理解OT供应链风险

通常，当我们考虑减轻对工业网络的网络威胁时，我们关注的是防止攻击者利用工业控制系统来达到某种预期效果，例如工厂关闭、停电或其他破坏性和危险的情况。

事实上，开创性的案例研究就是以这种方式表现出来的。但是，人们越来越关注另一种威胁场景，即工业控制系统在投入生产之前很久就被利用了。

进入供应链网络风险。供应链网络风险是一个复杂的领域，它跨越了产品的整个生命周期，从设计到制造，最终到分销、存储和维护。这种漫长而复杂的生命周期为威胁行为者提供了许多机会，可以远程或物理地利用产品的硬件或软件。

考虑一下从全球原材料的上游供应链到下游的分销和生产，一件产品在这个过程中要经过多少“手”。供应链自然地在不同的供应商和地域之间联合起来，虽然这种方法有助于实现规模经济和其他效率，但它几乎无助于安全。将此与控制生产系统安全性的集中式模型进行对比。后者是一个比前者更难对付的目标，尤其是对于一个资源充足、有耐心的威胁行为者来说。

上个月，一项研究发现，美国电力行业的供应链越来越容易受到网络威胁的影响。该研究的作者列举了造成这一威胁的许多因素，包括全球供应链、工业实践和微电网技术的不断发展。该报告还探讨了信息技术(IT)和运营技术(OT)融合的关键变量及其对电力行业供应链风险的影响。

下游供应链

我们几乎每天都能看到这种现象，不仅在电力行业，而且在所有关键的基础设施领域。事实上，it - ot融合给关键基础设施所有者和运营商带来了最大风险的地方是下游供应链，即安装、更新和维护环节。正如报告所指出的，有许多威胁行为者利用这些下游流程，其中一些导致数据和知识产权被盗，另一些则使基础设施本身面临中断的风险。

上游供应链

上游供应链也面临风险。在过去几年中，将其产品分销给他人使用的原始设备制造商(oem)经历了威胁活动的上升。虽然这种活动的主要目的是窃取与产品设计和生产相关的知识产权，但它也可能旨在使生产面临风险，并操纵设备本身的完整性。从恒温器等物联网设备到自动驾驶汽车，从装配线上下线的所谓“智能”和“互联”产品面临的风险最大。好消息是，大多数原始设备制造商了解这一风险，并采取积极措施确保供应链和制造流程的完整性。

尽管工业供应链很复杂，但保护您的组织免受供应链风险的影响可以归结为两个基本的最佳实践:

1. 监控与系统周期相关的所有连接，无论是内部的还是外部的。
2. 确保对执行关键系统功能所需的用户控制的访问。

本内容最初出现在ISSSource.com．ISSSource是CFE Media内容合作伙伴。

原创内容可在设备工程．

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。