這并非毫無根據的擔憂：正如我們在媒體上看到的那樣，越來越多的針對工廠的網絡攻擊案例使基礎設施變得毫無用處，甚至改變其運行，從而帶來風險。

我們第一次熟悉工業網絡安全是在 2010 年。 Stuxnet 是一種被描述為第一個網絡武器的惡意軟件，它被引入伊朗核電站以延遲伊朗的核計劃。 該惡意軟件成功控制了濃縮鈾離心機的閥門和壓力傳感器。

過去一年，針對關鍵基礎設施的工業網絡攻擊大幅增加，攻擊火力發電廠、變電站、水處理廠或輸油管道。例如最近對殖民地管道或佛羅里達州為大量人口供水的水處理廠的攻擊。

[[426561]]

物聯網設備存在安全風險

物聯網 (IoT) 是一組使物理世界與數字世界相連的技術。通過傳感器、執行器和其他所謂的物聯網設備從物理世界中發生的事情收集信息，然后進行數字處理。與人體類比，物聯網是數字世界的意義，也是許多尋求通過數字化流程和利用數據來改變其商業模式的工業公司邁向數字化轉型的第一步。

第一步是收集數據。公司現在可以通過物聯網部署連接到他們的工業設備并收集數據以做出明智的決策。其中許多物聯網設備具有先進的計算能力，可以遠程操作工業設備;這正是正確保護這些設備如此重要的原因。

物聯網設備是非常重要的。然而，整個網絡安全鏈中最脆弱的因素及其背后的原因是缺乏固件更新。

在個人電腦和手機等成熟領域，設備收到新版本通知和安全補丁的通知無處不在，一旦下載和安裝，這些補丁可以保護智能手機和筆記本電腦免受最新漏洞的影響。

然而，在工業界，這遠非常態。通常，一旦物聯網設備部署在其物理環境中，它們就永遠不會更新，這會顯著增加陷入網絡攻擊的風險。

物聯網設備的更新方式與我們的手機或計算機不同，主要有兩個原因：

• 工業物聯網市場的不成熟意味著網絡安全不被視為主要需求。如果我們將促使公司開展物聯網項目的所有需求都放入某種馬斯洛金字塔中，那么在網絡安全之前還有其他問題，而這恰恰是一個大錯誤。在項目開發后擔心物聯網安全，而不是從一開始，從設計階段開始。

• 管理分布式、遠程和極其異構的環境的復雜性。物聯網的概念基于大量分布式“事物”的存在。能夠確保所有這些設備都可以以高效且可擴展的方式進行更新，因此擁有安全的遠程管理系統至關重要。否則，必須在本地定期更新 IoT 設備的成本將使任何特定規模的項目都不可行。

此外，物聯網設備開發中缺乏標準使這種管理變得復雜，并讓每個供應商來響應(或不響應)這種需求。

工業物聯網安全：保護物聯網邊緣設備的建議

物聯網中最常見的漏洞圍繞以下幾個方面：

• 使用弱密碼或嵌入式密碼
• 不安全的網絡服務
• 使用不安全的接口
• 缺乏更新機制
• 缺乏數據存儲和傳輸安全性
• 設備管理不到位

面對這份典型漏洞列表，OWASP等組織在其網站上發布了指南，指出在開發物聯網解決方案時應考慮哪些方面以及應采取哪些保護措施。

物聯網設備是安全鏈中最薄弱的環節。 在部署任何物聯網項目時，確保它們得到充分保護是繼續進行的最佳方式。