最近一连串的网络攻击,包括使全球众多机构瘫痪的 Wannacry 勒索软件攻击,使网络安全成为人们的首要任务。 WIBU-Systems 是为工业物联网提供安全解决方案的行业领导者。在这个由三部分组成的系列的最后一部分中,WIBU-systems 的 Oliver Winzenried 深入探讨了贝加莱和罗克韦尔自动化的一些网络安全案例研究。
音频文字.
Erik:大家好,我是 IoT One 的创始人 Erik Walenza,这里是工业 IoT Spotlight。每一集我都会采访一位专家,讨论一个影响当今企业的项目。访问我们的 Iotone.com 了解更多信息,或给我发电子邮件开始讨论。
现在,我们将深入探讨 BNR 和罗克韦尔自动化的几个案例研究。奥利弗,让我们开始 BNR 案例研究。您能否快速概述一下业务挑战或您帮助解决的目标,然后我们可以更深入地了解实际解决方案和所涉及的技术?
Oliver:因此,在工业自动化中使用保护、许可和安全技术可为多方带来好处。集成保护、许可和安全 PLC 及其开发工具的主要好处和主要驱动力是保护 OEM 的知识产权。因此,机器制造商在他的系统中使用 PLC,他希望确保他的 USP 和他的技术受到保护,防止逆向工程被复制,并且他可以为他的机器的产品获得新的灵活许可模型。因此,与买家一起销售的机器不是一次性销售,而是抓住新商业模式的机会是非常重要的一步。
例如,让我们看看产生压力空气的机器。所以在过去,它们都是一次性收费的。机器制造商还为此出售维护和支持。如今,这种情况正在改变为真正按使用付费的模型,并根据机器输送的空气量计算并向用户收费。那是一个样本。并且要实现在这种机器的 PLC 中的控制系统中,必须有测量,必须有集成,必须在过程中实现自动化。
这就是 BNR 为他们的客户提供的东西。所以他们已经集成到自动化工作室,这是来自 BNR 的 PLC 开发工具,他们已经集成了使用这个 PLC 的 OEM 可以保护他在 PLC 上运行的软件的选项,他可以为此创建许多许可证模型,他可以启用或禁用机器中的软件实现的功能,他可以使用纸张使用机制真正衡量机器的使用、功率和交付量。他可以做订阅模型。他可以非常灵活地为他的产品做到这一点。
因此,这是将保护技术集成到开发工具和控制器中的主要驱动力之一,将这些设备集成到其机器中的 OEM 可以从这个新机会中受益,也可以将其集成到他的业务流程中。而且,在这种情况下,PLC 本身的制造商以及像他和我这样的开发工具可以从中受益,因为他们可以灵活地为一些特殊的开发工具功能进行许可,并且他们还可以控制其 PLC 中的运行时功能,例如数字X 控制器中的 Xs。就像人们将模型用于 PLC 中的某些长期功能一样,他们可以确保它们符合出口合规性要求。如果某些复杂的 PLC 功能受到出口限制,他们可以处理它,以便他们可以控制谁可以使用它以及如何使用它,并且他们也可以保护他们的 IP。因此,这为 BNR 等 PLC 窗口以及集成在机器中的 OEM 提供了机会。
Erik:我认为它显示了像 WIBU 这样的核心技术提供商现在如何与最终用户建立联系,因为您现在正在启用新的商业模式,在设备所有者和运营商方面下降了两个步骤。那么 WIBU 的产品开发或产品咨询角色是什么?您是否提供了解决方案,例如在这种情况下提供给 BNR?这或多或少是一种即插即用解决方案,您拥有许可技术,或多或少满足客户在许可方面的需求,并且您能够通过这种方式进行销售?或者是否需要与 BNR 潜在地与他们的客户协商并定制您提供的解决方案以满足该最终客户的许可需求?
奥利弗:所以实际上,我们需要 BNR 客户或一些有关键要求的关键客户。因为我们不是自动化行业的专家,我们是我们的保护、许可和安全解决方案方面的专家,但不是我们客户的应用程序,所以我们需要他们了解这一点,主要是 BNR 或使用自动化需要了解它。但我们也需要了解它以帮助以正确的方式实施它。而且绝对需要某种定制。因为最终的解决方案并没有向用户或 BNR 客户展示为他们必须集成很多东西的 WIBU 代码可行解决方案,所以它显示为 BNR 解决方案或罗克韦尔自动化解决方案。
因此,他们将他们的 ERP 系统与他们的 SAP 或他们正在使用的任何东西集成在一起,他们集成在他们的电子商务门户网站中,在他们的互联网平台中。所以它需要一些定制。当然,我会说这一切都是基于我们标准的基础产品和技术,即 90% 的解决方案,然后采用和定制 10% 的解决方案,使其外观和感觉完美契合要求。
因此,在大规模基础上使用的一个示例是由罗克韦尔自动化运营的所谓的内容许可门户。如果机器制造商已经开发了一个软件来控制这台机器,那是过去的事情了,在罗克韦尔的开发工具中,机器制造商可以为控制设备中使用的每一段 PLC 代码和数据指定,谁有权阅读它,谁有权修改它等等。过去,这会导致一长串密码必须传输给印度工厂或任何地方的服务技术人员,并进行一些维护和一些特殊的事情。
当然,要在一台机器或一家工厂进行服务,拥有所有这些可能 50 个密码是不方便的。另一方面,密码是服务技术人员经常对同一家工厂进行的相同操作,他们很难对客户的技术人员和工厂本身的其他服务人员隐藏密码。
因此,他们已经改变了访问内容的权利已存储在我们的代码许可系统中,该系统可以是基于软件的开发 PC,也可以是来自您的网上银行的 USB 令牌之类的令牌,该服务技术人员获得这些权利来访问和使用它们通过基于云的解决方案分发的内容。因此,世界某地的服务技术人员在获得服务时,会自动获得内容的必要权限,他们需要阅读或需要修改。他们可以在有限的时间内获得这些权利。
例如,一周或两周后,它们会再次自动过期。这个基于云的内容许可门户简化了使用并提高了成功的安全性。这是一个非常好的样本,将会越来越多,因为越来越多的数据和内容在由该控制设备处理的生产过程中具有非常高的价值。再次查看例如增材制造模型 3D 打印,大部分产品定义都包含在数据中。
Erik:我最近在中国与一家相当大的德国软件公司交谈,他们有一个基于云的解决方案。由于中国的一些网络安全法规,它们很难在中国被采用。但我想说的是,即使在全球范围内,尤其是公共云解决方案也有一场向上的战斗,这可能是由于误解,但无论如何是对其安全问题的看法。让我们以全球速度处理这个问题?因此,如果您还可以专门针对中国市场,那么在基于云的解决方案的采用率方面,与您更典型的解决方案相比,您在全球范围内看到了什么?然后你是否也将这个问题应用到中国?
Oliver:我看到越来越多的人接受基于云的解决方案。有时人们不喜欢使用基于云的解决方案,但有时它只是数据保护论点,在我看来,在很多情况下,据说是因为他们还没有准备好使用基于云的解决方案并且他们希望拥有一个很好的论据,为什么他们不这样做。
因此,当以正确的方式实施安全机制时,我看到越来越多的接受度和降低的风险。因为对于云和云运营商来说最重要的是它们非常可靠,因此它们必须每天 24 小时不间断地工作,以便您可以随时随地可靠地访问您的数据。但是,如果您使用安全机制并以受保护的方式将数据存储在云中,将数据和内容的密钥保存在您的站点上,那么您在数据隐私或数据保护方面没有风险。所以这在技术上是可行的。
特别关注中国的网络安全法,我不确定我是否理解对未来的影响。但是,即使是云解决方案,有时也会涉及存储数据和完成数据访问的数据中心。如果我正在查看 WIBU 系统,例如,我们有我们的内容管理系统和我们的客户系统,用于为下载软件的网站提供技术支持。我们在中国本地举办了该活动。我们在德国总部有一个主系统,因此会定期同步数据,但将针对中国市场的解决方案托管在中国,以便我们为访问该系统的客户提供非常可靠和非常高速的质量。
这也可能适用于许多其他系统。如果涉及个人数据,可能会有欧洲、德国、美国、中国政府的数据保护要求。如果将其用于许可系统、工业控制或物联网管理系统,这是可以理解的,这不仅是对个人数据的法律要求的问题,而且也是可靠性和性能的问题,这使得基于云的解决方案分布在多个区域并同步几个小时,因为同步是必要的。
Erik:实际上,我已经与最近推出基于云的解决方案的公司进行了两次对话,这些公司的资产价值超过 400 亿美元。他们俩在中国都没有合作伙伴,但他们都在努力进入这个市场。我的问题是为什么?你有资源,过去 20 多年在中国开展业务,但在中国没有云合作伙伴。所以我想知道是否存在不协调,总部的高管根本不了解法规的含义,也没有与当地团队合作快速制定解决方案?我会说,这似乎很奇怪。但我知道,这有点超出你的专业知识。你有你的本地业务,你正在考虑与总部合作,这当然是最佳实践。
Oliver,您能否对我们今天在云安全采用方面的情况进行一个高水平的估计?我们是在看 3% 还是 5%?或 8%,或者我们正在寻找全球市场的 20%、30%、40%,这意味着是否仍有某种利基技术正在被采用?还是我们已经达到了被公司广泛采用的程度,专门用于安全性?
奥利弗:是的,这很难说。这在很大程度上取决于用例。因此,有些消费者用例非常基于云。当然,也有工业用例,也许还有一些。但我认为我们还处于起步阶段。因此,如果您希望通过我们的 [听不清 17:12] 许可证中心获得我们的业务保护和许可以及许可权利,我无法告诉您百分比是 2% 还是 5%。
看两三年前,中国厂商无所谓。如果是医疗设备,如果是用于监督的摄像头视觉系统,或者如果是游戏机,几乎没有人要求将业务流程中的这种许可证部署集成到 ERP 系统和基于云的系统中。而今天,与我们交谈的中国每一家大公司,融入业务流程正成为最重要的部分。这些解决方案总是进入开放的公共云,或者由大型 ISV 或智能设备制造商自己运营。
但他们希望一切都自动化,他们希望将其集成到业务流程中。没有人愿意手动执行此操作,或者需要通过 Internet 完成某些操作。这是我们看到的明显转变。因此,基于云的解决方案的百分比肯定会在未来几年不断增加。
Erik:您与各个行业的公司打过交道。最后一个问题,您能花几分钟时间分享一些经验教训吗?您看到客户在技术采用和实施方面犯了哪些错误?其他公司在将产品数字化时可以尝试避免和简化安全解决方案的实施,可以从中吸取哪些经验教训?
奥利弗:过去可能有不同的要求。当我们来自基于 PC 的基于办公软件的许可时,过去,它确实是严格的许可执行。因此,如果用户购买了 10 个浮动许可证供公司使用,例如,如果 11 个人需要使用该软件根本无法使用,则严格停止。这很像在今天发生变化时防止盗版;因此,许可模式的方式发生了变化,变得更加灵活。设备制造商,独立软件供应商,他们不想阻止他们的客户使用他们的产品。
因此,即使他们的使用量超出了事先约定的范围,通常在今天,他们希望允许客户在必要时使用产品达到他们需要使用的等级,但他们希望能够选择衡量使用情况以便以后可以向客户收取这种额外的使用费用。如此重要的是保持简单,使其灵活,以便他们可以为客户提供量身定制的产品,他们可以轻松升级并为各方创造真正的利益。
过去,安全性不是一个大问题,因为系统之间没有相互连接,它们是孤立运行的。因此,如果您的工厂周围有栅栏,那么这就是您在安全方面所需要的。也许你有一些人会注意,没有人未经授权的人不能进来,然后你的机器就可以安全地运行了。如今,随着工业 4.0 和互联自动化生产过程的出现,安全性是必要的,这样系统才能运行可变和开放。
过去几年的另一个变化,我想说的是,我们一直来自专有解决方案。有时在安全开始时,人们会做一些默默无闻的安全之类的事情;所以做一些复杂的事情,保守秘密。但这不起作用。在过去,它总是被证明是默默无闻的安全是行不通的,而且它比它被开发的更容易被破坏。所以,依靠开放标准,依靠评估机制,公知的原则,这是一个非常基本的原则。
最后我要说的一个例子是,我们两年前与 KIT 文化技术学院开发并申请了德国最高奖项,德国最高奖项,总奖金 200,000 欧元,从 [听不清 22:39] 开始关于一种我们称之为优先盒密码学的机制。但是所有机制的软件保护机制都是公开的,但是,在某些要求下,我们声称保护是安全的,并且由于保护,产品中没有集成额外的故障。
这就是我们已经开始黑客竞赛或公开竞赛以打破上周五结束的安全性的事情。所以它从五月开始运行。我们有大约 50,000 欧元用于破解 Windows 上的小型受保护软件应用程序。现在到 6 月 20 日,该理论将公布竞赛结果。我们非常渴望看看是否有人能够打破它。但是,如果我们没有中断,结果如何,我们会将这项新技术集成到我们的标准产品中;如果我们遇到了一些中断,我们需要了解它们来改进它并稍后将它们集成到我们的标准产品中。
但我想说的是,开放和公开的机制是未来所需的那种安全性,以便审计人员有机会了解这些机制并审计整个安全解决方案。
Erik:Oliver,我认为这实际上是一个很好的停止点。非常感谢您的开源安全方法。也许作为最后一点,您在 6 月 20 日说,当这些结果发布时,我们的听众可以了解结果吗?这些将在哪里发布?
Oliver:他们可以在我们的网站上查看黑客的比赛,那就是 www。 Plurybox.com, PLURYBOX.com,当然,他们可以在我们公司网站上的 www.wibu.com 上查看,我们也会在那里公布比赛结果。
埃里克:奥利弗,非常感谢你的分享。我想,有趣的话题。我肯定地说,工业物联网的三大主题是在这些解决方案进入市场时确保它们的安全。我认为你在那里做得很好。因此,感谢您分享您的专业知识。非常感谢。
奥利弗:是的,谢谢你的讨论和机会。非常感谢。
Erik:感谢您收看另一个版本的工业物联网聚光灯。不要忘记在 IoTONEHQ 的 Twitter 上关注我们,并查看我们在 IoT one.com 上的案例研究数据库。我们通过就如何将物联网技术集成到他们的运营和产品中向商业领袖提供建议,帮助加速数字化转型。我们感谢您的想法、建议,当然还有您的评论。如果您有一个有趣的项目,我们很乐意在未来的版本中介绍您。写信给我 erik.walenza@IoTone.com。