应对 ICS 和 IIoT 日益增长的威胁形势

互联设备和传感器的激增给每个行业和企业带来了新的且不断增长的安全挑战，这已经不是什么秘密了。问题不再是设备或传感器是否以数字方式连接。今天的重点必须放在谁可以访问生成的操作数据以及如何确保设备或传感器安全 .这对于构成我们关键基础设施基础的融合系统来说是必不可少的。

本周，我有幸在乔治亚州亚特兰大举行的 SecurityWeek ICS 网络安全会议上发言。会议是 IIoT 前线人员的聚会——处理工业控制系统 (ICS) 网络威胁的运营商和信息技术合作伙伴，包括 SCADA 系统、工厂控制系统和可编程逻辑控制器 (PLC) 等元素）。巧合的是，本周的国家网络安全意识月活动的重点是保护关键基础设施的重要性，而我参加会议的同行代表了支撑这一基础设施的许多行业——国防、发电、输配电、水务、化工、石油和天然气、管道、数据中心、医疗设备等。

连接的传感器和设备数量的增加创造了前所未有的深度和广度的攻击面。当您考虑到 IIoT 由现在驱动 ICS 的数字传感器、控制器、机器、软件和移动设备以及构成社会基础的基础设施组成时，保护这些连接的挑战正以指数级的速度增长。

然而，这个安全挑战还有一个额外的现实。解决第三方生态系统的基本需求，这是数字工业环境生命周期的一个组成部分。该生态系统包括构成 ICS 和 IIoT 的组件的制造商、分销商和服务提供商，其中包括与 ICS/IIoT 融合的信息和通信技术 (ICT)。

输入保护此第三方生态系统以提供关键基础设施保障的关键需求。

保护第三方生态系统

控制系统、设备和传感器本质上是可变的，可以针对专门的数据馈送和操作进行定制。例如，能源部门将拥有具有独特操作容差和峰值需求指标的控制系统——这些因素在互联的医疗保健提供环境中可能并不显着。此外，这些不同的系统、传感器和设备的管理和控制也会有所不同。

根据 EE Times 最近的一篇文章，为什么 IIoT 如此容易受到网络攻击？推动这场安全威胁“完美风暴”的一个关键因素是“来自多个供应商的 OT 和控制系统的拼凑，这些供应商运行专有和非可更新的软件，包括可访问远程终端单元 (RTU) 的人机界面 (HMI) 计算机、SCADAmaster（监控计算机）和可编程逻辑控制器 (PLC)。”在这种看似无限配置的环境中，您如何管理安全性？

在处理 ICS 和 IIoT 设备和传感器供应商的第三方生态系统时，我提出了解决安全问题的五个关键步骤：

第 1 步： 了解谁构成了这个生态系统，他们提供了什么，以及他们可能如何影响您的 ICS 或 IIoT 安全。

第 2 步： 了解您的生态系统成员正在做什么以将安全性构建到构成您的操作系统的解决方案中。

第 3 步： 部署一个架构来控制哪些设备与哪些其他设备通信——利用分段和最小权限访问原则。

第 4 步： 评估您生态系统中的第三方是否在您的安全容忍度范围内运作。

第 5 步： 了解影响 ICS、IIoT 及其第三方生态系统的政策、标准和指南并为其提供输入（例如，ANSI/ISA-62443-4-1-2018，“工业自动化和控制系统的安全性第 4-1 部分” ：产品安全开发生命周期要求；“美国 NISTIR 草案 8228，“管理物联网网络安全和隐私风险的注意事项”；“NERC CIP 013-1，“减轻大容量电力系统 (BES) 可靠运行的网络安全风险通过对 BES Cyber​​ Systems 的供应链风险管理实施安全控制”）。

正在为解决公共和私营部门的安全问题做出新的努力。例如，美国国土安全部正处于启动其 ICT 供应链工作组的最后阶段。认识到第三方生态系统的影响以及在我们的关键基础设施中支持、交付和运行的数字设备的整个生命周期中对安全性的需求，给了我希望。希望通过跨多个行业（包括关键基础设施）的公共/私人合作伙伴关系，我们将齐心协力应对不断扩大的威胁格局以及不断增加的第三方生态系统所带来的安全挑战。这将是一项重大事业，但也是朝着正确方向迈出的可喜之举。

现在比以往任何时候都更需要了解第三方生态系统的组成部分和内容。整个生态系统的综合安全性至关重要。这对于关键基础设施中的 ICS 运营商以及所有行业的 IIoT 连接设备的用户和制造商来说尤其重要。好消息是公共和私营部门正在共同努力直接应对这一挑战。在您自己的行业和其他行业内参与进来、保持警惕并进行协作，以确保我们的集体成功。

有关保护关键基础设施、ICS 和 IIoT 的附加阅读：

• 保护数字时代的关键基础设施
• 为保护关键基础设施奠定基础不要忽视关键基础设施安全