工業企業邊界消失后，如何應對物聯網安全風險？

在過去十年中，OT和IT系統之間的數據流不斷增加，但從工業互聯網中的專有通信和硬件升級到整個企業的開放式連接后，讓網絡安全威脅更加難以檢測、調查和修復。

之前，工業控制系統(CIS)和其他OT設備都是孤立部署的，缺乏安全保障措施。IT人員沒有必要擔心安全問題，因為工業技術已經從傳統的IT網絡中隔離出來。

但現在，隨著OT與IT網絡的融合，工業設備擁抱TCP/IP協議已經成為網絡生態系統的一部分，傳感器和其他控制器成為了IT/OT融合網絡上的工業物聯網節點，這些以前受保護的隔離設備的安全邊界正在坍塌。

工業物聯網的安全風險

與此同時，近年來，物聯網(IoT)技術的采用率在工業領域不斷提高，以至于其全球市場規模預計到2028年將達到18420億美元。

根據IDC 在《全球物聯網支出指南》中的預測數據顯示，2021年全球物聯網(企業級)支出規模達6902.6億美元，并有望在2026年達到1.1萬億美元，五年(2022年-2026年)復合增長率(CAGR)達10.7%。其中，中國企業級物聯網市場規模將在2026年達到2940億美元，復合增長率(CAGR)達13.2%，全球占比約為25.7%，繼續保持全球最大物聯網市場體量。

然而，隨著物聯網在工業企業的不斷應用、落地，其網絡安全態勢也變得越發嚴峻，網絡安全已經成為當今每個企業最優先考慮的事情。其中，勒索軟件成為工業企業的主要安全威脅之一。

根據Fortinet全球威脅情報響應與研究團隊(FortiGuard Labs)統計，僅2022 年上半年，FortiGuard Labs累積捕獲 10,666 種全新勒索軟件變體，而去年下半年僅為 5,400 種。僅半年時間，新型勒索軟件變體數量增長近 100%。

雖然有很多廣受關注的事件成為國際新聞頭條，但真正受到影響的是數以萬計的組織，從大企業到小企業，從聯邦機構到地方政府，無一幸免。

據悉，2020年第一季度，受害企業的平均贖金為178，254美元，這還未包含比實際贖金數額更大的停機成本，通常為贖金數額的5-10倍，而這些企業在支付贖金后，文件成功恢復的概率只有96%，有4%會丟失，且恢復勒索軟件時間平均所需的時間為16天。而且，80%勒索病毒的受害者仍將成為攻擊的目標。

此外，數據竊取、設備劫持、分布式拒絕服務、設備欺騙攻擊、物理設備被盜、通過傳統系統的數據泄露等，都是工業物聯網現在、未來要面對的主要安全風險。

例如，設備劫持是工業物聯網的常見安全挑戰之一，當物聯網傳感器或端點被劫持時，就會發生這種情況，這可能導致嚴重的數據泄露;在工業物聯網中，當攻擊者偽裝成受信任的設備，在企業的集中網絡和工業物聯網端點設備之間發送信息時，就會發生設備欺騙攻擊。

如何應對物聯網安全風險?

事實上，物聯網最大的問題之一是確保網絡、數據和設備的安全，而保護工業物聯網是一項多方面的工作，其安全性更需要全方位考慮。

工業物聯網的普及，使網絡邊緣的聯網器件數量不斷增加，每臺設備都有可能聯網并共享數據，這將大幅度增加大多數工礦企業的威脅面。因此，對于工業物聯網及工業大數據安全問題，至關重要的是要在數據產生的地方從設備層保護好網絡。

數據保護是整個組織都關心的問題，而且網絡越復雜，對數據保護的需要也越大。總之，需要結合大動作和小調整，以確保網絡、系統、數據和設備受到保護。

一是，運行安全測試工業物聯網源代碼。為在工業物聯網中建立更好的安全性，應該從網絡基礎設施中最小的組件“代碼”開始。因為在工業物聯網環境中，它們可能會激增，成為一個經常被忽視的安全問題。最好的防御手段是測試和重新測試。

二是，了解關注點部署訪問控制。在制造商環節，許多工業物聯網設備僅配有少量的安全控制。資產所有權的明確性、缺乏標準化、扁平化網絡問題、低效的修補程序管理以及資源限制都是應該考慮的問題。

控制工業物聯網環境中的訪問，是企業在連接資產、產品和設備時面臨的最大安全挑戰，這包括控制已連接對象的網絡訪問。因此，應首先確定工業物聯網環境中關聯事物認為可接受的行為和活動，然后實施控制。

三是，評估IT和OT混合風險使設備滿足安全標準。在工業物聯網時代，機器很有可能被連接，因此容易受到黑客攻擊和其他入侵。工業物聯網需要IT和OT協同工作。然而兩者有不同的目標和關注點：IT通常關注基礎架構、安全性和治理;而OT有時可以專注于產量、質量和效率。企業必須考慮誰需要參與工業物聯網部署。同樣重要并需要注意的是，IT和OT以不同的方式處理安全性問題，評估不同的風險，關注不同的修補周期、協議等。

四是，研究攻擊趨勢抵御工業物聯網身份欺騙。例如，Mirai僵尸網絡分布式拒絕服務(DDoS)攻擊造成DNS服務關閉。由于大多數工業物聯網設備都默認或沒有憑據，Mirai僵尸網絡迅速傳播。另一個趨勢是勒索軟件正在從文件移動到硬件設備，攻擊者開始瞄準工業物聯網設備，并利用尚未更新的舊設備上的舊漏洞。

因此，企業及其安全和IT部門必須驗證他們通信的工業物聯網設備的身份，確保這些設備對于關鍵通信、軟件更新和下載是合法的。所有工業物聯網設備都必須具有唯一的身份，否則從微控制器級別到網絡邊緣的端點設備，從應用程序到傳輸層，都有被黑客攻擊的高風險。

五是，不要讓工業物聯網設備啟動網絡連接。公司應該限制工業物聯網設備啟動網絡連接的能力，只能使用網絡防火墻和訪問控制列表與其連接。通過建立單向信任原則，工業物聯網設備將永遠無法啟動與內部系統的連接，這將限制攻擊者利用它們作為跳板探索和攻擊網絡的能力。如網絡隔離技術。

六是，將安全性插入供應鏈。工業物聯網工作通常覆蓋供應鏈中的多個合作伙伴，包括技術供應商、產品提供商和客戶，安全部門必須考慮到這一點。如果安全部門提出要承擔分析工作，這些部門將遵守這一規定。如何更好地加強供應鏈供應商的選擇過程由各個組織決定，應考慮允許獨立驗證的制造商承擔;提倡在設備端安裝保護開關，以便固件能在用戶的授權下更新;只采購正規產品，而不是假冒產品。

七是，考慮設備和網關問題。在考慮工業物聯網設備時，IT人員需要考慮與身份驗證和預配有關的安全功能。設備發送的數據也是一個關鍵的安全問題，數據完整性和機密性尤為重要，企業會不斷考慮數據的移動以及如何加密數據。資產管理和可見性以及行為分析也是重中之重。在設備之外，網關同樣是工業物聯網中的關鍵安全向量，安全啟動和執行以及安全憑據存儲可以幫助工礦企業更好地保護網關。

八是，分類風險實行安全數據訪問。工業組織需要明白風險不是靜態的，應考慮工業物聯網組件和支持系統的法律規范。工業物聯網錯誤的物理后果可能比其他物聯網違規更嚴重。工業物聯網的適當安全態勢也必須考慮進來，一旦組織對面臨的風險進行分類，它必須構建一個安全框架來解決這些風險。行業標準應該用于認證和授權，以確保對企業數據的訪問安全。同時，企業必須確保數據完整性和安全保護，專注于密鑰、憑據和訪問令牌的安全憑據管理。

九是，監視和審核系統評估其安全狀態。工業物聯網將支持大量網絡新設備添加到企業或現場網絡中，從而顯著增加了其攻擊面。在選擇適用于工業物聯網的解決方案前，必須進行審核，并在整個系統生命周期內定期進行審核。

如，使用基于硬件的信任根和深度防御方法保護這些設備，確保系統正常運行;基于標準和技術實施具有已知安全功能的協議，并采用安全深度策略，以保護工業物聯網基礎架構及其生成的數據，尤其是在保護云中的數據和其通過公共互聯網傳輸時。

本文綜合整理自 工業安全產業聯盟、安全牛、與非網eefocus 等。

來源：數影星球