許多垂直行業(yè)已經(jīng)采用了工業(yè)物聯(lián)網(wǎng)�����,但這并不意味著他們的部署是安全的�。工業(yè)物聯(lián)網(wǎng)向傳統(tǒng)IT系統(tǒng)引入了具有不同威脅向量和相關(guān)風(fēng)險(xiǎn)的各種運(yùn)營技術(shù)(OT)架構(gòu)�����。許多風(fēng)險(xiǎn)已經(jīng)存在了幾十年�,并且已經(jīng)進(jìn)入快速發(fā)展的工業(yè)物聯(lián)網(wǎng)的領(lǐng)域���。
工業(yè)物聯(lián)網(wǎng)設(shè)備和相關(guān)技術(shù)給企業(yè)帶來的常見安全風(fēng)險(xiǎn)可以分為三類:管理和運(yùn)營風(fēng)險(xiǎn)����、技術(shù)風(fēng)險(xiǎn)��、物理風(fēng)險(xiǎn)����。
1.管理和運(yùn)營風(fēng)險(xiǎn)
這種類型的風(fēng)險(xiǎn)涉及人為風(fēng)險(xiǎn),無論是意外的還是有意的��,例如工業(yè)物聯(lián)網(wǎng)設(shè)備的不當(dāng)使用或網(wǎng)絡(luò)攻擊者入侵網(wǎng)絡(luò)�。
缺乏全面的工業(yè)物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)管理計(jì)劃會(huì)使企業(yè)的業(yè)務(wù)安全性變得脆弱。該計(jì)劃必須包括安全政策����、程序和定期培訓(xùn)�����,以在可能的情況下識(shí)別�、管理和消除網(wǎng)絡(luò)安全風(fēng)險(xiǎn)��。
人為造成的事故和錯(cuò)誤可能會(huì)造成安全漏洞�,例如濫用或錯(cuò)誤安裝工業(yè)物聯(lián)網(wǎng)設(shè)備,以及使用遺留系統(tǒng)�。懷有惡意的企業(yè)內(nèi)部人員和外部人員也將工業(yè)物聯(lián)網(wǎng)設(shè)備作為破壞目標(biāo)。
工業(yè)物聯(lián)網(wǎng)設(shè)備和系統(tǒng)制造商可能會(huì)倒閉�、消失或停止支持,而企業(yè)卻仍在使用他們的工業(yè)物聯(lián)網(wǎng)技術(shù)���。這可能會(huì)使用于關(guān)鍵場(chǎng)景的工業(yè)物聯(lián)網(wǎng)設(shè)備存在一些被攻擊利用的漏洞�����。
2.技術(shù)風(fēng)險(xiǎn)
日益增長的物聯(lián)網(wǎng)設(shè)備擴(kuò)大了攻擊面而這些設(shè)備往往存在用戶未知且可被網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)的漏洞���。
工業(yè)物聯(lián)網(wǎng)部署在IT和OT之間建立了新的連接,這增加了部署的復(fù)雜性和安全風(fēng)險(xiǎn)����,尤其是對(duì)于非標(biāo)準(zhǔn)化的工業(yè)物聯(lián)網(wǎng)硬件��、軟件和固件�。工業(yè)物聯(lián)網(wǎng)缺乏全球采用的安全性和互操作性技術(shù)標(biāo)準(zhǔn)導(dǎo)致設(shè)備���、控制器和支持系統(tǒng)的安全性不一致��。
許多工業(yè)物聯(lián)網(wǎng)設(shè)備使用弱密碼或沒有加密��,身份驗(yàn)證較弱或沒有身份驗(yàn)證,并且運(yùn)行在容易受到網(wǎng)絡(luò)攻擊的軟件上�。
3.物理風(fēng)險(xiǎn)
自然災(zāi)害、突發(fā)事件或網(wǎng)絡(luò)攻擊可能會(huì)中斷或改變工業(yè)物聯(lián)網(wǎng)系統(tǒng)的工作方式���。
網(wǎng)絡(luò)攻擊者可能會(huì)以物理安全性較差的設(shè)備為目標(biāo)����,并直接對(duì)其進(jìn)行更改�,從而以有害的方式影響物理世界。例如��,網(wǎng)絡(luò)攻擊者會(huì)以控制石油管道或其他資源的物聯(lián)網(wǎng)設(shè)備為目標(biāo)��。
許多工業(yè)物聯(lián)網(wǎng)設(shè)備需要人工完成維護(hù)或更新,這對(duì)于使用它們的員工來說可能是不可能實(shí)現(xiàn)的�。
相關(guān)推薦:工業(yè)物聯(lián)網(wǎng)在3大行業(yè)的應(yīng)用
