预测表明,未来,网络信息安全领域面临的挑战将十分艰巨。随着“工业4.0”的推进,虚拟与现实逐渐交织,到最后,不止成百上千,数以亿计的机器、系统、传感器和产品都将实现互联互通。
及时识别攻击模式
IT安全的又一重要组成部分是通过监控制造设施或电厂等运行环境来发现网络攻击。由Martin Otto博士带领的CERT研究小组正在研发一套新的解决方案,支持安全专家尽早发现并成功抵御此类攻击。举例来说,CERT每天都要分析新的攻击模式,并与其他部门合作研发有效对策和识别攻击的方法,以降低攻击带来的风险。Otto解释道:“通过掌握网络威胁相关知识,我们可以了解当前形势,更加有的放矢地保护我们的系统和客户。”
CERT和ProductCERT的专家也在研发能够独立识别新的攻击模式并生成识别方法的新技术。此外,研究人员也在研究让运营网络免受攻击的方法,以避免故障发生。
机器ID核查
工业领域需要特殊的安全解决方案。例如,有一种想法是让机器先“表明身份”再交换数据或将数据发送至数据库。Hendrik Brockhaus说:“这将提高IT基础设施抵御攻击的能力。”他的团队也隶属于IT安全技术领域。他们为西门子交通搭建了一套试点系统来展示这种机器ID系统的工作方法。Brockhaus首次将公共密钥基础设施(PKI)用于工业设施,并利用数字证书来验证机器、传感器或组件的身份。例如,在试点系统环境中,如果控制系统向现场设备的控制单元发送开关指令,控制系统和控制单元双方都要根据PKI证书来确认对方身份属实且没有攻击企图。PKI证书由按高安全标准运行的“授信中心”发放,因而可确保PKI证书的可信度。
做研究的“黑客”
西门子IT安全技术领域的另一支团队也参与抵御网络攻击。他们中就有西门子自己的“黑客”。这些内部“黑客”会主动寻找标准软件中的漏洞进行攻击。为了理解黑客使用的方法,这个部门设置了一些“蜜罐”。“蜜罐”是一些会被黑客针对的漏洞。当然,它们并不位于真实的IT系统中。相反,它们模拟一个软件、一个网络或一台服务器,引导黑客相信他在攻击真正的系统。借助这个方法,西门子可以细致分析黑客的攻击手段,从而掌握更多与网络威胁相关的知识,进而更好地抵御针对西门子解决方案的攻击。
与此同时,除IT基础设施和西门子产品外,IT安全专家也会彻底检查部门自己的解决方案。只有这样,他们才能清楚了解由IT安全专家搭建的保护墙是否够高,安全检查是否够严格。
数字通信技术让生产过程愈发互联。但是,网络犯罪的威胁也随之而来。西门子中央研究院正在研发能够抵御网络犯罪的解决方案并对其进行严格测试。这些测试甚至包括来自西门子自己的“黑客”团队的攻击。
IT犯罪日益猖獗。曾主要针对个人网民的网络犯罪如今已逐渐对工业界和商界构成重大威胁。网络攻击和工业间谍活动造成的损失每年可高达数亿美元。许多工业企业担心,随着数字化技术的普及,当整条产业链上的机器和设施都实现互联互通,安全风险也会随之而来。但是,为了提高生产速度和灵活性并保持经济性,企业不得不将曾经在很大程度上自成一体的设施改造为开放式生产系统。针对这一困境,西门子已有解决之道:如果行业采用一致的顶层安全概念,风险将是可控的。为此,西门子在西门子中央研究院设立了IT安全技术领域(IT Security Technology Field),由一个IT专家小组为西门子各业务研发全面的信息安全解决方案。
系统地处理漏洞
“过去,工厂由门禁和警报系统保护。如今则是另一种情形。工业信息安全专家的首要任务是比黑客先行一步,抢先发现安全漏洞。”IT安全专家Klaus Lukas表示。
他领导的ProductCert团队隶属于IT安全技术领域,专门处理公司内外报告的西门子产品的安全漏洞。Lukas指出:“西门子各业务部门的数字化要求我们快速响应网络威胁。”如果发现薄弱点,他的团队将立刻通知客户并尽快开发解决方案来处理漏洞。
与此同时,这支团队也与安全专家社群保持着紧密的联系。Lukas说:“这一点非常重要。与专家们的沟通不仅可以帮助双方建立相互信任,也可以帮助我们拓展自身的知识面。”因此,他的团队成员会参加重要的会议和IT活动,以便与来自这个领域的其他人士进行交流。例如,他们会参加BlackhatUSA和Def Con等会议,了解研究人员的最新发现。
扫描数据,查找异常
IT安全的另一重要组成部分是能近乎实时识别网络攻击的监控系统。Heiko Patzlaff博士表示:“总体而言,识别网络攻击的速度还不够快。一旦成功入侵系统,恶意程序就能从容翻找数据,达成窃取或操纵数据等目的。”监控系统旨在改善这种状况。他补充说:“我们正在研发一种算法,它可以扫描数据流寻找异常。”例如,如果在日间或夜间某些不寻常的时间段内生大规模数据转移,那么系统可能正在遭受攻击。同样,无端连续执行极多次命令也可能表明系统遭到了攻击。再或者,如果仅在白天工作的用户突然在夜间登录,这也可能是网络攻击的信号。Patzlaff指出:“每个IT系统都有其自身的常规活动和行为模式,必须根据这些特点来调整对网络攻击线索的搜索。”一旦发现异常,监控系统将自动通知相应安全中心。“安全中心的IT安全专家将分析入侵的意图并采取对策。”Patzlaff说。