為什么實施物聯網安全非常困難?
物聯網(IoT)正在通過一個由電子、軟件、傳感器、執行器和連接性組成的龐大網絡,越來越多地將物理世界和基于計算機的系統集成在一起。根據Statista的數據,物聯網這個龐然大物正以每年近20%的速度增長,到2020年有望達到8.9萬億美元。與此同時,四分之一的物聯網仍然致力于工業環境——工業物聯網(IIoT)。
不幸的是,隨著創新、效率和便利的新機會成倍增加,與IOT相關的漏洞和攻擊浮出水面被惡意行為者利用。而且由于網絡攻擊利用了鏈條中最薄弱的環節,組織不能只是挑選要解決的物聯網漏洞——它們必須實時地處理所有這些漏洞。
現實情況是:物聯網安全是一項艱巨的挑戰——涉及從難以實現標準的各個方面;難以觸及工業部件;以及如何在舊的“棕地”和新“綠地”物聯網系統和設備之間無縫集成安全的艱難選擇。
有很多指導,但不夠實用
物聯網和工業物聯網的安全挑戰范圍從不安全的web和移動接口以及網絡服務,到糟糕的加密、身份驗證和物理安全。特別是在工業環境中,組織意識到他們必須解決整個物聯網生態系統,包括:在工廠地板上運行的操作技術(OT);連接到物聯網云平臺的新設備;連接到業務系統的IT系統;新的設備和傳感器,以及介于兩者之間的一切。
美國國家標準與技術研究所(NIST)和國際自動化學會(ISA)等組織曾試圖通過發布物聯網和工業物聯網網絡安全標準來提供幫助,但這些指導方針非常復雜,難以理解,也難以實施,因為它們往往缺乏明確的實施建議。設備制造商和集成商可以自行決定如何在其設備所需的安全級別上實現適當的安全性、可靠性、彈性和私密性。通常情況下,這意味著標準沒有被實際應用,因為人們認為它們太復雜了。
例如,可信計算組的TPM 2.0標準提供了在微芯片和固件中嵌入唯一密鑰的指導,以幫助證明物聯網設備的身份,但該技術文檔長達3000多頁。
這些挑戰使得業界對以IOT為中心的攻擊毫無準備。事實上,最近的一項調查發現,97%的受訪者認為,不安全的物聯網設備對他們的組織會構成重大風險。
工業物聯網尤其重要,甚至更難獲得安全保障
從2010年的超級工廠病毒(Stuxnet),一直到2018年擴大的Triton式攻擊,工業系統已成為首要攻擊目標——這一事實尤其令人不安,也具有重大影響。雖然Target或Equifax的數據泄露可能是毀滅性的,會危及數百萬客戶的隱私和財務,但對關鍵基礎設施的網絡攻擊可能造成無法估量的損害、操作故障,甚至是生命損失。
想想1979年的三里島核事故和2010年英國石油公司深水地平線漏油事故;它們可能都是意外,但所涉及的控制系統故障與執行良好的網絡攻擊很容易造成的故障類型相同。事實上,據稱2014年德國一家鋼廠發生的黑客攻擊,破壞了一座高爐,導致高爐發生故障,對高爐設施造成重大損害。
請記住,對于煉油廠和其他一些復雜的工業企業來說,緊急停產可能需要一年或更長時間才能恢復。這意味著收入損失,名譽受損,甚至可能破產。
不幸的是,工業物聯網安全特別難以實現。許多工業部件是很久以前制造的,設計成可以連續運行。這使得為安全而改造系統變得十分困難;一些工業控制系統已經存在了幾十年,每年的維護時間僅有4個小時。
保護物聯網安全的正確方法
企業越來越意識到,為了保護組織和維護運營,它們必須跨整個物聯網生態系統實現安全性——尤其是在工業環境中。
最大的挑戰是將安全性覆蓋到涉及舊設備和遺留系統的“棕地”問題空間。與此同時,對于制造商來說,從一開始就確保正在開發的新“綠地”設備的安全性至關重要。
協調連接到“棕地”和“綠地”系統的物聯網基礎設施的安全性說起來容易做起來難。在棕地方面,一些系統根本無法升級——這意味著你唯一的選擇是更換系統,或者找到一種方法在系統前面放置一個安全網關。其他棕地元素可以通過更強的身份驗證、更多的加密或更好的web、移動或物理安全性逐步升級。在綠地方面,在所有設備和組件的開發和生產周期中,應盡早將安全性納入其設計。
最后,開發人員應該明白,即使一個全新的系統從工廠獲得了安全認證,如果它進入的環境沒有全面的安全性,那么它的運營能力仍然可能受到影響。
在您自己的組織中實現更好的物聯網安全性
到目前為止,應該清楚的是,沒有一種萬能的解決方案,人們可以簡單地購買,然后輕輕一按開關就能打開。相反,物聯網安全是必須用適合您組織及其漏洞的正確策略和行業伙伴關系來實現的。
無論您的具體實現方法是什么,它都應該包括一個安全堆棧,該堆棧可以跨不同的端點環境處理需求。另外,確保您的安全解決方案足夠強大,能夠增強存儲、通信和容器化應用程序的安全性。并確保任何工業設備滿足美國NIST 800-63B AAL3的要求(最高級別的認證保證)。
最重要的是,您實現這些高級別安全性的能力不應該被大量復雜的標準和指導手冊所拖累。合適的行業合作伙伴可以將這種復雜性打包,以確保您獲得適當的安全性和遵從性——而不會淹沒在文檔中。要求供應商提供全面的安全性,這種安全性仍然足夠簡單,易于理解和實現。
開發更強大的物聯網安全性已成為所有組織的主要關注點——尤其是那些處理關鍵基礎設施的組織。無論您是設備制造商還是服務提供商,每個人都可以更好地了解現有物聯網安全領域,以及如何加強它。
