工业物联网的兴起以及如何降低风险

作者 | 绿盟科技格物实验室 田泽夏

随着IT和OT网络数字化转型和融合的加速，物联网(IoT)和工业物联网(IIoT)设备正成为石油和天然气、能源、公用事业、制造业、制药、食品和饮料等行业公司的重要工具。无论是优化单个流程还是整个工厂和其他关键基础设施生态系统，这些设备都有助于提高生产效率，提高可靠性、响应性、质量和交付。

然而，随着公司引入更多的工业物联网设备，这些设备在设计时通常没有考虑到安全性，它们也给环境带来了风险。四年前，NotPetya对医疗、能源和交通等领域的众多跨国公司造成了影响，许多公司的运营陷入停顿，造成的损失估计达100亿美元。多年来，我们已经看到了黑客如何破坏联网汽车，篡改关键系统，如引擎和刹车的例子。

不难想象，攻击者也可能会扰乱顶级制药公司的生产，造成食品和饮料公司的资源短缺或篡改产品质量。对关键基础设施的一些最新威胁包括seigeware，黑客破坏了每个企业赖以运行其办公室基础设施的系统——灯、电梯、空调和供暖，以及物理安全系统。GPS欺骗可以让攻击者干扰导航系统，欺骗车辆操作员偏离轨道。攻击者可以通过多种方式使用联网设备采取大胆行动，或在幕后操纵，破坏我们的经济系统，更糟糕的是造成身体伤害，这些风险是真实存在的。

Gartner将这些网络和资产的组合称为信息物理系统(cyber-physicalsystems, CPSs)，并预测到2023年，对CPSs造成致命影响攻击的财务将超过500亿美元。即使不考虑人命的实际价值，企业在赔偿、诉讼、保险、罚款和名誉损失等方面的成本也将是巨大的。Gartner预计，到2024年，75%的首席执行官将为CPS事件承担个人责任，这为解决这一问题增加了紧迫感。

所以，该如何处理呢？

追踪跨IT/OT便捷的设备威胁

关键基础设施公司需要能够识别和跟踪来自跨越IT和OT边界的物联网/工业物联网设备的威胁。但现实是，对于IT安全专业人士来说，OT网络几十年来一直是一个盲点。越来越多的传统OT资产面向互联网，以及工业公司在其环境中添加更多的互联网连接设备，以推动自动化和现代化，如何降低风险的难题只会增加。由于缺乏可见性和遥测技术，OT和IT安全团队常常处于黑暗之中，不知道已经部署在他们环境中的CPSs及其行为。

主动的风险管理

主动的风险管理要求能够从不同但互补的角度来检查和处理风险，从而保障OT环境的整体安全。实现这一点的关键是清楚地了解组织的资产、风险状况和网络流量。

资产审计

了解资产风险态势，首先要了解工业控制系统(ICS)网络和端点的可见性，并在不需要额外连接的情况下集中IT、OT、物联网和工业物联网资产信息。这样，人机界面(HMIs)、工程工作站(EWs)就可以通过有关IT威胁和漏洞的信息来丰富，从而在不影响生产率或停机时间的情况下提高这些资产的安全性。在面临风险时，能够及时在生产流程中定位受影响的资产以及相关各种设备，从而加速响应，降低损失。

流量监控/追踪

与网络流量相关的上下文安全信息也是识别和跟踪IT/OT边界威胁的关键。许多影响OT环境的攻击都是从IT网络开始的，所以防御者除了为IT系统构建威胁签名外，还需要构建ICS设备和OT网络的威胁签名。例如建立独立的ICS设备数据库，细分所涉及的资产以及设备型号。同时，若拥有一项技术可以不需要手动更新或重新配置签名来保护CPSs, 就会大幅加速检测和响应。

总之，工业物联网设备正迅速成为现代OT环境的标志和竞争优势的加速器。OT和IT的边界随着IIOT的兴起正在逐渐模糊，我们必须要意识到OT与IT并不再是完全隔离独立的。ICS所面临的风险在OT环境和IT网络连通的一刻起，就已经极大超出了以往人们认知的范围。

让我们从对风险和成本的洞察中学习，从新法规中提出的指导方针中学习，以领先于工业物联网设备可能给工业环境带来的风险。

参考链接：

https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75--of-ceos-will-be-personally-liabl

https://www.securityweek.com/automaker-releases-software-update-after-hackers-remotely-hijack-car

https://www.securityweek.com/rise-industrial-iot-and-how-mitigate-risk

https://www.securityweek.com/automaker-releases-software-update-after-hackers-remotely-hijack-car

声明：本文来自关键基础设施安全应急响应中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。