home 製造技術 製造設備
工業製造
産業用モノのインターネット | 工業材料 | 機器のメンテナンスと修理 | 産業プログラミング |
home  MfgRobots >> 工業製造 >  >> Industrial Internet of Things >> モノのインターネットテクノロジー

IoTのセキュリティ:産業用IoTは最近のDDoS攻撃から何を学ぶことができますか?

先週の金曜日のMiraiDDoS(Distributed Denial of Service)攻撃は、現在のIoT展開の根本的な弱点を明らかにし、新しいセキュリティモデルの絶対的な必要性を示しました。 DDoS攻撃は、コンシューマーIoTデバイスに対するものでしたが、コンシューマーIoTとインダストリアルの間には多くの類似点があります。この攻撃には、数千万のIPアドレス[i]、前例のない膨大な数のデバイスが関係していました。残念ながら、特にMiraiボットネットのソースコードに簡単にアクセスできるため、実行はかなり簡単だったようです。一連の消費者向けIoTデバイス(インターネット対応カメラ、DVRなど)をハッキングするための主要なツールは、メーカーが設定したデフォルトのパスワードのセットでした。 [ii]運用中の産業用デバイスでデフォルトのパスワードに遭遇した人は何人いますか?あるいは、変更されたパスワードに遭遇したことがある人はどれくらいいるのでしょうか。後者の方がおそらく数えやすいでしょう。

この特定の攻撃は、産業用ネットワークでは同じ形をとらない可能性があることは容易に想像できます。ネットワーク設計、使用するデバイスの種類、ネットワーク管理、およびアクセス制御にはさまざまな違いがあります。ただし、この攻撃で使用される戦略は、産業用アプリケーションに非常に関連しています。主な標的ではない1つまたは複数の侵害されたデバイスを悪用して、別のデバイスまたはネットワーク全体を停止します。このタイプの攻撃に対する防御を計画する必要があります。

この攻撃には、特に攻撃元のデバイスに関して、いくつかの重要な特徴があります。

  1. デバイスはリモートに展開され、場所の管理が困難です。ソフトウェアの更新は、発生したとしても散発的に発生します。

  2. デバイスは、直接のメンテナンスやオペレーターの関与なしに動作します。 「管理者」が関与している場合は、設定して忘れてください。

  3. デバイスはより広いネットワークにアクセスでき、ネットワーク内でデータを共有しています。

  4. デバイスは簡単に危険にさらされる可能性があります。

  5. ネットワーク上のデータは、ネットワークまたはトランスポートのセキュリティのレベルに依存しており、本質的に安全ではありません。

  6. 侵害されたデバイスは最終目標ではなく、別の目的を達成するためのツールでした。これは、デバイスメーカーが安全なシステムを設計するためにお金を使うインセンティブがほとんどないことを意味します。

これは、あなたが協力してきた産業ネットワークのように聞こえますか?それは私に役立ちます。

産業用デバイスやネットワークのセキュリティはこれよりも優れていると思いますが、残念ながらそうではありません。証拠として、ウクライナの配電SCADAシステムに対する2015年の攻撃に目を向ける必要があるだけです。産業用ネットワークは、セキュリティを確保するために、主に匿名性とパブリックネットワークからの分離に依存してきました。しかし、より多くのデバイスが産業用アプリケーションに導入され、より多くのプライベートネットワークがWebに接続されるにつれて、これはもはや十分ではありません。これらのネットワークへのアクセスは必ずしも直接的な攻撃ではありませんが、物理的な侵害(Stuxnet攻撃など)によるものである可能性があり、セキュリティファイアウォールに穴を開けてデバイスをさらに侵害する可能性があります。ソフトウェアの設計が不十分なために意図せずにネットワークが侵害されたことは言うまでもありません。 IoTシステムは、ネットワーク内に私たちが避けられない悪意のある人物がいることを想定して設計する必要があります。使用されるテクノロジーと標準は、そのようなアクターの潜在的な悪影響を軽減するように設計されている必要があります。では、解決策は何ですか?

最初の要件は、デバイス自体を保護することです。業界は、ハードウェアチップから、実行許可のあるOS、ライブラリ、アプリケーションに至るまで、すべてに署名して保護するためのシステムを改善および開発する必要があります。これが基本です。これらのネットワークでは、ボトムアップのセキュリティが標準である必要があります。信頼の鎖、安全なブート、および信頼できる署名済みソフトウェアを使用した安全なオペレーティングシステムは、産業用ネットワークで動作するための要件である必要があります。

ただし、ネットワーク上のすべてのデバイスが安全であるとは限りません。デバイスやアプリケーションが危険にさらされた場合の運用を計画する必要があります。データは産業用ネットワークの運用に不可欠であり、セキュリティはあらゆるデータの基本的な品質である必要があります。

セキュリティをインフラストラクチャの一部にし、実装が簡単でありながら非常に堅牢な標準はありますか?はい、OMG SecureDDS標準とRTIConnext®DDSSecureはまさにそのようなソリューションです。 RTI Connext DDSは、OMG Secure DDS標準に基づいており、次のような機能が含まれています。

  1. 検出認証
  2. データ中心のアクセス制御
  3. 暗号化
  4. タグ付けとロギング
  5. 否認防止
  6. 安全なマルチキャスト

それだけでなく、トランスポートに依存せず、プラグインアーキテクチャで構築されています。つまり、データと通信のセキュリティは、使用されるネットワークトランスポートから独立しており、アプリケーションのセキュリティ要件に合わせて、標準のセキュリティライブラリを(標準のAPIを使用して)置き換えることができます。

SecureDDSアプローチと他のネットワークセキュリティソリューションには重要な違いがあります。 DDSの場合:

  1. セキュリティはインフラストラクチャの一部であり、サービス品質の指標に含まれています。
  2. これにより、データトピックレベルでのデータのきめ細かいアクセス制御(データフローセキュリティと呼ばれる)が可能になります。
  3. 暗号化、認証、アクセス制御などのセキュリティ機能を組み合わせて使用​​できるため、データトピックのニーズに合わせてセキュリティを微調整できます。
  4. これはすべて構成によって行われるため、アプリケーションプログラマーはセキュリティの実装を理解または管理する必要はなく、システムアーキテクトが処理できます。

セキュアDDSは、最初からインフラストラクチャにセキュリティを組み込む、セキュリティに対する根本的に異なるアプローチです。これには、セキュリティアーキテクチャの使いやすさ、パフォーマンス、および堅牢性に多くのプラスのメリットがあります。しかし、私たちの言葉を信じないでください。最も重要なネットワークアプリケーションのいくつかでDDSSecureを使用しているお客様に聞いてください。

ツールは存在します。ツールを使用して、この新しい安全なパラダイムに移行するためのパスをプロットする必要があります。 RTI Connext DDS Secureの詳細については、こちらをご覧ください。IIoTを保護するためのRTIのソリューションについて詳しく知りたい場合は、私に連絡してください。

[i] http://www.techrepublic.com/article/dyn-ddos-attack-5-takeaways-on-what-we-know-and-why-it-matters/

[ii] http://www.computerworld.com/article/3134746/security/fridays-iot-based-ddos-attack-has-security-experts-worried.html


モノのインターネットテクノロジー

  • 埋め込み
  • センサー
  • クラウドコンピューティング
  • モノのインターネットテクノロジー
    1. IoTの開梱、シリーズ:セキュリティの課題とそれに対して何ができるか
    2. 産業用IoTセキュリティへの道
    3. ユニバーサルIoTセキュリティ標準の検索
    4. 産業用IoTのセキュリティの脆弱性への取り組み
    5. サイバー攻撃からIoTを保護する
    6. 産業用IoTの開発の見通し
    7. IoTの接続–ナローバンドの機会
    8. コネクテッドカーに5Gは何を提供できますか?
    9. 私たちは企業におけるIoTの基礎を築いています
    10. IoTセキュリティ:最近の脅威から学べること
    11. ネットワーク層からアプリケーション層へのIoTの保護