IIoT正在改变一切,从风力涡轮机和工厂自动化到关键基础设施。但在这个智能互联的世界中,网络攻击的威胁正在增加,而且非常真实。虽然需要建立针对此类攻击的防御措施,但组织本身可能不具备开发安全措施的工具、技能组合或带宽。相反,许多公司寻求能够将适当的安全性快速、轻松地集成到他们的系统中的解决方案,使他们能够专注于自己的核心竞争力并提供竞争优势。他们如何在最大限度地减少开销和成本的同时保护他们的工业网络?工业物联网(IIoT)越来越成为网络攻击的目标。对于许多公司而言,通过IIoT实施数字化转型被视为交付具有竞争力的产品、优化生产力和持续改进业务绩效的基础。不幸的是,工业物联网(IIoT)上的设备为攻击者提供了破坏业务、造成财产损失和生命损失的额外机会。拦截来自工业控制系统的数据可能会泄露制造机密,从而可能暴露竞争优势。如果设备可以被接管、克隆或欺骗,则攻击可能包括破坏传感器数据、关闭关键系统以及发送可能对安全构成严重威胁的错误控制命令。典型的例子包括影响伊朗核计划的Stuxnet攻击和据报道关闭了乌克兰部分电网的BlackEnergy3。对网络攻击的研究让该行业更深入地了解它所利用的弱点。随着知识的增长,安全最佳实践和标准也在增长。这些帮助系统架构师了解他们的资产需要的保护和抵御攻击的技术。例如,基于对潜在威胁的基于风险的分析的IEC62443正在成为网络安全的国际标准。图1.IEC62443对IIoT设备的安全要求采用务实的方法具有最高威胁抵抗力的设备。对于IEC62443的更高安全级别(即级别3和4),需要基于硬件的安全性来保护设备验证器、私钥和密钥对称密钥。将关键机密和数据存储在分立的硬件芯片中的优势是增强了保护,同时在专用硬件芯片中加强了逻辑和物理攻击,与纯软件方法相比,逻辑攻击的障碍要低得多。许多。这一切都与网络安全有关。端节点、它们连接的设备(例如网关)或云之间的相互身份验证只允许真正的、未妥协的设备进行通信——如图2所示。图2:增强设备身份以确保与云的安全连接如果没有可靠的身份验证,就可能将恶意软件链接、克隆或加载到真正的设备上。然后,“不良行为者”可以使用该连接来破坏产品或服务的正常运行,或拦截数据。此外,身份验证可以保护产品或服务的提供者免受客户滥用。当使用非正品备件或插入假冒设备或尝试未经授权的维修时,可能会导致现场故障。身份验证突出了恶意行为,并最终使提供商免于承担补救成本。事实上,有效的网络保护依赖于几种常用的防御措施,如图3所示。其中包括安全通信、连接设备的安全启动顺序以及无线应用程序固件更新(OTA)的安全过程。图3.常见的网络安全防御措施确保通信安全对于防止恶意代理与连接的设备交互或窃听它们以获取情报或IP窃取至关重要。除了对组件和人员进行身份验证并使连接的设备拥有唯一的凭据外,还必须对交换的数据进行加密以防止此类攻击。在设备接收OTA(无线)更新的地方,确保此过程的安全对于防止引入恶意软件至关重要。身份验证和完整性检查也非常重要,同时确保加载机制的安全以及对要加载的代码进行签名或加密。当连接的设备最容易受到攻击时,使用代码签名等技术的安全启动过程可以进一步保护它们。结论尽管数字化转型带来了不可阻挡的商业利益,但必须有效解决IIoT带来的安全挑战。全面分析网络安全威胁是开发可靠和持久的网络安全实施的关键。专用安全芯片在网络安全组合中发挥着至关重要的作用,有助于为连接的资产提供强大的保护。他们受益于硬件的不变性和对行业标准的遵守,同时也准备好快速高效地进行设计。
