2019年:认真对待IIT安全
随着2018年结束时,行业将是明智的选择,即确认现在在工业互联网上确保安全的优先级的必要性。
由于行业4.0运动开始在全球范围内席卷全球,因此牢固地确定,IIOT计划在从政府基础设施到制造业到能源生产方面都会产生巨大的效率和成本节省。但是有几个因素表明,IIOT安全性的缺点威胁着连接自动化的向上轨迹,对部署前进的积极潜力产生了影响。在2019年,是时候认真对待IIT安全了。
工业网络安全公司Cyberx最近发布了第二届年度“全球ICS和IIOT风险分析报告”详细说明工业控制系统和IIT部署。该研究涵盖了从2017年9月至2018年9月在北美和南美,EMEA和亚太地区评估的850多个生产网络中获得的所有领域和分析数据。结果描绘了IIOT网络的严峻图片,这些网络很容易挑选网络犯罪分子和恶意入侵。其中的发现:
- 84%的工业网站至少具有远程访问的设备
- 69%的网站有纯文本遍历其网络的密码
- 57%的站点无法运行可行的防病毒保护
- 40%的工业网站至少与公共互联网有直接连接
- 16%的站点至少有一个无线访问点
另外,网络安全公司Vectra协调了“攻击者行为行业报告”的2018年黑帽版本的观察结果和数据,该版本揭示了来自250多名制造业和其他八个行业的250多名选择客户的攻击行为。该报告研究了Cyberattack趋势对超过400万个设备和9个不同行业的工作量进行了250多个Vectra客户的采样。它指出,2018年的威胁急剧增加,平均每10,000个设备的攻击者行为检测2,354次。在其“ 2018年焦点报告”中对IIT网络进行研究,发现:
“制造业中,每10,000个主机设备的每月攻击者探测器的每月销量显示出比其他行业的恶意内部行为数量要高得多。在许多情况下,恶意行为的比率为2:1,以通过指挥和控制的横向移动。这些行为反映了由于大量无抵押的IIOT设备和内部访问控制不足,攻击可以在制造网络内部扩散的速度和速度。”
该报告进一步得出结论:“ IIOT设备共同代表了巨大,易于穿越的攻击表面,使网络犯罪分子能够进行内部侦察,目的是窃取关键资产并破坏基础设施。”
而且,如果简单的IP盗窃和基础设施干扰和/或损害没有足够的警告,那么政府现在也正在进入竞争。
而美国联邦法案被称为2017年的IOT网络安全改进法案仍然停滞在委员会中,一个州刚刚制定了第一项美国法律规定的物联网设备制造安全规定,自2020年1月1日生效。SB 327状态:
“连接设备的制造商应为设备配备合理的安全功能或以下所有功能:适合设备的性质和功能;适合可能收集,包含或传输的信息;并旨在保护该设备以及其中包含的任何信息免于未经授权的访问,破坏,使用,修改或披露。”
一个 ”合理的安全功能对于任何配备了在局部网络之外进行身份验证手段的连接设备,需要预编程的密码是每个设备所独有的,或者该设备包含一个安全功能,该功能迫使用户在授予访问之前生成新的身份验证手段第一次。立法有受到批评对于肤浅,忽略加密和未能解决上述网络安全报告中发现的无数基本不良实践,这反映了一个新的现实。这是美国第一项规定特定“事物”的安全性的法律,肯定会遵循更多的规定。
地平线有希望。例如,区块链技术是一个分布式数据库,该数据库在密码和不变的数据库上记录了通过系统移动的每个“块”,并且可能指出我们连接的设备更安全的未来。作为网络安全公司趋势微观指出“鉴于其分散的性质,从理论上讲,区块链可以防止易受伤害的设备推动虚假信息并破坏网络环境,无论是聪明的房屋还是聪明的工厂。”有实验已经在进行使用区块链在欧洲验证和确保智能城市功能。在半导体空间中的单独前部,有新的芯片设计正在探索旨在将人工智能功能分层或将人工智能功能注入设备和应用程序,包括从边缘到云的每个计算点都有更好的安全性。
这些是有希望的发展,但它们并没有否定当前的危险。现在,IIT需要认真的审查,投资和对安全最佳实践的重新承诺。这是一个值得制定和保存的2019年决议。
所有的物联网议程网络贡献者都负责其帖子的内容和准确性。意见是作家的,不一定会传达物联网议程的思想。