工業物聯網安全應該防范的三個風險類別
許多垂直行業已經采用了工業物聯網,但這并不意味著他們的部署是安全的。工業物聯網向傳統IT系統引入了具有不同威脅向量和相關風險的各種運營技術(OT)架構。許多風險已經存在了幾十年,并且已經進入快速發展的工業物聯網的領域。
工業物聯網設備和相關技術給企業帶來的常見安全風險可以分為三類:管理和運營風險、技術風險、物理風險。
1. 管理和運營風險
這種類型的風險涉及人為風險,無論是意外的還是有意的,例如工業物聯網設備的不當使用或網絡攻擊者入侵網絡。
缺乏全面的工業物聯網安全風險管理計劃會使企業的業務安全性變得脆弱。該計劃必須包括安全政策、程序和定期培訓,以在可能的情況下識別、管理和消除網絡安全風險。
人為造成的事故和錯誤可能會造成安全漏洞,例如濫用或錯誤安裝工業物聯網設備,以及使用遺留系統。懷有惡意的企業內部人員和外部人員也將工業物聯網設備作為破壞目標。
工業物聯網設備和系統制造商可能會倒閉、消失或停止支持,而企業卻仍在使用他們的工業物聯網技術。這可能會使用于關鍵場景的工業物聯網設備存在一些被攻擊利用的漏洞。
2. 技術風險
日益增長的物聯網設備擴大了攻擊面而這些設備往往存在用戶未知且可被網絡攻擊者發現的漏洞。
工業物聯網部署在IT和OT之間建立了新的連接,這增加了部署的復雜性和安全風險,尤其是對于非標準化的工業物聯網硬件、軟件和固件。工業物聯網缺乏全球采用的安全性和互操作性技術標準導致設備、控制器和支持系統的安全性不一致。
許多工業物聯網設備使用弱密碼或沒有加密,身份驗證較弱或沒有身份驗證,并且運行在容易受到網絡攻擊的軟件上。
3. 物理風險
自然災害、突發事件或網絡攻擊可能會中斷或改變工業物聯網系統的工作方式。
網絡攻擊者可能會以物理安全性較差的設備為目標,并直接對其進行更改,從而以有害的方式影響物理世界。例如,網絡攻擊者會以控制石油管道或其他資源的物聯網設備為目標。
許多工業物聯網設備需要人工完成維護或更新,這對于使用它們的員工來說可能是不可能實現的。
遵循推薦的工業物聯網安全實踐
某些網絡安全目標應該是每個工業物聯網安裝的一部分。首先,企業必須使用安全的工業物聯網設備和系統。物聯網團隊必須配置設備以防止它們被用作網絡攻擊的一部分,例如分布式拒絕服務(DDoS)、數據泄露或設備設置的修改。
企業還應建立數據安全控制。他們必須保護由工業物聯網技術收集、處理、存儲、傳輸的所有數據的機密性、完整性和可用性。部署中缺乏數據完整性和不一致是工業物聯網的固有風險。每個實施工業物聯網設備的企業都必須具有以下領域的安全功能:
- 管理和運營安全控制。這些是確保工業物聯網部署安全所必需的基于人員的行動。控制措施包括管理設備的選擇、開發、實施和維護所需的行動。安全措施必須保護工業物聯網數據和設備功能,并管理使用工業物聯網設備的勞動力。采取的一些措施包括工業物聯網安全控制設置文檔、政策和程序、設備安全使用培訓或執行工業物聯網風險評估。
- 技術安全。這些是確保有效的工業物聯網安全和保護作為工業物聯網系統一部分的技術元素(例如云計算服務或供應鏈)所必需的基于技術的組件。這包括使用多因素身份驗證、加密、安全啟動和設備識別技術進行工業物聯網設備身份驗證等控制。
- 物理安全。物理措施和工具可以保護工業物聯網設備以及相關服務器、控制器、顯示屏、輸入和輸出設備以及構成工業物聯網環境設施的所有硬件。企業必須建立設施和工業物聯網設備附近訪問控制,僅允許授權使用和訪問專有數據,并限制對工業物聯網設備和系統控制進行修改的能力。這些示例包括保護對存儲卡的訪問、禁用不必要的USB端口、僅允許授權實體查看工業物聯網設備的屏幕,以及控制對工業物聯網設備和相關硬件的物理訪問。
如果沒有針對這三類的安全控制措施,工業物聯網設備和系統就不會保證安全。
IT管理員的特定工業物聯網安全問題
IT管理員需要將工業物聯網設備、控制器和支持系統納入其整體網絡管理計劃。這包括測試和風險管理活動、風險評估、漏洞評估、滲透測試、備份和恢復、所有使用工業物聯網設備的人員的安全培訓,以及全面安全計劃所需的其他安全活動。
IT管理員需要確保實施并遵循基本的安全實踐。用于改進關鍵基礎設施網絡安全的NIST框架1.1版,通常稱為網絡安全框架(CSF),已被全球各行各業的大部分組織使用。企業還可以考慮其他框架,例如ISO、工業互聯網聯盟的工業互聯網安全框架或ISA99工業自動化和控制系統安全。
企業可以自定義和使用七個網絡安全框架(CSF)類別來組織和調整其安全策略,并將安全控制擴展到包括工業物聯網設備、系統、應用程序和云平臺:
- 資產管理;
- 業務環境;
- 治理;
- 風險評估;
- 風險管理策略;
- 供應鏈風險管理;
- 信息保護流程和程序。
