讓我們來看看工業(yè)物聯(lián)網(wǎng)系統(tǒng)的弱點(diǎn)，以及黑客如何利用它們在工業(yè)網(wǎng)絡(luò)中立足。

設(shè)備和端點(diǎn)可見性差

缺乏對連網(wǎng)設(shè)備、傳感器、端點(diǎn)及其配置和合規(guī)性的實時可見性，可能是物聯(lián)網(wǎng)領(lǐng)域一直存在的安全挑戰(zhàn)。根據(jù)2019年P(guān)anaseer安全領(lǐng)導(dǎo)者的對等報告發(fā)現(xiàn)，即使在IT監(jiān)控技術(shù)激增、安全意識高漲的今天，仍有20％的企業(yè)將物聯(lián)網(wǎng)設(shè)備視為監(jiān)管最差的資產(chǎn)。

顯而易見，此類灰色地帶設(shè)備必定會成為攻擊的受害者。但是，制造公司如何最終陷入物聯(lián)網(wǎng)網(wǎng)絡(luò)的黑暗之中？原因各不相同。

一家企業(yè)可能會以很高的速度擴(kuò)展其連網(wǎng)基礎(chǔ)設(shè)施，以至于某些設(shè)備由于疏忽而被排除在庫存記錄之外。其他制造商往往會忘記幾十年前部署的設(shè)備，這些設(shè)備幾乎從未使用過，但仍然可以訪問互聯(lián)網(wǎng)。一些IT部門只是缺少工具或資源來監(jiān)控大量連網(wǎng)的資產(chǎn)，而其他IT部門則無法正確地對其物聯(lián)網(wǎng)網(wǎng)絡(luò)進(jìn)行適當(dāng)?shù)姆纸M，讓一些設(shè)備從裂縫中溜走。

在工業(yè)環(huán)境中，設(shè)備和端點(diǎn)可見性不佳的后果尤其嚴(yán)重。如果惡意軟件獲得對未受管理和未受保護(hù)的連網(wǎng)設(shè)備的控制，它不僅會攔截關(guān)鍵的生產(chǎn)數(shù)據(jù)，而且還會危及最終產(chǎn)品質(zhì)量、削弱生產(chǎn)線、導(dǎo)致供應(yīng)鏈延遲，甚至危及工人的安全。這樣，諸如疏忽之類的簡單事情就可能造成巨大財產(chǎn)和聲譽(yù)損失。

現(xiàn)成設(shè)置

對許多工業(yè)物聯(lián)網(wǎng)所有者來說，保持連網(wǎng)設(shè)備的默認(rèn)設(shè)置是另一種風(fēng)險。一方面，設(shè)備制造商很少使用復(fù)雜的憑證，這使得他們很容易在暴力攻擊中被發(fā)現(xiàn)。此外，包含設(shè)備初始配置和密碼的手冊可能在線上并最終落入黑客手中。這樣，由于無知或疏忽，公司可能會讓其系統(tǒng)容易受到破壞。

今天最臭名昭著的物聯(lián)網(wǎng)設(shè)備安全威脅是Mirai，這是一個自2016年以來一直嚴(yán)重破壞高知名度系統(tǒng)的僵尸網(wǎng)絡(luò)。這種惡意軟件的簡單之處在于：它掃描互聯(lián)網(wǎng)上的開放設(shè)備，并嘗試使用常見登錄密碼組合登錄。如果成功，Mirai會劫持設(shè)備并繼續(xù)控制整個網(wǎng)絡(luò)。

在大流行期間，出現(xiàn)了全新的Mirai變種，針對與遠(yuǎn)程工作相關(guān)的漏洞，如網(wǎng)絡(luò)攝像頭、調(diào)制解調(diào)器和路由器。由于許多制造商廣泛采用這些設(shè)備來遠(yuǎn)程監(jiān)控生產(chǎn)線，因此對其保護(hù)不力會成為一個嚴(yán)重漏洞。

為了保護(hù)您的系統(tǒng)免受此類攻擊，必須在系統(tǒng)投入使用之前更改現(xiàn)成的設(shè)備憑據(jù)和設(shè)置。另一個好的做法是限制外部人員和低級別人員訪問連網(wǎng)設(shè)備，以最大程度地減少有意和無意配置或密碼重置的風(fēng)險。

過時的軟件

對于高效、可持續(xù)和安全的工業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)而言，最新的軟件和設(shè)備固件是關(guān)鍵要求，但并非所有公司都能成功保持這種狀態(tài)。一方面，典型的工業(yè)物聯(lián)網(wǎng)系統(tǒng)是龐大且分散的，并且跟蹤所有更新、升級和補(bǔ)丁以及及時執(zhí)行它們，對于中等規(guī)模的IT部門來說是一項繁重的任務(wù)。此外，在許多情況下，連網(wǎng)設(shè)備可能會在整個升級過程中停止服務(wù)或無法正常工作，對于某些生產(chǎn)線來說，即使是短暫的停機(jī)時間也會造成中斷。

面對此類挑戰(zhàn)，許多工業(yè)物聯(lián)網(wǎng)所有者選擇無限期地推遲更新。同時，過時的軟件和固件缺少相關(guān)的保護(hù)機(jī)制、關(guān)鍵補(bǔ)丁和漏洞修復(fù)，這使連網(wǎng)基礎(chǔ)設(shè)施容易受到旨在利用此漏洞的最新惡意軟件攻擊。

例如，今年，領(lǐng)先的網(wǎng)絡(luò)安全公司TrapX報告稱，它發(fā)現(xiàn)了新的Lemon Duck惡意軟件，該惡意軟件針對使用停止更新的Windows 7并導(dǎo)致其故障的制造物聯(lián)網(wǎng)設(shè)備。至于工業(yè)設(shè)備，他們的操作系統(tǒng)很難升級，在某些情況下，所有者別無選擇，只能用預(yù)裝的新操作系統(tǒng)版本替換設(shè)備。

除了安全漏洞之外，使用過時的物聯(lián)網(wǎng)軟件還會導(dǎo)致崩潰和系統(tǒng)停機(jī)事件增加、生產(chǎn)效率低下以及維護(hù)工作量增加。所有這些使得保留過時固件變得無利可圖。

低效的數(shù)據(jù)安全策略

對于工業(yè)公司而言，物聯(lián)網(wǎng)生成的數(shù)據(jù)不僅敏感，而且是商業(yè)機(jī)密的一部分，而這正是網(wǎng)絡(luò)犯罪分子通常所追求的。Verizon的2020年數(shù)據(jù)泄露調(diào)查報告發(fā)現(xiàn)，勒索和工業(yè)間諜活動是制造業(yè)外部攻擊的兩個核心動機(jī)。

意識到這一點(diǎn)，工業(yè)物聯(lián)網(wǎng)采用者加強(qiáng)了其軟件和固件安全性，以防止受到攻擊。在所有這些措施中，令人遺憾的是，對工業(yè)物聯(lián)網(wǎng)生成的數(shù)據(jù)本身的保護(hù)往往會被忽視。

2020年Unit 42物聯(lián)網(wǎng)威脅報告指出，高達(dá)98％的物聯(lián)網(wǎng)設(shè)備通信未經(jīng)加密并在連網(wǎng)生態(tài)系統(tǒng)中以純文本形式傳播。因此，如果攻擊者設(shè)法滲透到工業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)中（如上文所述，盡管有安全措施，這種情況還是會發(fā)生），來自傳感器、端點(diǎn)和可穿戴設(shè)備的機(jī)密數(shù)據(jù)將在這里暴露出來，并易于收集。

2019年4月，一個黑客組織利用這種典型的安全疏忽進(jìn)行了大規(guī)模的間諜活動。他們針對數(shù)百個組織的易受攻擊的物聯(lián)網(wǎng)設(shè)備，從政府機(jī)構(gòu)到工業(yè)公司，以獲得對其系統(tǒng)的訪問權(quán)限，然后捕獲網(wǎng)絡(luò)流量。

考慮到商業(yè)秘密公之于眾的毀滅性后果，制造商應(yīng)該更保持安全，而不是道歉，并將設(shè)備通信日志和交易加密作為一項強(qiáng)制性的安全措施。

無分段

工業(yè)物聯(lián)網(wǎng)采用者的另一個常見錯誤是未能從邏輯上將他們的連網(wǎng)環(huán)境劃分為更小的設(shè)備組和子網(wǎng)絡(luò)。扁平的，未分段的工業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)在規(guī)模較小時易于維護(hù)和管理，但這是它的好處所在。從長遠(yuǎn)來看，這樣的基礎(chǔ)設(shè)施會成為一個麻煩，同時也是破壞企業(yè)網(wǎng)絡(luò)安全的致命缺陷。

一方面，未分段的工業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)是一個大的攻擊面，因此一個漏洞就足以讓惡意軟件訪問整個網(wǎng)絡(luò)。此外，清點(diǎn)龐大的工業(yè)物聯(lián)網(wǎng)環(huán)境是一項繁重的任務(wù)，其中包含大量不同服務(wù)時期、規(guī)格和用途的設(shè)備，因此由于人為疏忽、安全缺陷和潛在風(fēng)險可能會被忽視。（來源物聯(lián)之家網(wǎng)）此外，隨著系統(tǒng)的擴(kuò)展，將新設(shè)備安裝到混亂的安全架構(gòu)中并確保其端到端保護(hù)變得越來越困難。

使用防火墻進(jìn)行物理分段曾經(jīng)是保護(hù)工業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)的一種常見做法，但是最近，使用VLAN和ACL進(jìn)行虛擬分段已成為一種更為有效的方法。由于工業(yè)物聯(lián)網(wǎng)的巨大規(guī)模，一個完整級別的內(nèi)部防火墻架構(gòu)實施和維護(hù)被證明是非常昂貴和復(fù)雜的。反過來，微分段不僅是一種更便宜、更簡單的解決方案，而且還允許對設(shè)備進(jìn)行更靈活和更精細(xì)化的分組。

工業(yè)物聯(lián)網(wǎng)安全指南

最近，工業(yè)物聯(lián)網(wǎng)已成為黑客們青睞的攻擊載體之一。如今，制造商必須阻止新的和不斷發(fā)展的惡意軟件注入，同時還要處理由傳統(tǒng)硬件和軟件、落后的基礎(chǔ)設(shè)施以及最近轉(zhuǎn)向遠(yuǎn)程工作而產(chǎn)生的漏洞。

物聯(lián)網(wǎng)安全的整體解決方案是在這些動蕩時期保持保護(hù)和高效的唯一途徑。這些準(zhǔn)則將有助于工業(yè)企業(yè)采用可持續(xù)和全面的工業(yè)物聯(lián)網(wǎng)安全策略。

采取必要措施

重視物聯(lián)網(wǎng)安全基礎(chǔ)是保護(hù)您連網(wǎng)工業(yè)環(huán)境的第一步。這些措施雖然看似簡單，但仍然可以有效地保護(hù)工業(yè)物聯(lián)網(wǎng)免受最常見的安全利用或最大程度地減少漏洞的負(fù)面影響。此外，它們可以作為您可能選擇采用的更高級安全控制的堅實基礎(chǔ)。

以下是值得引入到您工業(yè)物聯(lián)網(wǎng)環(huán)境中的最佳實踐：

分段物聯(lián)網(wǎng)網(wǎng)絡(luò)

引入雙因素認(rèn)證

加密設(shè)備通信

管理用戶對數(shù)據(jù)和智能設(shè)備的訪問

過濾出站和入站網(wǎng)絡(luò)流量

實施實時安全監(jiān)控系統(tǒng)

及時安裝軟件補(bǔ)丁和更新

提高工業(yè)物聯(lián)網(wǎng)安全意識

制造商提高員工的安全意識。在這樣一個高度連接的環(huán)境中，系統(tǒng)安全性和完整性將成為共同的責(zé)任，而員工對工業(yè)物聯(lián)網(wǎng)架構(gòu)、設(shè)備和數(shù)據(jù)存儲的了解不足，遲早會導(dǎo)致意外的安全漏洞。

因此，為了保護(hù)您未來的實施，請確保向所有員工提供關(guān)于工業(yè)物聯(lián)網(wǎng)、其操作和漏洞的充足信息，并解釋貴公司接受的安全準(zhǔn)則。此外，對員工進(jìn)行常識性安全措施的教育，并培訓(xùn)他們識別安全威脅。

網(wǎng)絡(luò)安全培訓(xùn)不應(yīng)是一次性的活動。隨著每次系統(tǒng)集成或策略更改、安全事件或新的風(fēng)險因素，員工的知識都需要更新。最后但并非不重要的一點(diǎn)是，不要忘記讓物聯(lián)網(wǎng)安全培訓(xùn)成為員工入職培訓(xùn)的一部分。

定期評估物聯(lián)網(wǎng)

通過例行的安全測試，工業(yè)物聯(lián)網(wǎng)所有者可以及時了解其連網(wǎng)生態(tài)系統(tǒng)的安全狀態(tài)，及時發(fā)現(xiàn)任何現(xiàn)有漏洞和潛在威脅，并在它們破壞運(yùn)營之前加以解決。

滲透測試是一種白帽黑客攻擊方法，質(zhì)量保證專家在這種方法中模擬對工業(yè)物聯(lián)網(wǎng)的惡意攻擊，這對于揭示設(shè)備固件和嵌入式軟件中的隱藏漏洞尤其有效，這證實了防御機(jī)制的可行性。此外，公司可以進(jìn)行風(fēng)險分析，以確定其物聯(lián)網(wǎng)體系架構(gòu)、啟用設(shè)備、API和協(xié)議中可能最終成為安全漏洞的缺陷。

采取事故響應(yīng)策略

最后，萬一出現(xiàn)安全漏洞，以物聯(lián)網(wǎng)為動力的制造公司需要企業(yè)行動計劃來快速有效地處理它。首先，它應(yīng)包含有關(guān)IT安全團(tuán)隊的指示，說明如何識別威脅及其來源，將受影響的區(qū)域與相連的生態(tài)系統(tǒng)的其余部分隔離，評估破壞并管理事件。除此之外，該策略還應(yīng)包括對員工的指導(dǎo)方針，詳細(xì)說明他們在安全緊急情況期間和之后應(yīng)如何繼續(xù)工作。

此外，將追溯分析事件的步驟包括在內(nèi)也是一種有用的做法，以使安全專家可以了解事件的意義和根本原因，并采取深思熟慮的措施防止再次發(fā)生。
編輯：lyn