互聯工業設備——如何保護它們免受網絡攻擊

在當今的互聯環境中，為物聯網設備和互聯機器提供強大的數據保護不再是一件好事，而是必不可少的。  

網絡攻擊呈上升趨勢。物聯網設備的政府和行業網絡安全立法在全球范圍內變得越來越普遍，網絡運營商開始要求更高級別的安全性。為了保持競爭力，OEM 必須在其所有產品中解決安全問題，無論其產品多小或多復雜。

新規則是必須從產品設計的早期階段就將安全性內置到設備中。制造商不能再等待出現問題，然后爭先恐后地解決安全問題。

工廠、工業設施和邊緣的所有連接設備和機器都需要在它們下線之前得到保護。如果設備連接到互聯網，它將被網絡犯罪分子發現并攻擊。

工業物聯網解決方案繼續發展并擴展到幾乎所有市場和工業領域，包括制造、倉儲、運輸和物流，以及消費和家用電子設備。

大多數聯網設備都會生成和收集大量數據，必須確保這些數據不會被篡改和發現。在世界各地，每天都有新的、戲劇性的網絡攻擊成為頭條新聞。可能是受感染的PLC破壞工業設備的情況，也可能是接管和破壞企業系統的惡意軟件，也可能是竊取公司記錄、數據和網絡訪問權限的勒索軟件，迫使其停止運營或恢復文件處理，直到支付贖金。

在許多此類案例中，成功攻擊的根本原因是開發、制造、發貨和安裝的設備和機器的安全性較弱或不存在。

開發和構建任何類型的物聯網連接機器的公司必須確保他們的設備免受這些攻擊。但他們如何開始？

如何在互聯設備中設計和構建數據保護

從設計和開發的第一天起，工程師就需要考慮安全性。物聯網安全只能通過將網絡保護直接集成到設備本身來實現。嵌入安全提供了一個關鍵的安全層，因為在邊緣和現場使用了許多連接的機器，并且不能依賴企業防火墻作為其唯一的安全層。   

數據安全要求

為了真正安全，必須在設備中內置關鍵的安全功能。這些包括：

安全通信

靜態數據保護

安全的密鑰存儲

這些中的每一個都提供了安全的關鍵組成部分，但只是保護設備的一個方面。沒有一種能力單獨可以確保設備免受攻擊，而是這些能力協同工作以確保設備的安全。   

安全通信

近年來，許多嵌入式設備增加了對 TLS、DTLS 和 SSH 等安全通信協議的支持。這些協議為抵御網絡攻擊提供了關鍵的第一級防御。

旨在防止數據包嗅探、中間人攻擊、重放攻擊和未經授權嘗試與設備通信的安全協議是構建安全設備的重要起點。

靜態數據 (DAR) 保護

與企業服務器不同，物聯網設備通常不會被鎖在數據中心內。它們位于現場，有被盜或攻擊的風險。存儲在這些設備上的任何敏感數據都應進行加密，以通過從設備復制數據或直接從其內部閃存驅動器中物理刪除和讀取數據來保護它免受從設備讀取的嘗試。

許多物聯網設備不具備支持全盤加密的計算能力，但信用卡號碼或患者信息等敏感數據應始終加密。為了保護存儲的數據，制造商需要采取措施將加密密鑰隱藏在設備上受保護的存儲空間中。靜態數據 (DAR) 保護的工作原理是加密存儲在設備上的數據，為存儲在設備上的敏感數據提供保護。即使壞人實際訪問了機器，他們仍然無法看到或讀取數據。

安全密鑰存儲

安全啟動、安全通信協議、靜態數據保護和安全固件更新都依賴于強大的加密和基于證書的身份驗證。

設備必須能夠安全地存儲用于加密數據、驗證固件和支持機器對機器身份驗證的加密密鑰。如果黑客可以找到加密密鑰，他們就可以繞過其他強大的安全解決方案。可以使用 TPM 或其他硬件安全元件提供安全密鑰存儲。如果設備沒有可用的硬件模塊，則可以使用基于軟件的安全密鑰存儲方法。