为什么 TÜV SÜD 称其为工业网络安全领导者

慕尼黑 - 大约 67% 的公司受到每年都会发生安全事件，国际测试、认证和培训组织 TÜV SÜD 的网络安全服务董事总经理安迪·施威格 (Andy Schweiger) 说。 “脚本小子的时代已经一去不复返了，”施威格说，指的是那些依靠在线资源发起网络攻击的有抱负的黑客崇拜者。 “[那些 10 到 15 年前成为头条新闻的脚本小子现在已经长大了，”他补充道。因此，当前的网络攻击往往更具破坏性。国家行为者在发起攻击和开发恶意软件方面发挥了更大的作用，这些恶意软件偶尔会像 EternalBlue 漏洞那样泄露，使黑社会黑客能够发起极具破坏性的攻击。一些攻击者正在利用机器学习进行诡计和识别易受攻击的目标。

为应对这一挑战，TÜV SÜD 与美国的 UL 一样，越来越将自己定位为工业网络安全领域的权威。作为西门子网络安全新闻发布会的一部分，施魏格在一次演讲中表示，TÜV 南德意志集团完成这项任务有五个原因。首先，它了解与网络相关的不断变化的监管要求，例如 GDPR。 （在相关方面，大规模生产物联网连接小工具的制造商发现他们可能要为其产品的大规模网络攻击造成的损害负责）。其次，该组织密切关注当前的威胁形势。三是建立了坚实的网络专家队伍。四是中立客观。最后，它号称是众所周知的网络安全“一站式商店”。

[ 物联网世界 是将工业物联网从灵感到实施、推动业务和运营的活动。 立即获取门票。 ]

该组织的英文标语是：“增加价值。激发信任。”

TÜV 南德意志集团致力于在六个月的时间内迅速建立一支由约 30 多名网络专家组成的团队。如果其网络方法有一个中心目标，那就是将网络战略置于战术之上。 “有数以千计的品牌，”Schweiger 在谈到网络供应商格局时说。 “承诺是：你购买下一个电器，你会更安全，”他说。 “但这不一定是真的。”

事实上，一个购买了数十个安全设备并拥有大约 12 个网络安全团队的组织可能会发现自己的安全性较低。它可能没有一个全面的网络安全策略，而是可能有一个错综复杂的防御，让他们容易受到攻击。

Schweiger 表示，TÜV SÜD 作为网络安全服务提供商而非产品提供商的地位使其比产品提供商更加灵活。如果出现新的漏洞，公司可以迅速适应并制定应对策略。

其核心网络安全服务分为四个领域，数据保护（如数据保护咨询和数据销毁）、商业交易安全、工业网络安全（如基于人工智能的安全测试和网络异常检测）和专家服务（如攻击服务检测） 、风险暴露评估和渗透测试）。

在工业领域，该公司致力于帮助组织的 OT 和 IT 部门融合，而不是断然宣布彼此之间完全不同。 “如果您将 OT 附加到 IT 系统，那么 IT 系统的所有挑战都会转移到 OT 系统上，”Schweiger 说。该组织还表示，它有助于优化 OT 和 IT 效率，并通过共享的最佳实践重用客户内部流程。

相关内容

TÜV SÜD Sec-IT GmbH 的信息安全经理 Stefan Laudat 表示，风险是一个由资产、漏洞和威胁组成的等式。但与传统 IT 安全不同的是，工业网络安全不仅会使数据、生产力和系统可用性处于危险之中，而且可能会威胁到人的生命或造成伤害。包括潜在脆弱的关键基础设施的工业环境可能会影响周围的社区。例如，著名的航空航天公司正在测试外骨骼，让他们的工人能够举起重物。如果这些设备之一遭到破坏或恶意配置，则可能对其佩戴者构成严重威胁。

Laudat 说，当前工业领域的网络威胁级别为中到高。虽然当前的攻击者或多或少处于休眠状态，但他们正在投入大量资金研究以工业为中心的攻击，同时启动此类攻击的成本正在稳步下降。像 Shodan 这样的网站使攻击者可以轻松地对潜在的工业目标进行侦察。

鉴于访问控制系统通常较弱、专有协议占优势、监管框架有限、供应商网络复杂以及 IT 安全意识普遍较低，工业环境中的漏洞范围在工业环境中也可能相当大。 Laudat 说，此外，广泛使用的物联网协议 MQTT 是轻量级、弹性和不安全的。随着时间的推移，许多连接的工业设备的使用寿命很长，可能会使它们暴露在大量漏洞中。

在某些情况下，该组织建议其工业客户在潜在的网络威胁不可接受时避免数字化并坚持使用模拟技术。

TÜV 南德意志集团的网络方法不依赖于传统的审计，在传统审计中，一两名专家将前往一家公司进行面试。 “答案来自采访。在最好的情况下，他们是有偏见的。在最坏的情况下，他们只会告诉你他们想要什么，”施威格说。但该组织的网络方法依赖于自动化来衡量其客户的网络风险。 “系统不会对我们撒谎，”他补充道。