如何加强制造业应对工业物联网安全威胁

任何连接互联网的设备都可能成为目标，被黑客攻击，并被用于不法目的。更糟糕的是，随着工业物联网的扩展，越来越多的设备——可能安全标准较低——正在连接到物联网上。这有效地降低了恶意行为者的技术门槛，并意味着对工业物联网设备的攻击将升级，特别是随着更多智能设备的连接。底线:工业物联网安全应该是每个制造商的优先事项。通信平台即服务(CpaaS)和安全接入服务边缘(SASE)可以提供帮助。

随着制造商拥抱数字化转型，以及由此驱动的技术4.0行业在美国，工业物联网(IIoT)加速了这一转型的一些显著特征，包括大数据、人工智能(AI)和机器学习(ML)。在今天的任何现代工厂中，物联网设备连接、控制和监控制造资产。他们促进生产流程，监控开发周期，管理仓库和库存。

蜂窝IIoT可以比Wi-Fi更好:3个例子

虽然Wi-Fi等连接技术可以支持许多工业物联网应用，但制造商正在寻求4G LTE或5G NR蜂窝技术来建立专用蜂窝网络，为工业物联网应用提供额外的连接功能。以下是蜂窝工业物联网比Wi-Fi更适用的三个例子:

机器人的无限连接。假设一家制造商正在制造生产线，并将机器人运往世界各地。在发货之前，每个机器人都需要插入一张SIM卡。每个国家都有不同的网络供应商，信号可用性也不同。制造商必须根据机器人的目的地来评估哪个SIM卡需要插入哪个机器人。

智能电网。蜂窝IIoT使得通过移动网络连接监控网络连接的机器和工厂，以及移动设备和移动机器成为可能。这种方法使智能电网能够更细粒度地分布在世界各地。

预测性维护(PM)。PM提高了运营效率，减少了计划外停机时间。蜂窝连接提供了以高数据速率支持传感器舰队所需的可靠和可预测的环境，从而实现了制造中的预测性维护。蜂窝网络在基础设施不再支持传统连接方式的环境中很有帮助。

然而，这一切都有一个问题:支持这些用例的数百万物联网设备是有吸引力的攻击面。攻击面是未经授权的用户或攻击者可以试图进入系统的任何点或部分。在物联网解决方案中，有许多攻击面:设备、无线模块、从设备到应用程序的数据传输、应用程序基础设施和应用程序本身。这些都可以用来影响访问、误用或滥用系统，以及访问或修改机密信息。

看看降低网络安全风险的工业服务

物联网黑客攻击和网络恐怖主义是一个令人担忧的趋势。这些潜在的毁灭性安全漏洞使得强大的物联网安全成为制造商的当务之急。最新的技术，如通信平台即服务(CPaaS)和安全接入服务边缘(SASE)可以帮助制造商保持其连接设备的安全，但要应对不断变化的网络攻击范围网络安全威胁，安全专家必须通过以下方式发展他们的安全智能:

1. 了解他们的物联网应用程序和设备如何以及为什么容易受到黑客攻击
2. 从过去的物联网安全失败中吸取教训
3. 应用现代化的解决方案和策略来加强其设备和应用程序的安全性。

检查工业网络的漏洞

物联网设备如此容易受到黑客攻击的一个原因是它们所连接的网络的安全性(或缺乏安全性)。制造商很少使用公共互联网进行通信，但私有网络同样容易受到不符合安全标准的影响。即使您的网络流量未加密，恶意行为者也可以通过以下技术破坏物联网设备:

偷听和交通嗅探:糟糕的数据传输加密设置使你的通信容易受到黑客的攻击，他们想要读取、窃取或篡改你的数据。对于物联网网络来说，这是一个重大的安全威胁，因为设备之间的常规传输通常没有加密。虽然不存储敏感数据的设备可能不需要加密，但不安全的设备及其未加密的传输仍然可以为黑客提供进入您更广泛网络的入口点。

DNS中毒:另一个常见的威胁来自受损的公共域名系统(DNS)。DNS中毒是恶意行为者使用的一种策略，用于将设备之间的通信从合法的应用服务器转移到被欺骗的应用服务器。

分布式拒绝服务(DDoS):DDoS攻击是一种记录良好的方法，通过这种方法，服务器被冗余请求淹没，从而使其容量过载并使其完全脱机。DDoS攻击通常是从一个僵尸网络发起的，该僵尸网络之前已经侵入了服务器和计算机。

未受保护的SIM卡:远程蜂窝物联网设备可能位于可公开访问的位置，如传感器和仪表，恶意分子可以很容易地抢夺它们，破坏它们并窃取设备内的SIM卡，并使用它来获取公司的数据。

向基地呼叫:同样，一旦恶意软件感染了一台设备，它就可以重新编程，让设备“呼叫”到黑客的基地，在用户不知情和不同意的情况下将敏感数据发送给恶意行为者。

人在循环中:对操作员和其他人进行网络安全培训

黑客擅长利用安全链中最薄弱的一环:人。人们，甚至是经验丰富的安全专家，可能会选择方便而不是防弹。这可能是有意为之;他们不想遇到复杂密码的麻烦，也不想经常修改密码。

它承担重复的密码卫生是至关重要的，还有有效的策略，要求人工操作人员使用难以破解的密码(或多因素身份验证)，这超出了暴力攻击的范围。

过去的网络安全漏洞给我们带来了宝贵的教训

尽管黑客使用的技术不断发展，每天都有新的零日漏洞被发现，但安全专业人员仍然可以通过分析过去的安全漏洞并将所学到的经验教训应用到他们的网络和安全策略中来学习宝贵的经验教训。

这项工作的一部分是理解(或试图理解)恶意行为者入侵您的网络的动机。而最近的黑客攻击殖民地的管道是为了勒索赎金，而其他攻击，如2016年Mirai僵尸网络案件，则是为了造成严重破坏。2016年，一种恶意软件在互联网上传播。

它最终将超过14.5万个IP摄像头纳入一个僵尸网络，并对电脑游戏《我的世界》(Minecraft)的服务器以及Netflix、Twitter和Reddit等公司的网站发起DDoS攻击。这种攻击同样可以针对制造商的关键资产。

网络拓扑、安全协议不足

令人惊讶的是，大量物联网网络连接模型依赖于一种方法，即首先将流量路由到中央局域网(LAN)，然后将流量路由到广域网(WAN)，再将流量路由到单个设备的位置。对于跨越广阔(通常是大陆或全球)距离的物联网网络来说，尤其如此。

为了保证通信安全，传统网络使用复杂的专用端点客户端设置来建立VPN连接，或在各种物联网端点和处理其数据的应用程序之间使用SSL/TLS加密。

不幸的是，由于Wi-Fi和Zigbee等新的连接模式以及这些设备的整体小型化和低成本，越来越多的新设备被添加到物联网中，这种地形不再适合确保通信安全的任务。
如果Wi-Fi不是一个可行的解决方案，制造商将需要在蜂窝网络上部署他们的连接设备。软件即服务(SaaS)应用程序的出现以及将大量设备流量安全地传输到云中的需求使情况变得更加复杂。蜂窝支持的物联网应用需要一种新的网络拓扑和安全技术方法。

专用物联网云出现

流行方法的缺点导致了一种新模型的设计:通信平台即服务(CPaaS)。公司需要一个专门的云，用于管理和处理数千个连接的物联网设备。CPaaS具有独特的优势。CPaaS为公司提供应用程序编程接口(api)，这样他们就可以将通信通道集成到应用程序中。

虽然该模型最初是为人与人之间的环境而设计的，但CPaaS已经发展到满足物联网应用程序的各种技术要求。随着CPaaS为物联网应用程序提供堆栈架构，显然需要更好的安全方法。

SASE与CPaaS配合得很好

SASE概念的特点是全球云原生架构、身份驱动服务、中央策略控制和分布式安全实施。使用SASE，组织可以将其网络和安全工具集成到单个管理控制台中。这使他们对所有的交通和通信有了更大的可见性。

SASE最初是为了满足远程和全球分布的工作人员不断变化的需求而开发的，这些工作人员需要访问企业IT基础设施，SASE成为了管理物联网设备的最佳方式。

多个虚拟网络和安全应用程序通过SASE融合到一个统一的云服务产品中。集中式策略控制系统通过提供优化的数据路由和对各种单独应用程序的通信流量的保护，帮助向客户端提供安全访问。这与设备、网络和物联网应用程序的位置无关。

SASE针对工业物联网应用进行了优化

SASE模型在几个方面不同于传统的网络模型。首先，它将安全检查点定位在离原始数据源更近的地方。接下来，在分布式存在点(PoP)管理各种策略(例如访问协议)。这些PoPs可以是SASE供应商的数据中心或云区域(如果位于相对接近相关设备的位置)。在验证物联网设备的身份后才授予访问权限。可以根据特定的属性或位置来标识设备。此外，策略本身是可编程的，可以根据个别应用程序的需要进行调整。

SASE结合了基于云的集中式策略管理系统，以及身份驱动服务的本地实施，为用户提供了两全齐美的服务。使用云可以降低成本和复杂性，因为所有网络安全服务都可以通过一个供应商进行整合，这允许用户全面了解托管设备之间的所有通信。

SASE与传统网络安全模型在其他重要方面有所不同:

远程访问内部资源:传统的模型依赖于VPN技术和SSL加密，或者使用专用的端点客户端，而SASE则作为VPN的替代品。作为其中的一部分，物联网设备连接到SASE以访问内部部署或云服务，并通过SASE API定义和应用相关策略。

云资源接入:在传统网络设置中，物联网设备对云资源的蜂窝访问被视为任何其他在线资产，使用传统防火墙、代理和对公共互联网的正常访问。另一方面，SASE为物联网设备提供优化、精简、云感知的网络访问。

网络和互联网接入:通过传统的软件定义广域网(SD-WAN)企业架构访问蜂窝网络是非常复杂的。SASE服务将蜂窝访问和流量优化功能集成到云服务中。这方便了设备之间的连接。

后端应用程序安全性:在传统模型中，防火墙或web应用程序防火墙(WAF)和后端服务通常是独立的、不同的应用程序或平台，这使得集成非常麻烦。SASE从中心位置提供监管和基于身份的访问控制，为用户提供网络拓扑和活动的全面视图。

网络访问控制:独立物联网设备依赖于本地配置设置和软件组件来控制网络活动。相反，SASE服务将多个网络安全和访问控制(包括防火墙作为服务)聚合到一个统一的结构中。

现代SASE体系结构可以提供各种不同的网络和安全特性。但是，不同供应商的产品可能会有所不同。以下考虑可能与某些制造商有关:

使用SD-WAN进行动态数据路由:使用SASE，网络访问和流量优化被集成到分布在全球的基础设施设置中，并利用多区域的PoPs。将访问控制和安全策略实施作为基于云的服务，用户无需通过供应商自己的网络转移通信流量。相反，将数据路由到位于设备附近的SASE PoP可以减少相关物联网应用程序的延迟。

防火墙即服务(FaaS):使用基于云的FaaS是一种有效的解决方案，可以过滤不需要的和潜在的恶意互联网流量，从而保护在边缘提供的服务。

云访问安全代理(CASB):CASB通过加密来保护传输到多个云环境，防止窃听、流量嗅探和数据窃取。

DNS安全:通过允许用户配置受信任的DNS服务，SASE解决方案可帮助用户保护其DNS的完整性和可用性。

威胁检测:SASE服务还为用户提供了网络的完整可见性和深入的事件度量，以帮助他们对物联网解决方案中可能出现的任何异常进行根本原因分析。

从CPaaS和SASE开始

公司应该从审计他们的连接设备开始，并提出以下问题:

• 你使用什么网络地形?
• 你已经在物联网设备上使用蜂窝连接了吗?
• 哪些设备的风险最大，有多严重?

公司还应该进行差距分析，看看当前的基础设施与CPaaS和SASE环境相比如何。

如果一家公司的调查结果显示CPaaS和SASE环境优于您当前的模型，那么他们应该考虑升级。采用CPaaS部署模型和SASE安全架构是防范物联网设备威胁的有效途径。SASE使用户能够控制到公共互联网、内部网、SaaS云和分布式工作人员的所有物联网数据连接。

安全漏洞的威胁迫在眉睫，对公司网络的实际入侵越来越普遍，这使得任何依赖工业物联网设备的制造商都必须加强防御。一次成功的安全漏洞会给任何公司带来毁灭性的后果。选择最先进的安全技术，如CPaaS和SASE，可以为制造商及其供应链合作伙伴提供更好的保护。

马丁给的联合创始人和首席技术官EMnify．由Chris Vavra编辑，web内容经理，控制工程，CFE媒体和技术，cvavra@cfemedia.com．

关键词:通信平台即服务(CPaaS)，安全接入服务边缘(SASE)

考虑一下这个

有什么直接的好处你能从CPaaS和SASE得到什么?

在线额外

在领英上和马丁·吉斯联系。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。