备集合而不是整个系统的观点。加上这些设备的多样性、规模和复杂性,包括缺乏让他们互相通信的统一标准。”
——Doug Wylie,SANS工业和基础设施实践区主任
虽然设备级别的安全问题很重要,但终端的风险更多依靠网络基础设施来提供安全保障。 只有40%的受访者表示他们在设备上应用和维护新发布的补丁和更新,这意味着五分之三(60%)没有使用设备的补丁来保护IIoT设备和系统。
这一高百分比表明大多数人尚未建立和/或未遵循正式的终端修补程序来保护其IIoT设备和系统。具体原因可能包括:不知道漏洞/补丁是否适用于其环境中的设备,对这些终端的恢复能力缺乏信心;或者更可能的原因是,不确定这些补丁是否有效;另外,考虑到实施的难度,实际修补过程中,关键IIoT系统正在进行的操作面临中断的风险。 最后这一要素在工业控制中至关重要,避免关键过程的中断经常是阻碍安全实践的主要因素。
因此,尽管终端安全引起了最大的关注,但网络仍然是控制工作的重点。我们在调查中提出了这个问题:组织中谁主要负责管理连接到Internet和内部网络的IIoT设备所施加的IIoT风险?结果见下图:
实际上,无论组织规模如何,似乎都是IT团队担任主要角色。IT部门认为防御性网络架构设计和管理完全在其控制之内,而IIoT终端设备配置和管理在很大程度上超出了他们的控制范围,属于OT的范围。
在每个负责机构中,对IIoT的哪个部分最易受攻击和存在风险的看法,取决于管理IIoT风险的责任在哪里:
◇ IT团队、公司领导和管理层倾向于强调数据可访问性、可靠性、可用性和完整性。
◇ 部门经理强调网络和基础设施设备。
◇ OT团队强调与IIoT终端相关的特定系统和设备。
这些差异在表4中公开。
虽然终端风险是主要的安全因素,但网络仍然是安全的重点落地方向。
近69%的IT和超过83%的OT部门经理分别选择使用防火墙、网闸和IT/OT网关进行网络分段,用来防范现有或新的IIoT设备所带来的风险。强化网络是最受青睐的机制,可以解决IIoT产品和系统的设备级风险。
公司领导和高级管理层也支持这一以网络为中心的重点思路,71%的领导强调连接的IIoT设备对网络/系统的认证/授权(例如,集成到AD / LDAP,使用PKI)和网络监控、识别、分析异常通信行为。令人惊讶的是,公司领导者在其引用最多的安全控制中与其他类别不同。
公司领导层引用的最高比例的控制措施——连接设备的网络监控和认证/授权服务——表明该措施对威胁的识别和检测(即与系统连接的内容及其正在做什么?)有更高的价值。这一结果与将网络分段评为顶级控制的其他角色形成鲜明对比,后者是一种在架构中实现保护和预防功能的安全控制。
6 IIoT安全驱动
总体而言,IIoT安全的主要驱动因素包括品牌、可见的财务损失、信息和资产保护,以及遵守行业法规而非安全性,无论是在运营内部还是外部。换句话说,这些结果表明商业投资和影响优先于保护员工和厂区。实际上,将IT和OT响应者的答案相结合,设备和系统的保护比运营中的安全生产(Safety inside the operation)高出近7%,令人不安的是,比运营之外的安全生产(Safety outside the operation)高出近25%。 见表5。
但是,谁负责IIoT风险管理将会影响驱动因素排名,因为感知和实际责任可能不同。IT团队最关注的是数据保护,防止财务损失和遵守行业法规;而OT团队则强调提高可靠性、可用性、效率和生产,组织内部的安全以及设备和系统的保护。
即使是OT,虽然关键基础设施的安全性通常被认为是最重要的驱动因素,但维持运营的压力更为重要。
7 不同的视角看威胁和风险
总的来说,大多数受访者(59%),无论组织规模如何,对组织保护其IIoT设备的能力都有一定的信心,见下图:
有趣的是,OT部门的成员(可能是最了解IIoT实施的人)似乎对他们组织保护这些设备的能力最不自信,而公司领导和管理层、包括部门经理,似乎是最有信心,如下图所示:
关于IIoT安全防护方面的观点,OT部门的管理者和公司领导的观点存在这种差异是有问题的。这种显著的差异肯定会导致OT集团难以为OT安全类的投资获得足够的预算,如持续的安全技能建设,帮助保障运营的技术和服务,以及响应和恢复事故的资源。
相同的数据也可能表明领导和管理层的观点,即当前公司对IIoT的安全投资在某种程度上是足够的,或者至少被认为足以抵消整体业务的当前风险。
7.1 威胁和弱点
要确保组织的IIoT基础设施安全,需要全面理解组织面临的威胁和风险,特别是考虑到允许OT系统的外部连接所带来的复杂性,以及越来越多的设备带来的资产管理、设备及系统配置以及变更管理的工作量。调查结果列于表6中。
补丁修补和产品升级是重点问题,预计未来两年仍将如此。许多人都认识到IIoT设备由于不能按时安装补丁和升级更容易受到攻击。这也表明了需要继续强化基础设施安全方面的投资,以充分保护IIoT系统的安全。
7.2 风险
48%的受访者承认,IIoT安全主要的风险在两年之内并没办法通过设计、构建、运营和维护生命周期来实现“设计安全”。解决网络风险的机会始于系统开发周期和采购阶段,重点是网络基础设施设计和终端选择。总体而言,受访者担忧的前五位实际上是由IIoT供应商、集成商和最终用户组合引入的风险组合,需要共同责任来缓解和修复这些系统中的风险。见表7。
7.3 网络上的持续投入
大多数受访者表示将继续投资在网络监控相关领域。 见表8。
这应该不足为奇。IIoT解决方案通常依赖终端之间的持久连接,正常运行时间至关重要。 通过这些连接推送的OT数据通常是经过仔细选择的、确定的和可重复的。这意味着不寻常的通信模式和行为可以非常有效地识别存在的问题,即将发生的故障或失败,或旨在破坏或损坏操作的恶意活动。这里,基于行为和规则的安全性规范可以帮助增强员工的安全意识,另外还要进行IIoT设备的安全使用、操作和管理的培训。
对员工意识和技能进行培训是一个更高水平的投资,可以为员工建立更高的安全知识、技术和能力。这是一个很好的指标,表明识别和降低风险的更广泛能力不仅仅是技术、流程和政策。在IIoT系统部署中接近48%的投资是人员投资,在可预见的未来,IIoT更有可能帮助确保相关的工作岗位,而不可能去掉这些工作。这也表明现在和未来都需要与安全意识和培训相关的服务和产品。
7.4 焦点:增长和预算
大多数组织都希望其连接设备增长10%到25%。
这适用于所有规模的组织,尽管较小的组织对大型组织的预测增长也不太确定,“未知”响应的百分比较高就是证明。见下图:
这种增长率将导致IIoT设备连接的系统大约每三到七年翻一翻,导致网络复杂性增加,因为IT和OT的连接更广、带宽需求更大,考虑到IIoT系统的设计、构建和运营,对安全相关技术人员的需求更高。
大多数受访者不知道他们的组织是否有针对IIoT的既定预算,如下图所示。无论组织规模,连接设备数量或连接设备的预计增长情况如何,情况都是如此。
组织必须投入一些预算来增强IIoT解决方案的安全性,无论该投资采用IIoT特定预算的形式,还是与整体IT或安全预算分开的形式。IIoT解决方案创造了独特的风险,与不断增长的终端数量,更广泛的连接性以及最终更高程度的远程可访问性相关联,这是IIoT产生的优势带来的副产品。现有的安全预算保持固定或与风险变化不匹配,可能会很快变得不足以在短期和长期内解决IIoT的安全风险。
8 结 论
工控网络(关键基础设施系统)必须不知疲倦地以及经济地运行。IIoT工程解决方案正在被接受,因为它们承诺帮助支持者更好地实现运营目标,并促进系统安全性、可靠性、弹性和隐私的改进——所有这些都是工业互联网联盟(IIC)称之为系统可信赖的关键因素。这些元素使IIoT解决方案引人注目,从而使各行业的采用率更高、更快。
今天,对IIoT的投资提高了生产力,提高了性能和效率,从而提高了智能化程度并增强了运营的可视化,但风险是什么? 需要明确关注业务风险的必要性不容小觑,因为IIoT的发展速度要超过投资人和企业管理者的想象。
组织应该制定一个路标,将正式定义、数据标准、通用协议、连接要求和最佳实践融合在一起,以实现IIoT系统安全协同工作所需的互操作性。这个路标可以指导所有的利益相关者——用户、集成商和供应商,资产所有者和运营商。前面提到的终端定义的模糊就是为什么需要特定于IIoT的框架的一个例子。
IIoT模糊了传统的IT和OT基础设施曾经清晰的边界和周边,例如由分层普渡模型和其他行业标准(如IEC 62443.11)定义的边界和周边。这些模型和标准难以为现代系统的分割和保护提供充分的指导,因为没有考虑到IIoT为工业带来的无边界自动化和控制系统架构。
今天的OT连接和相互依赖不仅连接到互联网,而且对于真正的IIoT解决方案,它们依靠它作为实现基于互联网的服务的渠道。在撰写本文时,没有一个国际公认的标准体现了一个全面的参考架构,可以帮助公司降低IIoT解决方案的安全风险。然而,一些前沿公司开始提供独立的指导,甚至还有更广泛更多公司在努力,例如工业互联网联盟(IIC)通过工业互联网参考架构(如工业互联网参考架构)继续推进良好的IIoT设计实践建议(IIRA)v1.8。
多供应商互操作性问题也妨碍了对IIoT设备和系统安全状况的充分了解。许多设备不符合一致的标准,例如通信协议、启用或禁用的服务或配置方法,这使得包含这些终端设备的整个系统的工程部署、安全性和管理变得困难。特定于OT的应用程序提供可以标记异常活动的诊断和预测信息,而面向IT的网络级工具通常不使用此类信息。
虽然IIoT社区正在努力应对不断增长的各种设备供应商所实施的技术状态不一致所带来的运营限制,但组织可以采取哪些措施来改善其IIoT安全性?
调查结果表明,组织应该采取下列措施:
◇ 评估和审查产品和服务供应商、顾问、承包商和服务人员的基本安全技能,并确保充分理解和维护安全责任。
◇ 挑战任何和所有IIoT提供商在他们提供的解决方案中展示安全质量和成熟度的明确指标,包括持续改进产品和系统安全状况的证据和工件。
◇ 在供应链中建立明确和开放的沟通渠道,以确保与可能影响IIoT系统风险的事项进行主动的双向信息交换。
◇ 加强生命周期管理程序,特别是资产管理、配置管理和变更管理,以解决IIoT的复杂性。受访者表示未能将系统的IIoT生命周期模型中的良好安全实践纳入未来两年的主要威胁之中。可以参考的最佳实践是《CIS Critical Security Controls》,虽然不是专门针对IIoT的,这是一组推荐的网络防御动作。
◇ 全面审查网络工程和网络安全的相关方案。 IIoT依赖于网络来强制终端(以及整个系统)的安全性。组织需要通过使用良好的设计实践来衡量其安全性的成熟度,例如分段和分离以及操作程序,例如监控和访问控制。
◇ 协调IT和OT团队以及任何第三方远程产品和服务提供商的观点,尤其是与IIoT安全相关的威胁和风险的观点。IIoT最终将缩小IT和OT之间存在的文化差距。这些解决方案需要共同承担责任。IT控制网络,使IIoT能够访问互联网服务。OT最了解受损的IIoT系统或终端对业务的影响。 IT和OT都需要了解连接到Internet和公司网络的新的或现有的IIoT设备所带来的风险。并且两者都需要知道如何作为一个团队跟踪和管理这些风险。
◇ 汇集有关IIoT业务相关的内部利益相关者的观点,形成对网络风险的共识,并在公司领导层、管理层、IT和OT团队中建立统一的投资优先级。如果OT团队表示IIoT基础设施不够安全但管理层认为没有问题,那么这种差异可能导致安全预算不足,不能充分保证IIoT的安全。
声明:本文来自威努特工控安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
