在信息时代,网络化已经成为一种势不可挡的趋势,而非奢侈的想法。建筑、汽车甚至配件都已经加入了网络连接的进程。然而在工业领域中,网络连接需求似乎遭遇了其它纵向领域内所未曾遭遇到的难题,这是由于大多数的工业网络被特意设计为封闭/专用的空间。 因此,工业网络往往缺乏IT界常用的网络防护机制,导致组成网络的大部分系统和设备缺乏资源来安装日常的反病毒软件。
这类问题及其它安全问题(比如远程设备保护等)对工业设备制造商以及网络管理人员带来了巨大的挑战,英特尔及英特尔®物联网解决方案联盟的250+名成员正致力于通过硬件和软件安全途径来减少风险。联盟Associate级成员McAfee和Wind River Systems 与英特尔携手,利用具有英特尔® vProTM 技术的英特尔芯片,提供软件和中间件解决方案来阻止网络威胁,全面保护工业控制系统(ICS)从边缘到云端之间的安全性。
工业边缘设备 – 资源限制和硬件层安全
2007年,一家浓缩铀厂的操作员将感染了Stuxnet恶意软件的U盘插入了运行Windows操作系统的ICS中。之后三年内,Stuxnet蠕虫病毒在大量Windows操作系统中利用零日漏洞在该厂的内部网络内进行传播,最终获取了该厂气体离心机流程控制系统(PCS)的可编程控制器(PLC)的接入权限。Stuxnet将恶意代码植入网络,导致离心机以1410Hz的最高衰变点高速旋转。该厂的9000个离心机中,有1000个因此遭到不可修复的损害。
案例表明,工业系统连接引发的风险,如防护缺失等,能够导致恶意软件在"干净的"工业环境中以远快于企业环境的速度进行传播。 在Stuxnet案例中,利用了基于rootkit的攻击延长了恶意软件的隐藏时间,使其能够畅通无阻地在纳坦兹核电厂中传播(图1)。
图1. rootkit是一种恶意软件,最终从核心操作系统(OS)下窜至中间件层,操纵代码来隐藏自己,并修改系统代码/代码调用。
为了降低Stuxnet等基于rootkit攻击的影响,McAfee结合 McAfee DeepSAFE 技术与英特尔合作开发了McAfee Deep Defender,这是一种硬件辅助的反病毒解决方案。 在具有英特尔®虚拟化技术(英特尔®VT)的64-和32位处理器上安装Deep Defender,该deepDefender可与DeepSAFE一起为OS和系统内存(图2&3)提供蛤壳型OS保护。Deep Defender利用反病毒组件持续监视CPU并在基于内核的rootkit加载前将其阻截,甚至还能绕过核心OS来监测、阻截并修复高级攻击。此外,利用英特尔® VT-x 还能提供额外保护,因为虚拟化能够有效将入侵的恶意软件隔离在网络的特定区域内。
图2. 英特尔®虚拟化技术(英特尔® VT-x)位于系统硬件结构最高层,监视操作系统和应用程序,同时提高CPU基元的控制性能。
图3. McAfee Deep Defender与McAfee DeepSAFE技术协同保护操作系统(0S)与系统内存之间的中间件层,在恶意软件加载到内核前将其阻截。
如早前所述,固定功能的嵌入式设备面临的安全局限之一是反病毒软件的大小,其大小通常在300MB左右,所占内存超过20MB,开机启动时间延长20秒左右。 对于大多数工业系统而言,仅单一应用就带来如此大的消耗是难以承受的。
为消除网络威胁并兼顾工业设备的资源限制,所有英特尔®架构(IA)平台均通过McAfee嵌入式控制(图4)支持"白名单"应用。大部分传统反病毒安全是通过"黑名单"发挥功能,被识别的恶意软件由运行的反病毒软件进行阻截,而白名单采取了相反的做法,仅允许预先设置的"已知良好"的软件运行。通过在内核层保护软件和二进制程序,McAfee嵌入式控制的白名单功能能够防止恶意软件和零日攻击,并将寿命接近终止(EOL)的系统所需的OS安全补丁需求降至最少。这使原始设备制造商(OEM)可锁定需要控制和监视的固件图像,而由于白名单所占内存资源较少,也无需文件扫描,低消耗的特点也使其对系统性能的负面影响较少。对于旧系统而言,白名单可作为McAfee嵌入式控制的升级包进行加载,并且能够包含在新的IA设备部署中。
图4. McAfee嵌入式控制提供"白名单"应用,可阻止任何未在特定系统上定义的程序运行。小体积是固定功能工业设备的理想选择,尤其是其不要求IT环境下的软件灵活性。当被隔离的程序尝试接入系统时将会被阻止,而事件将被记录在McAfee ePolicy Orchestrator (ePO)中。
通过工业网关规范安全
McAfee嵌入式控制是近期发布的基于英特尔的智能网关解决方案之一,还包括Wind River智能设备平台(Wind River IDP)。其是一种用于构建工业物联网(IoT)网关的可扩展软件开发环境。 Wind River IDP集成了嵌入式控制的白名单功能,同时采用具有英特尔® Trusted Execution Technology (英特尔®TXT)的IA处理器,使用可信硬件根提供了一个安全启动流程,增强了设备端安全。英特尔TXT是另一种利用英特尔 vPro技术的基于硬件的解决方案,能够按照以下顺序预防软件网络攻击:
验证启动 -> 启动控制策略(LCP) -> 秘密保护 –> 验证(图5)
图5. 英特尔®Trusted Execution Technology (英特尔® TXT) 通过验证、启动控制策略(LCP)、秘密保护和验证流程提供了一个可信平台模块(TPM),可用于安全启动工业设备。
该顺序建立了一个可信平台模块(TPM),是Wind River IDP用于在设备开机和固件启动时验证应用程序未被篡改或替代的安全启动过程,直至操作系统加载为止。 IDP为内核提供全面监视功能,确保在设备上运行的程序都是"真实"的,这一过程运用的可信启动技术包括:
• 在使用前对固件、引导装载程序、内核及所有配置数据进行TPM测算
• 使用可信硬件根储存TPM测算值(如有)
• 检查TPM测算是否一致并符合预期
安全启动还通过本地加密文件系统提供安全存储,并使用TPM进行安全密钥管理,以提供加密/解密保护。 图6描述了一个IA平台的可信启动实现。
图6. Wind River智能设备平台(IDP)安全启动在一个可信平台模块中(TPM)中建立了一个可信硬件根,确保从开机到固件启动再到操作系统(0S)加载的可信启动过程。
若有提供,Wind River IDP 还运用由OpenSSL TPM引擎支持的TPM硬件进行安全后端网络通信。 在典型的SSL或TLS网络通信中,在握手期间传输的数据会在数据交换前针对用户公钥进行加密,而IDP将私钥储存在TPM芯片中,确保其无法被提取或在其它平台上被用来解密。 该功能保证了交换的数据仅能被正确的用户接收到,因为它确保了只有正确的用户有解密私钥。 此外,IDP的图像签名工具在验证设备端软件更新时,仅支持有效图像;远程验证;安全远程管理(可为设备数据提供安全、基于角色的访问控制)。 图7描述了可用于保护IDP软件栈不同区域的安全机制,也即保护了在其上面运行的工业设备。
图7. 利用基于英特尔® Trusted Execution Technology (英特尔® TXT) 的可信平台模块(TPMs)上,Wind River的智能设备平台(IDP)提供了可信硬件根安全性,还使用了TPM OpenSSL加密及其他软件安全功能保护网络通信。
物联网时代确保工业网络安全 – 从边缘到云端及从云端到边缘
工业系统在发挥基本功能时,对网络连接的需求越来越多,而全面的网络安全措施-不论硬件还是软件-不仅对于保护数据安全,对于整合设备而言也同样重要。 为此,McAfee和Wind River Systems等英特尔物联网成员利用处理器的硬件辅助安全功能,如英特尔®Core™ vPro™处理器系列和英特尔®
Xeon®处理器E5-2600、E5-1600,以及E3-1200 产品系列等,提供软件和中间件安全解决方案,可应用于集中图像管理、安全网络存储以及带外保护,覆盖了防火墙的内外。
