淺談工業物聯網安全防御之道

工業物聯網安全現狀

物聯網( IoT )無處不在，這已然成為我們無法忽視的一大事實。即使您堅決抵制像智能揚聲器、聯網型溫控器或智能手表等消費型物聯網設備，依然無法阻止工業物聯網( IIoT )設備的發展，因為它們已經構成我們日常生活不可或缺的一部分。

工業物聯網是指數以億計的工業設備，不論是工廠里的機器還是飛機上的發動機，在這些設備上裝置傳感器，連接到無線網絡以收集和共享數據，是物聯網中最大的和最重要的組成部分。

許多負責托管工業物聯網資產的運營技術( OT )環境都面臨一個最大的問題：不僅要應對工業物聯網設備數量的不斷增長，還要支撐一些比較陳舊的工業控制系統( ICS )，其中有些系統的運行歷史已長達 30 年之久。多年來，這其中的許多資產均已實現聯網，并很容易成為網絡惡意攻擊者的潛在目標。這些老舊的設備通常部署在只強調高可用性和性能的平面網絡上，而安全方面卻考慮的很少。

在這些系統中發現漏洞并不總是意味著我們可通過推出補丁予以修復。對大批工業物聯網資產進行修復，就意味著大批設備需要下線，而這對于嚴重依賴設備高可用性的關鍵基礎設施或生產線來說，絕對是不可取的。所以最終的結果就是，補丁程序往往被扔在一邊，而且隨著設備的老化，漏洞日積月累，由此給惡意攻擊者留下了可借以破壞工業物聯網資產的大量漏洞。

2020年IBM的X-ForceRed黑客團隊在一系列物聯網芯片中發現了一個漏洞，該漏洞可以被遠程利用，使數十億的工業、商業和醫療設備處于危險之中。所發現的安全漏洞影響了法國制造商泰利斯公司(Thales)開發的CinterionEHS8M2M模塊。EHS8模塊是為工業物聯網機器設計的，這些機器運行在制造業、能源和醫療等各個部門。主要目的是通過3G和4G網絡保護通信通道。

同年年底，網絡安全公司Forescout披露了33個漏洞，這些漏洞對4個開源TCP/IP堆棧產生嚴重影響，而這些堆棧已經被全球超過150家供應商部署在諸多設備中。數百萬智能家居和物聯網設備所使用的基礎開源軟件被曝光存在大量漏洞，意味著家中的智能設備可能因這些漏洞而受到黑客攻擊。

2021 年 8 月，Forescout Research Labs 和 JFrog Security Research 發現了 14 個影響 NicheStack TCP/IP 堆棧的漏洞，這些組織將其稱為 INFRA：HALT。TCP/IP 堆棧使供應商能夠為 IP 連接系統實現基本的網絡通信，包括 IT、運營技術 (OT) 和工業物聯網 (IoT) 設備。事實上，NicheStack 存在于無數 OT 設備中，這些設備通常用于幾個關鍵基礎設施領域，例如制造工廠、水處理、發電等。

在這樣一個極速發展的領域中，出現這些情況并不值得驚訝。來自多個供應商的OT和控制系統拼湊而成，運行專有和不可更新的軟件，包括可訪問遠程終端單元(RTU)的人機界面(HMI)計算機，SCADAmaster(監控計算機)和可編程邏輯控制器(PLC)。因此，有一點很值得我們去思考：在 OT 網絡中如何新增設備時，也同時考慮如何保護好 OT 網絡，以免這些設備帶來了新的挑戰導致攻擊面的擴大。

所以，如果您所在的企業正在使用工業物聯網資產，那么有哪些威脅值得您加倍留意？您又該如何對設備進行有效保護呢？

針對工業物聯網發起的惡意攻擊

好的方面是大多數工業物聯網資產并非直接暴露在互聯網空間，這意味著惡意攻擊者必須依靠其他方法才能訪問它們。事實上，在其他攻擊上使用的技術同樣也可被用于攻擊工業物聯網資產。

最常見的攻擊載體之一：電子郵件。在發動此類攻擊時自然也適用。惡意攻擊者會試著收集有工業物聯網資產系統訪問權限的工程師、工廠負責人以及開發人員的相關信息，并將他們設定為網絡釣魚郵件的攻擊目標。對這部分用戶中任何一位的電腦進行攻擊，就算是找到了攻擊工業物聯網資產的最直接途徑。未打過補丁的系統、設置過于簡單或默認的設備密碼、以及網絡維護承包商過于寬松的遠程訪問策略，都為惡意攻擊者提供了入侵途徑。透過其中任意一個薄弱環節，惡意攻擊者都能找到若干種進行橫向移動以及獲取訪問權限的方法。

專門針對 IoT 設備發起的威脅在現實中并不常見。而有些威脅卻已經對普通的物聯網設備發起了大規模攻擊，例如 Mirai 和 VPNFilter 。還有一些威脅，比如 Stuxnet ，專門以 PLC 為攻擊目標。這類針對性較高的威脅當然值得關注。但是，工業物聯網設備被攻擊者入侵并修改配置的可能性，遠比被木馬或蠕蟲病毒感染的可能性要大得多。

物聯網供應鏈漏洞的安全直接威脅到工業物聯網(IIoT)安全。大多數網絡運營商都認識到IIoT供應鏈安全風險，但是特定的漏洞很難隔離。這些部署通常意義深遠，超出制造商的范圍，延伸到托運人、商人和其他商業伙伴。隨著網絡的擴展并包括其他集成點，一小部分惡意代碼將被復制的風險只會增加。實際上，代碼本身可能不是惡意的，但可以提供一個可能危害系統的開放端口。

勒索軟件攻擊仍然是攻擊的主要方式之一。許多IIoT供應鏈滲透也是如此，因為不良行為者可能會阻止或以其他方式對生產產生負面影響，直到支付贖金為止。在工業環境中，生產中斷可能造成更大的破壞。通過更改來自傳感器和其他IIoT設備的數據流，可以對機器設置進行操作，從而導致制造過程中出現看不見的問題，從而可能導致產品故障或工廠地面機器(例如機器人設備)在不安全的情況下運行方式。

惡意攻擊工業物聯網帶來的安全問題

1、惡意攻擊讓企業運營陷入停頓

假設惡意攻擊者的目標是使某個特定企業陷入癱瘓，他或她首先會制作一封包含惡意 PDF 文件且具有迷惑性的釣魚郵件，然后將其偽裝成求職申請發送給公司的人力資源部門。當負責求職申請的員工打開這個 PDF 文件時，這臺電腦就可能遭到入侵。

惡意攻擊者在被入侵的網絡中橫向移動，持續監控網絡流量并掃描易受攻擊的系統，抓取用戶的登錄和認證信息。如果沒有啟用 MFA 多因素認證，攻擊者就會有機可乘。最后，攻擊者會想辦法控制域控服務器，并使用組策略對象( GPO )的方式向所有終端下發惡意軟件，從而在整個 IT 網絡中進行實施入侵。

由于在網絡分段上不夠完善，惡意攻擊者最終摸爬滾打地進入了目標企業的 OT 網絡。攻擊者進入 OT 網絡后會立即執行偵察，以便對網絡中的工業物聯網資產進行標記。這樣一來，它們就有機會發現這些資產中存在漏洞的服務，然后對其進行攻擊，將其下線。

2、IIoT供應鏈安全漏洞可能是有意植入的后門

大多數IIoT環境包括成百上千的較舊設備，傳感器和其他組件可能已經使用了十年(或更長時間)。專家們認為，設備越舊，由于落后于支持和更新，就越有可能帶來安全風險。例如，有限狀態報告描述了某些制造商制造的組件，這些組件包括使用2003年發布的OpenSSL版本的代碼，并且眾所周知(并記錄在案)極易受到攻擊。

某些IIoT供應鏈安全漏洞可能是故意插入的，是無辜的并且是出于惡意目的。一個例子是后門。一件軟件中的后門允許訪問固件的核心部分，從而訪問組件本身，而無需通過常規的身份驗證過程。

意圖良好的后門通常由組件制造商開放，以為技術人員提供支持和監視設備的切入點。這些后門通常稱為調試端口，還使惡意行為者易于訪問。同樣，旨在允許與工業控制系統集成的應用程序編程接口(API)可能會無意間提供了另一種損害設備操作的方式。各國通常會在其出口產品上留下比較邪惡的后門，因為它們希望以后再使用它們來處理知識產權(IP)或其他數據。

紐約大學的Muhammad Junaid Farooq和Quanyan Zhu曾發表研究論文指出：“就安全標準而言，物聯網仍然是完全不受監管的技術。” “從設備所有者的角度來看，無法控制上游供應鏈。并非所有供應商都準備好清楚闡明其網絡安全實踐并披露其供應鏈信息。”

工業物聯網安全指南

近年來，工業物聯網已成為黑客們青睞的攻擊載體之一。現在，我們必須阻止新的和不斷發展的惡意軟件注入，同時還要處理由傳統硬件和軟件、落后的基礎設施以及最近轉向遠程工作而產生的漏洞。工業物聯網安全的整體解決方案是在這些動蕩時期保持保護和高效的唯一途徑。這些準則將有助于工業企業采用可持續和全面的工業物聯網安全策略。

（一）有效的實踐方法：

重視工業物聯網安全基礎是保護您連網工業環境的第一步，這些措施可以有效地保護工業物聯網免受最常見的安全利用或最大程度地減少漏洞的負面影響。

三中網安比較認可的工業物聯網環境中的實踐方法：

1、分段物聯網網絡

2、引入雙因素認證

3、加密設備通信

4、管理用戶對數據和智能設備的訪問

5、過濾出站和入站網絡流量

6、實施實時安全監控系統

7、及時安裝軟件補丁和更新

（二）提高物聯網安全意識，讓物聯網安全培訓成為員工入職培訓的一部分

在這樣一個高度連接的環境中，系統安全性和完整性將成為共同的責任，而員工對工業物聯網架構、設備和數據存儲的了解不足，更需要我們通過安全培訓提高員工的安全意識。

因此，對員工進行常識性安全措施的教育，并培訓他們識別安全威脅尤為重要。網絡安全培訓也不應是一次性的活動。隨著每次系統集成或策略更改、安全事件或新的風險因素，員工的知識都需要更新。

（三）定期評估物聯網

通過例行的安全測試，工業物聯網所有者可以及時了解其連網生態系統的安全狀態，及時發現任何現有漏洞和潛在威脅，并在它們破壞運營之前加以解決。

滲透測試是一種白帽黑客攻擊方法，質量保證專家在這種方法中模擬對工業物聯網的惡意攻擊，這對于揭示設備固件和嵌入式軟件中的隱藏漏洞尤其有效，這證實了防御機制的可行性。此外，公司可以進行風險分析，以確定其物聯網體系架構、啟用設備、API和協議中可能最終成為安全漏洞的缺陷。

（四）采取事故響應策略

最后，萬一出現安全漏洞，以物聯網為動力的制造公司需要企業行動計劃來快速有效地處理它。首先，它應包含有關IT安全團隊的指示，說明如何識別威脅及其來源，將受影響的區域與相連的生態系統的其余部分隔離，評估破壞并管理事件。除此之外，該策略還應包括對員工的指導方針，詳細說明他們在安全緊急情況期間和之后應如何繼續工作。

此外，將追溯分析事件的步驟包括在內也是一種有用的做法，以使安全專家可以了解事件的意義和根本原因，并采取深思熟慮的措施防止再次發生。

參考來源：

探究工業物聯網安全防御之道

https://mp.weixin.qq.com/s/a3cBBitQxteovMVCriRk9g

全球超過100萬物聯網設備受影響 安全專家發現33個漏洞

https://baijiahao.baidu.com/s?id=1685666287918760406&wfr=spider&for=pc

數十億工業物聯網設備或存在缺陷

http://www.guikeyun.com/cms/news/135981.html

物聯網控制系統如何解決工業物聯網存在的漏洞?_生產

https://www.sohu.com/a/465622874_120731203

網絡攻擊會怎么樣?IIoT 軟件漏洞影響了無數工業物聯網設備-賢集網

https://www.xianjichina.com/special/detail_494054.html

物聯網供應鏈漏洞威脅工業物聯網(IIoT)安全-51CTO.COM

https://www.51cto.com/article/644854.html

新冠疫情大流行下揭示了工業物聯網存在的一些問題

https://baijiahao.baidu.com/s?id=1690666638127329548&wfr=spider&for=pc

文章來源：“三中網安”微信公眾號