工业物联网安全应该防范的三个风险类别

分享到:

许多垂直行业已经采用了工业物联网,但这并不意味着他们的部署是安全的。工业物联网向传统IT系统引入了具有不同威胁向量和相关风险的各种运营技术(OT)架构。许多风险已经存在了几十年,并且已经进入快速发展的工业物联网的领域。

工业物联网设备和相关技术给企业带来的常见安全风险可以分为三类:管理和运营风险、技术风险、物理风险。

 

 

1. 管理和运营风险

这种类型的风险涉及人为风险,无论是意外的还是有意的,例如工业物联网设备的不当使用或网络攻击者入侵网络。

缺乏全面的工业物联网安全风险管理计划会使企业的业务安全性变得脆弱。该计划必须包括安全政策、程序和定期培训,以在可能的情况下识别、管理和消除网络安全风险。

人为造成的事故和错误可能会造成安全漏洞,例如滥用或错误安装工业物联网设备,以及使用遗留系统。怀有恶意的企业内部人员和外部人员也将工业物联网设备作为破坏目标。

工业物联网设备和系统制造商可能会倒闭、消失或停止支持,而企业却仍在使用他们的工业物联网技术。这可能会使用于关键场景的工业物联网设备存在一些被攻击利用的漏洞。

2. 技术风险

日益增长的物联网设备扩大了攻击面而这些设备往往存在用户未知且可被网络攻击者发现的漏洞。

工业物联网部署在IT和OT之间建立了新的连接,这增加了部署的复杂性和安全风险,尤其是对于非标准化的工业物联网硬件、软件和固件。工业物联网缺乏全球采用的安全性和互操作性技术标准导致设备、控制器和支持系统的安全性不一致。

许多工业物联网设备使用弱密码或没有加密,身份验证较弱或没有身份验证,并且运行在容易受到网络攻击的软件上。

3. 物理风险

自然灾害、突发事件或网络攻击可能会中断或改变工业物联网系统的工作方式。

网络攻击者可能会以物理安全性较差的设备为目标,并直接对其进行更改,从而以有害的方式影响物理世界。例如,网络攻击者会以控制石油管道或其他资源的物联网设备为目标。

许多工业物联网设备需要人工完成维护或更新,这对于使用它们的员工来说可能是不可能实现的。

遵循推荐的工业物联网安全实践

某些网络安全目标应该是每个工业物联网安装的一部分。首先,企业必须使用安全的工业物联网设备和系统。物联网团队必须配置设备以防止它们被用作网络攻击的一部分,例如分布式拒绝服务(DDoS)、数据泄露或设备设置的修改。

企业还应建立数据安全控制。他们必须保护由工业物联网技术收集、处理、存储、传输的所有数据的机密性、完整性和可用性。部署中缺乏数据完整性和不一致是工业物联网的固有风险。每个实施工业物联网设备的企业都必须具有以下领域的安全功能:

管理和运营安全控制。这些是确保工业物联网部署安全所必需的基于人员的行动。控制措施包括管理设备的选择、开发、实施和维护所需的行动。安全措施必须保护工业物联网数据和设备功能,并管理使用工业物联网设备的劳动力。采取的一些措施包括工业物联网安全控制设置文档、政策和程序、设备安全使用培训或执行工业物联网风险评估。

技术安全。这些是确保有效的工业物联网安全和保护作为工业物联网系统一部分的技术元素(例如云计算服务或供应链)所必需的基于技术的组件。这包括使用多因素身份验证、加密、安全启动和设备识别技术进行工业物联网设备身份验证等控制。

物理安全。物理措施和工具可以保护工业物联网设备以及相关服务器、控制器、显示屏、输入和输出设备以及构成工业物联网环境设施的所有硬件。企业必须建立设施和工业物联网设备附近访问控制,仅允许授权使用和访问专有数据,并限制对工业物联网设备和系统控制进行修改的能力。这些示例包括保护对存储卡的访问、禁用不必要的USB端口、仅允许授权实体查看工业物联网设备的屏幕,以及控制对工业物联网设备和相关硬件的物理访问。

如果没有针对这三类的安全控制措施,工业物联网设备和系统就不会保证安全。

IT管理员的特定工业物联网安全问题

IT管理员需要将工业物联网设备、控制器和支持系统纳入其整体网络管理计划。这包括测试和风险管理活动、风险评估、漏洞评估、渗透测试、备份和恢复、所有使用工业物联网设备的人员的安全培训,以及全面安全计划所需的其他安全活动。

IT管理员需要确保实施并遵循基本的安全实践。用于改进关键基础设施网络安全的NIST框架1.1版,通常称为网络安全框架(CSF),已被全球各行各业的大部分组织使用。企业还可以考虑其他框架,例如ISO、工业互联网联盟的工业互联网安全框架或ISA99工业自动化和控制系统安全。

企业可以自定义和使用七个网络安全框架(CSF)类别来组织和调整其安全策略,并将安全控制扩展到包括工业物联网设备、系统、应用程序和云平台:

继续阅读
从RFID物联网到智能制造,未来值得期待

生产制造业作为国之根本,自改革开放以来对我国经济发展贡献巨大。然而,近年来随着人口红利的消失,成本的增长,传统制造业面临诸多问题。

5G、边缘计算和物联网如何让传统企业现代化

在过去两年中,全球大流行和封锁推动了数字化的使用并扰乱了无数传统企业

LoRaWAN 和物联网在优化资产管理中的作用

物联网 (IoT) 和 LoRaWAN 在资产管理中的作用确实是无限的。 资产跟踪物联网解决方案可以为制造公司和其他企业带来的结果证明了这一点。 通过减少资产的非运营时间,企业可以提高他们的底线。

工业物联网监控之物联网卡采购注意事项篇

物联网自发展以来,为多个行业领域硬件设备提供物联网连接方案,赋能硬件设备提升功能,促进传统企业顺利转型。其中比较常见的是,现在大多数企业都在使用工业物联网监控系统,那物联网卡助力工业物联网监控系统在全面实施应用中都展现了哪些优势呢?接下来,跟随小编一起了解工业物联网以及工业物联网监控系统所带来的优势。

数据隐私监管成为物联网采用者面临的三大挑战

物联网成熟之旅(The Journey to IoT Maturity)是 Wi-SUN 继2017 年物联网研究的后续行动,基于对英国和美国关键行业(包括能源和公用事业、州和地方政府、建筑、技术和电信等),该研究所传递的明确信号是,物联网安全问题现在比以往任何时候都成为所有行业组织的 IT 优先事项。

精彩活动