許多垂直行業(yè)已經(jīng)采用了工業(yè)物聯(lián)網(wǎng)��,但這并不意味著他們的部署是安全的�。工業(yè)物聯(lián)網(wǎng)向傳統(tǒng)IT系統(tǒng)引入了具有不同威脅向量和相關(guān)風(fēng)險(xiǎn)的各種運(yùn)營(yíng)技術(shù)(OT)架構(gòu)。許多風(fēng)險(xiǎn)已經(jīng)存在了幾十年��,并且已經(jīng)進(jìn)入快速發(fā)展的工業(yè)物聯(lián)網(wǎng)的領(lǐng)域��。
工業(yè)物聯(lián)網(wǎng)設(shè)備和相關(guān)技術(shù)給企業(yè)帶來(lái)的常見(jiàn)安全風(fēng)險(xiǎn)可以分為三類(lèi):管理和運(yùn)營(yíng)風(fēng)險(xiǎn)���、技術(shù)風(fēng)險(xiǎn)�����、物理風(fēng)險(xiǎn)�。
1. 管理和運(yùn)營(yíng)風(fēng)險(xiǎn)
這種類(lèi)型的風(fēng)險(xiǎn)涉及人為風(fēng)險(xiǎn)�,無(wú)論是意外的還是有意的,例如工業(yè)物聯(lián)網(wǎng)設(shè)備的不當(dāng)使用或網(wǎng)絡(luò)攻擊者入侵網(wǎng)絡(luò)�����。
缺乏全面的工業(yè)物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)管理計(jì)劃會(huì)使企業(yè)的業(yè)務(wù)安全性變得脆弱�。該計(jì)劃必須包括安全政策�、程序和定期培訓(xùn)��,以在可能的情況下識(shí)別���、管理和消除網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
人為造成的事故和錯(cuò)誤可能會(huì)造成安全漏洞����,例如濫用或錯(cuò)誤安裝工業(yè)物聯(lián)網(wǎng)設(shè)備,以及使用遺留系統(tǒng)�����。懷有惡意的企業(yè)內(nèi)部人員和外部人員也將工業(yè)物聯(lián)網(wǎng)設(shè)備作為破壞目標(biāo)�����。
工業(yè)物聯(lián)網(wǎng)設(shè)備和系統(tǒng)制造商可能會(huì)倒閉���、消失或停止支持��,而企業(yè)卻仍在使用他們的工業(yè)物聯(lián)網(wǎng)技術(shù)����。這可能會(huì)使用于關(guān)鍵場(chǎng)景的工業(yè)物聯(lián)網(wǎng)設(shè)備存在一些被攻擊利用的漏洞。
2. 技術(shù)風(fēng)險(xiǎn)
日益增長(zhǎng)的物聯(lián)網(wǎng)設(shè)備擴(kuò)大了攻擊面而這些設(shè)備往往存在用戶(hù)未知且可被網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)的漏洞���。
工業(yè)物聯(lián)網(wǎng)部署在IT和OT之間建立了新的連接�,這增加了部署的復(fù)雜性和安全風(fēng)險(xiǎn)�����,尤其是對(duì)于非標(biāo)準(zhǔn)化的工業(yè)物聯(lián)網(wǎng)硬件����、軟件和固件。工業(yè)物聯(lián)網(wǎng)缺乏全球采用的安全性和互操作性技術(shù)標(biāo)準(zhǔn)導(dǎo)致設(shè)備��、控制器和支持系統(tǒng)的安全性不一致�。
許多工業(yè)物聯(lián)網(wǎng)設(shè)備使用弱密碼或沒(méi)有加密,身份驗(yàn)證較弱或沒(méi)有身份驗(yàn)證�,并且運(yùn)行在容易受到網(wǎng)絡(luò)攻擊的軟件上。
3. 物理風(fēng)險(xiǎn)
自然災(zāi)害�����、突發(fā)事件或網(wǎng)絡(luò)攻擊可能會(huì)中斷或改變工業(yè)物聯(lián)網(wǎng)系統(tǒng)的工作方式����。
網(wǎng)絡(luò)攻擊者可能會(huì)以物理安全性較差的設(shè)備為目標(biāo)�����,并直接對(duì)其進(jìn)行更改��,從而以有害的方式影響物理世界���。例如��,網(wǎng)絡(luò)攻擊者會(huì)以控制石油管道或其他資源的物聯(lián)網(wǎng)設(shè)備為目標(biāo)�����。
許多工業(yè)物聯(lián)網(wǎng)設(shè)備需要人工完成維護(hù)或更新���,這對(duì)于使用它們的員工來(lái)說(shuō)可能是不可能實(shí)現(xiàn)的�����。
遵循推薦的工業(yè)物聯(lián)網(wǎng)安全實(shí)踐
某些網(wǎng)絡(luò)安全目標(biāo)應(yīng)該是每個(gè)工業(yè)物聯(lián)網(wǎng)安裝的一部分�����。首先���,企業(yè)必須使用安全的工業(yè)物聯(lián)網(wǎng)設(shè)備和系統(tǒng)�����。物聯(lián)網(wǎng)團(tuán)隊(duì)必須配置設(shè)備以防止它們被用作網(wǎng)絡(luò)攻擊的一部分���,例如分布式拒絕服務(wù)(DDoS)、數(shù)據(jù)泄露或設(shè)備設(shè)置的修改�����。
企業(yè)還應(yīng)建立數(shù)據(jù)安全控制�。他們必須保護(hù)由工業(yè)物聯(lián)網(wǎng)技術(shù)收集、處理�、存儲(chǔ)、傳輸?shù)乃袛?shù)據(jù)的機(jī)密性�、完整性和可用性。部署中缺乏數(shù)據(jù)完整性和不一致是工業(yè)物聯(lián)網(wǎng)的固有風(fēng)險(xiǎn)����。每個(gè)實(shí)施工業(yè)物聯(lián)網(wǎng)設(shè)備的企業(yè)都必須具有以下領(lǐng)域的安全功能:
管理和運(yùn)營(yíng)安全控制。這些是確保工業(yè)物聯(lián)網(wǎng)部署安全所必需的基于人員的行動(dòng)��?���?刂拼胧┌ü芾碓O(shè)備的選擇����、開(kāi)發(fā)����、實(shí)施和維護(hù)所需的行動(dòng)。安全措施必須保護(hù)工業(yè)物聯(lián)網(wǎng)數(shù)據(jù)和設(shè)備功能����,并管理使用工業(yè)物聯(lián)網(wǎng)設(shè)備的勞動(dòng)力。采取的一些措施包括工業(yè)物聯(lián)網(wǎng)安全控制設(shè)置文檔����、政策和程序�、設(shè)備安全使用培訓(xùn)或執(zhí)行工業(yè)物聯(lián)網(wǎng)風(fēng)險(xiǎn)評(píng)估。
技術(shù)安全�。這些是確保有效的工業(yè)物聯(lián)網(wǎng)安全和保護(hù)作為工業(yè)物聯(lián)網(wǎng)系統(tǒng)一部分的技術(shù)元素(例如云計(jì)算服務(wù)或供應(yīng)鏈)所必需的基于技術(shù)的組件。這包括使用多因素身份驗(yàn)證�����、加密�����、安全啟動(dòng)和設(shè)備識(shí)別技術(shù)進(jìn)行工業(yè)物聯(lián)網(wǎng)設(shè)備身份驗(yàn)證等控制。
物理安全��。物理措施和工具可以保護(hù)工業(yè)物聯(lián)網(wǎng)設(shè)備以及相關(guān)服務(wù)器�����、控制器����、顯示屏、輸入和輸出設(shè)備以及構(gòu)成工業(yè)物聯(lián)網(wǎng)環(huán)境設(shè)施的所有硬件��。企業(yè)必須建立設(shè)施和工業(yè)物聯(lián)網(wǎng)設(shè)備附近訪問(wèn)控制����,僅允許授權(quán)使用和訪問(wèn)專(zhuān)有數(shù)據(jù),并限制對(duì)工業(yè)物聯(lián)網(wǎng)設(shè)備和系統(tǒng)控制進(jìn)行修改的能力��。這些示例包括保護(hù)對(duì)存儲(chǔ)卡的訪問(wèn)�、禁用不必要的USB端口、僅允許授權(quán)實(shí)體查看工業(yè)物聯(lián)網(wǎng)設(shè)備的屏幕�,以及控制對(duì)工業(yè)物聯(lián)網(wǎng)設(shè)備和相關(guān)硬件的物理訪問(wèn)。
如果沒(méi)有針對(duì)這三類(lèi)的安全控制措施,工業(yè)物聯(lián)網(wǎng)設(shè)備和系統(tǒng)就不會(huì)保證安全�����。
IT管理員的特定工業(yè)物聯(lián)網(wǎng)安全問(wèn)題
IT管理員需要將工業(yè)物聯(lián)網(wǎng)設(shè)備�����、控制器和支持系統(tǒng)納入其整體網(wǎng)絡(luò)管理計(jì)劃�。這包括測(cè)試和風(fēng)險(xiǎn)管理活動(dòng)、風(fēng)險(xiǎn)評(píng)估���、漏洞評(píng)估��、滲透測(cè)試�、備份和恢復(fù)�����、所有使用工業(yè)物聯(lián)網(wǎng)設(shè)備的人員的安全培訓(xùn)���,以及全面安全計(jì)劃所需的其他安全活動(dòng)。
IT管理員需要確保實(shí)施并遵循基本的安全實(shí)踐���。用于改進(jìn)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的NIST框架1.1版��,通常稱(chēng)為網(wǎng)絡(luò)安全框架(CSF)�,已被全球各行各業(yè)的大部分組織使用。企業(yè)還可以考慮其他框架����,例如ISO、工業(yè)互聯(lián)網(wǎng)聯(lián)盟的工業(yè)互聯(lián)網(wǎng)安全框架或ISA99工業(yè)自動(dòng)化和控制系統(tǒng)安全�����。
企業(yè)可以自定義和使用七個(gè)網(wǎng)絡(luò)安全框架(CSF)類(lèi)別來(lái)組織和調(diào)整其安全策略�,并將安全控制擴(kuò)展到包括工業(yè)物聯(lián)網(wǎng)設(shè)備、系統(tǒng)�����、應(yīng)用程序和云平臺(tái):
