IIoT安全性提升的挑战与对策
关键要点
工业物联网IIoT处于成熟度曲线的早期阶段,安全防护面临诸多挑战。工业自动化设备在许多关键基础设施中使用,因设计年代久远而存在安全漏洞。脆弱的补丁流程使得漏洞修复变得复杂而难以实施。针对网络攻击的“检测与响应”策略,以及网络分割是一种有效的防护手段。研究与开发是保护关键基础设施的必要部分。当今,物联网IoT和工业物联网IIoT给安全行业带来了很多困扰,主要因为这些设备及其安全方案仍在开发和上市的初期阶段。工业自动化设备被广泛应用于电力、石油、天然气、制药及化工等各类关键基础设施中。
CyberX的副总裁Phil Neray表示,尽管联邦政府将这些设备都归类为关键基础设施,但“事实上,所有这些设备是很久以前设计的”。随着时间的推移,这些设备所使用的通信协议在设计时并未充分考虑安全漏洞。Neray指出,这些设备缺乏我们在网络安全中所认为理所当然的许多功能,导致了许多零日漏洞的出现。
该行业内已出现多起零日漏洞泄露,Neray将其称为“永远日”Forever Day漏洞,这可能严重到被视为“OT网络的Heartbleed”漏洞。他以最近发布的易受攻击软件的补丁为例CODESYS Web Server v23,这是由3SSmart Software Solutions GmbH公司开发的WebVisu可视化软件的一部分。
Neray说:“问题不在于补丁本身,而在于补丁流程及其复杂的供应链,使得补丁工作变得极为复杂,以至于根本无法启动。”CODESYS软件作为中间件,存在于数百种工业产品中,相关厂商需要先修补自己的固件代码,然后将这些修复传递给成百上千的客户。这些客户最终还需对其OT网络上的所有受影响设备进行补丁或“重新刷写”。
Neray强调:“放在一边的是,供应链顶部那些不愿付出时间和精力重新编码固件、测试补丁并打包发布的OEM,让一家电力公司无法为了补丁而关闭城市的一周电力。”当许多环境需要24小时运营时,如何中断进行补丁更新成为了一个问题。他们意识到攻击面在扩大,该如何应对呢?
“检测与响应。防火墙不能满足所有需求,它们需要专注于如何进行检测与响应。”Neray指出。
不幸的是,网络钓鱼是企业网络中最常见的攻击形式,许多大型攻击都是通过网络钓鱼启动的。安全专业人士面临的障碍在于他们无法修补人的错误。
“网络钓鱼攻击依赖于1到2可能犯错的人。因为无法对设备进行补丁,许多企业IT部门正在部署检测与响应的解决方案,以隔离设备或采取其他措施来阻挡攻击。”Neray提到。
第二种策略是网络分割。许多工业组织有一个庞大的扁平网络,单个设备与任何其他设备相连。“他们可以将工业网络分割成小子网络,这样攻击者就更难转移到网络的其他区域。”Neray表示。
蚂蚁加速器app鉴于这些设备最终会连接到网络,Neray建议:“不要将工业设备直接暴露在互联网上。”如果设备已经受到侵害,攻击者最先想要连接的是指挥与控制中心。“阻止这种流量。为防火墙创建一个规则,规定来自某地的流量不能去那里。”他说。
在企业IT环境中,定期分析服务器以发现漏洞、错误配置或需要应用的补丁是很常见的。虽然合规性规定有所帮助,但Neray表示:“在OT环境中则未必如此。三分之一的制造公司从未进行此类检查,大约一半偶尔会进行。”
工业环境不同于普通网络,因为“Neray指出,你无法对设备进行ping测试或询问。这会中断、减慢
