[发明专利]PLC虚拟补丁和安全上下文的自动分发

说明书

一种用于工业生产环境中的安全漏洞的虚拟补丁的系统包括工业自动化设备(例如，PLC)。工业自动化设备包括跨多个工业自动化设备并且存储一个或更多个虚拟补丁的分布式数据库的实例以及包括虚拟补丁引擎安全应用的应用容器。应用容器被配置成收集由工业自动化设备在操作期间生成的系统信息，并且将一个或更多个虚拟补丁应用于系统信息以识别一个或更多个安全攻击。

技术领域

本发明一般涉及利用虚拟补丁和安全上下文信息的自动分发来改善控制系统相对于网络攻击的的抵抗力(resiliency)。所公开的技术可以应用于例如使用诸如可编程逻辑控制器(PLC)的工业控制器和分布式控制系统(DCS)的各种自动化生产环境。

背景技术

安全补丁是工业控制系统(ICS)安全社区面临的最具挑战性的问题之一。为了修复给定可编程逻辑控制器(PLC)中的安全漏洞，在大多数情况下需要完全的固件更新和整个系统重启。此外，安全补丁可能引起新的故障和漏洞，这显著地增加更新实时运行的生产系统的风险和成本。

传统上，在大多数情况下，手动执行对工业控制系统的补丁管理。根据适用标准和最佳实践的建议，附加(外部)安全控制部署措施以在等待来自应用供应商的补丁兼容性测试结果时提供额外的保护以补偿长补丁延迟(参见国际电工委员会62443.02.01_2009)。然而，这样的措施通常位于PLC之外并且受到在网络级别能够做什么的限制。

发明内容

本发明的实施方式通过提供与用于控制系统的安全上下文信息的自动分发和虚拟补丁有关的方法、系统和装置来解决和克服上述缺点和弊端中的一个或更多个。更具体地，本文中描述的技术提供用于PLC的允许部署虚拟补丁而无需重新加载完整的软件映像/OS的自动机制(过程)、架构和安全应用(例如，app)。虚拟补丁可以提供保护以防止潜在的攻击者在漏洞公开与系统升级之间的时隙中利用未缓解的漏洞。

根据本发明的一些实施方式，用于工业生产环境中的安全漏洞的虚拟补丁的系统包括工业自动化设备(例如，PLC)。工业自动化设备包括跨多个工业自动化设备并且存储一个或更多个虚拟补丁的分布式数据库的实例和包括虚拟补丁引擎安全应用的应用容器。应用容器被配置成收集由工业自动化设备在操作期间生成的系统信息，并且将一个或更多个虚拟补丁应用于系统信息以识别一个或更多个安全攻击。每个虚拟补丁可以描述在工业自动化设备上可利用的不同攻击签名。

在前述系统中使用的系统信息可以与在工业自动化设备上执行的一个或更多个应用进行的系统调用对应。在一些实施方式中，系统信息包括以下中的一个或更多个：(i)执行读操作或写操作中的至少一个的存储器块；(ii)系统配置变化；(iii)警报状态化。另外地(或可替选地)，系统信息可以包括以下中的一个或更多个：(i)在工业自动化设备上执行的进程；(ii)在工业自动化设备上执行的线程；(iii)由工业自动化设备利用的网络连接；(iv)文件创建信息；以及(v)文件修改信息。

在前述系统的一些实施方式中，虚拟补丁引擎安全应用执行由工业自动化设备执行的控制代码的符号执行，以确定结合一个或更多个控制命令运行工业自动化设备的一个或更多个配置的未来后果。可以以例如安全违反、系统故障或其他不期望状态的指示的形式来标识这些未来后果。如果未来后果的指示与例如不安全的系统状态或违反与工业生产环境关联的预定安全约束对应，则虚拟补丁引擎安全应用可以阻止控制命令的未来执行。

在前述系统的一些实施方式中，在工业自动化设备上的第一虚拟机中执行分布式数据库的实例和应用容器。工业自动化设备还可以包括第二虚拟机，其执行：利用与一个或更多个现场设备关联的自动化系统生产数据根据扫描周期更新的处理映像；以及网络组件，其被配置成发送和接收与工厂地面网络有关的自动化系统网络数据。在一个实施方式中，第二虚拟机还执行包括嵌入式历史记录器的实时数据库，该实时数据库被配置成存储经由过程映像收集的自动化系统生产数据和经由网络组件收集的自动化系统网络数据。然后，可以由虚拟补丁引擎安全应用从嵌入式历史记录器中检索由工业自动化设备在操作期间生成的系统信息。