工業物聯網 5 大安全挑戰及克服方法

已發表: 2023-09-04

早在2010 年，伊朗納坦茲的一家核電站就成為Stuxnet 惡意軟件的受害者，該惡意軟件針對的是Simatic Step 7，這是一種用於配置和操作可編程邏輯控制器(PLC) 的軟件產品。這次攻擊使黑客能夠利用整個工廠的 PLC 單元，損壞近千台鈾濃縮離心機，嚴重打擊了該國的核計劃。

就伊朗而言，這並不一定是壞事。我們真的不希望有更多核武器，不是嗎？但想像一下，如果同樣的事情發生在您價值數百萬美元的工廠或設備上，您的聲譽將受到威脅。正確看待事物總是有用的，對嗎？

我們在這裡推動的是：您的企業不能掉以輕心，特別是如果您在製造和供應鏈管理等競爭激烈的行業運營，特別是如果您的公司已經涉足物聯網軟件開發領域——只是正如72% 的競爭對手所做的那樣。

從在故障發生前檢測設備性能異常，到使用 RFID 標籤和 BLE 信標實時監控庫存水平，有許多令人興奮的 IIoT 應用和優勢值得考慮。您的 IIoT 解決方案可能會通過多種方式損害您的整個 IT 基礎設施，從而導致以下後果：

機械損壞
生產停機
工廠車間發生事故
數據洩露
名譽受損
上述所有原因造成的直接和間接經濟損失

使 IIoT 安全面臨風險的關鍵因素是什麼？您的公司如何在災難發生之前預見並解決 IIoT 安全挑戰？讓我們一起來解開謎題吧！

工業物聯網安全故障與挑戰一覽

為了清楚起見，讓我們先定義工業物聯網及其技術組件，然後再詳細討論其安全影響。

IIoT 術語是指由機器、傳感器、控制器和系統組成的互連網絡，這些網絡相互之間以及工業環境中的中央平台進行通信和交換數據。

這種網絡物理系統將傳統工業設備的元素與連接、數據分析和數據可視化相結合。公司求助於工業物聯網顧問來監控製造和倉庫運營，並實現單個流程或整個工作流程的自動化。

在幕後，IIoT 與所有其他物聯網 (IoT) 解決方案具有相同的架構，儘管在工業環境中往往盛行在靠近傳感器進行數據分析的邊緣物聯網部署。涉足工業物聯網的公司可能會採購配備傳感器並默認支持連接的全新設備，或者使用定制和現成的工業物聯網改造套件升級現有機械。

從工業物聯網安全的角度來看，為什麼了解工業物聯網系統在幕後的運作方式很重要？ IIoT 安全問題可能會在網絡物理系統的每一層顯現出來——從可編程控制器到包含未修補漏洞的遺留應用程序。為了減輕 IIoT 安全風險，您的公司應該保護有線或無線網絡上的所有端點，保護傳輸中和靜態數據的安全，並修補構成 IT 基礎設施的應用程序中的安全漏洞。

言歸正傳，讓我們研究一下哪些因素會破壞 IIoT 解決方案的安全性，以及您可以採取哪些措施來保護您的網絡物理系統免受這些威脅。

挑戰一：不安全的通信

無論應用的複雜性和領域如何，連接技術都是所有物聯網系統的支柱。

在工業環境中，隨著越來越多的設備和傳感器聯網，更多的端點、通信通道和數據存儲解決方案出現。這就需要非常多樣化且最好是平衡的數據和網絡協議組合，以滿足特定的工業物聯網安全要求。

目前，高達 98% 的物聯網流量未加密，這意味著黑客可以輕鬆繞過第一道防線（例如通過網絡釣魚攻擊了解用戶的登錄名和密碼）並獲取您公司的數據。

不良的加密實踐源於使用傳統通信技術，例如 Modbus、Profibus 和 DeviceNet。事實上，大多數傳統IIoT 通信協議完全缺乏數據加密功能，迫使物聯網開發人員尋找解決方法，例如實施VPN 和安全隧道或網關，以及解決安全套接字層(SSL)/傳輸層安全性的加密問題。 TLS）級別。

解決方案

為了確保 IIoT 解決方案組件之間的數據交換安全，從而防止 IIoT 安全事故，我們建議您實施由以下內容組成的防故障連接技術堆棧。

可靠的數據協議

在工業物聯網中，數據協議決定設備如何構建、編碼和解釋信息。如果您的公司選擇有線 IIoT 部署，您可以通過 Profinet、EtherNet/IP 和 Modbus TCP/IP 等以太網協議促進連接設備和網關之間的數據交換。

雖然這些協議本身並不支持數據加密，但您的IIoT 開發人員仍然可以通過在傳輸層實施TLS/SSL 技術堆棧或在連接的設備和設備之間引入中間設備（例如安全網關或防火牆）來使第三方無法讀取數據。網絡。如果您正在為 IIoT 和工業自動化解決方案尋找更靈活的數據協議，我們強烈推薦 OPC 統一架構 (OPC UA) 協議，該協議支持端到端加密，採用 X.509 數字證書進行設備身份驗證，並且可以可用於有線和無線IIoT 解決方案。

在構建無線 IIoT 系統時，ITRex 團隊通常堅持使用消息隊列遙測傳輸 (MQTT)、約束應用協議 (CoAP)、高級消息隊列協議 (AMQP)、WebSocket 或帶有 HTTPS 的 RESTful API。這些現代協議通過 TLS/SSL 或數據報傳輸層安全性 (DTLS) 提供加密功能，並幫助在連接的設備、網關和雲服務器之間建立安全的通信通道。

有關數據協議及其對工業物聯網安全影響的更多信息，請與我們的研發團隊預約免費諮詢。

安全網絡協議

與主要處理信息交換和互操作性的數據協議不同，網絡協議定義了設備連接方式、數據傳輸方式以及 IIoT 系統組件如何在網絡內交互的規則、標準和程序。

從工業物聯網安全的角度來看，網絡協議可能成為黑客有吸引力的目標。其原因包括有限的訪問控制和身份驗證機制以及缺乏數據加密功能。根據您的網絡架構（即點對點、星形或網狀模式）和預期用例，您可以利用各種網絡協議來解決 IIoT 安全挑戰。這些協議涵蓋數據分發服務 (DDS)、低功耗廣域網 (LoRaWAN)、Zigbee、WirelessHART 和窄帶物聯網 (NB-IoT)。

要選擇滿足您所有 IIoT 安全需求的適當連接技術堆棧，重要的是要考慮您要構建的網絡物理系統的類型、所需的數據傳輸範圍和功耗要求。這可以在物聯網項目的發現階段完成。

挑戰 2：軟件更新實踐不足

與計算機、平板電腦和智能手機不同，物聯網設備不支持端點安全系統，例如防病毒程序，僅僅是因為它們通常運行高度定製或過時的嵌入式軟件，或者專門設計為小型和節能。

雖然您可以通過引入防火牆、入侵檢測和防禦(IDP) 以及網絡級別的設備控制機制來部分解決IIoT 安全挑戰，但將構成IIoT 軟件生態系統的應用程序升級到最新版本對於解決可能的IIoT 安全問題至關重要。

說到 IIoT 軟件，我們需要在固件、中間件和操作系統 (OS) 等嵌入式系統與普通軟件之間劃清界限，例如促進設備管理的 Web、桌面和移動應用程序。

由於工業物聯網設備設計的限制以及網絡物理系統中存在大量端點，修補工業物聯網軟件安全漏洞是很少有工業公司能夠解決的任務。這就是為什麼高達 65% 的製造商仍然使用充滿零日安全漏洞的過時操作系統。

解決方案

為了降低工業物聯網網絡安全風險，工業公司必須擁有有效的軟件更新管理機制。

在 ITRex，我們大力倡導軟件和固件無線更新 (OTA)。在這種情況下，由 AWS IoT Device Management、Azure IoT Hub 或 Bosch IoT Rollouts 等預配置 SaaS 解決方案提供支持的雲平台會自動向邊緣設備、控制器和網關提供軟件更新。

正確配置的設備管理平台還可以更好地跟踪您的設備群，根據設備特定的設置和安全要求優化更新推出，並在緊急情況下通知您的 IT 團隊。

挑戰三：物理安全措施薄弱

除了網絡工業物聯網安全之外，具有網絡意識的工業公司還應該防止網絡犯罪分子和惡意內部人員竊取硬件，以掃描設備內部並用病毒和間諜程序感染它們。

物理安全措施不足不僅會損害敏感數據的完整性和機密性，還會導致服務中斷、運營停機和財務損失。物理安全漏洞的影響可能超出其直接影響，可能危及公共安全和關鍵基礎設施。

解決方案

為了解決工業物聯網中較差的物理安全問題，需要採取多方面的方法。作為物理 IIoT 安全檢修的一部分，您的公司應該執行以下操作。

優先實施穩健的訪問控制機制

這包括對連接設備的基於角色的訪問控制 (RBAC)、生物識別身份驗證、計算機視覺驅動的視頻監控以及入侵檢測系統的實施等措施

定期進行物理安全審計和風險評估

IIoT 安全審核有助於及早發現漏洞。他們還幫助制定適當的緩解策略。這種主動的方法使組織能夠領先潛在威脅一步，並採取預防措施來保護其 IIoT 系統。實際上，這意味著斷開有篡改證據的設備與網絡的連接，隱藏設備上的製造商標記，並在可能的情況下刪除不必要的 IIoT 解決方案組件以防止逆向工程事件

實施全面的員工培訓計劃

提高對物理安全風險和最佳實踐的認識是加強 IIoT 網絡安全的關鍵（稍後會詳細介紹）。 IT 和物理安全團隊之間的協作也至關重要。這種夥伴關係確保了整體安全方法，其中數字和物理方面都被考慮並同步，以針對新出現的安全威脅提供強大的保護。

挑戰 4：設備和網絡活動的可見性有限

高達 90% 的組織表示其網絡上存在影子物聯網設備，其中 44% 的受訪者承認這些設備是在其安全或 IT 團隊不知情的情況下連接的。

因此，許多公司人員不知道哪些設備相互通信，包括它們收集和交換的信息類型，以及第三方是否無法訪問這些信息。事實上，工業物聯網安全審計遠遠超出了通過 IP 和操作系統識別硬件解決方案的範圍，這只會讓問題變得更加複雜。

解決方案

您可以採取幾個步驟來實現 IIoT 部署中的設備和網絡可見性。

使用深度數據包檢測 (DPI) 解決方案分析所有網絡通信。
收集詳盡的設備信息，包括硬件類型、型號、序列號和嵌入式系統版本。
根據設備的類型、功能、任務關鍵性和潛在的 IIoT 安全風險對設備進行分組。
為每個設備組創建虛擬局域網 (VLAN)，以增強流量可見性和控制。
利用可靠的設備管理平台（例如 AWS IoT Core、Azure IoT Hub 和 PTC ThingWorks）來改進設備庫存、監控、配置、更新部署和故障排除。

挑戰五：員工培訓和網絡意識不足

正如我們之前提到的，信息技術 (IT) 和運營技術 (OT) 團隊之間缺乏協作和協調可能會導致 IIoT 安全管理實踐不佳。

雖然設備操作員和工廠經理可以正確維護聯網機器，但他們通常對為其提供動力的嵌入式和連接技術知之甚少。相反，IT 團隊精通傳統信息安全，但傾向於將 IIoT 解決方案視為普通硬件。

這可能會導致補丁級別低、網絡活動可見性有限以及 IIoT 系統配置錯誤。此外，網絡犯罪分子可能會通過網絡釣魚攻擊和冒充來利用您的員工對 IIoT 安全最佳實踐的有限了解。您的團隊還可能選擇弱密碼或跨應用程序重複使用密碼，這可能會為您的 IT 基礎設施打開後門，從而破壞 IIoT 軟件的安全性。

解決方案

這是一個高級計劃，可以幫助您的公司提高員工的網絡安全意識。

創建專門針對 IIoT 環境的培訓計劃

這些計劃應涵蓋網絡安全基礎知識、物聯網設備安全、安全配置實踐、密碼衛生、識別和報告潛在安全事件以及遵守內部安全策略和程序等主題。

定期舉辦培訓課程，確保員工了解最新的網絡安全威脅和最佳實踐

這可以通過學習管理系統 (LMS) 中的研討會、研討會、網絡研討會或在線培訓模塊來完成。例如，作為培訓活動的一部分，您可以教您的員工通過網絡釣魚模擬和滲透測試來識別和響應 IIoT 安全威脅。您還應該根據特定的工作職能定制培訓計劃，確保員工接受與其職責相關的培訓。例如，IT 員工可能需要更多的技術培訓，而運營員工可能需要有關安全設備使用和物理安全的培訓。

制定應對工業物聯網安全挑戰的全面政策和程序

向員工有效傳達這些政策，並確保他們了解自己在維護安全方面的角色和責任。隨著技術和威脅的發展，定期審查和更新這些政策。

在整個組織中促進 IIoT 安全意識和責任文化

鼓勵員工及時報告任何安全事件或可疑活動。強調網絡安全是從高層管理人員到一線員工的每個人的責任，並獎勵表現出良好安全實踐的員工。

考慮與外部 IIoT 專家或顧問合作進行安全評估

外部專家可以帶來寶貴的見解、行業最佳實踐和最新的威脅情報，以加強員工培訓計劃。此外，它們還可以幫助您將所謂的“設計安全”實踐引入 IIoT 軟件開發流程，並引出 IIoT 部署的功能和非功能要求。

最後一點

近年來，工業物聯網的採用率猛增，針對關鍵工業物聯網基礎設施的備受矚目的攻擊也是如此。

Check Point 最近的一項調查顯示，2023 年前兩個月，54% 的公司遭受了物聯網相關攻擊，估計每個組織每周遭受 60 次攻擊（比去年增加 41%）。最容易受到黑客攻擊的設備包括路由器、網絡錄像機和 IP 攝像機——簡而言之，這些硬件構成了每個公司 IT 基礎設施的骨幹。

即使您的 IT 團隊在整個開發和實施過程中遵循 IIoT 安全最佳實踐，也不能保證黑客不會通過利用 IIoT 生態系統之外的應用程序和設備中的漏洞來控制您的設備和數據。這就是為什麼您的公司需要一個全方位的安全策略——這正是 ITRex 可以為您做的！

無論您是考慮啟動 IIoT 試點，還是需要幫助在其他用例中擴展 IIoT 概念驗證 (PoC)，請給我們打電話！我們精通業務分析、嵌入式系統工程、雲計算和 DevOps，以及最終用戶應用程序開發。

本文最初發表於 itrex 網站。