Fujitsu開發網絡控制技術降低網絡攻擊對IoT設備的影響

  ICCSZ訊(編譯：Vicki)Fujitsu Laboratories Ltd宣布開發可安全操作現場安裝的IoT設備的網絡控制技術。 傳感器，制造設備以及與工廠等現場環境中的網絡連接的其他物聯網設備缺乏身份驗證或病毒檢查功能，而容易導致惡意軟件攻擊，從而導致工廠運行中斷。 這是一個全球性問題，由于CPU和內存容量的限制，現有防病毒軟件通常不能安裝在物聯網設備中，許多現有設備都受到網絡攻擊威脅。

  Fujitsu 現在開發了基于網關收集的操作信息分析和管理物聯網設備和網絡設備之間的互連性的技術，響應網絡結構的連續變化以識別出行為可疑的物聯網設備的通信。此外，Fujitsu 還開發了有效控制通信模塊的技術。例如，如果感染惡意軟件的物聯網設備攻擊其他設備，則這些技術可以通過比較網關中記錄的連接關系的普通通信路由與實際通信路由來檢測該通信。而且，通過限制由網關管理的最合適的網絡設備，網絡攻擊的影響可以被最小化。Fujitsu 計劃在2018財年期間將這些技術商業化，作為富士通有限公司提供的富士通網絡Virtuora系列網絡產品的網關功能的一部分。

  發展背景

  近年來，各種工業領域的物聯網采用程度不斷提高，并且隨著物聯網設備(如傳感器和制造設備)連接到網絡，這些物聯網設備被惡意軟件攻擊損壞的情況在全球范圍內發生。 這對物聯網設備的安全對策產生了迫切的需求。 然而，在很多情況下，IoT設備由于CPU，內存或操作系統的限制而不支持防病毒軟件，即使部署了防病毒軟件，通常不會執行需要設備重啟的軟件更新，因為 物聯網設備在運行時不能停止。 由于這些因素，導致很多物聯網設備的運行安全措施不足。

  針對這些問題，各個聯盟和網絡設備供應商已經提出了使用網關將物聯網設備所連接的網絡與網絡分開的措施，如PC和服務器等普通設備連接到(圖1)。 這意味著網關可以保護設備免受來自外部網絡的網絡攻擊，但是因為如果感染惡意軟件的設備連接到物聯網設備所連接的網絡內部，網絡攻擊就可以在不通過網關的情況下進行，但無法保護他們來自受感染設備的網絡攻擊。

  新技術的發展

  現在，富士通實驗室已經開發出技術，可以從網關設備收集有關物聯網設備和網絡設備的操作信息，推斷出物聯網設備所連接的網絡的拓撲結構(1)，并根據此信息適當地控制網絡設備(圖2)。 利用此技術，沿拓撲結構中未考慮到的路由通信的IoT設備可被視為未經授權的設備，從而使該技術能夠通過使這些物聯網設備無法與其他物聯網設備進行通信來最大限度地降低網絡攻擊的影響。

  1.拓撲管理技術支持具有多種接口的設備

  該技術以各種格式從物聯網設備和網絡設備收集關于相鄰設備的信息，然后推斷整個物聯網網絡在實時變化時的拓撲結構。由于不同設備使用具有各自通信方法和數據格式的各種接口，因此通過將這些拓撲全部轉換為網關中的標準化接口來啟用該拓撲扣除。利用該技術，當物聯網設備請求授權通信路由時，該技術可以收集來自網絡設備的實際通信路由，通過比較發現由網絡攻擊和其他問題產生的未授權通信以及導致它們的可疑物聯網設備授權路線與實際路線。

  2.阻止來自可疑設備的通信的網絡控制技術

  通過使用拓撲信息控制沿路由的網絡設備，網關可以阻止可疑設備與其他設備之間的通信。由于有些設備使用無線而不是有線連接，因此在通信路徑每時每刻都在變化并且有時通信完全停止的情況下，控制適當的網絡設備至關重要。利用該技術，可以通過選擇網絡設備，同時考慮到拓撲結構和設備狀態的變化，以及根據所連接的設備或一組連接的設備來控制這些網絡設備，從而阻止可疑設備的通信，同時最小化對普通設備的通信的影響設備。

  在使用假惡意軟件的模擬中，富士通實驗室使用配備了該技術的網關與現有網絡設備協調運行，并確認該技術可能會阻止可疑設備的通信。結果顯示，這項技術可以將網絡攻擊安裝在網關中時的影響降至最低。利用這項技術，可以使用現有設置提供安全操作，而無需在工廠等站點交換或部署具有安全對策的新物聯網設備，這些設備需要持續運行具有長使用壽命的生產設備。

  富士通實驗室計劃在2018財年期間將此技術商業化為富士通網絡Virtuora系列網絡產品中的網關功能。此外，它還將繼續發展這項技術，不僅僅針對工廠等制造業，而且還將拓展到各種需要對物聯網系統運行進行安全和可靠管理的工業領域。