IEC 62443系列標準:如何防御基礎設施網絡攻擊

簡介

盡管網絡攻擊的潛在威脅日益增加，但工業自動化控制系統（IACS）在采納安全措施方面進展緩慢。部分原因在于此類系統的設計人員和運營人員缺乏共同的參照標準。IEC 62443系列標準為構建更安全的工業基礎設施提供了一條途徑，但企業必須學會如何應對其復雜性，并理解這些新挑戰，以成功地加以應用。

工業系統面臨風險

供水、污水處理和電網等關鍵基礎設施進行了數字化轉型，因此不間斷訪問這些關鍵基礎設施對于日常生活至關重要。然而，網絡攻擊仍在給這些系統帶來威脅，且其攻擊能力預計還會提高¹。

工業4.0需要高度互聯的傳感器、執行器、網關和聚合器。而這種更高程度的互聯進一步增加了潛在網絡攻擊的風險，因此實施安全措施比以往任何時候都更加重要。美國網絡安全和基礎設施安全局(CISA)等組織的成立體現了保護關鍵基礎設施、確保在防御網絡攻擊時具備強韌的恢復能力的重要性，同時也進一步表明了對此目標的決心²。

為什么需要IEC 62443？

2010年，Stuxnet的出現凸顯了工業基礎設施的脆弱性³。Stuxnet是首個全球范圍內廣為人知的網絡攻擊病毒，這次事件也表明從遠處針對IACS發起攻擊是可行的。隨后的攻擊再次強化了大眾對于網絡病毒的認識，人們由此確認針對特定類型設備的遠程攻擊也可能會對工業基礎設施造成損害。

于是，政府機構、公用事業公司、IACS用戶和設備制造商很快意識到：IACS需要得到保護。政府和用戶理所當然地傾向于在組織層面采取安全相關措施并制定政策，而設備制造商則是針對硬件和軟件研究了可能的反制措施。然而，由于以下原因，安全措施的采納進展緩慢：

■   基礎設施的復雜性

■   利益相關方的利益點和關注點不同

■   實施方案和選項過于多樣

■   缺乏可衡量的目標

總的來說，利益相關方難以確定目標的安全級別，需要謹慎權衡防護強度與成本。

為圍繞ISA99倡議建立共同參照標準，國際自動化協會(ISA)成立了相關工作組，最終共同發布了IEC 62443系列標準。該標準目前分為四個級別和類別，如圖1所示。IEC 62443標準涉及面廣，包含了組織政策、程序、風險評估以及硬件和軟件組件的安全性。該標準涵蓋安全防護的方方面面，切合當前實際需求，具有的超強適應性。此外，ISA采取綜合方法來應對IACS涉及的所有利益相關方的各種利益問題。一般來說，不同利益相關方的安全關注點各不相同。以IP盜竊為例，IACS運營商會特別關注如何保護制造工藝，而設備制造商則可能更在意如何保護人工智能(AI)算法，使其免遭逆向工程。

圖1 IEC 62443是一項全面的安全標準

此外，由于IACS本質上很復雜，因此必須全盤考慮安全的各個方面。如果沒有安全設備的支持，僅靠程序和政策是不夠的。另一方面，如果程序沒有正確規定如何安全使用組件，那么再堅固耐用的組件也將毫無用處。

圖2中的圖表顯示了IEC 62443標準通過ISA認證的采用率情況。正如預期的那樣，行業主要利益相關方定義的標準加速了安全措施的實施。

圖2 ISA認證數量隨著時間推移不斷增加⁴

符合IEC 62443標準：復雜的挑戰

IEC 62443是一個非常全面而有效的網絡安全標準，但其復雜性可能超乎我們的想象。該文件本身長達近1000頁。要清楚地了解該網絡安全協議，就需要花時間學習。除了掌握技術語言之外，還必須注意將IEC 62443的每個小部分放在整體的上下文中進行考慮，因為各個概念都是相互依存的（如圖3所示）。

例如，根據IEC 62443-4-2，必須針對整個IACS開展風險評估，評估結果將決定設備的目標安全級別⁵。

圖3.認證過程概要視圖

設計符合IEC 62443標準的設備

硬件實現的最高安全級別要求

IEC 62443以直白的語言定義了安全級別，如圖4所示。

圖4.IEC 62443安全級別

IEC 62443-2-1要求進行安全風險評估。在此過程的結果中，每個組件都將被分配一個目標安全級別(SL-T)。

根據圖1和圖3，標準的某些部分與流程和程序相關，而IEC 62443-4-1和IEC 62443-4-2則側重于組件的安全性。根據IEC 62443-4-2，組件類型包括軟件應用、主機設備、嵌入式設備和網絡設備。對于各個組件類型，IEC 62443-4-2根據其滿足的組件要求(CR)和增強要求(RE)定義了能力安全級別(SL-C)。表1總結了SL-A、SL-C、SL-T及三者之間的關系。

表1.安全級別總結

以聯網的可編程邏輯控制器(PLC)為例。網絡安全要求對PLC進行身份驗證，避免其成為攻擊的入口?；诠€的身份驗證是一項廣為人知的技術。根據IEC 62443-4-2標準：

?    1級不考慮公鑰加密

?    2級要求使用普遍采用的流程，例如證書簽名驗證

?    3級和4級要求對身份驗證過程中使用的私鑰進行硬件保護

從2級安全開始，設備需要具備許多安全功能，包括基于秘鑰或私鑰的加密機制。對于3級和4級安全，設備在多數情況下需要具備基于硬件的安全保護或加密功能。在這方面，統包式安全IC將為工業組件設計人員帶來許多優勢，此類IC嵌入了基本安全機制，例如：

?    安全密鑰存儲

?    側信道攻擊防護

?    負責執行功能的命令，例如

■     消息加密

■     數字簽名計算

■     數字簽名驗證

有了這些統包式安全IC，IACS組件開發人員便無需將資源投入到復雜的安全原語設計中。安全IC的另一個好處是可以從本質上讓通用功能與專用安全功能之間形成自然隔離。當安全功能集中在某個部分中而不是遍布整個系統時，將能更容易地評估安全功能的強度。這種隔離還可以帶來的好處在于，無論如何修改組件的軟件和/或硬件，都可以得到保留安全功能的驗證。無需重新評估完整安全功能即可執行升級。

此外，安全IC供應商可以實施PCB級或系統級無法實現的超強保護技術。比如加固的EEPROM或閃存或物理不可克隆功能(PUF)，這些技術可以實現更高等級的防御能力，從而抵御更復雜的攻擊?？傮w而言，安全IC是構建系統安全性的重要基礎。

保護邊緣安全

工業4.0意味著隨時隨地進行檢測，因此需要部署更多邊緣設備。IACS邊緣設備包括傳感器、執行器、機械臂、帶有I/O模塊的PLC等。每個邊緣設備都連接到高度網絡化的基礎設施，也成為了黑客的潛在切入點。不僅攻擊面隨設備數量成比例地擴大，而且設備的多元化也不可避免地提高了攻擊途徑的多樣性。應用安全和滲透測試供應商SEWORKS的首席技術官Yaniv Karta表示：“現有平臺存在許多可行的攻擊途徑，而且端點和邊緣設備的風險敞口也都在增加?！崩?，在復雜的IACS中，并非所有傳感器都來自同一供應商，這些傳感器的微控制器、操作系統或通信協議棧等也未共享相同的架構。每種架構本身都可能存在弱點。如此一來，所有這些漏洞不斷積累在IACS之中，導致風險大大增加，如MITRE ATT&CK數據庫⁶或ICS-CERT公告⁷所示。

此外，工業物聯網IoT (IIoT)逐漸在邊緣嵌入更多的智能功能⁸，業界正在開發可做出自主系統決策的設備。鑒于這些決策對于安全、系統運行等至關重要，確保設備硬件和軟件可以被信任就顯得更為關鍵。另外，常常還需要考慮如何保護設備開發人員的研發IP投資免遭盜竊（例如與AI算法相關的成果）?；诖?，他們可能會決定采用受統包式安全IC支持的保護措施。

另外一個重要的觀點是，網絡安全防護不足可能會對功能安全產生負面影響。功能安全和網絡安全之間的相互作用關系非常復雜，需要另寫一篇文章才足以詳細說明，但我們可以著重關注以下幾點：

?    IEC 61508：“電氣/電子/可編程電子安全相關系統的功能安全”要求根據IEC 62443開展網絡安全風險分析。

?    雖然IEC 61508主要側重于危害和風險分析，但也要求在每次發生嚴重網絡安全事件后，進行后續的安全威脅分析和漏洞分析。

我們列出的IACS邊緣設備是嵌入式系統。IEC 62443-4-2規定了對這些系統的具體要求，例如惡意代碼保護機制、安全固件更新、物理防篡改和檢測、信任根配置以及引導過程完整性。

使用ADI的安全認證器達成IEC 62443目標

ADI公司的安全認證器（也稱為安全元件）專為滿足上述要求而設計，同時還兼顧了易實施性和成本效益。這些固定功能IC帶有用于主機處理器的完整軟件協議棧，屬于全包式解決方案。

采用ADI公司的安全實施方案后，組件設計人員將能更專注于其核心業務。安全認證器本質上是信任根，能夠安全且不可變地存儲根密鑰/秘密和代表設備狀態的敏感數據（如固件哈希值）。安全認證器包含一套全面的加密功能，包括身份驗證、加密、安全數據存儲、生命周期管理和安全引導/更新。

ChipDNA?物理不可克隆功能(PUF)技術利用晶圓制造過程中自然發生的隨機變化來生成加密密鑰，而不是將其存儲在傳統的閃存EEPROM中。該隨機變化非常小，以至于即使是芯片逆向工程領域的高成本、超復雜、侵入性強的技術（掃描電子顯微鏡、聚焦離子束和微探測等）也無法有效地提取密鑰。集成電路之外的任何技術都無法達到這樣的防御水平。

安全認證器還支持證書和證書鏈管理⁹。

此外，ADI提供高度安全的密鑰和證書預編程服務，以便可以為原始設備制造商(OEM)提供已配置完畢、能夠無縫加入其公鑰基礎設施(PKI)或啟用離線PKI的器件。該器件的穩健加密功能還為安全固件更新和安全引導提供支持。

安全認證器是為現有設計添加高級安全性的上佳之選。不僅有助于減少為安全性而重新設計設備架構的研發工作，而且BOM成本也較低。例如無需更改主微控制器即可使用該器件。舉個例子，DS28S60 和MAXQ1065 安全認證器滿足IEC 62443-4-2的所有級別要求，如圖5所示。

DS28S60和MAXQ1065采用3 mm × 3 mm TDFN封裝，適用于空間非常受限的設計，同時還具有低功耗特性，因此也十分適合于功耗較低的邊緣設備。

表2 DS28S60和MAXQ1065關鍵參數匯總

為滿足IEC 62443-4-2要求，有些IACS組件架構已經配備帶安全功能的微控制器，安全認證器的密鑰和證書分發功能也將讓這些架構大受裨益。OEM或其合同制造商無需再為處理秘密IC憑證購買所需的昂貴制造設施。這種方法還會保護微控制器中存儲的可通過JTAG等調試工具提取的密鑰。

圖5 安全認證器具有符合IEC 62443要求的功能

結論

通過整合并采用IEC 62443標準，IACS利益相關方為構建可信賴且安全性強的基礎設施鋪平了道路。安全認證器為未來打造符合IEC 62443標準的組件打下了堅實基礎，也為這些組件提供了更為穩健的基于硬件的安全性。安全認證器將幫助OEM獲得所需的認證，讓其更有信心地進行設計。

參考資料

1.Lorenzo Franceschi-Bicchierai?！癛ansomware Gang Accessed Water Supplier’s Control System（勒索軟件團伙侵入供水公司控制系統）”。Vice，2022年8月。

2.“Protecting Critical Infrastructure（保護關鍵基礎設施）”。美國網絡安全和基礎設施安全局。

3.Bruce Schneier?！癟he Story Behind The Stuxnet Virus（Stuxnet病毒背后的故事）”。Forbes，2010年10月。

4.“ISASecure CSA Certified Components（ISASecure CSA認證組件）”。ISASecure。

5.Patrick O’Brien?！癈ybersecurity Risk Assessment According to ISA/IEC 62443-3-2（根據ISA/IEC 62443-3-2開展網絡安全風險評估）”。全球網絡安全聯盟。

6.ATT&CK Matrix for Enterprise（企業ATT&CK矩陣）”。MITRE ATT&CK?。

7.“Cybersecurity Alerts & Advisories（網絡安全警報和公告）”。美國網絡安全和基礎設施安全局。

8.Ian Beavers?！斑吘壷悄艿?部分：邊緣節點”。ADI公司，2017年8月。

9.“Trust Your Digital Certificates—Even When Offline（相信您的數字證書——哪怕處于離線狀態）”。Design Solutions，第56期，2017年5月。

關于作者

Christophe Tremlet是EMEA安全認證器產品線的業務管理總監。他在安全IC方面擁有超過25年的經驗，曾管理過多個產品工程和應用。Christophe曾在專注于安全微控制器的初創公司Innova Card中擔任首席技術官。此外還曾在Maxim Integrated擔任過工程和業務相關職位。在Thales擔任營銷和銷售總監三年后，Christophe加入了ADI公司。