邻居一晚让我高潮3次正常吗,人妻丰满熟妇AV无码区动漫,乱LUN合集1第40部分阅读,精品无码国产一区二区三区51安

當前位置:首頁 > 最新資訊 > 行業(yè)資訊

淺談工業(yè)物聯(lián)網(wǎng)的安全威脅與前沿對策

引言

如您所見,在工業(yè)4.0所描述的智能化工廠的環(huán)境中,工業(yè)物聯(lián)網(wǎng)(IIoT)設(shè)備的廣泛采用,徹底改變了生成模式,提高了整體效率、自動化和數(shù)據(jù)驅(qū)動的決策。然而,這種快速整合也使得工業(yè)系統(tǒng)面臨著更大的網(wǎng)絡(luò)威脅和攻擊風(fēng)險。特別是對于關(guān)鍵基礎(chǔ)設(shè)施的保護,可謂迫在眉睫。下面,我將從工業(yè)系統(tǒng)面臨的潛在安全問題出發(fā),針對IIoT的各種攻擊向量,梳理出時下業(yè)界常用且有效的應(yīng)對措施。

工業(yè)物聯(lián)網(wǎng)

IIoT通用架構(gòu)

在全面識別和深入討論IIoT所面臨的不斷演變的威脅與潛在的漏洞之前,讓我們首先對工業(yè)物聯(lián)網(wǎng)系統(tǒng)的通用架構(gòu)有所了解。如下圖所示,典型架構(gòu)分為三個層級:

邊緣層,包括各種端點設(shè)備和邊緣網(wǎng)關(guān)單元。典型的端點包括相互連接的制動器、控制系統(tǒng)、以及傳感器等設(shè)備。而網(wǎng)關(guān)單元負責(zé)匯聚轉(zhuǎn)發(fā)指示,實現(xiàn)與之相連器件的互通互聯(lián)。

平臺層,包括軟件平臺和用于數(shù)據(jù)集成、轉(zhuǎn)換、分析的應(yīng)用服務(wù)。它們利用Web或移動網(wǎng)絡(luò)連接,為不同層級之間的數(shù)據(jù)和控制交換提供管道。

組織層,包括服務(wù)于組織域的應(yīng)用和云托管專有應(yīng)用。它們通過內(nèi)網(wǎng)基礎(chǔ)設(shè)施和Web驅(qū)動的協(xié)議,提供用戶界面,實現(xiàn)規(guī)則和控制的下發(fā)與上傳。

各個層級往往在邏輯上依次配合與協(xié)作,以有線和無線連接的互通方式,實現(xiàn)了IIoT對于數(shù)據(jù)的無縫收集、分析和交換,以及過程自動化的控制,進而促進了生產(chǎn)鏈路的性能優(yōu)化。

不過,由于工業(yè)連接與控制設(shè)備最初的設(shè)計重點主要追求的是功能性、而非安全性,因此它們特別容易受到網(wǎng)絡(luò)安全攻擊。各種工業(yè)物聯(lián)網(wǎng)通信協(xié)議中的缺陷經(jīng)常會被惡意利用,加上生產(chǎn)環(huán)境的運營和管理不足,攻擊一旦發(fā)生,就可能導(dǎo)致關(guān)鍵設(shè)備的損壞、重要功能的喪失,以及部分或全部設(shè)備的報廢,進而帶來災(zāi)難性的后果。例如,針對供水和凈化廠的網(wǎng)絡(luò)攻擊就可能會導(dǎo)致包括:水處理和生產(chǎn)、流量統(tǒng)計、水位和電導(dǎo)率分析、pH值分析、以及化學(xué)加藥泵等關(guān)鍵操作受到篡改或失效,進而對公眾健康產(chǎn)生嚴重的影響。

功能分層與攻擊

具體而言,鑒于工業(yè)物聯(lián)網(wǎng)按照功能級別可以分為操作技術(shù)(OT)和信息技術(shù)(IT)兩大類別,它們所面臨的網(wǎng)絡(luò)攻擊可以按照如下方式進行區(qū)分:

類別 層級 組件 攻擊

OT1器件中嵌入的傳感器、制動器、變送器和電機竊聽、暴力搜索、偽造數(shù)據(jù)包、非法輸入、逆向工程、以及惡意軟件

2分布式控制、PLC和網(wǎng)關(guān)系統(tǒng)回放攻擊、中間人(MitM)、有/無線設(shè)備的嗅探、用蠻力猜測密碼

3控制室、操作員、HMI和SCADA系統(tǒng)惡意軟件、數(shù)據(jù)窺探、IP欺騙、以及數(shù)據(jù)操縱

IT4辦公應(yīng)用、數(shù)據(jù)中心、內(nèi)部網(wǎng)絡(luò)、電子郵件、以及互聯(lián)網(wǎng)服務(wù)應(yīng)用協(xié)議攻擊、網(wǎng)絡(luò)釣魚、SQL注入、惡意軟件、DNS中毒、以及遠程代碼執(zhí)行

5云服務(wù)、業(yè)務(wù)應(yīng)用、信息分析、Web、以及手機應(yīng)用拒絕服務(wù)(DoS)、MitM、反向通道、間諜軟件、身份識別缺陷、以及惡意插件

OT分層與攻擊

第一層涵蓋了嵌入式設(shè)備、傳感器、執(zhí)行器、變送器、以及電機等器件。攻擊的開展往往依賴于深入熟悉IIoT的系統(tǒng)架構(gòu),能夠訪問設(shè)備與工程圖紙,以及具有全面的安裝和操作權(quán)限。

第二層由專有硬件組成,包括:分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)和網(wǎng)關(guān)。它們便于第一層中的器件之間實現(xiàn)通信和控制。攻擊的實施往往旨在影響信息流,并阻礙兩層之間的常規(guī)通信。

第三層包括基于IP的數(shù)據(jù)采集設(shè)備、主站、人機接口(HMI,是將人與設(shè)備連接起來的操作員觸點,主要用于顯示信息、跟蹤操作時間、以及查看機器輸入和輸出數(shù)據(jù))、監(jiān)控和數(shù)據(jù)采集(SCADA)系統(tǒng)、以及相關(guān)工業(yè)自動化控制和監(jiān)控系統(tǒng)。該層級的攻擊會使用IP數(shù)據(jù)包的操作手段,通過偽造源地址等屬性特征,來隱藏發(fā)送者的身份。一旦攻擊得逞,收件方會被欺騙,并以為數(shù)據(jù)包來自已授權(quán)的用戶或組件。

IT分層與攻擊

第四層屬于業(yè)務(wù)支撐服務(wù),包括各種辦公應(yīng)用、內(nèi)聯(lián)網(wǎng)絡(luò)、外部網(wǎng)絡(luò)、以及郵件服務(wù)等。攻擊的開展往往利用的是已知或未識別的服務(wù)漏洞。

第五層包含了各種企業(yè)應(yīng)用對于數(shù)據(jù)進行提取或分析的技術(shù),以及各種云計算服務(wù)工具。該層級的攻擊則多采取欺騙性對抗、以及監(jiān)控操縱等復(fù)雜的隱蔽形式。

針對SCADA的攻擊與檢測

在上述五個功能層級中,處于第三層的SCADA系統(tǒng)屬于IIoT生態(tài)系統(tǒng)的主要硬件系統(tǒng)。它負責(zé)跟蹤不同的工業(yè)過程。其中,主站單元或主終端單元(MSU/MTU)是SCADA的主要控制組件,而子MSU或子MTU則起到輔助控制的作用。通常,工業(yè)自動化控制和遙測系統(tǒng)會依賴SCADA系統(tǒng),使用本地控制器,連接到IIoT上。對此,攻擊者往往設(shè)法使用斷開與操控制動器或傳感器的方式,讓工業(yè)環(huán)境內(nèi)的SCADA喪失或偏離原有的功能。具體而言,針對SCADA系統(tǒng)的常見攻擊模式與技術(shù)有如下五種:

MitM攻擊。為了收集的數(shù)據(jù),已獲得網(wǎng)絡(luò)訪問權(quán)限的攻擊者,可以通過安裝惡意軟件,在有線或無線網(wǎng)絡(luò)中,主動監(jiān)控并攔截MTU、子MTU或遠程終端單元(RTU)之間的通信,進而將篡改后數(shù)據(jù)傳遞給預(yù)期接收方。

偽裝攻擊。為了保持連接與會話的控制權(quán),攻擊者會采用合法名稱,并利用虛假的IP地址,來冒充已授權(quán)的操作員身份,以逃避檢測。

惡意代碼攻擊。攻擊者利用已發(fā)現(xiàn)的漏洞,通過木馬或蠕蟲等惡意代碼,感染網(wǎng)絡(luò)中更多的MSU/MTU,導(dǎo)致系統(tǒng)出現(xiàn)故障或引發(fā)不穩(wěn)定的行為。

DoS攻擊。由于MSU/MTU無法管理超過最大限定傳輸單元的數(shù)據(jù)傳輸,因此被控制的RTU會利用數(shù)據(jù)包的碎片缺陷,通過大量畸形數(shù)據(jù)包,淹沒MTU,以耗盡系統(tǒng)中正常數(shù)據(jù)交換的可用資源,進而導(dǎo)致連接的失效與系統(tǒng)故障。

時間表攻擊。已獲得訪問權(quán)限的攻擊者通過修改系統(tǒng)或設(shè)備的固有時間表,實現(xiàn)其指定的惡意行為。

目前,針對SCADA上述攻擊的檢測手段包括:利用貝葉斯算法、概率森林和選擇樹等基于機器學(xué)習(xí)的機器學(xué)習(xí)模型;而防御技術(shù)則包括:SCADA的密鑰建立(SKE)、SCADA密鑰管理體系結(jié)構(gòu)(SKMA)、以及邏輯密鑰層級結(jié)構(gòu)(LKH)等各種自適應(yīng)密鑰管理協(xié)議。

IIoT系統(tǒng)的常見攻擊與對策

正如前文所述,SCADA只是IIoT中的一種主要硬件系統(tǒng)。而整個生態(tài)體系是一個多元的協(xié)作網(wǎng)絡(luò)。因此,與之對應(yīng)的網(wǎng)絡(luò)攻擊也是全面、立體且復(fù)雜的。近年來,諸如:水利、電力、交通、以及公共事業(yè)等關(guān)鍵性基礎(chǔ)設(shè)施,都已經(jīng)廣泛地連接或應(yīng)用到了各類IIoT生態(tài)系統(tǒng)中。我們有必要梳理出將針對IIoT系統(tǒng)的準確性、可靠性和安全性等多方面的威脅與攻擊??偟恼f來,我們歸納為如下五個方面:

網(wǎng)絡(luò)釣魚攻擊與對策

為了破壞IIoT系統(tǒng)網(wǎng)絡(luò),并控制與其連接的操作系統(tǒng),釣魚攻擊者會針對安全意識薄弱的操作員與供應(yīng)商,利用社會工程策略和設(shè)立虛假網(wǎng)站等手段,誘騙其點擊惡意鏈接或安裝惡意軟件,進而達到傳統(tǒng)的網(wǎng)絡(luò)釣魚攻擊的效果。

目前,可用于自動檢測和分析IIoT網(wǎng)絡(luò)釣魚攻擊策略包括:

創(chuàng)建Web瀏覽器的擴展,以掃描用戶網(wǎng)站的安全屬性、證書,以主動發(fā)現(xiàn)其是否包含危險性代碼或誤導(dǎo)性URL。

通過基于關(guān)聯(lián)規(guī)則和分類的網(wǎng)站排名,在對象和關(guān)聯(lián)標準之間創(chuàng)建相關(guān)性,以檢測釣魚特征。

構(gòu)建瀏覽器沙箱,作為處理網(wǎng)絡(luò)釣魚攻擊數(shù)據(jù)的代理,一旦發(fā)現(xiàn)攻擊,立即觸發(fā)警報。

采用智能Web應(yīng)用防火墻(IWAF,Intelligence Web Application Firewall)。這是一種用于識別關(guān)鍵基礎(chǔ)設(shè)施中的網(wǎng)絡(luò)釣魚攻擊的自動主動安全工具。它使用機器學(xué)習(xí)的脈沖神經(jīng)(spiking neuron)模型,解析出IIoT設(shè)備上的網(wǎng)絡(luò)流量特征,對網(wǎng)絡(luò)釣魚攻擊進行識別和分類,創(chuàng)建出失陷指標(IoC,indicators of compromise),并將其轉(zhuǎn)換為組策略對象(GPO),從而建立防火墻規(guī)則,以阻止網(wǎng)絡(luò)釣魚攻擊。

進一步使用進化脈沖神經(jīng)網(wǎng)絡(luò)(eSNN,evolving spiking neural network),在基于區(qū)域的策略防火墻內(nèi)部,構(gòu)建智能化的URL過濾器,以模擬人腦的運作方式,查找出那些由算法所生成的有害域名。

利用URL編碼(UE)技術(shù),在執(zhí)行DNS查詢之前,通過神經(jīng)網(wǎng)絡(luò)計算URL之間的相關(guān)系數(shù),解析URL的分散可視化,分析各種域名之間的關(guān)系,然后將解讀出的映射存儲起來,以便處理域名空間的復(fù)雜性,從而在垃圾郵件中提取URL的序列模型,識別和發(fā)現(xiàn)惡意網(wǎng)站地址。在整個過程中,為了根據(jù)URL的特征實現(xiàn)對網(wǎng)站的分類,其機器學(xué)習(xí)技術(shù)會提取IP地址、WHOIS記錄和網(wǎng)絡(luò)釣魚URL等詞匯特征,并利用數(shù)據(jù)表達式來構(gòu)建規(guī)則簽名,進而過濾可疑的域名。

勒索軟件的攻擊與對策

與通常的勒索軟件不同,IIoT勒索軟件通常具有針對性,更專注于基礎(chǔ)的系統(tǒng)組件,以造成拒絕服務(wù)(DoS)或鎖死生產(chǎn)環(huán)境中的文件被等危害。而且,為了盡快恢復(fù)生產(chǎn),工業(yè)組織往往不得不支付贖金,以換回訪問權(quán)限。其中,IIoT的邊緣網(wǎng)關(guān)特別容易受到勒索軟件的攻擊。一旦得手,攻擊者就會迅速更改網(wǎng)關(guān)的密碼,然后用惡意代碼替換到原有固件。在完全控制了網(wǎng)關(guān)的基礎(chǔ)上,攻擊者便可據(jù)此加密各種從PLC和I/O設(shè)備處獲得的數(shù)據(jù),以及通過互聯(lián)網(wǎng)注入或提取數(shù)據(jù)。

目前,可用于自動檢測和分析勒索軟件攻擊策略包括:

通過收集和分析與系統(tǒng)性能相關(guān)的數(shù)據(jù),如:CPU使用率、內(nèi)存負載、I/O設(shè)備使用率、以及CPU處理需求等,將這些指標與IIoT系統(tǒng)在無惡意軟件時的正常指標進行比較,及時發(fā)現(xiàn)網(wǎng)關(guān)在遭遇勒索軟件攻擊時,系統(tǒng)資源利用率和處理請求等指標會大幅提升這一特征,并作為預(yù)測依據(jù),以便及時采取隔離等措施,進而大幅提升IIoT系統(tǒng)應(yīng)對此類攻擊的抵御能力。

使用在數(shù)據(jù)包和數(shù)據(jù)流級別同時運行的兩個獨立分類器,基于會話的流量特征,動態(tài)創(chuàng)建機器學(xué)習(xí)的檢測模型,以查找諸如Locky之類的勒索軟件。

采用結(jié)合了經(jīng)典自動化編碼(CAE)和變分自動化編碼(VAE)的混合深度檢測模型,最小化數(shù)據(jù)的維度,以提供準確的惡意行為可視化。

針對協(xié)議的攻擊與對策

IIoT系統(tǒng)的OSI網(wǎng)絡(luò)框架,通常由物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層,這五個層級組成。前四層使用的協(xié)議與傳統(tǒng)物聯(lián)網(wǎng)相似,包括:IEEE 802.15.4 6LoWPAN、藍牙低能耗(BLE)、IEEE 802.11(供WiFi使用)、LTE、以及UDP/TCP協(xié)議等。顯然,針對每個層級上不同協(xié)議的攻擊也各不相同:

1.對物理層和數(shù)據(jù)鏈路層的攻擊與對策

在這兩個層面上,DoS攻擊最為普遍。它會用相同的頻率傳輸信號,以干擾會話,占用和耗盡傳感器節(jié)點的原有連接與傳輸資源,降低甚至終止節(jié)點的處理能力。通常,擁塞區(qū)域映射模型(JAM)可以通過將數(shù)據(jù)包重新路由到備用信道上,來繞過無線傳感器網(wǎng)絡(luò)(WSN)的擁塞區(qū)域,進而起到減緩作用。

MitM攻擊,也是一種常見手段。攻擊者會通過WSN和RFID傳感器網(wǎng)絡(luò)(RRSN)實施數(shù)據(jù)的篡改。AES、WEP、WPA2等加密技術(shù),能夠有效地應(yīng)對此類風(fēng)險。

2.對網(wǎng)絡(luò)層的攻擊與對策

在該層面上,惡意設(shè)備會通過直接路由攻擊,來修改數(shù)據(jù)傳輸?shù)穆酚杀?,進而通過DoS攻擊淹沒網(wǎng)絡(luò)資源并阻塞數(shù)據(jù)。而SVELTE框架等物聯(lián)網(wǎng)特定入侵檢測系統(tǒng)(IDS)解決方案,可以通過出口過濾、疏散分類、授權(quán)與控制技術(shù),來提供有效的防御。

針對鄰居發(fā)現(xiàn)協(xié)議(NDP)的攻擊,會導(dǎo)致網(wǎng)絡(luò)通信的中斷,以及目標系統(tǒng)被欺騙泄漏數(shù)據(jù)。而IPSec和安全鄰居發(fā)現(xiàn)(SEND)兩種安全技術(shù)可以有效防御此類攻擊。

此外,作為一種濃縮的傳輸協(xié)議,數(shù)據(jù)報傳輸層安全(DTLS)也可保護網(wǎng)絡(luò)層數(shù)據(jù)傳輸?shù)耐暾院蜋C密性。

3.對傳輸層的攻擊與對策

在該層面上,去同步攻擊往往通過插入帶有虛構(gòu)命令標志序列號的消息,來干擾終端同步。而消息身份驗證可以有效地起到防御此類攻擊的效果。

SYN洪泛攻擊往往利用海量SYN消息(但不發(fā)送ACK消息,以響應(yīng)被攻擊方的SYN ACK),來阻塞目標消息隊列,并阻止其處理有效的SYN查詢。而通過改進傳輸協(xié)議中的內(nèi)存和隊列管理,以及通過數(shù)據(jù)包過濾、屏蔽和代理(中介)等方法,可以減緩此類攻擊。

由于缺乏內(nèi)置的數(shù)據(jù)加密和身份驗證措施,為帶寬有限的物聯(lián)網(wǎng)應(yīng)用所創(chuàng)建的簡單通信系統(tǒng)MQTT極易受到傳輸層攻擊。而基于屬性的加密(ABE)方式通過提供廣播編碼,實現(xiàn)了可擴展且可靠的安全MQTT協(xié)議,能夠?qū)踩南鬟f給多個預(yù)期接收方。

4.對應(yīng)用層的攻擊與對策

在應(yīng)用層,由于SCADA的Modbus消息協(xié)議缺少對虛假主從IP地址的識別,因此未經(jīng)授權(quán)的遠程攻擊者可以通過提交具有錯誤IP地址的請求,發(fā)起MitM攻擊。

如果Modbus的主設(shè)備和代理設(shè)備連接的驗證檢測不到位,外部攻擊者可以利用Modbus主設(shè)備向任何從設(shè)備發(fā)送隨機命令,而無需完成身份驗證。

如果在處理請求消息和單獨的輸入讀取響應(yīng)上存在開發(fā)缺陷,Modbus系統(tǒng)會被攻擊者濫用,在SCADA網(wǎng)絡(luò)上發(fā)起分布式拒絕服務(wù)(DDoS)攻擊。

由于Modbus-TCP將Modbus協(xié)議報頭擴展了7個字節(jié),并大幅限制了數(shù)據(jù)包的大小,因此攻擊者可以制作一個超過260字節(jié)的自定義數(shù)據(jù)包,并將其發(fā)送到Modbus主從設(shè)備處。一旦設(shè)備未被正確地設(shè)置為拒絕此類數(shù)據(jù)包,則可能會遭遇緩沖區(qū)溢出攻擊。針對應(yīng)用層的攻擊,我們可以使用具有深度數(shù)據(jù)包檢查功能工業(yè)防火墻,利用基于多項特征數(shù)據(jù)聚類優(yōu)化模型的企業(yè)級IDS,以及基于自主漸進神經(jīng)網(wǎng)絡(luò)和支持向量機(SVM)模型的網(wǎng)絡(luò)入侵防御系統(tǒng)(NIPS),來識別各種異常的Modbus-TCP流量模式。

對供應(yīng)鏈的攻擊與對策

相對于組織的IT系統(tǒng),IIoT環(huán)境顯然要復(fù)雜得多。特別是在工業(yè)4.0的OT環(huán)境,網(wǎng)絡(luò)與設(shè)備中的許多部件都是由多個供應(yīng)商生產(chǎn),再由另一個供應(yīng)商組裝,最后由第三方交付(如下圖所示)。整個供應(yīng)鏈環(huán)境難免潛藏安全隱患,例如:硬件設(shè)備的芯片中可能被植入惡意代碼,安裝后門,或是本身使用了帶有缺陷的芯片。這些潛在的威脅不但會持續(xù)增長與蔓延,而且具有一定的隱蔽性,可能在很長一段時間內(nèi)都不被注意或發(fā)現(xiàn)。

對此,我們可以引入物聯(lián)網(wǎng)供應(yīng)鏈威脅的風(fēng)險分析(RIoTS)。作為一種用于物聯(lián)網(wǎng)等互聯(lián)技術(shù)的風(fēng)險分析技術(shù),它建議采用攻擊樹的方法,對供應(yīng)商及其組件進行建模,以發(fā)現(xiàn)供應(yīng)商的潛在威脅,暴露IIoT系統(tǒng)內(nèi)部隱藏的危險,以便制定針對供應(yīng)鏈攻擊的預(yù)防策略。針對IIoT供應(yīng)鏈攻擊的防護,我們可以從部件的上線前、中、后三個階段進行實施:

1.上線前

身份驗證:必須使用不可偽造的加密密鑰,來驗證部件的簽名證書

遵守標準:所有被納入IIoT的部件都必須遵守相關(guān)行業(yè)標準

安全測試:部件在被投入生產(chǎn)環(huán)境之前,必須完成基本的安全性測試

2.上線中

分段分離:不但要對部件所處的關(guān)鍵網(wǎng)絡(luò)進行分段,而且要將其與外部網(wǎng)絡(luò)相分離

安全集成:在集成到第三方部件或生產(chǎn)環(huán)境時,必須持續(xù)對部件及其所處的網(wǎng)絡(luò)狀態(tài)進行風(fēng)險識別與評估

3.上線后

檢測警告:持續(xù)檢查部件的行為與狀態(tài),按需發(fā)送警告

安全更新:軟件必須通過安全的連接方式予以更新與運維

小結(jié)

不可否認,由于工業(yè)系統(tǒng)更注重的是生產(chǎn)設(shè)備的穩(wěn)定運行,因此它們的服役周期往往較長,部件較為陳舊、升級難免不及時到位。鑒于這些復(fù)雜因素,在日常運營的過程中,攻擊者會持續(xù)針對IIoT系統(tǒng)及網(wǎng)絡(luò)的各個層級,根據(jù)發(fā)現(xiàn)到的各類漏洞,利用各種手段,展開不同的攻擊。因此,我們有必要持續(xù)保持高度警惕,深入識別多條威脅向量,運用多種成熟的或前沿的防御技術(shù)與對抗策略,來積極應(yīng)對,打好“組合拳”。

猜你喜歡