解决不断增长的IIoT网络中的安全漏洞

工业物联网 （IIoT） 的核心是提供始终在线的过程数据收集、分析功能云和充满可操作见解的仪表板。通过访问此类信息，团队可以提高效率和产品质量，加快决策速度，并减少设备停机时间和运营成本。然而，有时随意的部署方法使这些系统容易受到网络攻击，因为安全性通常是公司不想投资的领域，直到为时已晚。

传统上，现场总线连接的设备与封闭网络中的PLC和人机界面相连，操作技术（OT）和信息系统（IT）之间存在气隙（图1）。由于IIoT依赖于对OT数据的访问，因此消除了这种气隙，但并不总是通过对安全隐患进行适当评估来实施。

工业系统通常被视为网络犯罪分子的有吸引力且容易的目标，因为其攻击面广阔，而且缺乏联合安全策略。许多此类攻击已经发生，针对从制造设施到关键基础设施（如配电和水处理厂）的所有内容。在一项针对安全专业人员的独立调查中，60% 的受访者表示他们在网络攻击后支付了赎金，其中一半情况下的支付金额超过 500，000 美元。

了解攻击面

使用的入口点广泛而多样，攻击的严重性取决于攻击者的意图和能力。大多数是由网络安全专家执行的，利用他们的知识针对保护不力和过时的Windows平台或已知漏洞的旧Linux安装。这会导致数天的停机时间，因为重新安装系统或恢复备份以确保清除系统中犯罪分子创建的恶意软件和管理员帐户。

常识意味着防病毒软件和补丁更新应该保护IT系统。但是，补丁通常只有在发现弱点后才会发布，当然，只有在安装它们时才有用。组织经常落后于安装安全补丁的原因有很多，通常是因为时间和金钱的限制。此外，这是对安全性的被动响应，而不是主动响应。毫不奇怪，全面的网络弹性和恢复战略正迅速成为一项普遍需求。

其他网络犯罪分子在工程和用于控制工厂的设备方面拥有额外的专业知识。无论是通过合法还是非法手段获得对站点的物理访问，他们对可编程逻辑控制器 （PLC） 和站点功能的理解都允许他们造成损害。这可能涉及操作执行器不恰当地混合液体或改变过程压力或温度的限制，使操作员面临风险并损坏或破坏加工材料。

一般来说，攻击很少从OT设备开始。对系统的初始进入通常是通过使用社会工程的IT系统实现的，例如网络钓鱼电子邮件，其余使用OT的攻击都是从那里引导的。

从 OT 环境发起的攻击的结果

攻击的结果从烦人到破坏性不等。攻击者已经接管了访问控制系统以部署拒绝服务（DoS）攻击，或重新编程PLC以将错误数据传输到他们控制的设备。一些通过传输控制协议 （TCP） 进行通信的早期设备无法生成随机初始序列号 （ISN），从而启用了 DoS 和恶意消息注入。据报道，此类网络攻击造成的损失累计为每分钟 1，000 美元。

另一个核心问题在于在OT设备上运行的软件。与PC和笔记本电脑不同，许多不运行支持更新的类似Windows或Linux的操作系统。相反，一旦安装，除非维护团队明确执行，否则他们可能不会收到任何新版本的固件。这需要物理访问设备以更换存储卡或执行更新。尽管此类更新需要物理访问硬件，但不太可能检查固件本身的真实性，从而有可能引入恶意软件。此外，除非已实施安全性，否则添加到OT网络的新设备不需要证明其身份。因此，可以安装受损的硬件，为网络犯罪分子提供OT系统的后门。

政府和行业反击

与安全一样，从系统设计开始，安防问题就需要作为工业控制系统的核心原则来解决。这是政府和标准组织意识到与攻击公共基础设施相关的风险，一直在努力解决的问题。在欧盟，《欧盟网络安全法》加强了欧盟网络安全机构ENISA的作用。他们的作用范围从识别肇事者和网络威慑到提供欧盟范围内认可的网络安全认证。美国也通过其国家工业安全计划（NISP）启动了类似的努力。在《加强美国网络安全法案》（SACA）的支持下，它要求报告对关键基础设施的重大网络攻击和任何赎金支付。

当然，除非设备制造商和系统开发人员也获得解决问题的指导，否则仅靠立法并不能改善这种情况。国际电工委员会（IEC）率先应对这一挑战，将包括恩智浦在内的工业自动化和安全专家聚集在一起。IEC 2021 于 62443 年获得批准，提供了一个由四部分组成的标准，用于解决 OT 的网络安全问题。它使用基于风险的方法来预防和管理不同利益相关者的安全风险，从运营商和服务提供商到组件和系统制造商。

半导体解决方案中融入的安全功能

像恩智浦这样的公司在集成电路（IC）的安全功能方面有着悠久的专业知识。功能范围从保护设备内存中固件的知识产权 （IP） 到满足通用标准 （ISO/IEC 15408） 的功能，这些功能描述了具有评估保证级别 （EAL） 的安全评估的严格性和深度。这些功能使处理基于此类IC的设备和系统的利益相关者能够更有效地应对安全风险。

微控制器 （MCU） 和片上系统 （SoC） 器件是 PLC 和工业 PC 的核心。它们具有支持原始设备制造商 （OEM） 符合 IEC 62443 的安全功能。典型的起点是具有不可变硬件信任根的安全启动机制。必须使用安全密钥存储来备份对设备各部分的通信和访问的信任。许多解决方案使用物理不可克隆功能（PUF），这些功能依赖于芯片上晶体管中自然发生的变化来提供唯一的身份。

可编程IC必须提供一个接口，允许开发人员下载和检查其代码的功能。此类调试端口提供对所有 MCU 和 SoC 功能的访问，其权限与内部处理器相同。为了确保此接入点不会被恶意使用，安全设备在授予调试功能之前使用基于证书的身份验证，这与在两个受信任方之间建立安全的 Internet 通信非常相似。

由于连接性是IIoT的核心，支持已建立的公钥基础设施（PKI）的算法必须高效运行。这些通常在硬件中使用 AES-256、SHA2-256、ECC 和 RSA 的加密加速器实现。真正的随机数生成是良好安全性的核心，是安全芯片的另一个核心功能，应用程序代码可以用来解决前面描述的ISN生成弱点。

使用安全元素添加安全性

并非所有应用都能证明与大型MCU和SoC相关的成本是合理的。有些需要电源优化的处理器来延长电池寿命，例如无线远程传感器。其他产品只需要进行身份验证，例如供应商批准的更换零件。这些类型应用中使用的紧凑型MCU通常缺乏其较大表亲的丰富安全功能。

安全元件 （SE） 是独立的 IC，可提供与片上解决方案相同的安全级别。它们放置在需要增强安全性的MCU旁边并与之连接。这些即用型解决方案配有软件支持包，可与MCU固件集成，还可以支持Linux、Windows和Android系统。预集成的安全性简化了对 IEC 62443 的合规性，为产品提供了用于 IIoT 身份验证、云载入和其他类似任务的安全身份。

OEM 面临的核心挑战是管理 SE 所需的密钥和证书，确保攻击者无法在产品上市之前收集它们以供将来攻击。恩智浦等半导体供应商提供服务，以支持SE的IIoT预置和定制配置，以及用于无线设备身份管理以及产品整个生命周期的密钥和证书的删除和吊销的云平台。

总结

勒索软件形式的网络攻击的结果使企业损失了大量资金。然而，网络犯罪分子可能对制造综合体和关键基础设施造成的损害可能导致严重的安全或环境后果、收入损失和声誉受损，这些都会迅速波及整个供应链。IIoT为OEM和社会带来了难以置信的好处，由于新的制造技术和更实惠的价格，创新更广泛地可用。但是，这不能以牺牲安全性差为代价。所需的安全性是现成的，半导体供应商提供硬件和服务以及正确实施所需的专业知识。通过对风险的适当分析、正确的技术解决方案和支持，IIoT的安全挑战是可以克服的。

审核编辑：郭婷