随着数字化转型的加速以及IT和运营技术(OT)网络的融合,物联网(IoT)和工业物联网 (IIoT)设备正成为石油和天然气、能源、公用事业、制造、药品、食品和饮料等行业公司的基本工具。无论是优化单个流程还是整个工厂和其他关键基础设施生态系统,这些设备都有助于提高生产效率并提高可靠性、响应性、质量和交付。
然而,随着公司推出更多通常在设计时并未考虑安全性的IIoT设备,它们也会给其运营环境带来风险。近四年前,NotPetya影响了包括医疗保健、能源和运输在内的众多跨国公司,使许多公司的运营陷入停顿,并造成了约100亿美元的损失。多年来,我们已经看到黑客如何破坏联网汽车以篡改关键系统(例如发动机和制动器)的示例。最近,在美国关键基础企业遭到一系列勒索攻击后,白宫警告企业加强网络安全措施。
假象一下,例如威胁行为者扰乱顶级制药公司的生产,以造成短缺或篡改食品和饮料公司的产品质量,这对他们来说可能轻而易举。对关键基础设施的一些最新威胁包括 seigeware,黑客会破坏每个企业运行其办公基础设施所依赖的系统——灯光、电梯、空调和暖气以及物理安全系统。GPS欺骗允许攻击者干扰导航系统并使车辆操作员偏离路线。攻击者可以通过多种方式使用联网设备采取大胆行动或在后台进行操作,以破坏我们的经济福祉,更严重的或造成人身伤害。这些风险是真实存在的。
Gartner将这些网络和资产的组合称为网络物理系统 (CPS),并预测到2023年,对CPS 的攻击造成致命伤亡的财务影响将超过500亿美元。他们指出,即使不考虑一个人的生命实际价值,企业在赔偿、诉讼、保险、监管罚款和声誉方面损失的成本将是巨大的。Gartner预计,到2024年,75%的CEO将对CPS事件承担个人责任,这增加了解决这一问题的紧迫性。
如何降低网络安全风险
为了解决物联网设备日益增长的使用和风险,美国已于2020年12月4正式签署《物联网网络安全改进法案》。认识到识别物联网设备引入的漏洞和供应链风险方面缺乏统一性,该法案寻求用标准和准则取代目前主要的临时方法。针对设备中的漏洞,一个简单的方法是在软件开发初期,使用静态代码检测工具发现一些常见代码缺陷和系统安全漏洞。
那么,从哪里开始做起呢?
关键基础设施公司需要能够识别和跟踪来自跨越IT和OT边界的 IoT/IIoT设备的威胁。但现实是,数十年来,OT网络一直是IT安全专业人员的盲点。随着越来越多的传统OT资产面向互联网,工业公司在其环境中添加更多的互联网连接设备以推动自动化和现代化,降低风险的挑战只会越来越大。由于缺乏可见性和遥测技术,OT和IT安全团队通常一无所知,不知道已部署在其环境中的CPS及其行为。
主动风险管理需要能够从不同但互补的角度检查和解决风险,以便为OT环境的整体安全带来上下文。实现这一目标的关键是清楚了解组织的资产风险状况和网络流量。
了解资产风险状况始于对工业控制系统 (ICS) 网络和端点的可见性,并在无需增加连接的情况下集中IT、OT、IoT 和IIoT资产信息。通过这种方式,人机界面(HMI)、历史记录器和工程工作站 (EW) 可以丰富有关IT威胁和漏洞的信息,从而在不影响工作效率或停机时间的情况下提高这些资产的安全性。
与网络流量相关的上下文安全信息也是识别和跟踪跨越IT/OT边界的威胁的关键。许多影响OT环境的攻击始于IT网络,因此防御者除了为IT系统构建的威胁签名外,还需要针对ICS设备和OT网络的威胁签名。拥有保护CPS的技术,无需重新配置签名或手动更新,可加速检测和响应。
软件安全漏洞同时也是受网络犯罪分子关注的焦点,不乏大量造成重大安全事故的网络攻击是由系统安全漏洞引起的,因此除了做到以上几点,还需加强对软件安全的建设,利用静态代码安全检测等工具,在开发期间减少漏洞产生,让工业互联网更安全。
参读链接:
