物联网和 OT 安全：减小受攻击面

January 30, 2023

Christina Cardoza

OT安全

谈到 IT，每个人都知道网络安全至关重要；如果放任数据不受保护，往往会自食其果。但是 OT 呢？IT 网络和 OT 网络之间的界限不像以前那么明显，这意味着保护您的 OT 现在也非常重要。想一想机器与实物进行安全连接的环境，例如工厂车间或医院。工厂经理如何着手预防网络犯罪？

部分解决方案可能就在 FPGA 中。如果您还不了解这个术语，接下来很快就会熟悉起来。我们将与安全 IP 和工具开发商 Veridify Security 的首席执行官 Louis Parks 以及 FPGA 安全、通信和配置技术营销经理 Mark Frost 讨论 FPGA 等话题。他们将讨论 OT 安全的挑战、FPGA 在应对这些挑战中的作用，甚至是立即保护您的 OT 网络的一些非成本相关的选项。漏洞无处不在，居心不良者会乘隙而入。

您在当今的安全领域看到了哪些挑战？

Mark Frost：很显然，设备之间的连接性正在迅速扩展。我们看到 OT 和 IT 网络的界限越来越模糊，我认为很多人没有考虑其中的安全隐患，尤其是连接到新网络的旧网络。普遍的想法似乎是，“这看起来运转正常，所以一切都没有问题。”但是最近我们看到越来越多的网络攻击，所以这是人们现在需要关注的事情。

是什么让 OT 安全性特别具有挑战性？

Louis Parks：简单地说，OT 网络已经存在了几十年，但它们通常与外界自然隔离或断开连接；它们正在楼宇、工业等场所发挥作用。另一方面，IT 网络一直以非常安全的方式进行开发和定义——防火墙、VPN、恶意软件检测——因为人力资源、财务、病历等数据具有感知价值

挑战在于我们都在寻求更好地利用平台、楼宇、工业 PLC 等，而这些东西现在正在连接到 IT 和 OT 网络以获得更好的可见性。我想从旧金山或纽约看一看我在芝加哥的楼宇。现在您正在将一个非常安全的平台（您的 IT 网络）连接到一个非常不安全的平台（您的 OT 网络）。您的受攻击面正在扩大，这正中黑客的下怀。

另一个挑战是，与非常同质化的 IT 环境（Windows、Linux 和 Apple 环境）不同，在楼宇系统中有来自许多不同供应商的许多不同协议。此外，您正在使用 32 位或位宽更低的设备，这些设备很少有或几乎没有安全空间，但现在却担当进入系统的网关角色。

为什么如今可用的解决方案在 OT 方面存在不足？

Louis Parks：存在哪些问题？首先，在一个非常高的层次上，可能有两个完全不同的目标。在 IT 领域，网络安全的目标是保护数据并控制系统上的设备。在 OT 领域，目标可能只是让一切正常运转——想一想医院的情况。在 OT 领域中开展运营的公用事业中，它可能是安全的。IT 安全是一个相当成熟的市场领域。所以猜一猜怎么着？我们看到的许多 OT 网络安全解决方案都来自 IT 市场领域，进入 OT 领域的 IT 产品的用途与 OT 领域的实际需求之间存在差异。

我想补充重要的一点，即您为保护网络所做的任何事情都是有利的。但是我们看到的典型安全工具主要是基于网络的；在 IT 领域中，IT 主管或 CESO 知道您是否从家里带了一台设备并将其接入网络是非常重要的。在很多操作中是一个很大的禁忌。在 OT 领域中，他们并没有真正考虑人们从家里带来恒温控制器并插上电源。

现在使用的 IT 工具通常确实可以为您提供可见性，这是一件好事。它们为您提供监控、检测和警报；但它们并没有保护数据——因为没有人会想到在 IT 网络上传输开放文本——而且他们也没有阻止攻击。此外，如果您确实获悉了攻击，在 IT 领域中，您有网络人员、IT 人员随时待命准备响应。在 OT 领域中，您可能会打电话给工厂或物业经理并说：“嘿，在 23 楼，我们在你的 HVAC 系统上看到身份不明的数据流量。”他们并不能真正采取行动。

请说明什么是 FPGA 以及它们在这方面发挥的作用。

Mark Frost：FPGA 是指现场可编程门阵列。它是一种定制硬件，您可以通过某些方式对其进行编程和设置。我们在非常高速的应用中看到了用例，在这些应用中，或者在需要极低延迟或高确定性的应用中，人们获得了他们想要处理的超高速数据。工业应用通常会有这些特殊要求。

此外，FPGA 非常适合自定义 IO。例如，如果你想连接这边的 MRI 机器和那边的电机驱动器，你不能靠买现成的东西来实现；那种接口应用需要一些定制硬件，而这正是 FPGA 真正大显身手的地方。

我们在所有应用中都看到了它们，同样，在工业领域尤为如此。在我的团队中，我们试图思考 FPGA 如何适用于该应用，因此我们的一些解决方案具有工业倾向性。我们会考虑诸如功能安全应用和长久寿命之类的事情；OT 网络的设计和安装寿命通常为 20 年。FPGA 的好处在于您可以在现场对其进行更新；如果发现一些安全漏洞，您也可以在 FPGA 中对其进行更新。

Louis Parks: 在 IT 方面：补丁、固件更新——这些都是每周例行活动。在 OT 领域中，在某些情况下这些是不存在的。因此，使用 FPGA 将处理移动到边缘的能力是巨大的。这就是英特尔^® FPGA 的强大功能之一——我们不必对目前的一切进行揣测，只希望我们在未来 10 年、15 年都表现出色。我们可以应对自如。

您在那里看到了哪些安全策略？

Mark Frost：过去，FPGA 人员倾向于依赖“通过隐匿来实现安全”的安全概念。当时 FPGA 是一个非常小众的产品，没有关于如何正确配置设备的真实公开数据。不过，最近出现了巨幅增长，使用 FPGA 设备的人员现在确实需要开始考虑他们的安全策略。

但这有点复杂。有些人花费大量投入，他们往往是那些拥有真正庞大的安全团队的人士。我们还有其他拥有非常小团队的客户——也许他们只有一名工程师来做所有事情。所以问题是，我们如何让他们更容易开始实施一些基本的安全功能？

Louis Parks：我们看到的另一个问题是，负责系统的楼宇经理或工厂经理可能不具备保护 IT 部门拥有的数据的安全背景。但 IT 部门可能不认为保护 HVAC 系统是他们的职权范围。

另一件事是网络分段——这是这些网络工具的常见应对措施——在 IT 领域中运作良好：我这里的服务器上有一个糟糕的数据情况，我可以隔离它，直到我更换服务器或将运营迁移过去。但如果它是医院运营的一部分，我可能无法以同样的方式对其进行隔离。

因此，我们在 Veridify 的重点是采用英特尔^® FPGA 之类的工具，并在边缘提供安全性以保护设备。我们还尝试提供一种不需要更换以前安装的技术的主动解决方案。运行我们技术的英特尔^® FPGA 可以作为安全网关放置在设备前面，提供您期望在 IT 网络上进行的所有身份验证和数据加密，但它几乎就像 OT 网络上的 VPN 一样运行。

英特尔^® FPGA 如何帮助支持物联网安全工作？

Mark Frost：我们的主要任务是发挥推动者的作用。我们正努力成为所有这些不同垂直领域的“万事通”，因此我们的设备面向许多市场而设计。我们尝试考虑支持安全性的基本设备功能——即基础功能——然后与 Louis 和他的团队类似的角色可以介入进来。

但我们必须在基础功能上做正确的事；我们必须有正确的挂钩连接到设备。例如，我们必须考虑诸如功能安全数据包之类的事情；关于特定的芯片功能、实时处理以及 Veridify 可以构建的所有其他内容。

Louis Parks：英特尔专注于安全，以及保护固件数据——在 FPGA 上运行的内容。然后，我们通过查看设备如何与其周围的设备交互，来对其进行扩展，这是我们的重点所在。设备之间的通信实质上创造了我们通常认为的物联网。

组织如何才能成功解决 OT 网络问题？

Louis Parks：有一系列监控工具可以让您查看您的网络，而网络级策略会在一定程度上为您赋能。还有一些协议确实增加了安全性；但其中一些可能难以实施，因为实施或管理不一定被视为他们的优先事项。

我们的重点放在了设备级；我们基本上将网络安全打包在一个盒子里。当您插接我们其中一个边缘设备时，它会自动载入。认识到 IT 和网络技能的可用性有限——尤其是在现场或边缘——我们已经完成了零接触过程。与英特尔合作，这一直是我们的重点。

不过，您目前可以开展一些无需花费成本的事项。想一想：我的风险在哪些方面？如果有人进入我网络的这一部分，会有什么风险？这是否至关重要？所以要做出评估。您的 OT 网络是否有备份——您的楼宇系统、您的厂房/工厂？没有人想到过 IT 网络尚无备份。

您提到过与英特尔的合作关系；这种关系的价值是什么？

Louis Parks：我们拥有丰富的专业知识——我的合作伙伴是数学密码学家——所以我们将其与工程学一起带到实验室。但我们的产品 DOME 之所以应运而生，是因为英特尔找到我们并说：“网络边缘设备的管理方式存在挑战，我们认为你们拥有可以解决该问题的平台。”因此，他们不仅为我们带来机遇，引导我们进入相关领域，更重要的是，他们让我们接触到我们之后必须解决的问题。

英特尔团队的影响力和深厚积淀是无可替代的。他们在开发协议、开发解决方案以及帮助我们将这些产品推向市场方面的支持是无价的。谢谢你，Mark！

Mark Frost：别客气。而且，从我们的角度来看，我们的主要目标是销售芯片。我们依赖像 Veridify 这样的合作伙伴，因为如果没有这些对市场有吸引力的非常酷的解决方案，我们就无法做到这一点。我们尽己所能通过我们的销售网络和渠道网络，帮助将 Veridify 的影响力扩展到这些全球市场，但真正令人感到振奋的是这些人的工作和他们的解决方案。

是否有任何最后的思考要留给我们去思索的？

Louis Parks：我认为每个人都应该考虑安全问题。遗憾的是，在我们生活的世界中，安全威胁神出鬼没。我认为人们应该寻找解决方案，不仅要了解这些解决方案可以为他们做什么，还要了解他们自身对其进行使用和管理的能力。此外，没有单一的解决方案可以解决所有问题。所以即使你成功了，也请继续努力，继续探索；这是一个持续的过程。

Mark Frost：我同意——不要忽视安全问题。像验证和加密您的 FPGA 配置数据这样简单的事情，是两件非常简单的事情，可以对您的 FPGA 实施的安全性产生巨大的影响。我们过去看到的许多重大安全漏洞在开始时都是无害的，但仍有许多人心存侥幸，“这不会发生在我身上。”我们随时提供帮助。