【編者按】工業(yè)機(jī)器人是智能工廠制造過(guò)程自動(dòng)化的核心,是支持汽車、飛機(jī)、加工食品、藥品等各類產(chǎn)品制造的最重要部件。隨著在后新冠疫情時(shí)代實(shí)現(xiàn)無(wú)人制造,能夠高精度重復(fù)執(zhí)行指定動(dòng)作的工業(yè)機(jī)器人的重要性也重新受到關(guān)注。然而,工業(yè)機(jī)器人是使用幾十年前設(shè)計(jì)的語(yǔ)言編程的。Trend Micro自2017年以來(lái)一直在對(duì)智能工廠進(jìn)行網(wǎng)絡(luò)安全研究,發(fā)現(xiàn)了定義工業(yè)機(jī)器人行為的“任務(wù)程序”漏洞以及“編程語(yǔ)言”中的設(shè)計(jì)缺陷。這些語(yǔ)言是幾十年前設(shè)計(jì)的遺留語(yǔ)言,但仍是一項(xiàng)在現(xiàn)代智能工廠中使用的技術(shù)。對(duì)此,Trend Micro從短期到長(zhǎng)期的角度,分析了遺留語(yǔ)言中涉及的設(shè)計(jì)安全風(fēng)險(xiǎn),以及所有工業(yè)機(jī)器人用戶應(yīng)該采取的風(fēng)險(xiǎn)緩解措施。
一、用于移動(dòng)工業(yè)機(jī)器人編程語(yǔ)言的特殊性
( 一 )工業(yè)機(jī)器人支持工廠自動(dòng)化
工業(yè)機(jī)器人是一種代替人類在工廠內(nèi)進(jìn)行裝配、運(yùn)輸、加工等工作的機(jī)械設(shè)備。在當(dāng)今世界,滿足全球商業(yè)規(guī)模的生產(chǎn)已司空見(jiàn)慣。工業(yè)機(jī)器人是制造過(guò)程自動(dòng)化的基礎(chǔ),它可以重復(fù)執(zhí)行精確的工作并復(fù)制靈活的運(yùn)動(dòng)。
圖1 工業(yè)機(jī)器人
即使在新冠疫情大流行的情況下,對(duì)工業(yè)機(jī)器人的需求也在顯著增加。據(jù)《財(cái)富商業(yè)洞察》報(bào)告,2019年,全球工業(yè)機(jī)器人市場(chǎng)規(guī)模約為218.3億美元,預(yù)計(jì)到2027年將擴(kuò)大到664.8億美元。這一需求增加的原因是由于主要生產(chǎn)基地亞洲國(guó)家的勞動(dòng)力成本飆升,以及為了提高生產(chǎn)率而不斷投資于自動(dòng)化。此外,新冠疫情大流行帶來(lái)的實(shí)現(xiàn)最小或無(wú)身體接觸和無(wú)人服務(wù)的社會(huì)需求,也被認(rèn)為是對(duì)工業(yè)機(jī)器人需求不斷增長(zhǎng)的主要驅(qū)動(dòng)力。工業(yè)機(jī)器人在制造過(guò)程自動(dòng)化中發(fā)揮著核心作用,在后新冠疫情時(shí)代將變得更加重要。
( 二 ) 工業(yè)機(jī)器人的運(yùn)動(dòng)以編程方式定義
從數(shù)字技術(shù)的角度來(lái)分析工業(yè)機(jī)器人。工業(yè)機(jī)器人是應(yīng)用于制造業(yè)的復(fù)雜信息物理系統(tǒng),是智能制造系統(tǒng)的關(guān)鍵組成部分。當(dāng)人們聽(tīng)到機(jī)器人這個(gè)詞時(shí),通常首先會(huì)想到的是機(jī)械臂一樣的執(zhí)行器部分,但執(zhí)行器部分不是獨(dú)立運(yùn)動(dòng)的,它的運(yùn)動(dòng)由程序定義并由控制器控制。因此,工業(yè)機(jī)器人在放置后不會(huì)立即按預(yù)期運(yùn)動(dòng),而是按程序進(jìn)行所需的運(yùn)動(dòng)??梢哉f(shuō),工業(yè)機(jī)器人是一臺(tái)具有物理操作部分的大型計(jì)算機(jī)。
圖2 工業(yè)機(jī)器人運(yùn)動(dòng)機(jī)制
( 三 ) 自動(dòng)化程序用專有語(yǔ)言編寫(xiě)
趨勢(shì)科技(Trend Micro)在與米蘭理工大學(xué)的聯(lián)合研究中,發(fā)現(xiàn)重工業(yè)巨頭ABB的一個(gè)應(yīng)用程序存在漏洞。該應(yīng)用程序是用ABB自己的編程語(yǔ)言編寫(xiě)的,研究人員對(duì)此并不熟悉。驅(qū)動(dòng)工業(yè)機(jī)器人的自動(dòng)化程序使用的語(yǔ)言與用于創(chuàng)建網(wǎng)站和移動(dòng)應(yīng)用程序的主流編程語(yǔ)言完全不同。定義工業(yè)機(jī)器人自動(dòng)化行為的“任務(wù)程序”通常由領(lǐng)域?qū)<沂褂锰囟ㄓ诿總€(gè)機(jī)器人制造商的編程語(yǔ)言編寫(xiě)。此外,每個(gè)機(jī)器人制造商都創(chuàng)建了特定于制造商的生態(tài)系統(tǒng),該生態(tài)系統(tǒng)只使用自己的編程語(yǔ)言、編程環(huán)境甚至工具。
例如,圖3是一個(gè)用大型重工業(yè)公司Kuka的原始語(yǔ)言“KRL”編寫(xiě)的簡(jiǎn)單代碼示例。在此例中,工業(yè)機(jī)器臂被指示在兩個(gè)點(diǎn)(位置1和位置2)之間移動(dòng)。圖4還顯示了為ABB平臺(tái)編寫(xiě)的拾取放置程序。可以看到兩者使用著不同的語(yǔ)言結(jié)構(gòu)。
圖3 Kuka KRL在兩點(diǎn)之間循環(huán)移動(dòng)工業(yè)機(jī)器人手臂10次
圖4 ABB拾取放置程序仿真環(huán)境
在此研究項(xiàng)目中,研究人員的調(diào)查目標(biāo)是工業(yè)機(jī)器人領(lǐng)域的八家領(lǐng)先企業(yè)的平臺(tái),目標(biāo)制造商是ABB、Comau、Denso Wave、FANUC、川崎重工、Kuka、三菱電機(jī)和通用機(jī)器人。
在本研究中,Trend Micro不僅使用了包括自動(dòng)化邏輯在內(nèi)的任務(wù)程序分析等實(shí)證驗(yàn)證方法,還參考了8大工業(yè)機(jī)器人平臺(tái)的技術(shù)文件,分析了來(lái)自11個(gè)在線論壇的信息,從非技術(shù)的角度,對(duì)20名工業(yè)機(jī)器人領(lǐng)域的專家進(jìn)行了訪談。目的是強(qiáng)制考慮非技術(shù)問(wèn)題,如行業(yè)特征和開(kāi)發(fā)文化,這超越了特定程序的漏洞分析。因此,除了提高控制流程工程師的安全意識(shí)外,通過(guò)重新設(shè)計(jì)平臺(tái)和執(zhí)行重大升級(jí),可以更容易、更有效地修復(fù)漏洞。
技術(shù)本身是“遺留”的事實(shí)并不意味著它馬上就有安全漏洞。然而,每種技術(shù)的安全需求和開(kāi)發(fā)過(guò)程都必須隨著環(huán)境變化帶來(lái)的威脅而變化。當(dāng)根據(jù)幾十年前的常識(shí)開(kāi)發(fā)的技術(shù)被納入今天的智能工廠時(shí)會(huì)發(fā)生什么?本研究通過(guò)對(duì)現(xiàn)有編程語(yǔ)言的結(jié)構(gòu)分析,闡明了網(wǎng)絡(luò)安全在工業(yè)領(lǐng)域的當(dāng)前定位。
圖5 研究方法概述
二、利用任務(wù)程序漏洞的三種攻擊場(chǎng)景
( 一 ) 三種攻擊場(chǎng)景
Trend Micro驗(yàn)證了公共代碼庫(kù)(GitHub和在線社區(qū))提供的大約100個(gè)任務(wù)程序,可以確認(rèn)大多數(shù)代碼中存在“輸入值驗(yàn)證錯(cuò)誤”、“缺乏身份驗(yàn)證功能”和“遠(yuǎn)程代碼執(zhí)行”等漏洞。利用這些漏洞的三種攻擊場(chǎng)景包括:
1、通過(guò)網(wǎng)絡(luò)改變機(jī)器人操作:通過(guò)利用動(dòng)作服務(wù)器的有缺陷的輸入值驗(yàn)證和通過(guò)網(wǎng)絡(luò)傳輸無(wú)效的坐標(biāo)值數(shù)據(jù),使機(jī)器人執(zhí)行非預(yù)期的操作。
工業(yè)機(jī)器人的運(yùn)動(dòng)是以編程方式定義的,并將值輸入到控制器。這使得機(jī)器人可以通過(guò)網(wǎng)絡(luò)接收坐標(biāo)信息,從而調(diào)節(jié)機(jī)器人的運(yùn)動(dòng)。因此,為了確保物理安全,機(jī)器人的輸入必須始終完整。通常,為工業(yè)機(jī)器人設(shè)置安全保護(hù)區(qū)域,并且工業(yè)機(jī)器人的最大操作限制在該區(qū)域內(nèi)。因此,如果安全區(qū)域設(shè)置正確,區(qū)域外坐標(biāo)的輸入將無(wú)效。另一方面,在為安全區(qū)域的“內(nèi)部”指定無(wú)效坐標(biāo)的情況下,必須通過(guò)機(jī)器人的輸入值驗(yàn)證和門(mén)禁控制功能來(lái)確保輸入的完整性。
然而,在此次調(diào)查的程序中發(fā)現(xiàn)了“有缺陷的接入認(rèn)證”和“有缺陷的輸入值驗(yàn)證”。換言之,該任務(wù)程序不被配置為僅從特定伙伴接收命令,不判斷輸入坐標(biāo)信息的有效性,并且僅基于接收的數(shù)據(jù)來(lái)確定機(jī)器人的運(yùn)動(dòng)。通過(guò)利用這些漏洞,攻擊者可以偽造網(wǎng)絡(luò)數(shù)據(jù)包并隨意移動(dòng)目標(biāo)機(jī)器人。這種攻擊可能會(huì)影響制造質(zhì)量,并由于意外的機(jī)器人移動(dòng)而造成制造過(guò)程中的延遲。如果安全區(qū)配置不正確,造成的破壞會(huì)更嚴(yán)重。
以這種方式定義網(wǎng)絡(luò)行為的程序通常被用作運(yùn)動(dòng)服務(wù)器任務(wù)程序,用于驅(qū)動(dòng)聯(lián)網(wǎng)的工業(yè)機(jī)器人。大型項(xiàng)目,如ROS-Industrial軟件,廣泛使用運(yùn)動(dòng)服務(wù)器來(lái)提供各種OEM工業(yè)機(jī)器人通用的供應(yīng)商接口。
通常,有適當(dāng)?shù)木W(wǎng)絡(luò)級(jí)保護(hù),例如IP地址或MAC地址過(guò)濾,并且保證工業(yè)機(jī)器人僅從指定的控制器接收坐標(biāo)值。然而,如果任務(wù)程序沒(méi)有除上述網(wǎng)絡(luò)級(jí)別保護(hù)之外的機(jī)制來(lái)驗(yàn)證源,或者如果任務(wù)程序受到輸入值驗(yàn)證漏洞的影響,則只要接收到的坐標(biāo)值來(lái)自有效的IP地址或MAC地址,即使源被欺騙,它也將被自動(dòng)信任。無(wú)論哪種情況,這都使侵入本地網(wǎng)絡(luò)上的攻擊者很容易執(zhí)行攻擊方案。因此,攻擊者可以簡(jiǎn)單地發(fā)送任意坐標(biāo),工業(yè)機(jī)器人將被相應(yīng)地驅(qū)動(dòng),從而導(dǎo)致產(chǎn)品質(zhì)量差,制造過(guò)程中出現(xiàn)延誤或停頓。此外,配置不當(dāng)?shù)陌踩珔^(qū)域可能會(huì)導(dǎo)致更嚴(yán)重的物理?yè)p壞。
2、通過(guò)機(jī)器人竊取信息:通過(guò)利用任務(wù)程序中的漏洞發(fā)起路徑遍歷攻擊來(lái)竊取機(jī)密信息。
此攻擊方案利用Web服務(wù)器上的任務(wù)程序中的路徑遍歷漏洞,執(zhí)行該程序以顯示制造商提供的工業(yè)機(jī)器人控制器上的坐標(biāo)信息。在這項(xiàng)研究中發(fā)現(xiàn)的程序是一款應(yīng)用程序,可以通過(guò)“ABB-Robot Apps Robot Studio”使用,并在工業(yè)機(jī)器人上作為網(wǎng)絡(luò)服務(wù)器運(yùn)行。它是用ABB自己的語(yǔ)言Rapid實(shí)現(xiàn)的。利用此漏洞,網(wǎng)絡(luò)上的攻擊者可以在工業(yè)機(jī)器人上創(chuàng)建包含潛在敏感數(shù)據(jù)的文件,如包含工業(yè)機(jī)器人操作時(shí)的坐標(biāo)信息的日志文件,并使用工業(yè)機(jī)器人的控制器泄露該文件。機(jī)密工業(yè)信息在地下市場(chǎng)上以非常高的價(jià)格交易,是網(wǎng)絡(luò)犯罪分子的主要目標(biāo)之一。
路徑遍歷是一種攻擊方法和漏洞,在該攻擊方法和漏洞中,有人試圖訪問(wèn)不應(yīng)通過(guò)利用漏洞進(jìn)行訪問(wèn)的目錄。此攻擊利用遵循樹(shù)結(jié)構(gòu)中指令的服務(wù)器規(guī)范,但在大多數(shù)情況下,存在允許開(kāi)發(fā)人員意外訪問(wèn)的代碼。
在注重安全的軟件開(kāi)發(fā)中,總是假設(shè)“外部輸入是不可靠的”。因此,有必要事先驗(yàn)證服務(wù)器端的輸入值,以便不會(huì)通過(guò)開(kāi)發(fā)人員意想不到的輸入執(zhí)行未經(jīng)授權(quán)的訪問(wèn)。
3、生成有針對(duì)性、自傳播的惡意軟件:利用編程語(yǔ)言固有的網(wǎng)絡(luò)通信功能和代碼動(dòng)態(tài)加載功能,使任務(wù)程序充當(dāng)從外部來(lái)源接收惡意程序的下載器。此外,利用任務(wù)程序中有缺陷的輸入值驗(yàn)證來(lái)使工業(yè)機(jī)器人執(zhí)行與無(wú)效外部輸入相對(duì)應(yīng)的功能。通過(guò)這些組合,生成并執(zhí)行以用于工業(yè)機(jī)器人的編程語(yǔ)言編寫(xiě)的自傳播惡意軟件。
因此,雖然工業(yè)機(jī)器人及其自動(dòng)化技術(shù)與運(yùn)行在Windows服務(wù)器上的傳統(tǒng)Web應(yīng)用程序完全不同,但也存在一些眾所周知的漏洞類型,如路徑遍歷和代碼注入,這意味著組織可能會(huì)感染病毒,也可能會(huì)成為惡意軟件的目標(biāo)。
( 二 ) 攻擊造成的損害
下圖展示了研究中所展示的攻擊場(chǎng)景和攻擊的影響。
圖6 三種攻擊場(chǎng)景及其影響
通過(guò)利用研究中確定的任務(wù)程序中的漏洞,網(wǎng)絡(luò)攻擊者可以物理破壞生產(chǎn)線,竊取機(jī)密信息,甚至竊取金錢(qián)。
如上所述,這些測(cè)試中使用的漏洞是在GitHub和在線社區(qū)的代碼中發(fā)現(xiàn)的。其中一些代碼是從新手程序員使用的手冊(cè)和編程參考等技術(shù)資料中摘錄的。此外,之前的研究表明,開(kāi)源代碼中的漏洞會(huì)傳播并最終影響產(chǎn)品。因此,假設(shè)攻擊中的場(chǎng)景可以在制造車間重現(xiàn)。
三、機(jī)器人語(yǔ)言中的基本安全隱患
( 一 ) 基本安全風(fēng)險(xiǎn)
工業(yè)機(jī)器人的任務(wù)程序是用“幾十年前設(shè)計(jì)的專有語(yǔ)言”編寫(xiě)的。從安全角度看,20年前的封閉工廠環(huán)境和現(xiàn)代智能技術(shù)創(chuàng)新環(huán)境是完全不同的。因此,編程語(yǔ)言發(fā)展時(shí)的安全標(biāo)準(zhǔn)很可能不符合今天的標(biāo)準(zhǔn)?;谶@一假設(shè),趨勢(shì)科技在本次調(diào)查中,分析了工業(yè)機(jī)器人行業(yè)八大廠商共100個(gè)用編程語(yǔ)言編寫(xiě)的任務(wù)程序,試圖確定“語(yǔ)言設(shè)計(jì)本身的安全風(fēng)險(xiǎn)”。結(jié)果發(fā)現(xiàn),工業(yè)機(jī)器人的編程語(yǔ)言存在技術(shù)安全風(fēng)險(xiǎn),無(wú)需任何權(quán)限確認(rèn)即可無(wú)條件使用系統(tǒng)的基本功能。問(wèn)題的實(shí)質(zhì)是,驅(qū)動(dòng)機(jī)器人所需的功能已經(jīng)實(shí)現(xiàn),但沒(méi)有機(jī)制來(lái)防止這些功能被惡意使用。
編程語(yǔ)言的規(guī)范高度依賴于平臺(tái)。工業(yè)機(jī)器人是一個(gè)復(fù)雜的網(wǎng)絡(luò)物理系統(tǒng),其中程序、控制器和驅(qū)動(dòng)部分密切協(xié)調(diào)工作。因此,不僅僅是編程語(yǔ)言的問(wèn)題,更是平臺(tái)機(jī)器人控制器端的問(wèn)題。
幾十年前,當(dāng)工業(yè)機(jī)器人的編程語(yǔ)言被設(shè)計(jì)出來(lái)時(shí),智能工廠的概念還不存在,封閉的工廠環(huán)境是常態(tài)。因此,該設(shè)計(jì)沒(méi)有考慮到來(lái)自外部位置的主動(dòng)攻擊者,也就不足為奇了。相比之下,智能手機(jī)等現(xiàn)代設(shè)計(jì)的系統(tǒng)在安全設(shè)計(jì)上假定了惡意攻擊。例如,在為Android開(kāi)發(fā)應(yīng)用程序并用Java編程時(shí),需要一個(gè)明確的權(quán)限請(qǐng)求來(lái)訪問(wèn)應(yīng)用程序本身沙箱之外的資源。因此,即使惡意開(kāi)發(fā)者將包含惡意軟件的應(yīng)用偷偷植入手機(jī)應(yīng)用商店,也必須申請(qǐng)?jiān)S可才能使用惡意軟件操作應(yīng)用所需的麥克風(fēng)、網(wǎng)絡(luò)和其他系統(tǒng)資源。
這樣的權(quán)限設(shè)置對(duì)于工業(yè)機(jī)器人也是必要的。不過(guò),目前對(duì)工業(yè)自動(dòng)化平臺(tái)還沒(méi)有這樣的要求,所有資源都是“扁平化”接入,任務(wù)程序可以使用超出其應(yīng)有權(quán)限范圍的低級(jí)資源。
工業(yè)機(jī)器人編程語(yǔ)言被用來(lái)定義機(jī)器人的運(yùn)動(dòng),但是軟件本身有更多的功能。這次研究的制造商專有編程語(yǔ)言不僅支持普通計(jì)算系統(tǒng)中的文件系統(tǒng)概念,而且還具有函數(shù)指針和動(dòng)態(tài)代碼讀取等功能。通過(guò)充分利用這些基本功能,甚至可以在機(jī)器人平臺(tái)上編寫(xiě)惡意軟件。
( 二 ) 專有語(yǔ)言特有的安全風(fēng)險(xiǎn)
由于每種機(jī)器人語(yǔ)言的“獨(dú)特性”,也存在著安全風(fēng)險(xiǎn)。對(duì)于常見(jiàn)的編程語(yǔ)言,如C、C++、C#、Java、PHP、Python等,有一些代碼檢查器,例如靜態(tài)程序分析工具,可以檢測(cè)不安全的模式。另一方面,由于沒(méi)有針對(duì)每家公司的機(jī)器人編程語(yǔ)言的此類工具,安全檢查將很難實(shí)現(xiàn)自動(dòng)化。
工業(yè)機(jī)器人編程語(yǔ)言不像主流操作系統(tǒng)那樣基于通用的運(yùn)行或體系結(jié)構(gòu),而是基于每個(gè)制造商的平臺(tái),如機(jī)器人控制器等。出于這個(gè)原因,每個(gè)機(jī)器人供應(yīng)商還必須準(zhǔn)備其自己的專有編程語(yǔ)言和程序執(zhí)行運(yùn)行時(shí)所基于的環(huán)境。有基于實(shí)時(shí)操作系統(tǒng)(如RTOS)的編程語(yǔ)言和環(huán)境,但通常它們不是標(biāo)準(zhǔn)化的。此外,每種語(yǔ)言都有自己的語(yǔ)義,用來(lái)判斷源代碼中使用的變量和語(yǔ)句是否正常工作的標(biāo)準(zhǔn),這些語(yǔ)義可能與通用編程語(yǔ)言非常不同。事實(shí)上,在此次調(diào)查的一些語(yǔ)言沒(méi)有字符串操作或密碼操作等功能。
此外,這些類型的特征往往會(huì)限制用戶的選擇。由于工業(yè)機(jī)器人的編程環(huán)境是無(wú)法輕易替代的,因此用戶糾正這些設(shè)計(jì)缺陷并不容易,也不實(shí)用。此外,每家公司的語(yǔ)言不僅是當(dāng)前工業(yè)自動(dòng)化的核心,而且有很強(qiáng)的技術(shù)限定,這不可避免地增加了轉(zhuǎn)移到其他平臺(tái)的成本。因此,很有可能用戶將不得不選擇接受其使用機(jī)器人平臺(tái)的安全風(fēng)險(xiǎn)。
支持制造業(yè)的核心技術(shù)仍然存在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。這就是智能工廠面臨的現(xiàn)代困境。
四、以整個(gè)生態(tài)系統(tǒng)的“設(shè)計(jì)安全”為目標(biāo)
工廠環(huán)境傳統(tǒng)上是“封閉的”網(wǎng)絡(luò)空間。在這種環(huán)境中,只有在那里工作的人才會(huì)接觸工廠的設(shè)備,而不需要考慮與外界的網(wǎng)絡(luò)通信及其影響。作為本實(shí)證研究對(duì)象的工業(yè)機(jī)器人也是在同樣的前提下設(shè)計(jì)的。
然而,在當(dāng)今世界,即使在工廠環(huán)境中,網(wǎng)絡(luò)連接也在不斷發(fā)展。為了提高生產(chǎn)率和降低不良率,并在新冠疫情大流行期間保持員工安全和業(yè)務(wù)連續(xù)性,使用數(shù)字技術(shù)的智能制造流程將成為行業(yè)標(biāo)準(zhǔn)。同時(shí),工廠也將面臨著網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。軟件在智能工廠中無(wú)處不在,并與網(wǎng)絡(luò)相連。此外,不僅是用戶公司,還有系統(tǒng)集成商、顧問(wèn)、工業(yè)機(jī)器人制造商等,都以一種復(fù)雜的方式參與了這類軟件的開(kāi)發(fā)和供應(yīng)。因此,實(shí)現(xiàn)安全智慧工廠需要整個(gè)生態(tài)系統(tǒng)的努力。對(duì)于每個(gè)用戶、集成商和制造商來(lái)說(shuō),“制作安全的軟件”,從而“保證軟件的安全”是非常重要的。
( 一 ) 從短期到長(zhǎng)期的角度實(shí)施風(fēng)險(xiǎn)緩解措施
本系列中提出的安全問(wèn)題深深植根于工業(yè)機(jī)器人的基本技術(shù),使得制造商很難立即用另一種技術(shù)取代它或進(jìn)行糾正。因此,除了將保護(hù)現(xiàn)有環(huán)境作為一項(xiàng)短期措施外,建議涉及工業(yè)機(jī)器人的利益攸關(guān)方應(yīng)逐步和系統(tǒng)地實(shí)施風(fēng)險(xiǎn)緩解措施,將未來(lái)的智能作為一項(xiàng)中長(zhǎng)期措施。下圖顯示了趨勢(shì)科技推薦的特定于涉眾的循序漸進(jìn)的風(fēng)險(xiǎn)緩解措施。為了讓智能工廠更安全,現(xiàn)場(chǎng)工程師、系統(tǒng)集成商和工業(yè)機(jī)器人制造商實(shí)施各自的安全措施是很重要的。
圖7 風(fēng)險(xiǎn)緩解措施
1、短期措施
實(shí)施短期措施的關(guān)鍵參與者是現(xiàn)場(chǎng)的控制過(guò)程工程師和實(shí)際編寫(xiě)、實(shí)施和操作任務(wù)程序的系統(tǒng)集成商。用戶端的現(xiàn)場(chǎng)工程師必須確保執(zhí)行網(wǎng)絡(luò)分段,以減少工業(yè)機(jī)器人的任務(wù)程序被濫用時(shí)造成的危害。該操作可以顯著降低網(wǎng)絡(luò)相關(guān)的安全風(fēng)險(xiǎn)。除了這些基本的安全措施外,還建議對(duì)網(wǎng)絡(luò)和端點(diǎn)進(jìn)行保護(hù),以將容易受到惡意代碼攻擊或感染惡意代碼的風(fēng)險(xiǎn)降至最低。此外安全的編碼實(shí)踐對(duì)用戶來(lái)說(shuō)也是必不可少的。如果是與系統(tǒng)集成商一起進(jìn)行開(kāi)發(fā),請(qǐng)嘗試與他們共享類似的安全策略。源代碼審查、錯(cuò)誤修復(fù)和創(chuàng)建適當(dāng)?shù)脑创a控制過(guò)程都是基本和有效的措施。
2、中期措施
除了上述短期措施外,工業(yè)機(jī)器人編程語(yǔ)言的安全庫(kù)可以作為中期措施,以保護(hù)新環(huán)境。例如,安全庫(kù)包括加密庫(kù)。在這個(gè)階段,關(guān)鍵的參與者是系統(tǒng)集成商和工業(yè)機(jī)器人制造商。通過(guò)在高級(jí)開(kāi)發(fā)中實(shí)現(xiàn)這樣的安全措施,現(xiàn)場(chǎng)開(kāi)發(fā)人員可以輕松實(shí)現(xiàn)輸入值驗(yàn)證和身份驗(yàn)證功能,而無(wú)需花費(fèi)時(shí)間添加新的流程。
此外,系統(tǒng)集成商和工業(yè)機(jī)器人制造商應(yīng)該實(shí)現(xiàn)運(yùn)動(dòng)服務(wù)器參考。通過(guò)實(shí)現(xiàn)這樣的引用,開(kāi)發(fā)人員不必逐個(gè)檢查運(yùn)動(dòng)數(shù)據(jù)處理代碼中的缺陷。這種參考實(shí)現(xiàn)的典型例子是三菱電機(jī)的本機(jī)運(yùn)動(dòng)服務(wù)器和Kuka的EKI。此外,作為針對(duì)源代碼評(píng)審中發(fā)現(xiàn)的漏洞對(duì)策,系統(tǒng)集成商應(yīng)該考慮為可能包含漏洞的任務(wù)程序提供主動(dòng)補(bǔ)丁。
3、長(zhǎng)期措施
在未來(lái),制造商的努力對(duì)于確??删幊坦I(yè)機(jī)器人的設(shè)計(jì)安全是至關(guān)重要的。例如,在一個(gè)工業(yè)機(jī)器人平臺(tái)控制器中,將安全功能如身份驗(yàn)證、訪問(wèn)控制、加密等,整合到編程語(yǔ)言中是至關(guān)重要的。工業(yè)機(jī)器人控制器中的運(yùn)行,必須實(shí)現(xiàn)細(xì)粒度的特權(quán)分離,以利用授權(quán)系統(tǒng)。減少漏洞和惡意代碼影響的一種有效方法是將函數(shù)的執(zhí)行限制在特權(quán)指令上。最重要的是,開(kāi)發(fā)者還需要讓其他人提前知道這些使用限制。
最后,代碼簽名是確保工業(yè)機(jī)器的代碼不被篡改的唯一方法。代碼簽名并非易事,但使用此方法可以確保代碼與原始開(kāi)發(fā)人員編寫(xiě)的代碼完全相同。在工廠設(shè)備中實(shí)施代碼簽名還有很長(zhǎng)的路要走,但如果市場(chǎng)需求繼續(xù)推動(dòng)有利于集成和靈活性的創(chuàng)新,應(yīng)該可以在更短的周期內(nèi)實(shí)現(xiàn)更動(dòng)態(tài)的自動(dòng)化代碼實(shí)施。這應(yīng)該會(huì)加快開(kāi)發(fā)速度,減少手動(dòng)檢查程序所花費(fèi)的時(shí)間。安全編寫(xiě)的任務(wù)程序也減少了創(chuàng)建漏洞的機(jī)會(huì)。這反過(guò)來(lái)又降低了可編程工業(yè)機(jī)器暴露于外部攻擊的風(fēng)險(xiǎn)。事實(shí)上,已經(jīng)有許多針對(duì)通用編程語(yǔ)言的安全意識(shí)編碼準(zhǔn)則。隨著IT和OT集成的進(jìn)展,在未來(lái)十年,工業(yè)工程行業(yè)可能會(huì)面臨與IT軟件行業(yè)今天所面臨的相同的挑戰(zhàn)。
( 二 ) 以整個(gè)生態(tài)系統(tǒng)的“設(shè)計(jì)安全”為目標(biāo)
隨著制造商采用更多智能工廠技術(shù),其互聯(lián)性使他們面臨更多的網(wǎng)絡(luò)攻擊,防備缺口日益突出。工廠環(huán)境中的網(wǎng)絡(luò)安全措施正在轉(zhuǎn)變。至少在10年內(nèi),承擔(dān)與外部世界網(wǎng)絡(luò)連接的智能工廠將變得司空見(jiàn)慣。屆時(shí),工業(yè)自動(dòng)化行業(yè)很可能面臨與現(xiàn)代IT軟件行業(yè)同樣的挑戰(zhàn)。
通過(guò)本系列的四個(gè)部分,從網(wǎng)絡(luò)安全的角度分析了工業(yè)機(jī)器人的任務(wù)程序和編程語(yǔ)言,闡明了現(xiàn)代工業(yè)機(jī)器人面臨的問(wèn)題。此時(shí),盡管很難采取所有可能的措施來(lái)解決調(diào)查中確定的安全問(wèn)題,但制造商、集成商和用戶可以共同努力將這些風(fēng)險(xiǎn)降低到可以接受的水平。
( 三 ) 在智能工廠中建立網(wǎng)絡(luò)彈性的方法
● 制造企業(yè)應(yīng)投資于一項(xiàng)全面的網(wǎng)絡(luò)管理計(jì)劃,該計(jì)劃擴(kuò)展到整個(gè)企業(yè)(IT和OT),以識(shí)別、保護(hù)、響應(yīng)和從網(wǎng)絡(luò)攻擊中恢復(fù);
● 執(zhí)行網(wǎng)絡(luò)安全成熟度評(píng)估:評(píng)估應(yīng)包括OT環(huán)境和業(yè)務(wù)網(wǎng)絡(luò),并應(yīng)包括先進(jìn)制造網(wǎng)絡(luò)風(fēng)險(xiǎn);
● 建立一個(gè)考慮OT的正式網(wǎng)絡(luò)安全治理計(jì)劃:該計(jì)劃應(yīng)提供一致性,并推廣到全球制造地點(diǎn);
● 根據(jù)由此產(chǎn)生的風(fēng)險(xiǎn)狀況確定行動(dòng)的優(yōu)先順序:使用網(wǎng)絡(luò)安全成熟度評(píng)估的結(jié)果來(lái)創(chuàng)建可與執(zhí)行領(lǐng)導(dǎo)層共享的戰(zhàn)略和路線圖;
● 內(nèi)置安全性:由于許多智能工廠仍處于規(guī)劃和早期階段,現(xiàn)在是將這些項(xiàng)目與網(wǎng)絡(luò)風(fēng)險(xiǎn)計(jì)劃相協(xié)調(diào)的時(shí)候了。
智能工廠的安全性需要大量的規(guī)劃,最好從設(shè)計(jì)階段開(kāi)始。制造商必須從一開(kāi)始就為智能工廠需要的大量數(shù)據(jù)做好準(zhǔn)備。這意味著要事先計(jì)劃使用的設(shè)備類型,評(píng)估要采用的通信協(xié)議,甚至準(zhǔn)備好要遵循的違規(guī)相關(guān)的標(biāo)準(zhǔn)操作程序(sop),以及其他考慮事項(xiàng)。制造商還必須與專家合作,保護(hù)和捍衛(wèi)設(shè)備、網(wǎng)絡(luò)、數(shù)據(jù)以及驅(qū)動(dòng)物聯(lián)網(wǎng)智能制造系統(tǒng)的軟件解決方案和應(yīng)用程序。
智能制造的潛力是巨大的,不應(yīng)受到安全疑慮的阻礙。在創(chuàng)建或改造智能工廠時(shí),行業(yè)領(lǐng)導(dǎo)者必須建立信任。解決方案必須經(jīng)過(guò)仔細(xì)、精確的選擇和認(rèn)可,才能獲得優(yōu)異的性能。由于制造設(shè)備的生命周期很長(zhǎng),因此選擇的解決方案必須具有內(nèi)置的靈活性和先進(jìn)的更新解決方案,以防止當(dāng)前和未來(lái)的威脅,這一點(diǎn)是至關(guān)重要的。
參考資料:
【1】https://www.trendmicro.com/us/iot-security/news/6719/The_security_dilemma_of_smart_factories_Part_1_Specificity_of_the_programming_languages_used_to_move_industrial_robots
【2】https://www.trendmicro.com/us/iot-security/news/6762/The_security_dilemma_of_smart_factories_Part_2_Three_attack_scenarios_that_exploit_task_program_vulnerabilities
【3】https://www.trendmicro.com/us/iot-security/news/6788/The_Security_dilemma_of_smart_factories_Part_3_Fundamental_security_risks_in_robot_languages
【4】https://www.trendmicro.com/us/iot-security/news/6797/The_dilemma_of_smart_factories_Part_4_Aiming_for_security_by_design_for_the_entire_ecosystem
【5】https://iiot-world.com/ics-security/cybersecurity/security-threats-and-risks-in-smart-factories/
來(lái)源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心 作者 | 天地和興工業(yè)網(wǎng)絡(luò)安全研究院