伟德国际手机客部队设计博客

    智能工厂的智能安全:了解自动化制造中的网络威胁和保护

    2019年6月27日下午1:50:02 /贡献者赛斯角

    智能安全
    晚间新闻中的网络攻击通常以大型组织为特征,并经常宣布个人信息被盗。虽然它们很少成为头条新闻,但这种攻击也可能发生在小型企业身上,而且确实发生在小型企业身上。在这些情况下,不仅员工的个人数据存在风险,工业物联网中的“智能”机器和设备也存在风险。理解制造环境中的网络安全的关键是要意识到,一旦设备连接到互联网(甚至间接通过公司网络),它就很容易受到攻击。

    网络攻击是如何运作的

    最近的一个例子是2015年12月对乌克兰一个配电中心的网络攻击,攻击者成功地切断了乌克兰西部数千名客户的供电。他们找到了计算机网络的弱点,并获得了远程访问。

    即使设置了防火墙,乌克兰电力电力控制中心也很脆弱,最终被攻破。这篇文章有线解释它是如何发生的:

    • 一场“网络钓鱼活动向三家[公用事业]公司的员工发送了一封附有恶意Word文档的电子邮件。当员工点击附件时,弹出窗口要求他们为文档启用宏……如果他们遵守,一个程序就会感染他们的机器,并为黑客打开后门。”
    • “在几个月的时间里,他们对访问Windows域控制器的网络进行了广泛的侦察、探索和测绘,Windows域控制器管理着网络的用户帐户。在这里,他们获取了工作人员凭据,其中一些是用于VPN的凭据,网格工作人员用于远程登录SCADA网络。”
    • 远程登录SCADA网络(控制电网的监控和数据采集网络)的工作人员不需要使用双因素认证,这使得攻击者可以劫持他们的证书,并获得控制断路器的系统的关键权限。

    近距离出击

    很可能你的生产设施没有配电中心那么广泛。但在你决定网络安全不适用于你之前,请考虑乌克兰攻击中使用的相同方法可以用来对付各种规模的组织。您仍然需要了解攻击者如何对您的“智能”IIOT设备(包括机器人和其他制造设备)造成严重破坏。

    研究报告发表于安全周凸显出智能制造设备是多么脆弱。研究人员很容易就找到了方法,“攻击者可以拦截机器人和控制它的应用程序之间的通信,在没有用户名和密码的情况下远程访问关键服务,安装恶意软件,并提取未正确加密的敏感信息。”

    一旦入侵者进入,他们就可以“通过机器人的摄像头和麦克风”监视操作员和设施,窃取个人或商业数据,或使安全控制和传感器失效。如果设备受损,商业秘密、生产和操作数据以及工人的安全都会受到威胁。

    三人保安规则

    如果这听起来很可怕,请记住,网络威胁恐惧的另一面是意识和准备。

    保护网络中连接的计算机和组件(现场、远程甚至移动访问应用程序)的良好起点是中央情报局三合会

    • 保密性–防止未经授权访问信息,通常通过加密数据或有选择地向用户提供访问权限
    • 完整性–确保数据未被更改或更改(意外或故意),并确保信息一致且准确
    • 可用性–确保用户在需要时随时随地都可以访问

    虽然这里的事情可以很快变得复杂和专业,但有几个简单的事情每个人都可以做来加强网络安全,包括:

    • 智能密码–始终重置设备和软件附带的默认密码;为每个用户创建不同的密码;不要共享、记录或广泛分发密码
    • 谨慎管理账户——跟踪谁有权访问应用程序和数据;设置访问级别,并限制不需要访问特定功能/功能/数据的用户;员工离开公司时立即禁用访问权限
    • 在你点击之前考虑一下——不要点击来自未知发件人的链接或打开附件
    • 网络钓鱼仍然是潜在攻击者进入网络的主要途径之一。当点击钓鱼链接或附件时,他们会安装关键记录软件来跟踪输入的内容,包括显示用户名和密码的符号或模式(是的,他们可以监视你的键盘)。一旦收集到这些信息,攻击者就可以登录到你的网络,然后四处搜索其他账户和目录。即使它们进入了你公司办公室的电脑,它们仍然可以找到方法进入你公司控制生产设备的网络区域。就像我们说的,一切都是有联系的。
    • 在你的内部网络和所有联网的电脑之间使用防火墙-一些攻击者例行公事地扫描互联网寻找未受保护的网络接入点,一旦他们找到一个,它只是一个简单的寻找正确路径的问题

    请记住,最好的架构只取决于使用它的人。作为hacker-turned-security倡导者凯文·米特尼克他说,“操纵人比操纵技术更容易。”事实上,根据研究威利斯塔楼华生酒店58%的违规行为是由于员工的疏忽或恶意行为。这意味着,对于公司制定的所有高级计算能力、安全保护、杀毒软件和网络卫生政策来说,数据安全中最薄弱的环节始终是人。

    在云端保持安全

    一些组织建立内部虚拟专用网(VPN)或远程桌面连接网络(RDC),可以提供可靠的安全性。然而,它们通常需要专业的IT知识,而小公司缺乏或负担不起外包。一个流行的替代方案是基于云的网络和存储,许多自动化集成商将有一个首选供应商。

    基于云的系统有三个组件:网关(连接到设备)、云服务器计算机和客户端软件(您在桌面或移动设备上登录的程序),用于对设备进行编程和检索数据。

    这些系统需要最少的配置,这意味着设置通常是快速和简单的。大多数云服务为多个接入点提供虚拟IP地址,这意味着每个接入点都不需要物理计算机(这节省了资金和设置时间)。另一个优点是内置的管理功能,允许一个“超级用户”控制谁可以访问设备以及访问级别。

    而言,远程访问对于您的自动化设备,您的员工可以远距离查看、调整甚至操作设备,您的集成商也可以从他们的位置进行故障排除和编程。由于所有连接到服务器的请求都来自设备(网关)或客户端(您登录的帐户),因此攻击者从服务器进入的风险大大降低。

    当你使用基于互联网的自动化设备时,有很多东西需要学习,也有很多东西需要获得。从科博特从视觉摄像机到传送带,连接设备可以让你监控和调整机器,以优化输出,并根据实时数据做出决策。我们可以帮助你驾驭这个新的制造业前沿——今天联系我们

    阅读我们的自动化设备规划分步指南

    主题:智能机器

    赛斯角

    贡献了赛斯角

    Seth是Force Design,Inc.的总裁伟德国际手机客,在该行业拥有超过20年的经验。尽管他有机械工程的背景,但他现在专攻商业管理,专注于领导力和创造积极的变革。

    Baidu