保護(hù)IoT和OT安全的挑戰(zhàn)與重要性 | 千家視點(diǎn)

隨著數(shù)字化進(jìn)程的加快，各行業(yè)領(lǐng)導(dǎo)者正在更頻繁地使用物聯(lián)網(wǎng)技術(shù)。本文將詳細(xì)探討什么是 IoT 和 OT，以及了解使 IoT 和 OT 系統(tǒng)面臨風(fēng)險(xiǎn)的重要性。

隨著世界范圍內(nèi)大大小小的企業(yè)部署越來越多的連接設(shè)備，企業(yè)對(duì)物聯(lián)網(wǎng)(IoT)設(shè)備的部署正在迅速增長(zhǎng)。從休息室的智能冰箱到訂購(gòu)自己的碳粉的復(fù)印機(jī)，再到用于早期識(shí)別關(guān)鍵任務(wù)設(shè)備故障的傳感器，物聯(lián)網(wǎng)使企業(yè)能夠監(jiān)控、自動(dòng)化、控制和管理其業(yè)務(wù)運(yùn)營(yíng)的許多方面。

然而，這些設(shè)備及其網(wǎng)絡(luò)連接代表了企業(yè)攻擊面的潛在增加，并為攻擊者提供了更多可利用的弱點(diǎn)。造成這種情況的一個(gè)主要原因是，這些設(shè)備通常具有 IT 員工經(jīng)常忽視甚至不知道的內(nèi)置弱點(diǎn)，因?yàn)橹悄茉O(shè)備很少像傳統(tǒng) IT 設(shè)備那樣受到精心管理。

簡(jiǎn)而言之，物聯(lián)網(wǎng)是一個(gè)設(shè)備和傳感器相互連接以收集和交換重要數(shù)據(jù)的系統(tǒng)。物聯(lián)網(wǎng)設(shè)備通過各種網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)，例如 Wi-Fi、蜂窩網(wǎng)絡(luò)、藍(lán)牙和 Zigbee。此外，這些設(shè)備還可以使用 Google Home、Amazon Echo 和其他此類網(wǎng)關(guān)進(jìn)行互聯(lián)網(wǎng)連接。

物聯(lián)網(wǎng)設(shè)備種類繁多，包括用于檢測(cè)和監(jiān)測(cè)溫度、運(yùn)動(dòng)、聲音、光、氣體和其他因素的簡(jiǎn)單傳感器，以及包括智能恒溫器甚至汽車在內(nèi)的復(fù)雜設(shè)備。物聯(lián)網(wǎng)設(shè)備收集的數(shù)據(jù)可用于監(jiān)控和控制設(shè)備，以及跟蹤和管理設(shè)備收集的數(shù)據(jù)。

將我們的焦點(diǎn)轉(zhuǎn)向物聯(lián)網(wǎng)的工業(yè)用途，我們進(jìn)入這些設(shè)備的一個(gè)類別，稱為運(yùn)營(yíng)技術(shù) (OT)。這種更注重業(yè)務(wù)的物聯(lián)網(wǎng)類別是指用于識(shí)別、監(jiān)控和控制組織中的物理設(shè)備、流程和事件的硬件和軟件。

OT 的早期采用者是農(nóng)業(yè)行業(yè)，該領(lǐng)域熱情地接受了它。連接設(shè)備廣泛用于實(shí)時(shí)監(jiān)測(cè)陽光水平、土壤濕度、濕度、溫度和其他影響作物健康的因素。然后將這些數(shù)據(jù)與其他農(nóng)業(yè)作業(yè)一起用于自動(dòng)化灌溉。同樣，全球各地區(qū)和國(guó)家都使用各種各樣的智能設(shè)備來監(jiān)測(cè)能源使用以及水和空氣質(zhì)量。

物聯(lián)網(wǎng)設(shè)備的主要問題之一是 IT 組織對(duì)其資產(chǎn)缺乏認(rèn)識(shí)——這主要適用于物聯(lián)網(wǎng)，而不太適用于OT設(shè)備。原因是OT設(shè)備通?；ㄙM(fèi)很多錢，實(shí)際上控制著企業(yè)用來做生意的業(yè)務(wù)功能；例如工業(yè)制造商使用的數(shù)控機(jī)床。另一方面，物聯(lián)網(wǎng)設(shè)備遭受“設(shè)備擴(kuò)展”的困擾，因此相對(duì)便宜的設(shè)備很容易部署到辦公大樓，其中大多數(shù)只使用Wi-Fi連接。

這種缺乏意識(shí)意味著這些設(shè)備不是企業(yè)修補(bǔ)和固件更新過程的一部分。特別是，迄今為止，未能定期更新固件一直是一個(gè)相當(dāng)大的問題。

數(shù)據(jù)泄露、網(wǎng)絡(luò)攻擊和隱私問題通常是物聯(lián)網(wǎng)設(shè)備受到損害的結(jié)果。一旦易受攻擊的物聯(lián)網(wǎng)設(shè)備被攻破，不良行為者通?？梢栽谄髽I(yè)網(wǎng)絡(luò)內(nèi)橫向移動(dòng)，具體取決于網(wǎng)絡(luò)的架構(gòu)和設(shè)備的連接類型。

更令人擔(dān)憂的是，我們現(xiàn)在看到物聯(lián)網(wǎng)設(shè)備成為命令和控制 (C2) 攻擊的受害者。最近確定的是，以前針對(duì)計(jì)算機(jī)和 IT 系統(tǒng)的惡意軟件 Trickbot 現(xiàn)在正在影響物聯(lián)網(wǎng)設(shè)備。Trickbot 已經(jīng)入侵了物聯(lián)網(wǎng)設(shè)備，然后使用這些設(shè)備嘗試橫向移動(dòng)并獲得對(duì)具有更多關(guān)鍵數(shù)據(jù)的目標(biāo)網(wǎng)絡(luò)的訪問權(quán)限。

似乎這還不夠，許多行業(yè)（尤其是制造業(yè)）越來越多地采用 OT，這為不良行為者提供了進(jìn)行網(wǎng)絡(luò)攻擊的潛在機(jī)會(huì)，他們?cè)诰W(wǎng)絡(luò)空間的攻擊會(huì)影響物理世界。例如，通過阻止離心機(jī)在設(shè)定點(diǎn)自動(dòng)減速，攻擊者可能會(huì)導(dǎo)致離心機(jī)繼續(xù)旋轉(zhuǎn)，直到它發(fā)生故障，這可能會(huì)傷害附近的工人。

此類攻擊破壞甚至關(guān)閉業(yè)務(wù)運(yùn)營(yíng)的可能性是真實(shí)存在的。為確保對(duì)這些攻擊提供充分保護(hù)，首先了解使 IoT 和 OT 系統(tǒng)面臨風(fēng)險(xiǎn)的最重要問題非常重要：

常言道“你無法保護(hù)你看不到的東西”，這同樣適用于物聯(lián)網(wǎng)和 OT，也適用于其他 IT 環(huán)境。不幸的是，許多企業(yè)缺乏必要的工具來發(fā)現(xiàn)他們所有的物聯(lián)網(wǎng)資產(chǎn)并了解他們的整個(gè)物聯(lián)網(wǎng)資產(chǎn)。

大多數(shù)標(biāo)準(zhǔn)設(shè)備管理工具集（如 Microsoft 的 Configuration Manager）都無法修補(bǔ) IoT 設(shè)備。即使企業(yè)組織考慮到其環(huán)境中的物聯(lián)網(wǎng)設(shè)備，他們也并不總是能適當(dāng)?shù)毓芾硭鼈儭?/p>不安全的軟件和固件

不幸的是，盡管管理系統(tǒng)的員工付出了辛勤的工作，但物聯(lián)網(wǎng)和 OT 設(shè)備通常具有固有的軟件和固件漏洞。網(wǎng)上經(jīng)常有報(bào)告顯示，在檢測(cè)到它們多年后，市場(chǎng)仍然在出售的帶有已知漏洞的不安全設(shè)備。

未能正確管理帳戶和密碼仍然是一個(gè)關(guān)鍵問題。許多組織使用的數(shù)千個(gè)安全攝像頭在管理員的帳戶憑據(jù)被發(fā)布到互聯(lián)網(wǎng)后遭到破壞。

有效地使用 SIEM（安全、信息和事件管理，Security, Information, and Event Management）和其他網(wǎng)絡(luò)安全工具來正確監(jiān)控 IoT 和 OT 設(shè)備并可靠地檢測(cè)威脅非常困難。這通常會(huì)導(dǎo)致這些設(shè)備被輔助系統(tǒng)監(jiān)控，或者手動(dòng)檢查，或者有時(shí)根本不監(jiān)控。

盡管威脅是真實(shí)存在的，并且限制有效安全的問題具有挑戰(zhàn)性，但物聯(lián)網(wǎng)和 OT 的價(jià)值實(shí)在是太大了，不容忽視。

幸運(yùn)的是，正確保護(hù)物聯(lián)網(wǎng)和OT設(shè)備是相當(dāng)簡(jiǎn)單的。從部署時(shí)開始，這時(shí)設(shè)備應(yīng)該被正確配置。及時(shí)安裝補(bǔ)丁也是關(guān)鍵，時(shí)刻保持良好的網(wǎng)絡(luò)衛(wèi)生也是很重要。此外，保持所有物聯(lián)網(wǎng)和OT設(shè)備的最新庫存是必要的。如果沒有這樣的清單，其中應(yīng)該包括所有這些資產(chǎn)的相關(guān)信息—，否則企業(yè)將無法保護(hù)這些設(shè)備。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。