工業(yè)企業(yè)正在競(jìng)相實(shí)現(xiàn)現(xiàn)代化。傳感器����、控制器和邊緣平臺(tái)被部署在工廠�����、廠房和倉(cāng)庫(kù)中,以實(shí)現(xiàn)實(shí)時(shí)可見性����、自動(dòng)化控制和更智能的運(yùn)營(yíng)。然而�����,在急于連接的過程中��,許多人忽略了一個(gè)關(guān)鍵因素:安全性����。
隨著傳統(tǒng)的運(yùn)營(yíng)技術(shù) (OT)
系統(tǒng)被引入到云端,將數(shù)據(jù)輸入到云分析平臺(tái)和企業(yè)軟件中����,它們正面臨一個(gè)從未設(shè)計(jì)過的安全威脅。數(shù)十年來(lái)�����,在封閉的門禁和隔離網(wǎng)絡(luò)環(huán)境下安全運(yùn)行的工業(yè)系統(tǒng),如今卻暴露在全球攻擊面前��。這種轉(zhuǎn)變正在造成越來(lái)越大的風(fēng)險(xiǎn)����,令許多企業(yè)措手不及。
內(nèi)部漏洞
問題不僅僅在于這些系統(tǒng)陳舊����。更在于它們是為隔離而設(shè)計(jì)的,而不是為互聯(lián)網(wǎng)設(shè)計(jì)的���。像 Modbus 和 OPC Classic
這樣的協(xié)議在設(shè)計(jì)時(shí)從未考慮過加密或身份驗(yàn)證����。許多仍在使用的傳統(tǒng)設(shè)備甚至缺乏基本的憑證管理�。有些系統(tǒng)無(wú)法更新,有些則運(yùn)行在不受支持的操作系統(tǒng)上�����。
這些系統(tǒng)在當(dāng)時(shí)非?����?煽浚瑥牧鞒痰慕嵌葋?lái)看�����,它們?cè)诤芏嗲闆r下仍然可靠�。但在現(xiàn)代工業(yè)物聯(lián)網(wǎng)環(huán)境中����,可靠性無(wú)法取代韌性。一旦連接�,這些設(shè)備就很容易受到攻擊。攻擊者也深知這一點(diǎn)�。
一些備受矚目的事件表明,某些系統(tǒng)實(shí)際上是多么容易受到攻擊�。雖然并非每次攻擊都會(huì)成為頭條新聞,但威脅確實(shí)存在�。勒索軟件組織已經(jīng)開始積極攻擊工業(yè)環(huán)境,而不僅僅是IT網(wǎng)絡(luò)�����。在一個(gè)案例中����,攻擊者入侵了一家全球化學(xué)品分銷商�,竊取了超過100GB的敏感文件�。該公司支付了數(shù)百萬(wàn)美元的贖金,只是為了阻止這些數(shù)據(jù)被公開�����。在另一起有據(jù)可查的事件中���,惡意軟件被專門設(shè)計(jì)用于干擾一家石化工廠的安全系統(tǒng)����。
這并非紙上談兵�。對(duì)于運(yùn)營(yíng)老化設(shè)備的公司來(lái)說,每一個(gè)新的數(shù)據(jù)連接����,無(wú)論是用于遠(yuǎn)程訪問、預(yù)測(cè)性維護(hù)還是分析�����,都必須被視為攻擊者的潛在切入點(diǎn)���。
邊緣計(jì)算為何成為關(guān)鍵戰(zhàn)場(chǎng)
邊緣計(jì)算正處于這些挑戰(zhàn)的交匯點(diǎn)���。它是傳統(tǒng)技術(shù)與現(xiàn)代技術(shù)的交匯點(diǎn)����。它將工業(yè)協(xié)議轉(zhuǎn)換為企業(yè)級(jí)數(shù)據(jù)流�����,將工廠車間連接到云端�,并支持靠近資產(chǎn)的時(shí)間敏感型處理��。
如果運(yùn)行良好��,邊緣計(jì)算將是一個(gè)強(qiáng)大的賦能者����。但如果缺乏正確的架構(gòu),它也可能成為薄弱環(huán)節(jié)�����。當(dāng)邊緣平臺(tái)被純粹視為數(shù)據(jù)網(wǎng)關(guān)而非關(guān)鍵安全控制點(diǎn)時(shí)����,尤其如此�����。
許多組織正是因此而犯錯(cuò)���。他們認(rèn)為,如果云提供商擁有強(qiáng)大的安全性�,那么其余的流程也一定受到保護(hù)。但部署在工廠車間的邊緣設(shè)備通常缺乏適當(dāng)?shù)母綦x�。它們可能運(yùn)行在默認(rèn)配置下,通過扁平網(wǎng)絡(luò)連接�,或者由于缺乏安全的更新機(jī)制而錯(cuò)過固件更新。
這導(dǎo)致工業(yè)堆棧中最關(guān)鍵的部分之一的攻擊面不斷擴(kuò)大��。
工業(yè)團(tuán)隊(duì)現(xiàn)在可以做什么
好消息是�����,保護(hù)工業(yè)環(huán)境并不總是需要拆除和更換傳統(tǒng)設(shè)備����。很多情況下,關(guān)鍵在于在正確的位置應(yīng)用現(xiàn)代保護(hù)措施����。企業(yè)在實(shí)施過程中應(yīng)關(guān)注以下幾個(gè)關(guān)鍵領(lǐng)域:
隔離:將 OT 網(wǎng)絡(luò)與 IT 系統(tǒng)分離�����。避免扁平化架構(gòu)����。使用 VLAN�、防火墻和訪問控制在不應(yīng)相互通信的系統(tǒng)之間創(chuàng)建邊界。
協(xié)議轉(zhuǎn)換和遏制:使用安全的邊緣平臺(tái)����,使其能夠與傳統(tǒng)設(shè)備交互,但將其與外部網(wǎng)絡(luò)隔離�。
可修補(bǔ)性和可觀察性:盡可能確保系統(tǒng)能夠安全更新。如果無(wú)法進(jìn)行修補(bǔ)��,則在邊緣添加監(jiān)控功能��,以便及早發(fā)現(xiàn)異常行為�����。
供應(yīng)商訪問:控制和審核遠(yuǎn)程訪問����,尤其是對(duì)支持合作伙伴的訪問。限制哪些系統(tǒng)可以遠(yuǎn)程訪問以及在何種條件下可以訪問��。
實(shí)現(xiàn)此目標(biāo)的一種方法是在傳統(tǒng)設(shè)備和外部網(wǎng)絡(luò)之間部署一個(gè)安全感知的邊緣平臺(tái)����。例如,像 IOTech 的 Edge Central
這樣的平臺(tái)旨在充當(dāng)傳統(tǒng)設(shè)備和外部網(wǎng)絡(luò)之間的安全中介層�。這些系統(tǒng)允許工業(yè)團(tuán)隊(duì)維護(hù)現(xiàn)有設(shè)備,同時(shí)分層采用現(xiàn)代保護(hù)措施����,包括協(xié)議轉(zhuǎn)換、加密����、身份驗(yàn)證和邊緣的遠(yuǎn)程訪問控制。
最重要的是��,要認(rèn)識(shí)到安全并非一次性項(xiàng)目����。它是一個(gè)必須隨著系統(tǒng)發(fā)展、新連接的增加以及威脅行為者的適應(yīng)而持續(xù)維護(hù)的過程��。
文化和優(yōu)先級(jí)的轉(zhuǎn)變
阻礙進(jìn)步的最容易被忽視的障礙之一根本不是技術(shù)問題,而是組織問題���。在許多工業(yè)公司中����,網(wǎng)絡(luò)安全對(duì)話仍然處于孤立狀態(tài)����。IT 部門管理公司網(wǎng)絡(luò),OT
部門管理工廠車間����。兩者之間缺乏協(xié)調(diào),結(jié)果往往是安全實(shí)踐不一致����,使關(guān)鍵系統(tǒng)暴露在風(fēng)險(xiǎn)之中。
彌合這一差距需要的不僅僅是溝通����,還需要共同承擔(dān)責(zé)任�����。兩個(gè)團(tuán)隊(duì)必須了解他們的決策會(huì)如何影響對(duì)方。例如��,強(qiáng)制定期重啟系統(tǒng)的 IT
策略可能會(huì)擾亂全天候生產(chǎn)環(huán)境����,而 OT 部門不愿修補(bǔ)過時(shí)的系統(tǒng),這可能會(huì)引入 IT
部門必須防御的漏洞��。這些矛盾不能僅通過政策來(lái)解決�����。它們需要文化轉(zhuǎn)變�����,將共享風(fēng)險(xiǎn)管理置于安全規(guī)劃的核心���。
這種轉(zhuǎn)變也必須深入到高管層面�����。在制定數(shù)字化轉(zhuǎn)型戰(zhàn)略時(shí)����,安全領(lǐng)導(dǎo)層應(yīng)該發(fā)揮重要作用。采購(gòu)團(tuán)隊(duì)評(píng)估供應(yīng)商時(shí)��,不僅要考慮其功能和價(jià)格�,還要考慮他們與設(shè)施整體安全架構(gòu)的集成程度。當(dāng)安全成為一項(xiàng)共同責(zé)任時(shí)��,組織就能構(gòu)建更強(qiáng)大�、更統(tǒng)一的防御體系。
縮小差距
工業(yè)領(lǐng)域在數(shù)字化方面取得了令人矚目的進(jìn)步���。新型傳感器�����、更智能的機(jī)器和更敏捷的分析技術(shù)正在帶來(lái)真正的價(jià)值——從提高資產(chǎn)利用率到預(yù)測(cè)性維護(hù)和能源效率�����。但這些收益往往建立在缺乏抵御現(xiàn)代網(wǎng)絡(luò)威脅韌性的基礎(chǔ)設(shè)施之上���。
縮小連接與安全之間的差距意味著要認(rèn)真審視現(xiàn)有系統(tǒng),并坦誠(chéng)地認(rèn)識(shí)到它們的局限性�。這意味著要將安全性融入到每一個(gè)新的連接中,這并非事后諸葛亮���,而是作為一項(xiàng)設(shè)計(jì)原則�����。這意味著要投資于工具和流程�����,使監(jiān)控��、訪問控制和響應(yīng)不僅成為可能����,而且對(duì)運(yùn)營(yíng)團(tuán)隊(duì)來(lái)說切實(shí)可行�����。
最重要的是���,這意味著要認(rèn)識(shí)到工業(yè)安全并非一成不變���。它并非產(chǎn)品,而是一種思維方式。將安全視為卓越運(yùn)營(yíng)的核心要素(如同安全性和可靠性一樣)的設(shè)施���,將更有能力應(yīng)對(duì)日益互聯(lián)的世界帶來(lái)的挑戰(zhàn)��。
下一波工業(yè)創(chuàng)新將由邊緣智能�����、實(shí)時(shí)數(shù)據(jù)和跨系統(tǒng)無(wú)縫集成驅(qū)動(dòng)���。但如果基礎(chǔ)不牢固,這一切都將毫無(wú)意義?�,F(xiàn)在正是打好基礎(chǔ)的時(shí)候�。
您現(xiàn)在的位置:
中國(guó)傳動(dòng)網(wǎng)
>
技術(shù)頻道
>
技術(shù)百科
>
為什么工業(yè)物聯(lián)網(wǎng)的增長(zhǎng)會(huì)造成隱藏的安全漏洞
返回首頁(yè) 
網(wǎng)站客服
粵公網(wǎng)安備 44030402000946號(hào)