SCADA
- Advertisment -
標準/嵌入式保護元件並行 工業系統網路安全有保障
針對工業資產與電網等基礎設施所發起的網路攻擊旨在竊取商業機密、破壞服務並損害經濟。竄改工業系統還會影響安全並可能為工作人員或一般大眾帶來傷害或災禍。攻擊者可能是獨行俠、恐怖分子或犯罪組織,也有可能是政府扶植的團隊,他們技術實力雄厚、資金來源廣泛且動機各異。
無論他們擁有多少資金或目的何在,很顯然地,駭客的能力及提供給他們的資金不斷地在提高。採用任何工業系統的組織機構都可能成為網路攻擊的目標,因此他們必須採取措施保護自己,而這不僅需要對工業網路及其薄弱環節進行清楚的分析,還需要一個全生命週期的解決方案來管理嵌入式控制系統。
工業控制包含IT/OT 安全問題須從整體分析
現代工業控制系統包括資訊科技(IT)和操作技術(OT)兩個部分,這兩部分互聯互通。安全問題不僅需要從端對端的層面解決,還可根據如圖1所示的整體安全鄰里進行分析。
圖1 工業網路中的安全鄰里
有了圖1網絡中各個環節的概念後,用2015年對烏克蘭電力基礎設施所進行的網路攻擊為例,說明IT和OT基礎設施為什麼需要適當的保護。駭客透過發送大量釣魚電子郵件,並夾帶惡意軟體感染的附件來發動攻擊。只要有一封電子郵件不小心被打開,就能為駭客帶來獲取登入細節及密碼的機會。雖然防火牆已將IT網路和電源控制系統分開,但盜用的認證資訊仍有助於駭客從遠端登入公共事業單位的SCADA系統。
駭客首先會透過攻擊IT基礎設施的薄弱環節以進入系統,隨後就會利用OT側的薄弱環節控制網路上的設備,進而最大化其破壞程度。這包含重新編寫PLC等控制器韌體,讓營運商在斷電後無法馬上重新獲得控制,營運商只能實際派人到每個現場手動控制之後才能恢復電力,這不僅需要幾個小時才能完成,而且還帶來了諸多不便和額外的電力中斷成本。
顯然,為了抵抗針對網路IT側的攻擊,替電腦操作人員進行警惕性威脅意識培訓及惡意軟體檢查是非常重要的,但保護OT側的嵌入式控制器也同樣重要。一個有效的安全性原則必須認知到IT和OT網路運作採用不同的協定,且須滿足使用者對保密性、完整性和可用性(CIA)這個安全鐵三角的不同期望。表1比較了典型高階IT和OT的工作模式,以及它們對系統安全保護的優先順序。
駭客技術日新月異 完整安全方案更顯重要
駭客使用的軟硬體技術不斷進步,已變得越來越強大且複雜。儘管採用的是部署的當下市面上提供的最好防禦技術所建構的系統,其安全性也不可避免地會隨時間推移而下降。擁有四個階段生命週期的完整安全解決方案(圖2)不僅可提供強大的保護,還能偵測未經授權的存取,進而在最大限度下幫助減少暴露的弱點。這可限制損害隱憂並促進系統恢復。
圖2 四個階段的安全生命週期
生命週期的第一階段就是在系統部署時,以當前所有的知識盡可能為系統提供最強大的「保護」。這應該以在軟硬體上提供多層保護的深度防禦策略為基礎。深度防禦策略的意思是不僅要涵蓋啟動軟體(Boot-time Software),還要包含系統運作時的工作。
第二階段是假設有一天系統會遭受駭客攻擊,其能確保運用有安全認證及用於監控任何非計畫或非授權系統的監控技術來「偵測到」系統已受損。在烏克蘭攻擊事件以及震網病毒(Stuxnet)等利用系統漏洞的攻擊中,目標系統已損壞了數個月;駭客在存取系統的某個部分之後,就能轉向系統的其它部分,擴大他們的攻擊規模。
當在正常工作及安全性為最高優先順序的工業系統中發現有系統受損時,系統必須要有「恢復力」,讓系統能恢復至安全模式或縮小工作範圍,同時通知操作人員和維修人員系統已損壞。
最後,必須把安全生命週期看作一個閉環,讓現場設備能夠反饋它們正在經歷的攻擊和受損詳情,以便讓維修人員能依據此資訊採用安全補丁來「修復」現場系統,並提高類似配置現場系統的安全性。
強化信任鏈 保護嵌入式元件扮要角
OT基礎設施的有效安全性取決於是否能夠為鄰近的控制器、控制網路和I/O上建構安全解決方案奠定基礎。雖然可使用各種不同的技術來保護每個鄰近區域的系統,但每種情況下的總體安全目標是相同的。在這些安全鄰里中,維護每個數位系統運作中的「信任鏈」(圖3)至關重要。
圖3 嵌入式元件的信任鏈始於最底層的元件硬體
當認知到系統的安全強度是信任鏈中最薄弱的環節,晶片供應商如賽靈思,便透過旗下Zynq Ultrascale+系統單晶片(SoC)所提供的特性,為硬體及啟動時的軟體層面建立強大的安全基礎。這些包括不可變的元件標誌和啟動ROM、防竄改功能、eFuses中的整合安全金鑰儲存以及用於載入安全硬體的位元流認證和加密等。受保護的啟動韌體隨後會強制執行安全啟動,並執行第一階段的啟動載入程式,如果檢測到軟體完整性受損,表示發生了竄改,就會停止該進程。在更高層次上只載入經過認證的數位簽署之操作系統影像。
一旦系統啟動並開始運作,與任何其它設備的通訊就必須使用經過認證的通訊通道進行保護,且若需要保護動態資料還應該加密。除此之外,晶片商也於FPGA採用整合式硬體加速器,為RSA-SHA和AES等這類產業標準加密演算法提供強大的安全加密通訊支援。此外,當與系統中非揮發性記憶體(NVM)晶片等其它IC進行資料交換時,也可運用使用者無法讀取的設備獨有金鑰來提供保護。最後,該SoC還支援測量啟動、測量應用程式啟動和TPM(可信平台模組)PCR擴展等監控功能的系統。這些鏈中的連結都是必備的,這是為了要保護端對端安全架構中的每個設備的運行和完整性。
這些安全特性中的互聯層,從底層設備硬體到驗證的操作系統和應用軟體,不僅可保護設備的工作狀態,也可保護與FPGA硬體設計以及在該設備上運行的代碼有關的智慧財產權(IP)。該IP若被竊,不僅有可能會為設備製造商帶來損失,還會因設備被複製而產生進一步攻擊等的其它風險。
實現最佳安全實踐 標準/軟硬技術雙管齊下
雖然駭客確實帶來越來越複雜的威脅,且背後有強大的資金支持,但安全專家也越來越瞭解發起攻擊的方法和最有效的應對措施。這方面的證據包括國際工業控制系統安全標準IEC 62443的發布、可信賴運算組織(TCG)和工業互聯網聯盟(IIC)的工業網際網路安全架構(IISF)為可嵌入式系統建立最佳安全實踐。
對此,晶片供應商如賽靈思不僅協助制定IEC 62443標準,同時也是TCG和IIC的成員。FPGA晶片和設計工具中支援的重要安全功能(圖4)不僅可幫助使用者創建符合IEC 62443-4-2標準的工業控制平台,而且還可以加速他們產品上市的時程。此外,現在還推出各種新機制,幫助在供應鏈中安全地安裝客戶金鑰和獨有的裝置識別碼。
圖4 各種服務、工具和硬體特性相結合,能協助終端產品達到IEC 62443標準
現今的工業控制系統很可能受到網路攻擊,而這些攻擊的強度和複雜程度只會越來愈高。高效的安全性原則不僅要確保強大的保護功能,還要包含四階段生命週期內的偵測、恢復力和修復。強大的硬體認證加上支援安全啟動、軟體測量及加密的特性,是能夠以最大限度降低OT設備層面攻擊的關鍵。「知識就是力量」這句名言蘊含著網路安全的真諦。OT設備開發商應花時間去瞭解網路威脅和業界最佳實踐的發展,並瞭解如何使用已經建構在最新SoC元件中的保護特性。
(本文作者任職於賽靈思)