供应链不仅为物联网提供基础,还提供针对漏洞的保护。IT专业人员需要防御利用供应链安全漏洞的恶意攻击。大多数使用基于IIoT的运营来构建产品的公司可能会密切关注其供应链,以提供可预测的原材料和服务流,从而使他们能够推出产品并保持业务蓬勃发展。但第二个基本供应链受到的审查较少。而且,如果该供应链的安全性以某种方式受到损害,企业可能会陷入停顿。被忽视的供应链提供了构建IIoT基础设施的组件。从安全的角度来看,这些设备的购买者处于供应链的末端,供应链缺乏足够的透明度。在实践中,追踪构成已交付IIoT设备的内部元素的来源将是一项挑战。因此,IIoT绑定组件带有可利用的安全漏洞的情况并不少见。IIoT供应链的复杂性和全球影响力只会使问题更加复杂,单个设备可能由数十家组件制造商提供的零件制成。物联网网络安全公司FiniteState在2019年的一份报告中指出《Finite State Supply Chain Assessment》:“全球公司制造的数十种组件通过多层供应商和集成商做出反应,直到它们被放置在产品上,由原始设备制造商进行测试和包装”IIoT基础设施面临的风险是真实存在的大多数网络运营商都认识到IIoT供应链风险,但很难隔离特定的漏洞。这些部署通常影响深远,从制造商扩展到托运人、商家和其他业务合作伙伴。随着网络的扩展和包含更多集成点,一小部分恶意代码被复制的风险只会增加。事实上,代码本身可能不是恶意的,但可能会提供一个可能危及系统的开放端口。FiniteState首席执行官MattWyckhouse指出:“只是亲眼看到嵌入式系统中存在多少漏洞,资产所有者并没有意识到他们的系统中存在这些漏洞。”一旦IIoT环境遭到破坏,恶意行为者就可以以此为切入点进一步深入公司的系统。工业控制系统(ICS)和其他生产系统可能会受到危害,但如果入侵者能够避开安全屏障并进行更深入的钻探,关键的企业应用程序和相关数据也可能会暴露。这一切都归因于可疑的固件,这些固件进入了生产传感器、执行器和其他支持IIoT的设备的供应链。Wyckhouse解释说:“当报告漏洞时,制造商需要一段时间来解决漏洞,在那里发布补丁,然后资产所有者可以对设备进行更新并使用最新版本的固件运行它。”描述已知漏洞如何持续存在。在2019年7月ARC咨询小组关于安全提供商卡巴斯基的报告中,超过四分之一(26%)的受访者表示,他们将“来自供应链或合作伙伴等第三方的威胁”视为主要担忧,另有44%的受访者表示这是一个次要关注。有趣的是,勒索软件(70%)和针对性攻击(68%)等所有其他主要安全问题都可以通过供应链漏洞对公司发起。在同一项调查中,28%的受访者表示,他们公司的ICS或工业控制网络很可能或非常有可能成为攻击目标。另一项由荷兰安全机构Erdeto进行的2019年“全球互联行业网络安全调查”强调,许多公司已经受到侵入性物联网攻击的打击:“该研究令人震惊地发现,只有17%的物联网设备由大型企业使用或制造企业在过去12个月内没有经历过网络攻击。“IIoT供应链如何受到损害通常,为公司生产线提供服务的供应链最大的担忧是生产活动可能会中断,导致生产放缓或停止。对于IIoT供应链,威胁更加隐蔽,可能需要数周或数月才能显现出来。通常,当IIoT供应链断裂时,更多的是一种多米诺骨牌效应,掩盖了漏洞的来源。AdolusCEO,Adolus,一家提供固件检查服务的公司EricByres说:“攻击者心里有一些受害者,但他们没有直接去找受害者,而是去了二线IIoT供应商,破坏了他们的网站,并使用木马版本替换了合法的固件和软件。“不知情的IIoT网络管理员进行适当的网络维护可能会在无意中扩散恶意代码。“他们立即下载它并将其带入他们的工厂,然后工厂内突然出现这种恶意软件,”Byres说。控制防火墙内部和所有内部。“入侵者可能闯入工业网络,然后破坏公司数据网络。“破坏者攻击一个站点,他们获得了这种可靠的乘数效应,”Byres继续说道。投资回报。“大多数工业物联网环境包括成百上千台旧设备——传感器和其他可能已有十年(或更长时间)历史的组件。专家认为,设备越旧,越有可能因支持和更新落后而带来安全风险。例如,有限状态报告描述了某些制造商制造的组件包含使用2003年发布的OpenSSL版本的代码,并且已知(并记录在案)极易受到攻击。一些IIoT供应链安全漏洞可能是有意、无意和恶意插入的。一个例子是后门。软件中的后门允许访问固件的核心部分,从而访问组件本身,而无需经过通常的身份验证过程。组件制造商通常会打开善意的后门,为技术人员提供支持和监控设备的入口点。这些后门通常被称为调试端口,也为恶意行为者提供了方便的访问途径。同样,旨在允许与工业控制系统集成的应用程序编程接口(API)可能会无意中提供另一种危害设备操作的方法。各国经常在其出口产品上留下相对邪恶的后门,因为他们希望以后使用它们来处理知识产权(IP)或其他数据。总的来说,工业物联网供应链更像是狂野的西部,而不是得到很好的控制。“就安全标准而言,物联网仍然是一项完全不受监管的技术,”纽约大学的MuhammadJunaidFarooq和QuanyanZhu发表的一篇研究论文指出。“从设备所有者的角度来看,对上游供应链没有控制权。并非所有供应商都准备好清楚地阐明他们的网络安全实践并披露他们的供应链信息。”恶意攻击者的目标是他们想要入侵IIoT供应链,这可能会导致由其他类型的网络漏洞引起的任何受损情况。然而,就其本质和功能而言,“有漏洞的”IIoT设备可能会导致各种恶意活动和破坏。勒索软件仍然是攻击的主要动机。许多IIoT供应链渗透也是如此,因为不良行为者可以阻止或以其他方式对生产产生负面影响,直到支付赎金。在工业环境中,生产中断可能更具破坏性。通过改变来自传感器和其他IIoT设备的数据流,可以操纵机器设置,从而在制造过程中导致看不见的问题,这些问题可能导致产品故障或工厂车间机器(例如机器人设备操作模式)的不安全状况。2020年3月《 OT安全最佳实践》报告指出,违反工业控制系统可能会产生深远的后果:“其中一些危害包括对人类健康和安全的重大风险、对环境的严重破坏以及生产损失等财务问题,并对一个国家的经济产生负面影响。”某些垂直行业也成为关键目标。“如果你想要一个有很多目标的目标丰富的环境,那就去能源,去电网,去石油和天然气,”Adorus的拜尔斯说。“由于大流行,我们现在看到的另一个目标丰富的环境是医疗保健。”FiniteState的Wyckhouse也指出医疗保健是一个主要目标。“过去几周,我们实际上在医疗保健行业看到了毁灭性的、危及生命的破坏性攻击,勒索软件攻击在大流行期间使医院瘫痪。”大笔支出并不总是攻击目标,有时甚至是目标,例如关键知识产权(IP)中的信息。通过IIoT环境中的漏洞访问企业数据网络也是一种常见的策略。“攻击面每天都在扩大,变得越来越复杂,”Wyckhouse说。“在某些情况下,我们应该关注使用供应链作为初始访问机制的参与者。”如何应对I??IoT供应链的不足之处创建更安全的IIoT环境对于大多数公司来说将是一项艰巨的任务,这仅仅是因为网络上设备的数量和年龄。如果您已经拥有这些设备的详细而全面的清单,这是您的第一步-否则,这就是开始的地方。一旦确定了基本布局,下一步就是供应链风险评估。识别“宏观”风险,例如勒索情况、数据损坏或IP盗窃。然而,风险评估也需要更细化,评估每台设备的潜在漏洞以及如何将该漏洞组合成更广泛的网络入侵。它还需要仔细研究公司的网络及其集成方式。例如,通过使用气隙将操作技术环境与IT网络分开,可以将IIoT与Internet隔离。还应评估IIoT设备供应商,以了解他们的安全工作水平。执行此操作的最佳时间是贵公司评估产品采购时,因为“设备生命周期中运营商对制造商影响最大的时刻是设备采购期间”。如果IIoT设备的购买数量众多且频繁,则最好建立正式的评估流程,以确保所有供应商和产品都经过适当审查。“不要只是说,‘我们非常重视安全,’”拜尔斯说。“从他们那里得到一份适当的报告,或者去找第三方进行适当的分析,真正弄清楚你的供应商是否在做任何关于安全的事情。工作。“您还可以利用美国国家标准与技术研究院(NIST)的国家漏洞数据库(NVD)等资源来检查其常见漏洞和暴露(CVE)列表。新兴的服务和应用程序类别正在出现,专门用于解决IIoT供应链情况。Adolus和FiniteState是提供服务的公司示例,这些服务可帮助用户确定他们已安装或正在考虑的设备的安全性。Adolus最初是美国国土安全部的一个项目,后来发展为可商用使用的服务。它建立在一个数据库之上,该数据库收集与数千个物联网设备相关的已发布和轶事信息,包括所有已知漏洞的摘要。最终用户或设备制造商可以利用该数据库来跟踪组件并查找详细信息关于它的组件和供应商。“我们的技术是为这些软件,”Adolus首席执行官EricByres说。“这样我们不仅可以了解你刚刚购买和安装的基础产品,还可以了解它附带的所有组件的完整信息。”一些国家也正在采取一种新颖的方法来解决这个问题。该公司的技术可以有效地解析固件以确定它是否对IIoT基础设施构成风险。这一点尤为重要,因为正如FiniteState的CEOMattWyckhouse所指出的那样:“应用固件更新时,该固件会替换该设备上的所有软件。它会完全替换它,从而彻底改变设备的风险状况。”
