这不是没有根据的担忧:正如我们在媒体上看到的那样,针对工厂的网络攻击案例越来越多,使基础设施变得无用,甚至改变其运营,从而产生风险。我们第一次接触到工业网络安全是在2010年。Stuxnet是一种被称为第一个网络武器的恶意软件,它被引入伊朗的核电站以延迟伊朗的核计划。该恶意软件设法控制了铀浓缩离心机的阀门和压力传感器。过去一年,针对关键基础设施的工业网络攻击显着增加,目标是燃煤发电厂、变电站、水处理厂或输油管道。例子包括最近对ColonialPipelines或佛罗里达水处理厂的袭击,这些水处理厂为大量人口供水。IoT设备存在安全风险物联网(IoT)是一组连接物理世界和数字世界的技术。传感器、执行器和其他所谓的物联网设备从物理世界中发生的事情中收集信息,然后以数字方式处理这些信息。与人体类比,物联网是数字世界的含义,也是许多寻求通过数字化流程和利用数据来转变业务模式的工业企业迈向数字化转型的第一步。第一步是收集数据。公司现在可以连接到他们的工业设备并收集数据,以通过物联网部署做出明智的决策。这些物联网设备中有许多具有先进的计算能力,可以远程操作工业设备;这就是正确保护这些设备如此重要的原因。物联网设备非常重要。然而,整个网络安全链中最薄弱的环节及其背后的原因是缺乏固件更新。在PC和手机等成熟领域,设备接收新版本和安全补丁的通知无处不在,一旦下载和安装,就可以保护智能手机和笔记本电脑免受最新漏洞的侵害。然而,在工业界,这远非常态。通常,一旦物联网设备部署在其物理环境中,它们就永远不会更新,这大大增加了遭受网络攻击的风险。物联网设备的更新方式与我们的手机或计算机不同,主要原因有两个:工业物联网市场的不成熟意味着网络安全未被视为主要要求。如果我们将推动一家公司开展IoT项目的所有需求放入某种马斯洛金字塔中,那么在网络安全之前还有其他问题,这就是一个大错误。在项目开发之后担心物联网安全,而不是在一开始,从设计阶段。管理分布式、远程和极端异构环境的复杂性。物联网的概念是建立在大量分布式“物”存在的基础上的。为了能够确保所有这些设备都能以高效和可扩展的方式进行更新,拥有一个安全的远程管理系统至关重要。否则,必须在本地定期更新IoT设备的成本将使任何特定规模的项目都不可行。此外,IoT设备开发中缺乏标准使这种管理变得复杂,并使每个供应商都无法响应(或不响应)这种需求。工业物联网安全:保护物联网边缘设备的建议物联网中最常见的漏洞围绕以下领域:使用弱密码或嵌入式密码不安全的网络服务使用不安全的接口缺乏更新机制缺乏数据存储和传输安全设备管理不充分面临有了这份典型漏洞列表,OWASP等组织已在其网站上发布了指南,指出在开发物联网解决方案时应考虑哪些方面以及应采取哪些保护措施。物联网设备是安全链中最薄弱的环节。在部署任何物联网项目时,确保它们得到充分保护是最好的方式。
