近年來，制造業(yè)已經成為物聯網的最積極采用者之一。該技術將數字革命帶入了生產車間，使制造商能夠提高效率，交付更高質量的產品，并優(yōu)化資源管理。如今，物聯網已成為了這個技術密集型行業(yè)的強大差異化競爭因素。新冠肺炎疫情大流行揭示了工業(yè)物聯網的另一個關鍵優(yōu)勢——使制造企業(yè)增加抵御危機的能力。在隔離和經濟動蕩的背景下，物聯網的發(fā)展對于確保業(yè)務運營的連續(xù)性和成本效率以及生產現場員工的安全起到了重要作用。

這使工業(yè)物聯網（IIoT）成為防范類似緊急情況并彌補生產中斷的最佳解決方案，許多制造商已經意識到這一點。因此，根據Meticulous Research的預測，盡管目前發(fā)生了大流行后的經濟衰退，但預計工業(yè)物聯網市場的穩(wěn)定增長將很快回升，到2027年將達到2634億美元。

但通往互聯互通的道路比以往任何時候都更加艱難。在整個大流行期間，商業(yè)物聯網系統(tǒng)因轉向遠程工作和隨之而來的缺乏控制而變得脆弱，網絡攻擊大量增加，其中許多都是新穎的。除此之外，卡巴斯基2020年工業(yè)網絡安全狀況調查報告顯示，24%的制造公司預計在危機后削減安全預算。這些因素，再加上將物聯網安全視為事后想法的持續(xù)趨勢，使危機后的工業(yè)物聯網項目或現有系統(tǒng)的擴展成為一項高風險的工作。

在這種情況下，現有或潛在的工業(yè)物聯網（IIOT）系統(tǒng)的安全性將成為制造商議程上最緊迫的問題。我們設計了一份詳細指南，以幫助工業(yè)公司所有者和首席安全官安全地駕馭人機界面和智能設備的工業(yè).0環(huán)境。

工業(yè)物聯網安全漏洞的罪魁禍首

讓我們來看看工業(yè)物聯網系統(tǒng)的弱點，以及黑客如何利用它們在工業(yè)網絡中立足。

設備和端點可見性差

缺乏對連網設備、傳感器、端點及其配置和合規(guī)性的實時可見性，可能是物聯網領域一直存在的安全挑戰(zhàn)。根據2019年Panaseer安全領導者的對等報告發(fā)現，即使在IT監(jiān)控技術激增、安全意識高漲的今天，仍有20％的企業(yè)將物聯網設備視為監(jiān)管最差的資產。

顯而易見，此類灰色地帶設備必定會成為攻擊的受害者。但是，制造公司如何最終陷入物聯網網絡的黑暗之中？原因各不相同。

一家企業(yè)可能會以很高的速度擴展其連網基礎設施，以至于某些設備由于疏忽而被排除在庫存記錄之外。其他制造商往往會忘記幾十年前部署的設備，這些設備幾乎從未使用過，但仍然可以訪問互聯網。一些IT部門只是缺少工具或資源來監(jiān)控大量連網的資產，而其他IT部門則無法正確地對其物聯網網絡進行適當的分組，讓一些設備從裂縫中溜走。

在工業(yè)環(huán)境中，設備和端點可見性不佳的后果尤其嚴重。如果惡意軟件獲得對未受管理和未受保護的連網設備的控制，它不僅會攔截關鍵的生產數據，而且還會危及最終產品質量、削弱生產線、導致供應鏈延遲，甚至危及工人的安全。這樣，諸如疏忽之類的簡單事情就可能造成巨大財產和聲譽損失。

現成設置

對許多工業(yè)物聯網所有者來說，保持連網設備的默認設置是另一種風險。一方面，設備制造商很少使用復雜的憑證，這使得他們很容易在暴力攻擊中被發(fā)現。此外，包含設備初始配置和密碼的手冊可能在線上并最終落入黑客手中。這樣，由于無知或疏忽，公司可能會讓其系統(tǒng)容易受到破壞。

今天最臭名昭著的物聯網設備安全威脅是Mirai，這是一個自2016年以來一直嚴重破壞高知名度系統(tǒng)的僵尸網絡。這種惡意軟件的簡單之處在于：它掃描互聯網上的開放設備，并嘗試使用常見登錄密碼組合登錄。如果成功，Mirai會劫持設備并繼續(xù)控制整個網絡。

在大流行期間，出現了全新的Mirai變種，針對與遠程工作相關的漏洞，如網絡攝像頭、調制解調器和路由器。由于許多制造商廣泛采用這些設備來遠程監(jiān)控生產線，因此對其保護不力會成為一個嚴重漏洞。

為了保護您的系統(tǒng)免受此類攻擊，必須在系統(tǒng)投入使用之前更改現成的設備憑據和設置。另一個好的做法是限制外部人員和低級別人員訪問連網設備，以最大程度地減少有意和無意配置或密碼重置的風險。

過時的軟件

對于高效、可持續(xù)和安全的工業(yè)物聯網網絡而言，最新的軟件和設備固件是關鍵要求，但并非所有公司都能成功保持這種狀態(tài)。一方面，典型的工業(yè)物聯網系統(tǒng)是龐大且分散的，并且跟蹤所有更新、升級和補丁以及及時執(zhí)行它們，對于中等規(guī)模的IT部門來說是一項繁重的任務。此外，在許多情況下，連網設備可能會在整個升級過程中停止服務或無法正常工作，對于某些生產線來說，即使是短暫的停機時間也會造成中斷。

面對此類挑戰(zhàn)，許多工業(yè)物聯網所有者選擇無限期地推遲更新。同時，過時的軟件和固件缺少相關的保護機制、關鍵補丁和漏洞修復，這使連網基礎設施容易受到旨在利用此漏洞的最新惡意軟件攻擊。

例如，今年，領先的網絡安全公司TrapX報告稱，它發(fā)現了新的Lemon Duck惡意軟件，該惡意軟件針對使用停止更新的Windows 7并導致其故障的制造物聯網設備。至于工業(yè)設備，他們的操作系統(tǒng)很難升級，在某些情況下，所有者別無選擇，只能用預裝的新操作系統(tǒng)版本替換設備。

除了安全漏洞之外，使用過時的物聯網軟件還會導致崩潰和系統(tǒng)停機事件增加、生產效率低下以及維護工作量增加。所有這些使得保留過時固件變得無利可圖。

低效的數據安全策略

對于工業(yè)公司而言，物聯網生成的數據不僅敏感，而且是商業(yè)機密的一部分，而這正是網絡犯罪分子通常所追求的。Verizon的2020年數據泄露調查報告發(fā)現，勒索和工業(yè)間諜活動是制造業(yè)外部攻擊的兩個核心動機。

意識到這一點，工業(yè)物聯網采用者加強了其軟件和固件安全性，以防止受到攻擊。在所有這些措施中，令人遺憾的是，對工業(yè)物聯網生成的數據本身的保護往往會被忽視。

2020年Unit 42物聯網威脅報告指出，高達98％的物聯網設備通信未經加密并在連網生態(tài)系統(tǒng)中以純文本形式傳播。因此，如果攻擊者設法滲透到工業(yè)物聯網網絡中（如上文所述，盡管有安全措施，這種情況還是會發(fā)生），來自傳感器、端點和可穿戴設備的機密數據將在這里暴露出來，并易于收集。

2019年4月，一個黑客組織利用這種典型的安全疏忽進行了大規(guī)模的間諜活動。他們針對數百個組織的易受攻擊的物聯網設備，從政府機構到工業(yè)公司，以獲得對其系統(tǒng)的訪問權限，然后捕獲網絡流量。

考慮到商業(yè)秘密公之于眾的毀滅性后果，制造商應該更保持安全，而不是道歉，并將設備通信日志和交易加密作為一項強制性的安全措施。

無分段

工業(yè)物聯網采用者的另一個常見錯誤是未能從邏輯上將他們的連網環(huán)境劃分為更小的設備組和子網絡。扁平的，未分段的工業(yè)物聯網網絡在規(guī)模較小時易于維護和管理，但這是它的好處所在。從長遠來看，這樣的基礎設施會成為一個麻煩，同時也是破壞企業(yè)網絡安全的致命缺陷。

一方面，未分段的工業(yè)物聯網網絡是一個大的攻擊面，因此一個漏洞就足以讓惡意軟件訪問整個網絡。此外，清點龐大的工業(yè)物聯網環(huán)境是一項繁重的任務，其中包含大量不同服務時期、規(guī)格和用途的設備，因此由于人為疏忽、安全缺陷和潛在風險可能會被忽視。（來源物聯之家網）此外，隨著系統(tǒng)的擴展，將新設備安裝到混亂的安全架構中并確保其端到端保護變得越來越困難。

使用防火墻進行物理分段曾經是保護工業(yè)物聯網網絡的一種常見做法，但是最近，使用VLAN和ACL進行虛擬分段已成為一種更為有效的方法。由于工業(yè)物聯網的巨大規(guī)模，一個完整級別的內部防火墻架構實施和維護被證明是非常昂貴和復雜的。反過來，微分段不僅是一種更便宜、更簡單的解決方案，而且還允許對設備進行更靈活和更精細化的分組。

工業(yè)物聯網安全指南

最近，工業(yè)物聯網已成為黑客們青睞的攻擊載體之一。如今，制造商必須阻止新的和不斷發(fā)展的惡意軟件注入，同時還要處理由傳統(tǒng)硬件和軟件、落后的基礎設施以及最近轉向遠程工作而產生的漏洞。

物聯網安全的整體解決方案是在這些動蕩時期保持保護和高效的唯一途徑。這些準則將有助于工業(yè)企業(yè)采用可持續(xù)和全面的工業(yè)物聯網安全策略。

采取必要措施

重視物聯網安全基礎是保護您連網工業(yè)環(huán)境的第一步。這些措施雖然看似簡單，但仍然可以有效地保護工業(yè)物聯網免受最常見的安全利用或最大程度地減少漏洞的負面影響。此外，它們可以作為您可能選擇采用的更高級安全控制的堅實基礎。

以下是值得引入到您工業(yè)物聯網環(huán)境中的最佳實踐：

分段物聯網網絡

引入雙因素認證

加密設備通信

管理用戶對數據和智能設備的訪問

過濾出站和入站網絡流量

實施實時安全監(jiān)控系統(tǒng)

及時安裝軟件補丁和更新

提高工業(yè)物聯網安全意識

制造商提高員工的安全意識。在這樣一個高度連接的環(huán)境中，系統(tǒng)安全性和完整性將成為共同的責任，而員工對工業(yè)物聯網架構、設備和數據存儲的了解不足，遲早會導致意外的安全漏洞。

因此，為了保護您未來的實施，請確保向所有員工提供關于工業(yè)物聯網、其操作和漏洞的充足信息，并解釋貴公司接受的安全準則。此外，對員工進行常識性安全措施的教育，并培訓他們識別安全威脅。

網絡安全培訓不應是一次性的活動。隨著每次系統(tǒng)集成或策略更改、安全事件或新的風險因素，員工的知識都需要更新。最后但并非不重要的一點是，不要忘記讓物聯網安全培訓成為員工入職培訓的一部分。

定期評估物聯網

通過例行的安全測試，工業(yè)物聯網所有者可以及時了解其連網生態(tài)系統(tǒng)的安全狀態(tài)，及時發(fā)現任何現有漏洞和潛在威脅，并在它們破壞運營之前加以解決。

滲透測試是一種白帽黑客攻擊方法，質量保證專家在這種方法中模擬對工業(yè)物聯網的惡意攻擊，這對于揭示設備固件和嵌入式軟件中的隱藏漏洞尤其有效，這證實了防御機制的可行性。此外，公司可以進行風險分析，以確定其物聯網體系架構、啟用設備、API和協議中可能最終成為安全漏洞的缺陷。

采取事故響應策略

最后，萬一出現安全漏洞，以物聯網為動力的制造公司需要企業(yè)行動計劃來快速有效地處理它。首先，它應包含有關IT安全團隊的指示，說明如何識別威脅及其來源，將受影響的區(qū)域與相連的生態(tài)系統(tǒng)的其余部分隔離，評估破壞并管理事件。除此之外，該策略還應包括對員工的指導方針，詳細說明他們在安全緊急情況期間和之后應如何繼續(xù)工作。

此外，將追溯分析事件的步驟包括在內也是一種有用的做法，以使安全專家可以了解事件的意義和根本原因，并采取深思熟慮的措施防止再次發(fā)生。
編輯：lyn