隨著IT和OT網(wǎng)絡(luò)數(shù)字化轉(zhuǎn)型和融合的加速，物聯(lián)網(wǎng)(IoT)和工業(yè)物聯(lián)網(wǎng)(IIoT)設(shè)備正成為石油和天然氣、能源、公用事業(yè)、制造業(yè)、制藥、食品和飲料等行業(yè)公司的重要工具。無論是優(yōu)化單個流程還是整個工廠和其他關(guān)鍵基礎(chǔ)設(shè)施生態(tài)系統(tǒng)，這些設(shè)備都有助于提高生產(chǎn)效率，提高可靠性、響應(yīng)性、質(zhì)量和交付。

然而，隨著公司引入更多的工業(yè)物聯(lián)網(wǎng)設(shè)備，這些設(shè)備在設(shè)計時通常沒有考慮到安全性，它們也給環(huán)境帶來了風(fēng)險。四年前，NotPetya對醫(yī)療、能源和交通等領(lǐng)域的眾多跨國公司造成了影響，許多公司的運營陷入停頓，造成的損失估計達(dá)100億美元。多年來，我們已經(jīng)看到了黑客如何破壞聯(lián)網(wǎng)汽車，篡改關(guān)鍵系統(tǒng)，如引擎和剎車的例子。

不難想象，攻擊者也可能會擾亂頂級制藥公司的生產(chǎn)，造成食品和飲料公司的資源短缺或篡改產(chǎn)品質(zhì)量。對關(guān)鍵基礎(chǔ)設(shè)施的一些最新威脅包括seigeware，黑客破壞了每個企業(yè)賴以運行其辦公室基礎(chǔ)設(shè)施的系統(tǒng)——燈、電梯、空調(diào)和供暖，以及物理安全系統(tǒng)。GPS欺騙可以讓攻擊者干擾導(dǎo)航系統(tǒng)，欺騙車輛操作員偏離軌道。攻擊者可以通過多種方式使用聯(lián)網(wǎng)設(shè)備采取大膽行動，或在幕后操縱，破壞我們的經(jīng)濟系統(tǒng)，更糟糕的是造成身體傷害，這些風(fēng)險是真實存在的。

Gartner將這些網(wǎng)絡(luò)和資產(chǎn)的組合稱為信息物理系統(tǒng)(cyber-physicalsystems, CPSs)，并預(yù)測到2023年，對CPSs造成致命影響攻擊的財務(wù)將超過500億美元。即使不考慮人命的實際價值，企業(yè)在賠償、訴訟、保險、罰款和名譽損失等方面的成本也將是巨大的。Gartner預(yù)計，到2024年，75%的首席執(zhí)行官將為CPS事件承擔(dān)個人責(zé)任，這為解決這一問題增加了緊迫感。

所以，該如何處理呢？

一、追蹤跨IT/OT便捷的設(shè)備威脅

關(guān)鍵基礎(chǔ)設(shè)施公司需要能夠識別和跟蹤來自跨越IT和OT邊界的物聯(lián)網(wǎng)/工業(yè)物聯(lián)網(wǎng)設(shè)備的威脅。但現(xiàn)實是，對于IT安全專業(yè)人士來說，OT網(wǎng)絡(luò)幾十年來一直是一個盲點。越來越多的傳統(tǒng)OT資產(chǎn)面向互聯(lián)網(wǎng)，以及工業(yè)公司在其環(huán)境中添加更多的互聯(lián)網(wǎng)連接設(shè)備，以推動自動化和現(xiàn)代化，如何降低風(fēng)險的難題只會增加。由于缺乏可見性和遙測技術(shù)，OT和IT安全團(tuán)隊常常處于黑暗之中，不知道已經(jīng)部署在他們環(huán)境中的CPSs及其行為。

二、主動的風(fēng)險管理

主動的風(fēng)險管理要求能夠從不同但互補的角度來檢查和處理風(fēng)險，從而保障OT環(huán)境的整體安全。實現(xiàn)這一點的關(guān)鍵是清楚地了解組織的資產(chǎn)、風(fēng)險狀況和網(wǎng)絡(luò)流量。

1.資產(chǎn)審計

了解資產(chǎn)風(fēng)險態(tài)勢，首先要了解工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)和端點的可見性，并在不需要額外連接的情況下集中IT、OT、物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)資產(chǎn)信息。這樣，人機界面(HMIs)、工程工作站(EWs)就可以通過有關(guān)IT威脅和漏洞的信息來豐富，從而在不影響生產(chǎn)率或停機時間的情況下提高這些資產(chǎn)的安全性。在面臨風(fēng)險時，能夠及時在生產(chǎn)流程中定位受影響的資產(chǎn)以及相關(guān)各種設(shè)備，從而加速響應(yīng)，降低損失。

2.流量監(jiān)控/追蹤

與網(wǎng)絡(luò)流量相關(guān)的上下文安全信息也是識別和跟蹤IT/OT邊界威脅的關(guān)鍵。許多影響OT環(huán)境的攻擊都是從IT網(wǎng)絡(luò)開始的，所以防御者除了為IT系統(tǒng)構(gòu)建威脅簽名外，還需要構(gòu)建ICS設(shè)備和OT網(wǎng)絡(luò)的威脅簽名。例如建立獨立的ICS設(shè)備數(shù)據(jù)庫，細(xì)分所涉及的資產(chǎn)以及設(shè)備型號。同時，若擁有一項技術(shù)可以不需要手動更新或重新配置簽名來保護(hù)CPSs, 就會大幅加速檢測和響應(yīng)。

總之，工業(yè)物聯(lián)網(wǎng)設(shè)備正迅速成為現(xiàn)代OT環(huán)境的標(biāo)志和競爭優(yōu)勢的加速器。OT和IT的邊界隨著IIOT的興起正在逐漸模糊，我們必須要意識到OT與IT并不再是完全隔離獨立的。ICS所面臨的風(fēng)險在OT環(huán)境和IT網(wǎng)絡(luò)連通的一刻起，就已經(jīng)極大超出了以往人們認(rèn)知的范圍。

讓我們從對風(fēng)險和成本的洞察中學(xué)習(xí)，從新法規(guī)中提出的指導(dǎo)方針中學(xué)習(xí)，以領(lǐng)先于工業(yè)物聯(lián)網(wǎng)設(shè)備可能給工業(yè)環(huán)境帶來的風(fēng)險。