业内人士对赢得工业 (IIoT) 网络安全的公司的 11 条总结

当您阅读有关网络安全和工业物联网 (IIoT )，很容易过于关注复杂性（并且有很多），以至于您忽略了大局。这个领域有巨大的机会 - 现有 IT 网络安全参与者尚未开发。

用最简单的术语来说，在保护 Gmail 或 Facebook 帐户等免费消费者帐户时，投资安全的动机是由某些目标驱动的——保护客户信任、避免公司声誉受到不愉快的打击等。这些是，当然，真正的和重要的问题。但是，当一家工业公司试图保护价值 1000 万美元的涡轮机时，投资安全的经济学变得非常不同——而且更加直接。当前大部分安全投资都投向工业领域是有原因的：这是一个非常有前途的市场，而且新的创新可以产生巨大的影响。

GE Ventures 是通用电气的风险投资子公司，是认识到为客户降低成本和消除计划外停机的巨大机会（甚至更大的责任）的组织之一。几十年来，他们一直与工业公司密切合作。公司还与客户建立了长期的信任关系，帮助他们利用工业互联网的优势，保护他们免受其固有风险的影响。他们正在迎接这一挑战——他们自己的 Predix 架构是一个帮助优化工业业务流程的平台，拥有广泛的深度安全策略。

除了平台上的深度安全策略外，GE Ventures 一直在寻找推进工业网络安全艺术的初创公司。据他们说，那里有一些非常有才华的人。当然，对于初创企业来说，IIoT 并不是一个容易进入的市场。工业网络与企业 IT 不同，这使它们成为一个糟糕的兼职场所——在传统 IT 中拥有出色的产品路线图并不是在工业网络安全方面取得成功的与生俱来的权利。但是，该领域最成功和最有前途的初创公司之间存在一些共性。以下是 GE Ventures 的一些观点：

1.) 他们知道自己的东西。

GE 在评估一家初创公司时会考虑很多方面： 拥有合适专业的团队。差异化技术。但是，将公司踩水与那些已经游刃有余的公司区分开来的最重要因素是，它们的员工自上而下都是“获得”工业应用的人。
最成功的初创公司具有某种工业控制的制度知识系统 (ICS)——通常是从他们以前的职业生涯中的工业工作中收集到的。他们学到了重要的教训（有时是艰难的）：他们了解市场。他们了解它的限制。他们通过经验了解攻击面和暴露。他们始终，始终关注球：客户的业务连续性。

2.) 他们宣誓 IIoT 希波克拉底誓言：首先，不要伤害。

无论他们从事什么工作，成功的 IIoT 初创公司都不会忘记客户的主要目标：这台机器不会失败。无论他们为保护系统所做的工作如何，他们都知道它绝对不会减慢或破坏工业资产。他们创建的安全层至少与它所保护的设备和系统一样灵活，甚至更多。

3.) 他们不会让客户的事情变得更难。

成功的 IIoT 初创公司知道他们的目标客户多年来一直以某种方式做事。他们知道不要假设这些客户拥有与非工业企业相同的内部能力和机构知识——或者，在软件方面，他们甚至说同一种语言。而且他们不认为客户愿意填补翻译中丢失的空白。最有前途的 IIoT 初创公司已准备好为工业提供 IT 解决方案，而且他们毫不畏惧地明确表示，这就是他们的专长所在。但是他们从门口出来说OT。

4.) 它们集成了安全性。

成功的 IIoT 初创公司知道，将安全视为附加功能或追加销售永远不会成功。他们的客户希望将安全性融入到产品中并完全集成到现有的工业流程中。

5.) 他们不会试图一次吃掉整个蛋糕。

企业 IT 安全和 IIoT 网络安全是两种完全不同的动物。你不能只是将某物从一个世界移植到另一个世界。然而，从企业安全的演变中可以吸取教训。成功的 IIoT 初创公司坚持的最大原则之一是：他们不会试图一举解决安全问题。

在企业界，我们从一个大问题（保护数字资产和数据）开始，最终将其分解为许多小问题：边界安全、身份/身份验证、数据丢失预防、合规性等。 智能 IIoT 初创公司将同样的想法应用于 IIoT 网络安全。他们不打算“解决”工业网络安全问题。他们正在解决更小的、离散的问题并开发有用的解决方案。

6.) 他们一开始就假设他们会 有针对性。

即使是世界上最大和最好的数字公司也会在他们的环境中发现恶意或无法解释的代码——有时威胁已经潜伏了多年。智能 IIoT 初创公司希望他们的解决方案也将受到相同类型的恶意和/或情报收集威胁。这并不意味着他们不会花费大量时间和精力来防止违规。但是他们花费了同样多的时间和精力来确保，如果有人进入，他们可以隔离该漏洞并防止它渗透到系统的其余部分。他们认识到 ICS 攻击面不仅限于工业设备和网络本身，还扩展到组织和供应链的所有部分。

7.) 他们已准备好进行扩展。

成功的 IIoT 初创公司永远不会忘记，对于工业客户来说，零停机时间是可以接受的。他们知道，仅仅拥有伟大的技术是不够的——他们必须准备好在数千次部署的规模上使用该技术，有时是在多个国家/地区——有时是一夜之间。

8.) 他们知道在连接单个工业设备之前安全就已经开始了。

成功的 IIoT 初创公司认识到，一些最危险的漏洞不仅是代码中的缺陷，而且是供应链中的弱点。他们知道，任何包含其他人制造的子组件的 OEM 都有可能意外将篡改的固件引入他们的系统。他们从拥有出色技术但看到交易消失的供应商那里吸取了教训，因为客户意识到他们在供应链的一个组成部分使用不受信任的供应商。可靠的 IIoT 初创公司会在从构建到运输的每个步骤中采取措施保护其产品，因为此时产品最容易受到错误或恶意行为者的攻击。<​​/P>

现在正在探索的更有趣的领域之一：公共分类账。越来越多的公司正在研究区块链公共分类账技术，以帮助验证资产并提供端到端监管链的审计跟踪。 （行业团体也参与其中——可信物联网联盟最近宣布了一项新举措，以促进标准分类账来验证物联网设备。）现在还为时过早，但像这样的工作对 ICS 来说可能非常有价值，因为许多类别的非IT 资产（引擎、部件、子部件）正在连接回 IT 主干。

9.) 他们不会被流行语分心。

创业空间，或者至少是报道它的媒体，往往对炒作周期过于敏感。无论最新的热门概念是什么（目前，人工智能和机器学习），公司都急于确保他们可以声称选中这些框。成功的 IIoT 初创公司不会花时间担心本月的最新情况。他们专注于为特定的工业问题提供具体的答案。

10.) 他们了解保护静态和动态数据的必要性。

工业客户不仅需要解决方案来保护边缘数据（这里收集和处理的数据比以往任何时候都多），还需要保护移动到云端的数据。

动态数据对工业系统提出了特别繁琐的挑战。该领域的一些公司正在开发解决方案，以简化加密数据的传递，消除在传输过程中的任何点解密数据的需要及其相关风险。

11.) 他们明白工作永远不会完成。

优秀的网络安全初创公司认识到，他们的解决方案永远不会“完成”，而且他们对当前的设计不太满意。他们明白现实世界的网络安全意味着持续的、无限的迭代。

这不是一个全面的清单。但是，如果您正在规划公司在 IIoT 网络安全方面开发有趣的新解决方案的过程，那么这是一个很好的起点。

作者：Michael Dolbec 和 Abhishek Shukla，GE Ventures 董事总经理