这不是毫无根据的担忧:正如我们在媒体上看到的,越来越多的工厂网络攻击案例使基础设施毫无用处,甚至改变其运行,从而带来风险。
2010年,我们第一次熟悉工业网络安全。Stuxnet 是一种恶意软件,被描述为第一个网络武器,它被引入伊朗核电站来延迟伊朗的核计划。 恶意软件成功控制了浓缩铀离心机的阀门和压力传感器。
在过去的一年里,对关键基础设施的工业网络攻击显著增加,攻击火力发电厂、变电站、水处理厂或输油管道。例如,最近对殖民地管道或佛罗里达州大量人口供水的水处理厂的攻击。
物联网设备存在安全风险
物联网 (IoT) 是一组连接物理世界和数字世界的技术。通过传感器、执行器和其他所谓的物联网设备从物理世界收集信息,然后进行数字处理。与人体类比,物联网是数字世界的意义,也是许多寻求通过数字过程和数据改变其商业模式的工业公司的第一步。
第一步是收集数据。公司现在可以通过物联网部署连接到他们的工业设备,并收集数据来做出明智的决策。许多物联网设备具有先进的计算能力,可以远程操作工业设备;这就是为什么正确地保护这些设备如此重要。
物联网设备是非常重要的。然而,整个网络安全链中最脆弱的因素及其背后的原因是缺乏固件更新。
在个人电脑、手机等成熟领域,设备收到新版本的通知和安全补丁。一旦下载安装,这些补丁可以保护智能手机和笔记本电脑免受最新漏洞的影响。
然而,在工业界,这远非正常。通常,一旦物联网设备部署在其物理环境中,它们将永远不会更新,这将显著增加网络攻击的风险。
与我们的手机或计算机不同,物联网设备的更新主要有两个原因:
- 工业物联网市场的不成熟意味着网络安全不被视为主要需求。如果我们把公司对物联网项目的所有需求都放在马斯洛金字塔里,那么在网络安全之前还有其他问题,这正是一个大错误。项目开发后,我们担心物联网的安全,而不是从设计阶段开始。
- 管理分布式、远程和异构环境的复杂性。基于大量分布式物联网的概念“事物”存在。它可以确保所有这些设备都能以高效和可扩展的方式更新,因此拥有一个安全的远程管理系统是非常重要的。否则,必须定期在当地更新IoT 设备的成本将使任何特定规模的项目都不可行。
此外,物联网设备开发中缺乏标准,使这种管理变得复杂,并允许每个供应商响应(或不响应)。
工业物联网安全:建议保护物联网边缘设备
以下几个方面是物联网中最常见的漏洞:
- 使用弱密码或嵌入式密码
- 网络服务不安全
- 使用不安全接口
- 缺乏更新机制
- 缺乏数据存储和传输安全性
- 设备管理不到位
面对这个典型的漏洞列表,OWASP该组织在其网站上发布了指南,指出在开发物联网解决方案时应考虑哪些方面以及应采取哪些保护措施。
物联网设备是安全链中最薄弱的环节。在部署任何物联网项目时,最好的办法是确保它们得到充分的保护。