工业物联网安全：挑战与解决方案

根据最近的预测，工业物联网的指数级增长正在步入正轨。到 2025 年，随着我们迈向拥有超过 750 亿台联网设备的世界，近三分之一的设备将用于制造业的工业应用。但随着这个市场中的机会——尤其是基于云的第三方服务提供商——的机会不断扩大，一个问题与其说是增长的障碍，不如说是一个不容忽视的危险信号。那个危险信号是安全的永远存在的要求。

每过一周，就会有一个新的故事涉及比以前大得多的数据库中的数据泄露，以及被认为可以免受此类入侵的公司的数据泄露。同样令人痛心的是，公司存储或使用收集到的数据的方式是最初委托给他们的个人和企业所不希望的。而且随着设备普及速度的加快，问题可能会在改善之前变得更糟。

在本文中，我们将讨论工业 IoT 网络的常见漏洞，以及如何解决这些漏洞以确保您的网络和业务的安全。

我们是怎么走到这里的

有两个基本原因可以解释工业物联网如何陷入这一困境。一种是基于简单的数学。随着部署的设备数量呈指数级增长，以及服务提供商面临部署设备和平台的压力，该行业一直处于领先于自身的风险，并且所做的工作超出了安全计划和协议可以吸收和响应的范围。 .

第二个原因是过去一直困扰着其他非常成功的新技术的问题。也就是说，以前从未在机器级别解决安全问题。因此，没有制定任何标准或协议。在许多方面，这意味着提供商要么在遇到他们时临时解决他们，要么使用客户选择的第三方安全提供商，甚至完全依赖客户的内部安全措施（通常他们自己的权利不足）。

更糟糕的是，许多服务提供商在部署固件升级方面进展缓慢或断断续续，因为推动新的和改进的核心功能通常优先。无论问题是如何产生的，它都是当今行业中最热门的问题之一，也是许多人都在努力解决的问题。

安全问题的位置

随着黑客在使用与构建物联网系统相同的数据工具和人工智能技术方面变得越来越老练，数据泄露的风险也在增加。在工厂及其连接的系统中，有许多地方可能会发生违规行为：

• 不安全的 Web 界面：用户与 IoT 设备交互的位置存在默认密码不足、锁定和会话管理问题以及网络内的凭据暴露等问题。
• 不安全的网络服务： 这就是黑客可以通过开放端口、缓冲区溢出和拒绝服务攻击来访问网络本身的地方。
• 弱加密： 弱加密，或者在某些情况下没有加密，可以让入侵者在设备之间交换期间收集数据。
• 不安全的移动界面： 由于许多公司将现场服务作为其制造业务的延伸以进行维修和维护，因此移动接口也面临着同样的加密和身份验证问题。

工业物联网安全的挑战

许多企业一开始就已经拥有薄弱或不适当的安全性，这给提供服务和设备的物联网提供商带来了压力。超过 50% 的关键基础设施运营使用过时的 Microsoft 软件，整整 40% 的工业站点使用公共互联网。

这使得机器渗透成为设备激增的关键风险，这意味着可以想象，老练的黑客可能会进入整个工厂，并在很长一段时间内严重破坏或破坏生产能力。作为入侵的直接或间接结果，它还可能造成身体上的危险状况。

遗留安全性也是一个问题。工业物联网部署的关键价值主张之一是可以用物联网设备改造旧设备。这允许更长的设备生命周期和完全集成以构建智能工厂，而不会触发昂贵的资本设备采购。但在做出选择的同时，还必须仔细考虑哪些设备可以得到妥善保护以在系统内使用，这是公司可能没有的技能组合，也可能没有意识到自己需要。

一个仍处于起步阶段但呈天文数字增长的行业缺乏标准和协议，也阻碍了连贯的安全进展。感觉是物联网服务提供商作为一个商业社区将聚集在一起并自我监管，为所有开发开发标准和协议。

这将消除竞争或重叠“本地”协议的机会，并且对客户来说是最具成本效益的。在那之前，缺乏标准使临时安全成为一种规范，并强调了客户现有安全系统的能力，这可能已经有自己的弱点。

工业物联网安全解决方案

超过 40% 的违规行为包括恶意软件或暴力攻击。但也有许多其他形式的入侵。由于可以访问公司设备和系统的方式多种多样，因此安全性被视为由四层组成；设备、通信、云和生命周期管理。由于行业的发展速度如此之快，这使得安全解决方案变得复杂，因为没有端到端、开箱即用的安全解决方案。

但是，随着端到端解决方案的开发，供应商和公司可以在此期间采取一些措施。

一个这样的步骤是对 IT 网络进行分段，以便控制设备的任何内容都维护在与公司 IT 基础架构的其余部分不同的网络中。

服务提供商可以采取的第二步是确保“基础”。基本结构（例如在少量尝试后锁定凭据以及在激活时必须更改的默认凭据）将有助于确保 Web 界面的访问安全。同样，强制使用强密码规则和两因素身份验证可以限制未经授权的访问。

在 IT 级别，确保服务不易受到缓冲区溢出的影响，并且在不使用时关闭端口也将关闭入侵途径。对于密码、锁定和默认密码规则，可以在移动设备界面中内置相同的预防措施。当然，在生产和部署固件升级方面更好的纪律将有助于减少系统退化。

或许为了解决安全问题，可以采取的最大步骤是让行业在制定行业标准和协议时进行自我监管。通过为上述许多问题定义基本架构并对其进行标准化和强制要求，服务提供商及其编程团队将从较小的安全问题中解脱出来，并随着它们的发展而专注于更大和更密集的安全问题。

基本标准的制定将在所有系统下设置最低安全“底线”，以保护购买服务的公司以及在安全系统不足或薄弱的公司部署系统时的供应商。

物联网的安全挑战将继续增加

工业物联网服务提供商及其客户公司面临的安全挑战越来越大。许多人没有强烈强调等式的安全方面，但如果不这样做，就会错失良机。许多高管表示，如果安全解决方案是一揽子计划的一部分，他们愿意为物联网设备和服务支付更多费用。但随着行业的不断发展，包括作为平台一部分的安全性在内的新服务，或与​​第三方安全提供商的强大合作伙伴关系，将在市场上获得更强大的立足点。