數(shù)字化轉(zhuǎn)型加速工業(yè)互聯(lián)網(wǎng)發(fā)展 降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)從何做起?

隨著數(shù)字化轉(zhuǎn)型的加速以及IT和運(yùn)營(yíng)技術(shù) (OT) 網(wǎng)絡(luò)的融合，物聯(lián)網(wǎng) (IoT) 和工業(yè)物聯(lián)網(wǎng) (IIoT) 設(shè)備正成為石油和天然氣、能源、公用事業(yè)、制造、藥品、食品和飲料等行業(yè)公司的基本工具。無(wú)論是優(yōu)化單個(gè)流程還是整個(gè)工廠和其他關(guān)鍵基礎(chǔ)設(shè)施生態(tài)系統(tǒng)，這些設(shè)備都有助于提高生產(chǎn)效率并提高可靠性、響應(yīng)性、質(zhì)量和交付。

然而，隨著公司推出更多通常在設(shè)計(jì)時(shí)并未考慮安全性的IIoT設(shè)備，它們也會(huì)給其運(yùn)營(yíng)環(huán)境帶來(lái)風(fēng)險(xiǎn)。近四年前，NotPetya影響了包括醫(yī)療保健、能源和運(yùn)輸在內(nèi)的眾多跨國(guó)公司，使許多公司的運(yùn)營(yíng)陷入停頓，并造成了約100億美元的損失。多年來(lái)，我們已經(jīng)看到黑客如何破壞聯(lián)網(wǎng)汽車(chē)以篡改關(guān)鍵系統(tǒng)(例如發(fā)動(dòng)機(jī)和制動(dòng)器)的示例。最近，在美國(guó)關(guān)鍵基礎(chǔ)企業(yè)遭到一系列勒索攻擊后，白宮警告企業(yè)加強(qiáng)網(wǎng)絡(luò)安全措施。

假象一下，例如威脅行為者擾亂頂級(jí)制藥公司的生產(chǎn)，以造成短缺或篡改食品和飲料公司的產(chǎn)品質(zhì)量，這對(duì)他們來(lái)說(shuō)可能輕而易舉。對(duì)關(guān)鍵基礎(chǔ)設(shè)施的一些最新威脅包括 seigeware，黑客會(huì)破壞每個(gè)企業(yè)運(yùn)行其辦公基礎(chǔ)設(shè)施所依賴(lài)的系統(tǒng)——燈光、電梯、空調(diào)和暖氣以及物理安全系統(tǒng)。GPS欺騙允許攻擊者干擾導(dǎo)航系統(tǒng)并使車(chē)輛操作員偏離路線。攻擊者可以通過(guò)多種方式使用聯(lián)網(wǎng)設(shè)備采取大膽行動(dòng)或在后臺(tái)進(jìn)行操作，以破壞我們的經(jīng)濟(jì)福祉，更嚴(yán)重的或造成人身傷害。這些風(fēng)險(xiǎn)是真實(shí)存在的。

Gartner將這些網(wǎng)絡(luò)和資產(chǎn)的組合稱(chēng)為網(wǎng)絡(luò)物理系統(tǒng) (CPS)，并預(yù)測(cè)到2023年，對(duì)CPS 的攻擊造成致命傷亡的財(cái)務(wù)影響將超過(guò)500億美元。他們指出，即使不考慮一個(gè)人的生命實(shí)際價(jià)值，企業(yè)在賠償、訴訟、保險(xiǎn)、監(jiān)管罰款和聲譽(yù)方面損失的成本將是巨大的。Gartner預(yù)計(jì)，到2024年，75%的CEO將對(duì)CPS事件承擔(dān)個(gè)人責(zé)任，這增加了解決這一問(wèn)題的緊迫性。

如何降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

為了解決物聯(lián)網(wǎng)設(shè)備日益增長(zhǎng)的使用和風(fēng)險(xiǎn)，美國(guó)已于2020年12月4正式簽署《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》。認(rèn)識(shí)到識(shí)別物聯(lián)網(wǎng)設(shè)備引入的漏洞和供應(yīng)鏈風(fēng)險(xiǎn)方面缺乏統(tǒng)一性，該法案尋求用標(biāo)準(zhǔn)和準(zhǔn)則取代目前主要的臨時(shí)方法。針對(duì)設(shè)備中的漏洞，一個(gè)簡(jiǎn)單的方法是在軟件開(kāi)發(fā)初期，使用靜態(tài)代碼檢測(cè)工具發(fā)現(xiàn)一些常見(jiàn)代碼缺陷和系統(tǒng)安全漏洞。

那么，從哪里開(kāi)始做起呢?

關(guān)鍵基礎(chǔ)設(shè)施公司需要能夠識(shí)別和跟蹤來(lái)自跨越IT和OT邊界的 IoT/IIoT設(shè)備的威脅。但現(xiàn)實(shí)是，數(shù)十年來(lái)，OT網(wǎng)絡(luò)一直是IT安全專(zhuān)業(yè)人員的盲點(diǎn)。隨著越來(lái)越多的傳統(tǒng)OT資產(chǎn)面向互聯(lián)網(wǎng)，工業(yè)公司在其環(huán)境中添加更多的互聯(lián)網(wǎng)連接設(shè)備以推動(dòng)自動(dòng)化和現(xiàn)代化，降低風(fēng)險(xiǎn)的挑戰(zhàn)只會(huì)越來(lái)越大。由于缺乏可見(jiàn)性和遙測(cè)技術(shù)，OT和IT安全團(tuán)隊(duì)通常一無(wú)所知，不知道已部署在其環(huán)境中的CPS及其行為。

主動(dòng)風(fēng)險(xiǎn)管理需要能夠從不同但互補(bǔ)的角度檢查和解決風(fēng)險(xiǎn)，以便為OT環(huán)境的整體安全帶來(lái)上下文。實(shí)現(xiàn)這一目標(biāo)的關(guān)鍵是清楚了解組織的資產(chǎn)風(fēng)險(xiǎn)狀況和網(wǎng)絡(luò)流量。

了解資產(chǎn)風(fēng)險(xiǎn)狀況始于對(duì)工業(yè)控制系統(tǒng) (ICS) 網(wǎng)絡(luò)和端點(diǎn)的可見(jiàn)性，并在無(wú)需增加連接的情況下集中IT、OT、IoT 和IIoT資產(chǎn)信息。通過(guò)這種方式，人機(jī)界面(HMI)、歷史記錄器和工程工作站 (EW) 可以豐富有關(guān)IT威脅和漏洞的信息，從而在不影響工作效率或停機(jī)時(shí)間的情況下提高這些資產(chǎn)的安全性。

與網(wǎng)絡(luò)流量相關(guān)的上下文安全信息也是識(shí)別和跟蹤跨越IT/OT邊界的威脅的關(guān)鍵。許多影響OT環(huán)境的攻擊始于IT網(wǎng)絡(luò)，因此防御者除了為IT系統(tǒng)構(gòu)建的威脅簽名外，還需要針對(duì)ICS設(shè)備和OT網(wǎng)絡(luò)的威脅簽名。擁有保護(hù)CPS的技術(shù)，無(wú)需重新配置簽名或手動(dòng)更新，可加速檢測(cè)和響應(yīng)。

軟件安全漏洞同時(shí)也是受網(wǎng)絡(luò)犯罪分子關(guān)注的焦點(diǎn)，不乏大量造成重大安全事故的網(wǎng)絡(luò)攻擊是由系統(tǒng)安全漏洞引起的，因此除了做到以上幾點(diǎn)，還需加強(qiáng)對(duì)軟件安全的建設(shè)，利用靜態(tài)代碼安全檢測(cè)等工具，在開(kāi)發(fā)期間減少漏洞產(chǎn)生，讓工業(yè)互聯(lián)網(wǎng)更安全。

參讀鏈接：

https://www.securityweek.com/rise-industrial-iot-and-how-mitigate-risk