ICCSZ訊(編譯:Vicki)Fujitsu Laboratories Ltd宣布開發(fā)可安全操作現(xiàn)場(chǎng)安裝的IoT設(shè)備的網(wǎng)絡(luò)控制技術(shù)。 傳感器,制造設(shè)備以及與工廠等現(xiàn)場(chǎng)環(huán)境中的網(wǎng)絡(luò)連接的其他物聯(lián)網(wǎng)設(shè)備缺乏身份驗(yàn)證或病毒檢查功能,而容易導(dǎo)致惡意軟件攻擊,從而導(dǎo)致工廠運(yùn)行中斷。 這是一個(gè)全球性問題,由于CPU和內(nèi)存容量的限制,現(xiàn)有防病毒軟件通常不能安裝在物聯(lián)網(wǎng)設(shè)備中,許多現(xiàn)有設(shè)備都受到網(wǎng)絡(luò)攻擊威脅。
Fujitsu 現(xiàn)在開發(fā)了基于網(wǎng)關(guān)收集的操作信息分析和管理物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)設(shè)備之間的互連性的技術(shù),響應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的連續(xù)變化以識(shí)別出行為可疑的物聯(lián)網(wǎng)設(shè)備的通信。此外,Fujitsu 還開發(fā)了有效控制通信模塊的技術(shù)。例如,如果感染惡意軟件的物聯(lián)網(wǎng)設(shè)備攻擊其他設(shè)備,則這些技術(shù)可以通過比較網(wǎng)關(guān)中記錄的連接關(guān)系的普通通信路由與實(shí)際通信路由來檢測(cè)該通信。而且,通過限制由網(wǎng)關(guān)管理的最合適的網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)攻擊的影響可以被最小化。Fujitsu 計(jì)劃在2018財(cái)年期間將這些技術(shù)商業(yè)化,作為富士通有限公司提供的富士通網(wǎng)絡(luò)Virtuora系列網(wǎng)絡(luò)產(chǎn)品的網(wǎng)關(guān)功能的一部分。
發(fā)展背景
近年來,各種工業(yè)領(lǐng)域的物聯(lián)網(wǎng)采用程度不斷提高,并且隨著物聯(lián)網(wǎng)設(shè)備(如傳感器和制造設(shè)備)連接到網(wǎng)絡(luò),這些物聯(lián)網(wǎng)設(shè)備被惡意軟件攻擊損壞的情況在全球范圍內(nèi)發(fā)生。 這對(duì)物聯(lián)網(wǎng)設(shè)備的安全對(duì)策產(chǎn)生了迫切的需求。 然而,在很多情況下,IoT設(shè)備由于CPU,內(nèi)存或操作系統(tǒng)的限制而不支持防病毒軟件,即使部署了防病毒軟件,通常不會(huì)執(zhí)行需要設(shè)備重啟的軟件更新,因?yàn)? 物聯(lián)網(wǎng)設(shè)備在運(yùn)行時(shí)不能停止。 由于這些因素,導(dǎo)致很多物聯(lián)網(wǎng)設(shè)備的運(yùn)行安全措施不足。
針對(duì)這些問題,各個(gè)聯(lián)盟和網(wǎng)絡(luò)設(shè)備供應(yīng)商已經(jīng)提出了使用網(wǎng)關(guān)將物聯(lián)網(wǎng)設(shè)備所連接的網(wǎng)絡(luò)與網(wǎng)絡(luò)分開的措施,如PC和服務(wù)器等普通設(shè)備連接到(圖1)。 這意味著網(wǎng)關(guān)可以保護(hù)設(shè)備免受來自外部網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊,但是因?yàn)槿绻腥緪阂廛浖脑O(shè)備連接到物聯(lián)網(wǎng)設(shè)備所連接的網(wǎng)絡(luò)內(nèi)部,網(wǎng)絡(luò)攻擊就可以在不通過網(wǎng)關(guān)的情況下進(jìn)行,但無法保護(hù)他們來自受感染設(shè)備的網(wǎng)絡(luò)攻擊。
新技術(shù)的發(fā)展
現(xiàn)在,富士通實(shí)驗(yàn)室已經(jīng)開發(fā)出技術(shù),可以從網(wǎng)關(guān)設(shè)備收集有關(guān)物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)設(shè)備的操作信息,推斷出物聯(lián)網(wǎng)設(shè)備所連接的網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)(1),并根據(jù)此信息適當(dāng)?shù)乜刂凭W(wǎng)絡(luò)設(shè)備(圖2)。 利用此技術(shù),沿拓?fù)浣Y(jié)構(gòu)中未考慮到的路由通信的IoT設(shè)備可被視為未經(jīng)授權(quán)的設(shè)備,從而使該技術(shù)能夠通過使這些物聯(lián)網(wǎng)設(shè)備無法與其他物聯(lián)網(wǎng)設(shè)備進(jìn)行通信來最大限度地降低網(wǎng)絡(luò)攻擊的影響。
1.拓?fù)涔芾砑夹g(shù)支持具有多種接口的設(shè)備
該技術(shù)以各種格式從物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)設(shè)備收集關(guān)于相鄰設(shè)備的信息,然后推斷整個(gè)物聯(lián)網(wǎng)網(wǎng)絡(luò)在實(shí)時(shí)變化時(shí)的拓?fù)浣Y(jié)構(gòu)。由于不同設(shè)備使用具有各自通信方法和數(shù)據(jù)格式的各種接口,因此通過將這些拓?fù)淙哭D(zhuǎn)換為網(wǎng)關(guān)中的標(biāo)準(zhǔn)化接口來啟用該拓?fù)淇鄢@迷摷夹g(shù),當(dāng)物聯(lián)網(wǎng)設(shè)備請(qǐng)求授權(quán)通信路由時(shí),該技術(shù)可以收集來自網(wǎng)絡(luò)設(shè)備的實(shí)際通信路由,通過比較發(fā)現(xiàn)由網(wǎng)絡(luò)攻擊和其他問題產(chǎn)生的未授權(quán)通信以及導(dǎo)致它們的可疑物聯(lián)網(wǎng)設(shè)備授權(quán)路線與實(shí)際路線。
2.阻止來自可疑設(shè)備的通信的網(wǎng)絡(luò)控制技術(shù)
通過使用拓?fù)湫畔⒖刂蒲芈酚傻木W(wǎng)絡(luò)設(shè)備,網(wǎng)關(guān)可以阻止可疑設(shè)備與其他設(shè)備之間的通信。由于有些設(shè)備使用無線而不是有線連接,因此在通信路徑每時(shí)每刻都在變化并且有時(shí)通信完全停止的情況下,控制適當(dāng)?shù)木W(wǎng)絡(luò)設(shè)備至關(guān)重要。利用該技術(shù),可以通過選擇網(wǎng)絡(luò)設(shè)備,同時(shí)考慮到拓?fù)浣Y(jié)構(gòu)和設(shè)備狀態(tài)的變化,以及根據(jù)所連接的設(shè)備或一組連接的設(shè)備來控制這些網(wǎng)絡(luò)設(shè)備,從而阻止可疑設(shè)備的通信,同時(shí)最小化對(duì)普通設(shè)備的通信的影響設(shè)備。
在使用假惡意軟件的模擬中,富士通實(shí)驗(yàn)室使用配備了該技術(shù)的網(wǎng)關(guān)與現(xiàn)有網(wǎng)絡(luò)設(shè)備協(xié)調(diào)運(yùn)行,并確認(rèn)該技術(shù)可能會(huì)阻止可疑設(shè)備的通信。結(jié)果顯示,這項(xiàng)技術(shù)可以將網(wǎng)絡(luò)攻擊安裝在網(wǎng)關(guān)中時(shí)的影響降至最低。利用這項(xiàng)技術(shù),可以使用現(xiàn)有設(shè)置提供安全操作,而無需在工廠等站點(diǎn)交換或部署具有安全對(duì)策的新物聯(lián)網(wǎng)設(shè)備,這些設(shè)備需要持續(xù)運(yùn)行具有長(zhǎng)使用壽命的生產(chǎn)設(shè)備。
富士通實(shí)驗(yàn)室計(jì)劃在2018財(cái)年期間將此技術(shù)商業(yè)化為富士通網(wǎng)絡(luò)Virtuora系列網(wǎng)絡(luò)產(chǎn)品中的網(wǎng)關(guān)功能。此外,它還將繼續(xù)發(fā)展這項(xiàng)技術(shù),不僅僅針對(duì)工廠等制造業(yè),而且還將拓展到各種需要對(duì)物聯(lián)網(wǎng)系統(tǒng)運(yùn)行進(jìn)行安全和可靠管理的工業(yè)領(lǐng)域。