近年來�����,制造業(yè)已經(jīng)成為物聯(lián)網(wǎng)的最積極采用者之一�����。該技術(shù)將數(shù)字革命帶入了生產(chǎn)車間�,使制造商能夠提高效率�,交付更高質(zhì)量的產(chǎn)品,并優(yōu)化資源管理�。如今,物聯(lián)網(wǎng)已成為了這個(gè)技術(shù)密集型行業(yè)的強(qiáng)大差異化競爭因素��。
新冠肺炎疫情大流行揭示了工業(yè)物聯(lián)網(wǎng)的另一個(gè)關(guān)鍵優(yōu)勢——使制造企業(yè)增加抵御危機(jī)的能力����。在隔離和經(jīng)濟(jì)動(dòng)蕩的背景下,物聯(lián)網(wǎng)的發(fā)展對于確保業(yè)務(wù)運(yùn)營的連續(xù)性和成本效率以及生產(chǎn)現(xiàn)場員工的安全起到了重要作用����。
這使工業(yè)物聯(lián)網(wǎng)(IIoT)成為防范類似緊急情況并彌補(bǔ)生產(chǎn)中斷的最佳解決方案�,許多制造商已經(jīng)意識到這一點(diǎn)����。因此,根據(jù)Meticulous Research的預(yù)測��,盡管目前發(fā)生了大流行后的經(jīng)濟(jì)衰退�,但預(yù)計(jì)工業(yè)物聯(lián)網(wǎng)市場的穩(wěn)定增長將很快回升,到2027年將達(dá)到2634億美元����。
但通往互聯(lián)互通的道路比以往任何時(shí)候都更加艱難。在整個(gè)大流行期間����,商業(yè)物聯(lián)網(wǎng)系統(tǒng)因轉(zhuǎn)向遠(yuǎn)程工作和隨之而來的缺乏控制而變得脆弱���,網(wǎng)絡(luò)攻擊大量增加���,其中許多都是新穎的。除此之外��,卡巴斯基2020年工業(yè)網(wǎng)絡(luò)安全狀況調(diào)查報(bào)告顯示,24%的制造公司預(yù)計(jì)在危機(jī)后削減安全預(yù)算�����。這些因素��,再加上將物聯(lián)網(wǎng)安全視為事后想法的持續(xù)趨勢��,使危機(jī)后的工業(yè)物聯(lián)網(wǎng)項(xiàng)目或現(xiàn)有系統(tǒng)的擴(kuò)展成為一項(xiàng)高風(fēng)險(xiǎn)的工作�����。
在這種情況下���,現(xiàn)有或潛在的工業(yè)物聯(lián)網(wǎng)(IIOT)系統(tǒng)的安全性將成為制造商議程上最緊迫的問題�。我們設(shè)計(jì)了一份詳細(xì)指南����,以幫助工業(yè)公司所有者和首席安全官安全地駕馭人機(jī)界面和智能設(shè)備的工業(yè).0環(huán)境。
一��、工業(yè)物聯(lián)網(wǎng)安全漏洞的罪魁禍?zhǔn)?/span>
讓我們來看看工業(yè)物聯(lián)網(wǎng)系統(tǒng)的弱點(diǎn)��,以及黑客如何利用它們在工業(yè)網(wǎng)絡(luò)中立足����。
1.設(shè)備和端點(diǎn)可見性差
缺乏對連網(wǎng)設(shè)備�、傳感器���、端點(diǎn)及其配置和合規(guī)性的實(shí)時(shí)可見性����,可能是物聯(lián)網(wǎng)領(lǐng)域一直存在的安全挑戰(zhàn)�。根據(jù)2019年P(guān)anaseer安全領(lǐng)導(dǎo)者的對等報(bào)告發(fā)現(xiàn),即使在IT監(jiān)控技術(shù)激增����、安全意識高漲的今天,仍有20%的企業(yè)將物聯(lián)網(wǎng)設(shè)備視為監(jiān)管最差的資產(chǎn)�����。
顯而易見�����,此類灰色地帶設(shè)備必定會成為攻擊的受害者�。但是����,制造公司如何最終陷入物聯(lián)網(wǎng)網(wǎng)絡(luò)的黑暗之中�����?原因各不相同����。
一家企業(yè)可能會以很高的速度擴(kuò)展其連網(wǎng)基礎(chǔ)設(shè)施�����,以至于某些設(shè)備由于疏忽而被排除在庫存記錄之外����。其他制造商往往會忘記幾十年前部署的設(shè)備,這些設(shè)備幾乎從未使用過�����,但仍然可以訪問互聯(lián)網(wǎng)�����。一些IT部門只是缺少工具或資源來監(jiān)控大量連網(wǎng)的資產(chǎn)�,而其他IT部門則無法正確地對其物聯(lián)網(wǎng)網(wǎng)絡(luò)進(jìn)行適當(dāng)?shù)姆纸M����,讓一些設(shè)備從裂縫中溜走�����。
在工業(yè)環(huán)境中�����,設(shè)備和端點(diǎn)可見性不佳的后果尤其嚴(yán)重���。如果惡意軟件獲得對未受管理和未受保護(hù)的連網(wǎng)設(shè)備的控制��,它不僅會攔截關(guān)鍵的生產(chǎn)數(shù)據(jù)�����,而且還會危及最終產(chǎn)品質(zhì)量�����、削弱生產(chǎn)線���、導(dǎo)致供應(yīng)鏈延遲,甚至危及工人的安全��。這樣����,諸如疏忽之類的簡單事情就可能造成巨大財(cái)產(chǎn)和聲譽(yù)損失。
2.現(xiàn)成設(shè)置
對許多工業(yè)物聯(lián)網(wǎng)所有者來說����,保持連網(wǎng)設(shè)備的默認(rèn)設(shè)置是另一種風(fēng)險(xiǎn)。一方面����,設(shè)備制造商很少使用復(fù)雜的憑證,這使得他們很容易在暴力攻擊中被發(fā)現(xiàn)��。此外����,包含設(shè)備初始配置和密碼的手冊可能在線上并最終落入黑客手中。這樣���,由于無知或疏忽��,公司可能會讓其系統(tǒng)容易受到破壞�����。
今天最臭名昭著的物聯(lián)網(wǎng)設(shè)備安全威脅是Mirai��,這是一個(gè)自2016年以來一直嚴(yán)重破壞高知名度系統(tǒng)的僵尸網(wǎng)絡(luò)�����。這種惡意軟件的簡單之處在于:它掃描互聯(lián)網(wǎng)上的開放設(shè)備���,并嘗試使用常見登錄密碼組合登錄�����。如果成功����,Mirai會劫持設(shè)備并繼續(xù)控制整個(gè)網(wǎng)絡(luò)�����。
在大流行期間��,出現(xiàn)了全新的Mirai變種,針對與遠(yuǎn)程工作相關(guān)的漏洞����,如網(wǎng)絡(luò)攝像頭、調(diào)制解調(diào)器和路由器�����。由于許多制造商廣泛采用這些設(shè)備來遠(yuǎn)程監(jiān)控生產(chǎn)線��,因此對其保護(hù)不力會成為一個(gè)嚴(yán)重漏洞�。
為了保護(hù)您的系統(tǒng)免受此類攻擊���,必須在系統(tǒng)投入使用之前更改現(xiàn)成的設(shè)備憑據(jù)和設(shè)置�。另一個(gè)好的做法是限制外部人員和低級別人員訪問連網(wǎng)設(shè)備��,以最大程度地減少有意和無意配置或密碼重置的風(fēng)險(xiǎn)����。
3.過時(shí)的軟件
對于高效、可持續(xù)和安全的工業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)而言����,最新的軟件和設(shè)備固件是關(guān)鍵要求,但并非所有公司都能成功保持這種狀態(tài)�����。一方面,典型的工業(yè)物聯(lián)網(wǎng)系統(tǒng)是龐大且分散的��,并且跟蹤所有更新�、升級和補(bǔ)丁以及及時(shí)執(zhí)行它們,對于中等規(guī)模的IT部門來說是一項(xiàng)繁重的任務(wù)����。此外,在許多情況下���,連網(wǎng)設(shè)備可能會在整個(gè)升級過程中停止服務(wù)或無法正常工作���,對于某些生產(chǎn)線來說,即使是短暫的停機(jī)時(shí)間也會造成中斷�����。
面對此類挑戰(zhàn)���,許多工業(yè)物聯(lián)網(wǎng)所有者選擇無限期地推遲更新�����。同時(shí)����,過時(shí)的軟件和固件缺少相關(guān)的保護(hù)機(jī)制、關(guān)鍵補(bǔ)丁和漏洞修復(fù)����,這使連網(wǎng)基礎(chǔ)設(shè)施容易受到旨在利用此漏洞的最新惡意軟件攻擊�����。
例如���,今年�����,領(lǐng)先的網(wǎng)絡(luò)安全公司TrapX報(bào)告稱����,它發(fā)現(xiàn)了新的Lemon Duck惡意軟件��,該惡意軟件針對使用停止更新的Windows 7并導(dǎo)致其故障的制造物聯(lián)網(wǎng)設(shè)備。至于工業(yè)設(shè)備�����,他們的操作系統(tǒng)很難升級�����,在某些情況下�����,所有者別無選擇�,只能用預(yù)裝的新操作系統(tǒng)版本替換設(shè)備。
除了安全漏洞之外����,使用過時(shí)的物聯(lián)網(wǎng)軟件還會導(dǎo)致崩潰和系統(tǒng)停機(jī)事件增加、生產(chǎn)效率低下以及維護(hù)工作量增加���。所有這些使得保留過時(shí)固件變得無利可圖�。
4.低效的數(shù)據(jù)安全策略
對于工業(yè)公司而言����,物聯(lián)網(wǎng)生成的數(shù)據(jù)不僅敏感��,而且是商業(yè)機(jī)密的一部分�����,而這正是網(wǎng)絡(luò)犯罪分子通常所追求的�����。Verizon的2020年數(shù)據(jù)泄露調(diào)查報(bào)告發(fā)現(xiàn)����,勒索和工業(yè)間諜活動(dòng)是制造業(yè)外部攻擊的兩個(gè)核心動(dòng)機(jī)�。
意識到這一點(diǎn)�,工業(yè)物聯(lián)網(wǎng)采用者加強(qiáng)了其軟件和固件安全性,以防止受到攻擊�����。在所有這些措施中��,令人遺憾的是���,對工業(yè)物聯(lián)網(wǎng)生成的數(shù)據(jù)本身的保護(hù)往往會被忽視����。
2020年Unit 42物聯(lián)網(wǎng)威脅報(bào)告指出,高達(dá)98%的物聯(lián)網(wǎng)設(shè)備通信未經(jīng)加密并在連網(wǎng)生態(tài)系統(tǒng)中以純文本形式傳播���。因此���,如果攻擊者設(shè)法滲透到工業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)中(如上文所述,盡管有安全措施���,這種情況還是會發(fā)生)�����,來自傳感器����、端點(diǎn)和可穿戴設(shè)備的機(jī)密數(shù)據(jù)將在這里暴露出來�����,并易于收集��。
2019年4月���,一個(gè)黑客組織利用這種典型的安全疏忽進(jìn)行了大規(guī)模的間諜活動(dòng)�����。他們針對數(shù)百個(gè)組織的易受攻擊的物聯(lián)網(wǎng)設(shè)備����,從政府機(jī)構(gòu)到工業(yè)公司,以獲得對其系統(tǒng)的訪問權(quán)限�,然后捕獲網(wǎng)絡(luò)流量。
考慮到商業(yè)秘密公之于眾的毀滅性后果�����,制造商應(yīng)該更保持安全��,而不是道歉����,并將設(shè)備通信日志和交易加密作為一項(xiàng)強(qiáng)制性的安全措施���。
5.無分段
工業(yè)物聯(lián)網(wǎng)采用者的另一個(gè)常見錯(cuò)誤是未能從邏輯上將他們的連網(wǎng)環(huán)境劃分為更小的設(shè)備組和子網(wǎng)絡(luò)��。扁平的��,未分段的工業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)在規(guī)模較小時(shí)易于維護(hù)和管理���,但這是它的好處所在���。從長遠(yuǎn)來看,這樣的基礎(chǔ)設(shè)施會成為一個(gè)麻煩��,同時(shí)也是破壞企業(yè)網(wǎng)絡(luò)安全的致命缺陷�。
一方面,未分段的工業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)是一個(gè)大的攻擊面���,因此一個(gè)漏洞就足以讓惡意軟件訪問整個(gè)網(wǎng)絡(luò)�。此外���,清點(diǎn)龐大的工業(yè)物聯(lián)網(wǎng)環(huán)境是一項(xiàng)繁重的任務(wù)����,其中包含大量不同服務(wù)時(shí)期���、規(guī)格和用途的設(shè)備��,因此由于人為疏忽�、安全缺陷和潛在風(fēng)險(xiǎn)可能會被忽視。(來源物聯(lián)之家網(wǎng))此外�����,隨著系統(tǒng)的擴(kuò)展����,將新設(shè)備安裝到混亂的安全架構(gòu)中并確保其端到端保護(hù)變得越來越困難。
使用防火墻進(jìn)行物理分段曾經(jīng)是保護(hù)工業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)的一種常見做法���,但是最近�,使用VLAN和ACL進(jìn)行虛擬分段已成為一種更為有效的方法����。由于工業(yè)物聯(lián)網(wǎng)的巨大規(guī)模,一個(gè)完整級別的內(nèi)部防火墻架構(gòu)實(shí)施和維護(hù)被證明是非常昂貴和復(fù)雜的�����。反過來����,微分段不僅是一種更便宜����、更簡單的解決方案��,而且還允許對設(shè)備進(jìn)行更靈活和更精細(xì)化的分組��。
二���、工業(yè)物聯(lián)網(wǎng)安全指南
最近,工業(yè)物聯(lián)網(wǎng)已成為黑客們青睞的攻擊載體之一��。如今�����,制造商必須阻止新的和不斷發(fā)展的惡意軟件注入�,同時(shí)還要處理由傳統(tǒng)硬件和軟件、落后的基礎(chǔ)設(shè)施以及最近轉(zhuǎn)向遠(yuǎn)程工作而產(chǎn)生的漏洞��。
物聯(lián)網(wǎng)安全的整體解決方案是在這些動(dòng)蕩時(shí)期保持保護(hù)和高效的唯一途徑���。這些準(zhǔn)則將有助于工業(yè)企業(yè)采用可持續(xù)和全面的工業(yè)物聯(lián)網(wǎng)安全策略��。
1.采取必要措施
重視物聯(lián)網(wǎng)安全基礎(chǔ)是保護(hù)您連網(wǎng)工業(yè)環(huán)境的第一步���。這些措施雖然看似簡單����,但仍然可以有效地保護(hù)工業(yè)物聯(lián)網(wǎng)免受最常見的安全利用或最大程度地減少漏洞的負(fù)面影響����。此外,它們可以作為您可能選擇采用的更高級安全控制的堅(jiān)實(shí)基礎(chǔ)�����。
以下是值得引入到您工業(yè)物聯(lián)網(wǎng)環(huán)境中的最佳實(shí)踐:
分段物聯(lián)網(wǎng)網(wǎng)絡(luò)
引入雙因素認(rèn)證
加密設(shè)備通信
管理用戶對數(shù)據(jù)和智能設(shè)備的訪問
過濾出站和入站網(wǎng)絡(luò)流量
實(shí)施實(shí)時(shí)安全監(jiān)控系統(tǒng)
及時(shí)安裝軟件補(bǔ)丁和更新
2.提高工業(yè)物聯(lián)網(wǎng)安全意識
制造商提高員工的安全意識����。在這樣一個(gè)高度連接的環(huán)境中,系統(tǒng)安全性和完整性將成為共同的責(zé)任����,而員工對工業(yè)物聯(lián)網(wǎng)架構(gòu)、設(shè)備和數(shù)據(jù)存儲的了解不足����,遲早會導(dǎo)致意外的安全漏洞。
因此�,為了保護(hù)您未來的實(shí)施,請確保向所有員工提供關(guān)于工業(yè)物聯(lián)網(wǎng)、其操作和漏洞的充足信息�,并解釋貴公司接受的安全準(zhǔn)則��。此外����,對員工進(jìn)行常識性安全措施的教育,并培訓(xùn)他們識別安全威脅�。
網(wǎng)絡(luò)安全培訓(xùn)不應(yīng)是一次性的活動(dòng)。隨著每次系統(tǒng)集成或策略更改��、安全事件或新的風(fēng)險(xiǎn)因素�,員工的知識都需要更新。最后但并非不重要的一點(diǎn)是�,不要忘記讓物聯(lián)網(wǎng)安全培訓(xùn)成為員工入職培訓(xùn)的一部分。
定期評估物聯(lián)網(wǎng)
通過例行的安全測試���,工業(yè)物聯(lián)網(wǎng)所有者可以及時(shí)了解其連網(wǎng)生態(tài)系統(tǒng)的安全狀態(tài)����,及時(shí)發(fā)現(xiàn)任何現(xiàn)有漏洞和潛在威脅�����,并在它們破壞運(yùn)營之前加以解決。
滲透測試是一種白帽黑客攻擊方法��,質(zhì)量保證專家在這種方法中模擬對工業(yè)物聯(lián)網(wǎng)的惡意攻擊��,這對于揭示設(shè)備固件和嵌入式軟件中的隱藏漏洞尤其有效����,這證實(shí)了防御機(jī)制的可行性。此外��,公司可以進(jìn)行風(fēng)險(xiǎn)分析��,以確定其物聯(lián)網(wǎng)體系架構(gòu)��、啟用設(shè)備��、API和協(xié)議中可能最終成為安全漏洞的缺陷�����。
3.采取事故響應(yīng)策略
最后���,萬一出現(xiàn)安全漏洞���,以物聯(lián)網(wǎng)為動(dòng)力的制造公司需要企業(yè)行動(dòng)計(jì)劃來快速有效地處理它�����。首先����,它應(yīng)包含有關(guān)IT安全團(tuán)隊(duì)的指示��,說明如何識別威脅及其來源�����,將受影響的區(qū)域與相連的生態(tài)系統(tǒng)的其余部分隔離�����,評估破壞并管理事件�����。除此之外���,該策略還應(yīng)包括對員工的指導(dǎo)方針,詳細(xì)說明他們在安全緊急情況期間和之后應(yīng)如何繼續(xù)工作���。
此外�����,將追溯分析事件的步驟包括在內(nèi)也是一種有用的做法����,以使安全專家可以了解事件的意義和根本原因,并采取深思熟慮的措施防止再次發(fā)生���。
本文來源:物聯(lián)之家網(wǎng)
