IEC 62443系列標準:如何防御基礎設施網(wǎng)絡(luò )攻擊

簡(jiǎn)介

盡管網(wǎng)絡(luò )攻擊的潛在威脅日益增加，但工業(yè)自動(dòng)化控制系統（IACS）在采納安全措施方面進(jìn)展緩慢。部分原因在于此類(lèi)系統的設計人員和運營(yíng)人員缺乏共同的參照標準。IEC 62443系列標準為構建更安全的工業(yè)基礎設施提供了一條途徑，但企業(yè)必須學(xué)會(huì )如何應對其復雜性，并理解這些新挑戰，以成功地加以應用。

工業(yè)系統面臨風(fēng)險

供水、污水處理和電網(wǎng)等關(guān)鍵基礎設施進(jìn)行了數字化轉型，因此不間斷訪(fǎng)問(wèn)這些關(guān)鍵基礎設施對于日常生活至關(guān)重要。然而，網(wǎng)絡(luò )攻擊仍在給這些系統帶來(lái)威脅，且其攻擊能力預計還會(huì )提高¹。

工業(yè)4.0需要高度互聯(lián)的傳感器、執行器、網(wǎng)關(guān)和聚合器。而這種更高程度的互聯(lián)進(jìn)一步增加了潛在網(wǎng)絡(luò )攻擊的風(fēng)險，因此實(shí)施安全措施比以往任何時(shí)候都更加重要。美國網(wǎng)絡(luò )安全和基礎設施安全局(CISA)等組織的成立體現了保護關(guān)鍵基礎設施、確保在防御網(wǎng)絡(luò )攻擊時(shí)具備強韌的恢復能力的重要性，同時(shí)也進(jìn)一步表明了對此目標的決心²。

為什么需要IEC 62443？

2010年，Stuxnet的出現凸顯了工業(yè)基礎設施的脆弱性³。Stuxnet是首個(gè)全球范圍內廣為人知的網(wǎng)絡(luò )攻擊病毒，這次事件也表明從遠處針對IACS發(fā)起攻擊是可行的。隨后的攻擊再次強化了大眾對于網(wǎng)絡(luò )病毒的認識，人們由此確認針對特定類(lèi)型設備的遠程攻擊也可能會(huì )對工業(yè)基礎設施造成損害。

于是，政府機構、公用事業(yè)公司、IACS用戶(hù)和設備制造商很快意識到：IACS需要得到保護。政府和用戶(hù)理所當然地傾向于在組織層面采取安全相關(guān)措施并制定政策，而設備制造商則是針對硬件和軟件研究了可能的反制措施。然而，由于以下原因，安全措施的采納進(jìn)展緩慢：

■   基礎設施的復雜性

■   利益相關(guān)方的利益點(diǎn)和關(guān)注點(diǎn)不同

■   實(shí)施方案和選項過(guò)于多樣

■   缺乏可衡量的目標

總的來(lái)說(shuō)，利益相關(guān)方難以確定目標的安全級別，需要謹慎權衡防護強度與成本。

為圍繞ISA99倡議建立共同參照標準，國際自動(dòng)化協(xié)會(huì )(ISA)成立了相關(guān)工作組，最終共同發(fā)布了IEC 62443系列標準。該標準目前分為四個(gè)級別和類(lèi)別，如圖1所示。IEC 62443標準涉及面廣，包含了組織政策、程序、風(fēng)險評估以及硬件和軟件組件的安全性。該標準涵蓋安全防護的方方面面，切合當前實(shí)際需求，具有的超強適應性。此外，ISA采取綜合方法來(lái)應對IACS涉及的所有利益相關(guān)方的各種利益問(wèn)題。一般來(lái)說(shuō)，不同利益相關(guān)方的安全關(guān)注點(diǎn)各不相同。以IP盜竊為例，IACS運營(yíng)商會(huì )特別關(guān)注如何保護制造工藝，而設備制造商則可能更在意如何保護人工智能(AI)算法，使其免遭逆向工程。

圖1 IEC 62443是一項全面的安全標準

此外，由于IACS本質(zhì)上很復雜，因此必須全盤(pán)考慮安全的各個(gè)方面。如果沒(méi)有安全設備的支持，僅靠程序和政策是不夠的。另一方面，如果程序沒(méi)有正確規定如何安全使用組件，那么再堅固耐用的組件也將毫無(wú)用處。

圖2中的圖表顯示了IEC 62443標準通過(guò)ISA認證的采用率情況。正如預期的那樣，行業(yè)主要利益相關(guān)方定義的標準加速了安全措施的實(shí)施。

圖2 ISA認證數量隨著(zhù)時(shí)間推移不斷增加⁴

符合IEC 62443標準：復雜的挑戰

IEC 62443是一個(gè)非常全面而有效的網(wǎng)絡(luò )安全標準，但其復雜性可能超乎我們的想象。該文件本身長(cháng)達近1000頁(yè)。要清楚地了解該網(wǎng)絡(luò )安全協(xié)議，就需要花時(shí)間學(xué)習。除了掌握技術(shù)語(yǔ)言之外，還必須注意將IEC 62443的每個(gè)小部分放在整體的上下文中進(jìn)行考慮，因為各個(gè)概念都是相互依存的（如圖3所示）。

例如，根據IEC 62443-4-2，必須針對整個(gè)IACS開(kāi)展風(fēng)險評估，評估結果將決定設備的目標安全級別⁵。

圖3.認證過(guò)程概要視圖

設計符合IEC 62443標準的設備

硬件實(shí)現的最高安全級別要求

IEC 62443以直白的語(yǔ)言定義了安全級別，如圖4所示。

圖4.IEC 62443安全級別

IEC 62443-2-1要求進(jìn)行安全風(fēng)險評估。在此過(guò)程的結果中，每個(gè)組件都將被分配一個(gè)目標安全級別(SL-T)。

根據圖1和圖3，標準的某些部分與流程和程序相關(guān)，而IEC 62443-4-1和IEC 62443-4-2則側重于組件的安全性。根據IEC 62443-4-2，組件類(lèi)型包括軟件應用、主機設備、嵌入式設備和網(wǎng)絡(luò )設備。對于各個(gè)組件類(lèi)型，IEC 62443-4-2根據其滿(mǎn)足的組件要求(CR)和增強要求(RE)定義了能力安全級別(SL-C)。表1總結了SL-A、SL-C、SL-T及三者之間的關(guān)系。

表1.安全級別總結

以聯(lián)網(wǎng)的可編程邏輯控制器(PLC)為例。網(wǎng)絡(luò )安全要求對PLC進(jìn)行身份驗證，避免其成為攻擊的入口?；诠€的身份驗證是一項廣為人知的技術(shù)。根據IEC 62443-4-2標準：

?    1級不考慮公鑰加密

?    2級要求使用普遍采用的流程，例如證書(shū)簽名驗證

?    3級和4級要求對身份驗證過(guò)程中使用的私鑰進(jìn)行硬件保護

從2級安全開(kāi)始，設備需要具備許多安全功能，包括基于秘鑰或私鑰的加密機制。對于3級和4級安全，設備在多數情況下需要具備基于硬件的安全保護或加密功能。在這方面，統包式安全IC將為工業(yè)組件設計人員帶來(lái)許多優(yōu)勢，此類(lèi)IC嵌入了基本安全機制，例如：

?    安全密鑰存儲

?    側信道攻擊防護

?    負責執行功能的命令，例如

■     消息加密

■     數字簽名計算

■     數字簽名驗證

有了這些統包式安全IC，IACS組件開(kāi)發(fā)人員便無(wú)需將資源投入到復雜的安全原語(yǔ)設計中。安全IC的另一個(gè)好處是可以從本質(zhì)上讓通用功能與專(zhuān)用安全功能之間形成自然隔離。當安全功能集中在某個(gè)部分中而不是遍布整個(gè)系統時(shí)，將能更容易地評估安全功能的強度。這種隔離還可以帶來(lái)的好處在于，無(wú)論如何修改組件的軟件和/或硬件，都可以得到保留安全功能的驗證。無(wú)需重新評估完整安全功能即可執行升級。

此外，安全IC供應商可以實(shí)施PCB級或系統級無(wú)法實(shí)現的超強保護技術(shù)。比如加固的EEPROM或閃存或物理不可克隆功能(PUF)，這些技術(shù)可以實(shí)現更高等級的防御能力，從而抵御更復雜的攻擊?？傮w而言，安全IC是構建系統安全性的重要基礎。

保護邊緣安全

工業(yè)4.0意味著(zhù)隨時(shí)隨地進(jìn)行檢測，因此需要部署更多邊緣設備。IACS邊緣設備包括傳感器、執行器、機械臂、帶有I/O模塊的PLC等。每個(gè)邊緣設備都連接到高度網(wǎng)絡(luò )化的基礎設施，也成為了黑客的潛在切入點(diǎn)。不僅攻擊面隨設備數量成比例地擴大，而且設備的多元化也不可避免地提高了攻擊途徑的多樣性。應用安全和滲透測試供應商SEWORKS的首席技術(shù)官Yaniv Karta表示：“現有平臺存在許多可行的攻擊途徑，而且端點(diǎn)和邊緣設備的風(fēng)險敞口也都在增加?！崩?，在復雜的IACS中，并非所有傳感器都來(lái)自同一供應商，這些傳感器的微控制器、操作系統或通信協(xié)議棧等也未共享相同的架構。每種架構本身都可能存在弱點(diǎn)。如此一來(lái)，所有這些漏洞不斷積累在IACS之中，導致風(fēng)險大大增加，如MITRE ATT&CK數據庫⁶或ICS-CERT公告⁷所示。

此外，工業(yè)物聯(lián)網(wǎng)IoT (IIoT)逐漸在邊緣嵌入更多的智能功能⁸，業(yè)界正在開(kāi)發(fā)可做出自主系統決策的設備。鑒于這些決策對于安全、系統運行等至關(guān)重要，確保設備硬件和軟件可以被信任就顯得更為關(guān)鍵。另外，常常還需要考慮如何保護設備開(kāi)發(fā)人員的研發(fā)IP投資免遭盜竊（例如與AI算法相關(guān)的成果）?；诖?，他們可能會(huì )決定采用受統包式安全IC支持的保護措施。

另外一個(gè)重要的觀(guān)點(diǎn)是，網(wǎng)絡(luò )安全防護不足可能會(huì )對功能安全產(chǎn)生負面影響。功能安全和網(wǎng)絡(luò )安全之間的相互作用關(guān)系非常復雜，需要另寫(xiě)一篇文章才足以詳細說(shuō)明，但我們可以著(zhù)重關(guān)注以下幾點(diǎn)：

?    IEC 61508：“電氣/電子/可編程電子安全相關(guān)系統的功能安全”要求根據IEC 62443開(kāi)展網(wǎng)絡(luò )安全風(fēng)險分析。

?    雖然IEC 61508主要側重于危害和風(fēng)險分析，但也要求在每次發(fā)生嚴重網(wǎng)絡(luò )安全事件后，進(jìn)行后續的安全威脅分析和漏洞分析。

我們列出的IACS邊緣設備是嵌入式系統。IEC 62443-4-2規定了對這些系統的具體要求，例如惡意代碼保護機制、安全固件更新、物理防篡改和檢測、信任根配置以及引導過(guò)程完整性。

使用ADI的安全認證器達成IEC 62443目標

ADI公司的安全認證器（也稱(chēng)為安全元件）專(zhuān)為滿(mǎn)足上述要求而設計，同時(shí)還兼顧了易實(shí)施性和成本效益。這些固定功能IC帶有用于主機處理器的完整軟件協(xié)議棧，屬于全包式解決方案。

采用ADI公司的安全實(shí)施方案后，組件設計人員將能更專(zhuān)注于其核心業(yè)務(wù)。安全認證器本質(zhì)上是信任根，能夠安全且不可變地存儲根密鑰/秘密和代表設備狀態(tài)的敏感數據（如固件哈希值）。安全認證器包含一套全面的加密功能，包括身份驗證、加密、安全數據存儲、生命周期管理和安全引導/更新。

ChipDNA?物理不可克隆功能(PUF)技術(shù)利用晶圓制造過(guò)程中自然發(fā)生的隨機變化來(lái)生成加密密鑰，而不是將其存儲在傳統的閃存EEPROM中。該隨機變化非常小，以至于即使是芯片逆向工程領(lǐng)域的高成本、超復雜、侵入性強的技術(shù)（掃描電子顯微鏡、聚焦離子束和微探測等）也無(wú)法有效地提取密鑰。集成電路之外的任何技術(shù)都無(wú)法達到這樣的防御水平。

安全認證器還支持證書(shū)和證書(shū)鏈管理⁹。

此外，ADI提供高度安全的密鑰和證書(shū)預編程服務(wù)，以便可以為原始設備制造商(OEM)提供已配置完畢、能夠無(wú)縫加入其公鑰基礎設施(PKI)或啟用離線(xiàn)PKI的器件。該器件的穩健加密功能還為安全固件更新和安全引導提供支持。

安全認證器是為現有設計添加高級安全性的上佳之選。不僅有助于減少為安全性而重新設計設備架構的研發(fā)工作，而且BOM成本也較低。例如無(wú)需更改主微控制器即可使用該器件。舉個(gè)例子，DS28S60 和MAXQ1065 安全認證器滿(mǎn)足IEC 62443-4-2的所有級別要求，如圖5所示。

DS28S60和MAXQ1065采用3 mm × 3 mm TDFN封裝，適用于空間非常受限的設計，同時(shí)還具有低功耗特性，因此也十分適合于功耗較低的邊緣設備。

表2 DS28S60和MAXQ1065關(guān)鍵參數匯總

為滿(mǎn)足IEC 62443-4-2要求，有些IACS組件架構已經(jīng)配備帶安全功能的微控制器，安全認證器的密鑰和證書(shū)分發(fā)功能也將讓這些架構大受裨益。OEM或其合同制造商無(wú)需再為處理秘密IC憑證購買(mǎi)所需的昂貴制造設施。這種方法還會(huì )保護微控制器中存儲的可通過(guò)JTAG等調試工具提取的密鑰。

圖5 安全認證器具有符合IEC 62443要求的功能

結論

通過(guò)整合并采用IEC 62443標準，IACS利益相關(guān)方為構建可信賴(lài)且安全性強的基礎設施鋪平了道路。安全認證器為未來(lái)打造符合IEC 62443標準的組件打下了堅實(shí)基礎，也為這些組件提供了更為穩健的基于硬件的安全性。安全認證器將幫助OEM獲得所需的認證，讓其更有信心地進(jìn)行設計。

參考資料

1.Lorenzo Franceschi-Bicchierai?！癛ansomware Gang Accessed Water Supplier’s Control System（勒索軟件團伙侵入供水公司控制系統）”。Vice，2022年8月。

2.“Protecting Critical Infrastructure（保護關(guān)鍵基礎設施）”。美國網(wǎng)絡(luò )安全和基礎設施安全局。

3.Bruce Schneier?！癟he Story Behind The Stuxnet Virus（Stuxnet病毒背后的故事）”。Forbes，2010年10月。

4.“ISASecure CSA Certified Components（ISASecure CSA認證組件）”。ISASecure。

5.Patrick O’Brien?！癈ybersecurity Risk Assessment According to ISA/IEC 62443-3-2（根據ISA/IEC 62443-3-2開(kāi)展網(wǎng)絡(luò )安全風(fēng)險評估）”。全球網(wǎng)絡(luò )安全聯(lián)盟。

6.ATT&CK Matrix for Enterprise（企業(yè)ATT&CK矩陣）”。MITRE ATT&CK?。

7.“Cybersecurity Alerts & Advisories（網(wǎng)絡(luò )安全警報和公告）”。美國網(wǎng)絡(luò )安全和基礎設施安全局。

8.Ian Beavers?！斑吘壷悄艿?部分：邊緣節點(diǎn)”。ADI公司，2017年8月。

9.“Trust Your Digital Certificates—Even When Offline（相信您的數字證書(shū)——哪怕處于離線(xiàn)狀態(tài)）”。Design Solutions，第56期，2017年5月。

關(guān)于作者

Christophe Tremlet是EMEA安全認證器產(chǎn)品線(xiàn)的業(yè)務(wù)管理總監。他在安全IC方面擁有超過(guò)25年的經(jīng)驗，曾管理過(guò)多個(gè)產(chǎn)品工程和應用。Christophe曾在專(zhuān)注于安全微控制器的初創(chuàng )公司Innova Card中擔任首席技術(shù)官。此外還曾在Maxim Integrated擔任過(guò)工程和業(yè)務(wù)相關(guān)職位。在Thales擔任營(yíng)銷(xiāo)和銷(xiāo)售總監三年后，Christophe加入了ADI公司。