隨著數字化轉型的加速和IT與運營技術（OT）網絡的融合，物聯網（IoT）和工業物聯網（IIoT）設備已經滲透到石油、天然氣、制造、藥品以及食品和飲料等各個行業中。無論是對優化單個流程還是整個工廠以及其他關鍵基礎設施生態系統，這些設備都有助于提高生產效率和質量，并提高可靠性，響應能力，和交付能力。但是，隨著公司引入更多在設計時并未考慮安全性的IIoT設備時，它們也給物聯網環境帶來了風險。大約四年前，NotPetya影響了許多跨國公司，包括醫療保健，能源和運輸等領域。使許多公司的業務陷入停頓，并造成了約100億美元的損失。多年來，我們也看到了很多黑客如何破壞物聯網汽車以篡改引擎和制動器等關鍵系統的示例。最近，美國勉強避免了旨在污染佛羅里達州供水的攻擊。

工業物聯網安全對關鍵基礎設施的一些最新威脅包括seigeware，攻擊者可以在其中危及每個企業，運行其辦公室基礎設施的系統——燈光、電梯、空調和暖氣以及其他物理系統。此外，GPS欺騙使攻擊者可以干擾導航系統，并欺騙車輛操作員偏離航線。攻擊者有多種方法可以使用連接的設備采取大膽的行動或在后臺進行操作，以破壞設備正常運行，甚至造成人身傷害。

Gartner公司將這些網絡和資產的組合稱為網絡物理系統（CPS），并預測，到2023年，對CPS的攻擊導致人員傷亡的經濟影響將超過500億美元。如果將人的生命納入考慮范圍，那么組織在補償，訴訟，保險，監管罰款和聲譽損失方面的成本將是巨大的，迫切需要解決這一問題。Gartner預計，到2024年，將有75％的CEO對CPS事件承擔個人責任。

如何減輕風險

關鍵基礎設施公司需要能夠識別和跟蹤來自跨越IT和OT邊界的IoT / IIoT設備的威脅。但是現實是，數十年來，OT網絡一直是IT安全專業人員的盲點。隨著越來越多的舊版OT資產面向互聯網，并且工業公司向其環境中添加了更多與互聯網連接的設備以推動自動化和現代化，減輕風險的挑戰只會越來越大。由于缺乏可見性和遙測功能，OT和IT安全團隊常常處于黑暗之中，沒有意識到已經在其環境和行為中部署的CPS。

主動風險管理要求能夠從不同但互補的角度檢查和應對風險，從而為OT環境的整體安全性提供背景信息。做到這一點的關鍵是要清楚地了解組織的資產風險狀況和網絡流量。

了解資產風險狀況始于對工業控制系統（ICS）網絡和端點的可視性，并集中IT，OT，IoT和IIoT資產信息，而無需增加連接性。這樣，人機界面（HMI），歷史學家和工程工作站（EW）可以充實有關IT威脅和漏洞的信息，從而在不影響生產力或停機時間的情況下提高這些資產的安全性。

與網絡流量相關的安全信息也是識別和跟蹤跨越IT / OT邊界的威脅的關鍵。影響OT環境的許多攻擊都始于IT網絡，因此除了需要防御為IT系統構建的攻擊之外，還要求ICS設備和OT網絡的威脅特征碼。擁有無需簽名重新配置或手動更新即可保護CPS的技術，可以加快檢測和響應速度。

IIoT設備正迅速成為現代OT環境的標志和競爭優勢的加速器。讓我們從對風險和成本的洞見中學習，以超越IIoT設備可能引入到工業環境中的風險。

參考鏈接：https://www.securityweek.com/rise-industrial-iot-and-how-mitigate-risk

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:securityweek

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明