如何避免工業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全的威脅

在數(shù)字時(shí)代，物聯(lián)網(wǎng)（IOT）是企業(yè)保持競(jìng)爭(zhēng)力和盈利的不可否認(rèn)的現(xiàn)實(shí)。大多數(shù)工業(yè)公司都將物聯(lián)網(wǎng)視為推動(dòng)數(shù)字化運(yùn)營(yíng)以提高效率和收益的主要驅(qū)動(dòng)力。

然而，與消費(fèi)者物聯(lián)網(wǎng)產(chǎn)品（如智能手表）不同，要大規(guī)模采用工業(yè)物聯(lián)網(wǎng)，企業(yè)必須投入大量資金來(lái)改造其設(shè)備、基礎(chǔ)設(shè)施、人員和流程。由于物聯(lián)網(wǎng)系統(tǒng)與物理環(huán)境相互作用，因此它們的相關(guān)風(fēng)險(xiǎn)也更高。

更多的網(wǎng)絡(luò)威脅是連接性和軟件技術(shù)的另一面。固有的軟件缺陷、意外錯(cuò)誤和對(duì)物理系統(tǒng)的惡意遠(yuǎn)程訪問(wèn)會(huì)對(duì)人員、設(shè)備和環(huán)境造成損害。

已經(jīng)有幾份報(bào)告稱，網(wǎng)絡(luò)犯罪分子利用遠(yuǎn)程訪問(wèn)和魚叉式網(wǎng)絡(luò)釣魚電子郵件入侵關(guān)鍵基礎(chǔ)設(shè)施。紐約州灌溉大壩指揮和控制系統(tǒng)的黑客入侵，以及烏克蘭電網(wǎng)中BlackEnergy惡意軟件引起的停電就是兩個(gè)顯著例子。

根據(jù)美國(guó)證券交易委員會(huì)10Q報(bào)告和歐洲財(cái)務(wù)報(bào)告顯示，2017年由于工業(yè)感染造成的損失高達(dá)10億美元。

以下摘錄突出了工業(yè)網(wǎng)絡(luò)安全威脅的嚴(yán)重性。

“工業(yè)物聯(lián)網(wǎng)（IIOT）安全漏洞的后果比傳統(tǒng)IT部署的危害要嚴(yán)重得多。在工業(yè)物聯(lián)網(wǎng)系統(tǒng)遭到黑客攻擊的情況下，除了常見的IT后果（例如聲譽(yù)損失和財(cái)務(wù)損失）之外，還可能會(huì)造成生命損失和/或環(huán)境破壞?！?/p>

——《實(shí)用工業(yè)物聯(lián)網(wǎng)安全》

為了確保物聯(lián)網(wǎng)投資安全無(wú)憂，必須保持足夠的警惕，并將董事會(huì)會(huì)議延伸到工廠車間。接下來(lái)讓我們討論一些實(shí)現(xiàn)此目標(biāo)的實(shí)用方法。

物聯(lián)網(wǎng)安全比網(wǎng)絡(luò)安全更棘手

任何工業(yè)物聯(lián)網(wǎng)解決方案都涉及技術(shù)復(fù)雜性、多個(gè)供應(yīng)商和特定領(lǐng)域的行為。這使得物聯(lián)網(wǎng)威脅形勢(shì)和緩解措施都相當(dāng)棘手。

傳統(tǒng)的網(wǎng)絡(luò)安全主要是保護(hù)軟件程序和數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中免受惡意訪問(wèn)。而物聯(lián)網(wǎng)安全則更進(jìn)一步，除了數(shù)據(jù)隱私之外，系統(tǒng)還必須能夠安全可靠地從攻擊中恢復(fù)。（來(lái)源物聯(lián)之家網(wǎng)）例如，如果無(wú)人駕駛汽車的控制軟件在汽車以每小時(shí)100公里的速度行駛時(shí)崩潰，汽車應(yīng)該能夠從容地做出快速反應(yīng)以避免致命事故。

因此，物聯(lián)網(wǎng)安全必須在多個(gè)層面進(jìn)行協(xié)調(diào)，這需要開發(fā)人員、運(yùn)營(yíng)商和管理層做出貢獻(xiàn)，以確保物聯(lián)網(wǎng)設(shè)備、計(jì)算平臺(tái)、通信和流程的安全。

在《實(shí)用工業(yè)物聯(lián)網(wǎng)安全》一書中，討論了一種四層方法來(lái)剖析和簡(jiǎn)化生命周期各個(gè)階段的安全管理。這四個(gè)層次是：

▲身份和訪問(wèn)管理

▲端點(diǎn)和嵌入式軟件

▲通信和連接

▲云平臺(tái)與應(yīng)用

做好準(zhǔn)備

在軟件定義的連網(wǎng)世界中，安全性不僅僅在于推測(cè)和阻止攻擊，它還涉及到如果發(fā)生攻擊，可以從容地消除后果。制定安全計(jì)劃以保護(hù)其關(guān)聯(lián)資產(chǎn)的企業(yè)在降低資產(chǎn)和負(fù)債風(fēng)險(xiǎn)方面表現(xiàn)得更好。

“除了數(shù)據(jù)可用性、隱私性和完整性之外，工業(yè)物聯(lián)網(wǎng)安全計(jì)劃還必須確保在發(fā)生攻擊時(shí)的恢復(fù)能力和可靠性，這些攻擊可能來(lái)自外部或內(nèi)部，也可能是由于意外的錯(cuò)誤配置或自然災(zāi)害造成。”

——《實(shí)用工業(yè)物聯(lián)網(wǎng)安全》

對(duì)于大多數(shù)采用物聯(lián)網(wǎng)的傳統(tǒng)組織來(lái)說(shuō)，制定一個(gè)包含信息技術(shù)（IT）和運(yùn)營(yíng)技術(shù)（OT）的安全計(jì)劃是一個(gè)新概念。然而，制定安全計(jì)劃是保護(hù)其物聯(lián)網(wǎng)投資的關(guān)鍵步驟之一。物聯(lián)網(wǎng)安全計(jì)劃包括主動(dòng)和被動(dòng)安全措施，其中包括：風(fēng)險(xiǎn)評(píng)估、策略定義、法規(guī)遵從性、安全監(jiān)控、事件管理和審計(jì)。

使之實(shí)用

“一個(gè)實(shí)用的安全治理模型必須能夠?yàn)樘囟I(yè)務(wù)用例調(diào)整安全性的強(qiáng)弱，以確保信任和合規(guī)性?！?/p>

——《實(shí)用工業(yè)物聯(lián)網(wǎng)安全》

安全涉及成本，它還增加了復(fù)雜性，并要求常規(guī)操作增加額外的處理周期。市場(chǎng)上有太多的物聯(lián)網(wǎng)安全產(chǎn)品可供選擇，但它們的實(shí)現(xiàn)和用法通常并不簡(jiǎn)單。此外，在快速發(fā)展的數(shù)字經(jīng)濟(jì)中，創(chuàng)新和產(chǎn)品上市時(shí)間往往要優(yōu)先于安全性和可靠性。

在物聯(lián)網(wǎng)解決方案的設(shè)計(jì)、開發(fā)、部署和運(yùn)營(yíng)階段，這些因素會(huì)導(dǎo)致圍繞“保護(hù)多少”的困惑。保護(hù)一切都是不現(xiàn)實(shí)的，而且往往無(wú)法實(shí)現(xiàn)。它必須與用例的獨(dú)特風(fēng)險(xiǎn)特征保持一致。

每個(gè)物聯(lián)網(wǎng)用例都有其獨(dú)特的技術(shù)和業(yè)務(wù)需求，以及獨(dú)特的安全態(tài)勢(shì)和攻擊面。例如，保護(hù)智慧城市用例的步驟將與智慧農(nóng)業(yè)大不相同。

通過(guò)將四層安全方法與適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估相結(jié)合，企業(yè)可以通過(guò)定義實(shí)用的方法和可實(shí)現(xiàn)的安全目標(biāo)來(lái)“調(diào)整”其安全計(jì)劃。

如果執(zhí)行得當(dāng)，保護(hù)工業(yè)物聯(lián)網(wǎng)用例不必成為噩夢(mèng)。這是確保企業(yè)數(shù)字化轉(zhuǎn)型以提高效率的必勝之道。
來(lái)源；物聯(lián)網(wǎng)之家