许多垂直行业已经采用IIoT,但这并不意味着它们的部署是安全的。IIoT引入了各种操作技术(OT)架构,这些架构对传统IT系统具有不同的威胁向量和相关风险。其中许多风险已存在数十年,并已进入快速发展的工业物联网领域。工业物联网设备及相关技术给企业带来的常见安全风险可分为三类:管理和运营风险、技术风险和物理风险。1.管理和运营风险此类风险涉及人为风险,无论是意外还是故意的,例如工业物联网设备的不当使用或网络攻击者入侵网络。缺乏全面的IIoT安全风险管理计划可能会使组织的业务安全变得脆弱。该计划必须包括安全政策、程序和定期培训,以尽可能识别、管理和消除网络安全风险。人为事故和错误可能会造成安全漏洞,例如工业物联网设备的误用或误安装,以及遗留系统的使用。工业物联网设备也成为恶意内部人员和外部人员破坏的目标。IIoT设备和系统的制造商可能会倒闭、消失或停止支持它们,而企业继续使用其IIoT技术。这可能导致用于关键场景的工业物联网设备的一些漏洞被攻击利用。2.物联网设备技术风险的增加扩大了攻击面,这些设备往往存在用户不知道的漏洞,可以被网络攻击者发现。IIoT部署在IT和OT之间建立了新的连接,这增加了部署的复杂性和安全风险,尤其是对于非标准化的IIoT硬件、软件和固件。IIoT中缺乏全球采用的安全性和互操作性技术标准,导致设备、控制器和支持系统的安全性不一致。许多IIoT设备使用弱加密或无加密,弱身份验证或无身份验证,并且运行在易受网络攻击的软件上。3.物理风险自然灾害、紧急情况或网络攻击可能会破坏或改变工业物联网系统的工作方式。网络攻击者可能会以物理上安全性较差的设备为目标并直接改变它们,以有害的方式影响物理世界。例如,网络攻击者可以将控制石油管道或其他资源的物联网设备作为目标。许多IIoT设备需要手动维护或更新,这对于使用它们的员工来说可能是不可能的。遵循推荐的IIoT安全实践某些网络安全目标应该是每个IIoT安装的一部分。首先,企业必须使用安全的IIoT设备和系统。IoT团队必须配置设备以防止它们被用作网络攻击的一部分,例如分布式拒绝服务(DDoS)、数据泄露或修改设备设置。组织还应该建立数据安全控制。他们必须保护通过IIoT技术收集、处理、存储和传输的所有数据的机密性、完整性和可用性。缺乏数据完整性和部署不一致是IIoT的固有风险。每个实施工业物联网设备的企业都必须具备以下领域的安全能力:管理和运营安全控制。这些是保护IIoT部署所必需的以人为本的行动。控制措施包括管理设备的选择、开发、实施和维护所需的行动。安全措施必须保护IIoT数据和设备功能,并管理使用IIoT设备的员工队伍。采取的一些步骤包括IIoT安全控制设置文档、政策和程序、安全使用设备的培训或执行IIoT风险评估。技术安全。这些是确保有效IIoT安全和保护作为IIoT系统一部分的技术元素(例如云计算服务或供应链)所必需的基于技术的组件。这包括控制,例如使用多因素身份验证、加密、安全启动和设备识别技术对IIoT设备进行身份验证。人身安全。物理措施和工具可以保护IIoT设备和相关服务器、控制器、显示器、输入和输出设备,以及构成IIoT环境的所有硬件。企业必须在设施和IIoT设备附近建立访问控制,仅允许授权使用和访问专有数据,并限制对IIoT设备和系统控制进行修改的能力。这些示例包括保护对存储卡的访问、禁用不必要的USB端口、仅允许授权实体查看IIoT设备的屏幕以及控制对IIoT设备和相关硬件的物理访问。如果没有针对这三个类别的安全控制,工业物联网设备和系统是不安全的。IT管理员特有的IIoT安全问题IT管理员需要将IIoT设备、控制器和支持系统纳入其整体网络管理计划。这包括测试和风险管理活动、风险评估、漏洞评估、渗透测试、备份和恢复、对使用IIoT设备的所有人员进行的安全培训,以及综合安全计划所需的其他安全活动。IT管理员需要确保实施和遵循基本的安全实践。用于改进关键基础设施网络安全的NIST框架1.1版,通常称为网络安全框架(CSF),被全球各行各业的大多数组织使用。公司还可以考虑其他框架,例如ISO、工业互联网联盟的工业互联网安全框架或ISA99工业自动化和控制系统安全。(汉云科技)企业可以定制和使用七个网络安全框架(CSF)类别来组织和调整他们的安全策略,并将安全控制扩展到包括工业物联网设备、系统、应用程序和云平台:(1)资产管理;(二)营商环境;(三)治理;(四)风险评估;(五)风险管理策略;(6)供应链风险管理;(七)信息保护流程和程序。
