浅谈工业物联网安全防御之道

工业物联网安全现状

物联网( IoT )无处不在，这已然成为我们无法忽视的一大事实。即使您坚决抵制像智能扬声器、联网型温控器或智能手表等消费型物联网设备，依然无法阻止工业物联网( IIoT )设备的发展，因为它们已经构成我们日常生活不可或缺的一部分。

工业物联网是指数以亿计的工业设备，不论是工厂里的机器还是飞机上的发动机，在这些设备上装置传感器，连接到无线网络以收集和共享数据，是物联网中最大的和最重要的组成部分。

许多负责托管工业物联网资产的运营技术( OT )环境都面临一个最大的问题：不仅要应对工业物联网设备数量的不断增长，还要支撑一些比较陈旧的工业控制系统( ICS )，其中有些系统的运行历史已长达 30 年之久。多年来，这其中的许多资产均已实现联网，并很容易成为网络恶意攻击者的潜在目标。这些老旧的设备通常部署在只强调高可用性和性能的平面网络上，而安全方面却考虑的很少。

在这些系统中发现漏洞并不总是意味着我们可通过推出补丁予以修复。对大批工业物联网资产进行修复，就意味着大批设备需要下线，而这对于严重依赖设备高可用性的关键基础设施或生产线来说，绝对是不可取的。所以最终的结果就是，补丁程序往往被扔在一边，而且随着设备的老化，漏洞日积月累，由此给恶意攻击者留下了可借以破坏工业物联网资产的大量漏洞。

2020年IBM的X-ForceRed黑客团队在一系列物联网芯片中发现了一个漏洞，该漏洞可以被远程利用，使数十亿的工业、商业和医疗设备处于危险之中。所发现的安全漏洞影响了法国制造商泰利斯公司(Thales)开发的CinterionEHS8M2M模块。EHS8模块是为工业物联网机器设计的，这些机器运行在制造业、能源和医疗等各个部门。主要目的是通过3G和4G网络保护通信通道。

同年年底，网络安全公司Forescout披露了33个漏洞，这些漏洞对4个开源TCP/IP堆栈产生严重影响，而这些堆栈已经被全球超过150家供应商部署在诸多设备中。数百万智能家居和物联网设备所使用的基础开源软件被曝光存在大量漏洞，意味着家中的智能设备可能因这些漏洞而受到黑客攻击。

2021 年 8 月，Forescout Research Labs 和 JFrog Security Research 发现了 14 个影响 NicheStack TCP/IP 堆栈的漏洞，这些组织将其称为 INFRA：HALT。TCP/IP 堆栈使供应商能够为 IP 连接系统实现基本的网络通信，包括 IT、运营技术 (OT) 和工业物联网 (IoT) 设备。事实上，NicheStack 存在于无数 OT 设备中，这些设备通常用于几个关键基础设施领域，例如制造工厂、水处理、发电等。

在这样一个极速发展的领域中，出现这些情况并不值得惊讶。来自多个供应商的OT和控制系统拼凑而成，运行专有和不可更新的软件，包括可访问远程终端单元(RTU)的人机界面(HMI)计算机，SCADAmaster(监控计算机)和可编程逻辑控制器(PLC)。因此，有一点很值得我们去思考：在 OT 网络中如何新增设备时，也同时考虑如何保护好 OT 网络，以免这些设备带来了新的挑战导致攻击面的扩大。

所以，如果您所在的企业正在使用工业物联网资产，那么有哪些威胁值得您加倍留意？您又该如何对设备进行有效保护呢？

针对工业物联网发起的恶意攻击

好的方面是大多数工业物联网资产并非直接暴露在互联网空间，这意味着恶意攻击者必须依靠其他方法才能访问它们。事实上，在其他攻击上使用的技术同样也可被用于攻击工业物联网资产。

最常见的攻击载体之一：电子邮件。在发动此类攻击时自然也适用。恶意攻击者会试着收集有工业物联网资产系统访问权限的工程师、工厂负责人以及开发人员的相关信息，并将他们设定为网络钓鱼邮件的攻击目标。对这部分用户中任何一位的电脑进行攻击，就算是找到了攻击工业物联网资产的最直接途径。未打过补丁的系统、设置过于简单或默认的设备密码、以及网络维护承包商过于宽松的远程访问策略，都为恶意攻击者提供了入侵途径。透过其中任意一个薄弱环节，恶意攻击者都能找到若干种进行横向移动以及获取访问权限的方法。

专门针对 IoT 设备发起的威胁在现实中并不常见。而有些威胁却已经对普通的物联网设备发起了大规模攻击，例如 Mirai 和 VPNFilter 。还有一些威胁，比如 Stuxnet ，专门以 PLC 为攻击目标。这类针对性较高的威胁当然值得关注。但是，工业物联网设备被攻击者入侵并修改配置的可能性，远比被木马或蠕虫病毒感染的可能性要大得多。

物联网供应链漏洞的安全直接威胁到工业物联网(IIoT)安全。大多数网络运营商都认识到IIoT供应链安全风险，但是特定的漏洞很难隔离。这些部署通常意义深远，超出制造商的范围，延伸到托运人、商人和其他商业伙伴。随着网络的扩展并包括其他集成点，一小部分恶意代码将被复制的风险只会增加。实际上，代码本身可能不是恶意的，但可以提供一个可能危害系统的开放端口。

勒索软件攻击仍然是攻击的主要方式之一。许多IIoT供应链渗透也是如此，因为不良行为者可能会阻止或以其他方式对生产产生负面影响，直到支付赎金为止。在工业环境中，生产中断可能造成更大的破坏。通过更改来自传感器和其他IIoT设备的数据流，可以对机器设置进行操作，从而导致制造过程中出现看不见的问题，从而可能导致产品故障或工厂地面机器(例如机器人设备)在不安全的情况下运行方式。

恶意攻击工业物联网带来的安全问题

1、恶意攻击让企业运营陷入停顿

假设恶意攻击者的目标是使某个特定企业陷入瘫痪，他或她首先会制作一封包含恶意 PDF 文件且具有迷惑性的钓鱼邮件，然后将其伪装成求职申请发送给公司的人力资源部门。当负责求职申请的员工打开这个 PDF 文件时，这台电脑就可能遭到入侵。

恶意攻击者在被入侵的网络中横向移动，持续监控网络流量并扫描易受攻击的系统，抓取用户的登录和认证信息。如果没有启用 MFA 多因素认证，攻击者就会有机可乘。最后，攻击者会想办法控制域控服务器，并使用组策略对象( GPO )的方式向所有终端下发恶意软件，从而在整个 IT 网络中进行实施入侵。

由于在网络分段上不够完善，恶意攻击者最终摸爬滚打地进入了目标企业的 OT 网络。攻击者进入 OT 网络后会立即执行侦察，以便对网络中的工业物联网资产进行标记。这样一来，它们就有机会发现这些资产中存在漏洞的服务，然后对其进行攻击，将其下线。

2、IIoT供应链安全漏洞可能是有意植入的后门

大多数IIoT环境包括成百上千的较旧设备，传感器和其他组件可能已经使用了十年(或更长时间)。专家们认为，设备越旧，由于落后于支持和更新，就越有可能带来安全风险。例如，有限状态报告描述了某些制造商制造的组件，这些组件包括使用2003年发布的OpenSSL版本的代码，并且众所周知(并记录在案)极易受到攻击。

某些IIoT供应链安全漏洞可能是故意插入的，是无辜的并且是出于恶意目的。一个例子是后门。一件软件中的后门允许访问固件的核心部分，从而访问组件本身，而无需通过常规的身份验证过程。

意图良好的后门通常由组件制造商开放，以为技术人员提供支持和监视设备的切入点。这些后门通常称为调试端口，还使恶意行为者易于访问。同样，旨在允许与工业控制系统集成的应用程序编程接口(API)可能会无意间提供了另一种损害设备操作的方式。各国通常会在其出口产品上留下比较邪恶的后门，因为它们希望以后再使用它们来处理知识产权(IP)或其他数据。

纽约大学的Muhammad Junaid Farooq和Quanyan Zhu曾发表研究论文指出：“就安全标准而言，物联网仍然是完全不受监管的技术。” “从设备所有者的角度来看，无法控制上游供应链。并非所有供应商都准备好清楚阐明其网络安全实践并披露其供应链信息。”

工业物联网安全指南

近年来，工业物联网已成为黑客们青睐的攻击载体之一。现在，我们必须阻止新的和不断发展的恶意软件注入，同时还要处理由传统硬件和软件、落后的基础设施以及最近转向远程工作而产生的漏洞。工业物联网安全的整体解决方案是在这些动荡时期保持保护和高效的唯一途径。这些准则将有助于工业企业采用可持续和全面的工业物联网安全策略。

（一）有效的实践方法：

重视工业物联网安全基础是保护您连网工业环境的第一步，这些措施可以有效地保护工业物联网免受最常见的安全利用或最大程度地减少漏洞的负面影响。

三中网安比较认可的工业物联网环境中的实践方法：

1、分段物联网网络

2、引入双因素认证

3、加密设备通信

4、管理用户对数据和智能设备的访问

5、过滤出站和入站网络流量

6、实施实时安全监控系统

7、及时安装软件补丁和更新

（二）提高物联网安全意识，让物联网安全培训成为员工入职培训的一部分

在这样一个高度连接的环境中，系统安全性和完整性将成为共同的责任，而员工对工业物联网架构、设备和数据存储的了解不足，更需要我们通过安全培训提高员工的安全意识。

因此，对员工进行常识性安全措施的教育，并培训他们识别安全威胁尤为重要。网络安全培训也不应是一次性的活动。随着每次系统集成或策略更改、安全事件或新的风险因素，员工的知识都需要更新。

（三）定期评估物联网

通过例行的安全测试，工业物联网所有者可以及时了解其连网生态系统的安全状态，及时发现任何现有漏洞和潜在威胁，并在它们破坏运营之前加以解决。

渗透测试是一种白帽黑客攻击方法，质量保证专家在这种方法中模拟对工业物联网的恶意攻击，这对于揭示设备固件和嵌入式软件中的隐藏漏洞尤其有效，这证实了防御机制的可行性。此外，公司可以进行风险分析，以确定其物联网体系架构、启用设备、API和协议中可能最终成为安全漏洞的缺陷。

（四）采取事故响应策略

最后，万一出现安全漏洞，以物联网为动力的制造公司需要企业行动计划来快速有效地处理它。首先，它应包含有关IT安全团队的指示，说明如何识别威胁及其来源，将受影响的区域与相连的生态系统的其余部分隔离，评估破坏并管理事件。除此之外，该策略还应包括对员工的指导方针，详细说明他们在安全紧急情况期间和之后应如何继续工作。

此外，将追溯分析事件的步骤包括在内也是一种有用的做法，以使安全专家可以了解事件的意义和根本原因，并采取深思熟虑的措施防止再次发生。

参考来源：

探究工业物联网安全防御之道

https://mp.weixin.qq.com/s/a3cBBitQxteovMVCriRk9g

全球超过100万物联网设备受影响 安全专家发现33个漏洞

https://baijiahao.baidu.com/s?id=1685666287918760406&wfr=spider&for=pc

数十亿工业物联网设备或存在缺陷

http://www.guikeyun.com/cms/news/135981.html

物联网控制系统如何解决工业物联网存在的漏洞?_生产

https://www.sohu.com/a/465622874_120731203

网络攻击会怎么样?IIoT 软件漏洞影响了无数工业物联网设备-贤集网

https://www.xianjichina.com/special/detail_494054.html

物联网供应链漏洞威胁工业物联网(IIoT)安全-51CTO.COM

https://www.51cto.com/article/644854.html

新冠疫情大流行下揭示了工业物联网存在的一些问题

https://baijiahao.baidu.com/s?id=1690666638127329548&wfr=spider&for=pc

文章来源：“三中网安”微信公众号