许多工业物联网系统有敞开的门,造成意想不到的漏洞。
开放式通信协议可以揭示哪些信息?黑客如何识别易受攻击的系统?有哪些安全资源可用? IoT防火墙如何防范这种威胁?
TCP端口502漏洞
许多工业系统使用TCP端口502,它允许两个主机建立连接并交换数据流。 TCP保证传送数据,并且数据包将以与发送的相同顺序在端口502上传送。这造成远程攻击者通过MODBUS 125功能代码安装任意固件更新到TCP端口502的风险。来自Shodan等服务的扫描可识别具有可能易受攻击的打开TCP端口502的系统。
安全审计公司(如Splone)通过扫描和其他渗透测试技术来识别威胁,提出反措施。扫描返回主机的IP地址,打开端口,国家,供应商,产品和固件信息。
保护Modbus通讯协议
停机时间对于工业控制系统(ICS),暖通空调设备和制冷系统来说是非常昂贵的。这种工业物联网(IoT)系统特别脆弱,因为它们部署在工厂,但与外部基于云的IoT服务进行通信。使用多个协议和授权的管理权限增加了安全性问题。
Modbus是1979年由Modicon(现为施耐德电气)发布的串行通信协议,用于与其可编程逻辑控制器(PLC)一起使用。它已经成为一个事实上的标准通信协议,现在是一种常用的连接工业电子设备的手段。 Modbus广泛应用于开发工业应用。它很容易部署和移动原始位,几个限制。
Modbus的危险在于当TCP / IP数据包的源IP地址被检查时,它们看起来是无害的。需要的是深层次的检查。工业设备很少具有应用层安全性,所以需要额外的安全性。
Barracuda NextGen防火墙除了其他公司资源之外,还可保护工业物联网系统。他们使用小型Secure Connector设备(FSC1)将远程设备连接到多个上行链路。这也支持基于区域的防火墙,Wi-Fi和VPN连接。网络流量回传到在中央办公室或云端运行的集中器(FSAC),以便进行URL过滤,入侵防御(IPS),防病毒保护和应用程序检测。
该方法可最大限度地减少对现有系统的影响,并将安全扫描卸载到云端或另一内部服务器。当新的威胁出现时,可以通过网络进行防火墙更新。
工业物联网安全资源
工业控制系统网络应急响应小组(ICS-CERT):ICS-CERT致力于通过与执法机构和情报界的合作以及联邦,州,地方和部落政府之间的协调努力来降低所有关键基础设施部门内部和跨所有风险以及控制系统所有者,运营商和供应商。它与国际和私营部门的计算机应急小组(CERT)合作,共享与控制系统相关的安全事件和缓解措施。
工业互联网联盟开发了一个安全框架,其中提供了免费提供的工业物联网设备的建议。 “为了避免安全隐患,特别是随着不同部门的系统之间的互操作和剥削的尝试,在它们之间的差距中,重要和紧迫的是在IIoT安全参与者之间早日达成共识,”该联盟说。
ScadaHacker提供安全警报和培训以确保工业物联网系统。
通常情况下,无法确保建筑物的所有门。屏幕人员进出建筑物的门卫可以帮助您。对于工业物联网系统,一个叫做梭子鱼的门卫可能就是需要的。