对物联网的兴趣产生了对OT安全的兴趣

一个组织越想提高生产力，它的各个部分就越需要连接——设备到系统、机器到数据、人到流程——以提高自动化程度。热传感器告诉系统何时冷却。仪器检测医疗检查是否完成。粘度传感器使石油在管道中流动。工业互联网上的这些人对人、人对机器和机器对机器(M2M)连接提高了生产力和效率。

工业互联网代表着增长和效率的巨大机遇。为了实现工业互联网的全部好处，组织必须连接到互联网、局域网和广域网、信息技术(IT)和其他控制系统。

今天，工业世界运行在称为操作技术(OT)的关键物理资产和嵌入式系统上。Gartner公司预测，2016年全球将有64亿个联网物联网(IoT)投入使用，比2015年增长30%，到2020年将达到208亿。2016年，每天将有550万个新事物连接起来。

然而，越来越多的连接设备也极大地扩展了攻击面。每一个新的连接都增加了安全专业人员必须保护的内容。

更困难的是，那些试图入侵工业互联网的人往往比那些攻击IT网络的人风险更低，回报更高。操作技术(OT)黑客被抓住的机会很小，如果他们成功的话，造成破坏的回报很高。与最终获得数据的IT黑客相比，OT黑客可以造成巨大的破坏，例如使工厂瘫痪或产生其他使人衰弱的中断。

因此，当OT黑客决定以一个网站为目标时，他们会更加坚持不懈。事实上，由于网络边界的恶化和连接设备的快速增加，OT攻击者的胜算更大。尽管存在这样的现实，但大量的预算通常用于IT网络安全;OT安全就不那么重要了。

由于安全专家不了解工业互联网在当今追求提高生产力的过程中所扮演的角色，他们也就不了解其中的威胁。他们相信他们的工业互联网是真正的和物理隔离的这些不安全的网络，如公共互联网或不安全的局域网。在某些情况下，他们没有意识到，几年前可能还很安全的气隙，现在已经不能做网络安全专业人员可以依赖的工作了。

因此，在保护一个没有(通常从未有过)活动的不安全连接的网络时，可能会有一种错误的安全感。这是不可能的，主要有两个原因:

1.如果一个系统是独立运行的，那并不意味着它不能被连接。一名员工仅仅用键盘访问电子邮件就可以打破这一差距。

2.在当今世界，要提高生产力，一个系统必须相互连接。在连接链的某个地方，系统将被连接起来——要么是故意的，要么是由于可能的错误。事实上，大多数CISO更关心授权用户的意外活动，而不是外部对手的威胁。

提高OT网络安全意识

似乎每个B2B行业出版物都有关于物联网的文章。尽管安全问题似乎从来都不是这篇文章的主题，但安全主管们正在解读其言外之意。而且，尽管这些文章通常不会解决保护此类系统所固有的实际问题，但它们至少开始讨论这些问题。

今年4月，在拉斯维加斯举行的大型物理安全博览会ISC West上，新的互联安全贸易展就是一个很好的例子。该活动被称为:“唯一一个专注于为互联企业构建整体安全战略的活动，包括研究如何将物理安全和信息安全结合起来，以减轻超互联世界中新兴的网络威胁。”紧接着是一个标语，上面写着:“缩小安全和物联网之间的差距。”

对于OT网络安全纯粹主义者来说，这一口号可能会引发有关如何保护工业互联网的广泛讨论和辩论。尽管如此，一群全新的安全专业人士现在正在通过将物联网视为新的安全前线来看待连接系统，这一事实对所有人都有好处。

随着物联网继续改变工业控制格局，它也将改变工业网络安全的本质。未来的工业互联网安全战略将需要更广泛的范围，包括云系统和远程设备，更加强调以设备为中心的安全和设计安全，以及从安全管理孤岛向IT-OT安全网络的转变。

保罗•罗杰斯是世界科技公司的总裁兼首席执行官和通用电气工业网络安全总经理。本内容最初出现在ISSSource。ISSSource是CFE Media的内容合作伙伴。Chris Vavra编辑，产品编辑，控制工程，CFE媒体，cvavra@cfemedia.com。

在线额外

ISSSource有关于OT安全性的其他故事。参见有关的故事这里的OT安全教育。

-请参阅下面链接的Kube和ISSSource的其他故事。

原创内容可在www.isssource.com。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。