充满威胁的网络：保护面向工业和公用事业企业的物联网.pdf

充满威 胁 的网络 保护面向工业和 公用事业企业的 物联网 IBM 商业价值研究院 对标洞察IBV 2 充满威胁的网络 实现牢 不 可破 物联网 (IoT) 席卷全球，无处不在。各行各业都在 利用来自互联 设备的数据洞察， 以提高生产力，解 决问题，创造 新的业务机会并提 升运营效率。但是 风险也一并存 在。安全性是许多早期物联网应用事 后才考虑的问 题，以致于网络漏 洞百出，并可能导 致 工业流程发 生中断、被操纵 或 遭遇间谍软件 。但 是物联网不能 成为充满威胁 的网络 。 工业和公用事 业企业需要尤 为注意，制定新的 战略，缓解并管理 网络风险 。 充满威胁的网络 3 飞 行途 中造飞 机 物联网技术在各个行业的蓬勃发展速 度令人难以置信，工业和公用事业行 业也不例外。 到 2020 年，物联网市 场的设备安装基数预计将从 2015 年 的 150 万台增长到 300 万台，到 2025 年 ，这 一数 字将 增至 750 万。 1到 2020 年，每年生成的数据量将达 到 600 ZB 。 2工业环境物联网主要由新一代制造技 术所驱动，也被称为“ 工业物联网 (IIoT)” 。 这一市 场规模 庞大 ，到 2030 年，将为全球经济带来 14 万亿美元 的效益 。 3IIoT 可以利用 来 自机器 和设 备的数据，彻底转变现代工厂环境中 的流程 和系 统。 从智 能计 量表到 传感 器和警报器，公用事业行业中充斥着 各种物联网设备。这些行业使用物联 网跨企业边界开展实时数据分析、设 备监控、预测性维护和机器自动化， 也就是 顺理 成章 的事 情了 。 但是，关于设备安全和漏洞的深深忧 虑也不无道理。 根据 IBM 商业价值 研 究院 (IBV) 开展 的 IBM 全球 最高管理 层调研第 19 期报告，36% 的受访高 管表示，保护物联网平台及其设备的 安全是 他们企业面临的 首要难题 。 4一 项针对 700 位工 业和公用 事业行业 IT 与 OT 负责 人开 展的 IBV 对标分 析调 研发现，设备、传感器以及物联网平 台是物 联网 部署 中最 脆弱 的环节 。 5物联网 解决 方案 遍布 于信 息技术 (IT) 、 运营技 术 (OT) 以及消费 技术 (CT) 领 域。若企业部署物联网技术的速度超 过实施安全保护的速度，则会使企业 暴露在比负面舆论更大的危险之下。 对于工业制造、化工、石油和天然气 以及公用事业行业来说，安全漏洞会 导致大范围的污染、环境灾难甚至人 身伤害。运营技术领域日益成为攻击 目标， 占所 有网 络攻 击的 30% 。 6在中 东地区，50% 的网络攻击主要针对石 油和天然气行业，对安全、生产力和 效率造 成了 重大 影响 。 74 充满威胁的网络 从 起步 到实施 IBV 对标分析调研揭示 了工业和公用事业行业 目前的物联网安全状 况。 大部 分工业和公 用事业企业都 处于采 用 实践 和保护性技 术来缓解物联 网安全 风 险的 早期阶段。 只有一小部分 企业已 经 完全 实施运营、 技术和认知实 践或特 定 于物联 网的 安全 技术 。 8因此 ，大部分企 业的物联网安 全能力 建 设仍处于 起步阶段（见图 1 ）。 投资已 经到 位，物联网 部署也在进行 中，但 是 网络 安全风险评 估仍在继续， 且基于 特 定基 础。已知的 问题和挑战有 可能妨 碍 企业 采取全面的 物联网安全实 践。这 些 问题包 括： 网络安全必备技能持续短缺 。 高技能 人才短缺是保护物联网部署的最大挑 战。落实优秀人才储备举措势在必 行。除了要擅于处理 IT 网络安全风 险，员 工还 应当 做好 以下 准备： 覆盖更 多、 更分 散的 设备 处理设备安全、隐私和可靠性方面 的权衡 和考 虑问 题 创建和使用自动化与持续工程、 交 付与集成技术，在这个更大的计算 环境中 提供 持续 的保 护。 充满威胁的网络 5 图 1 在缓解物 联网安 全风险 的实践 方面 处于高级 阶段的 企业 来源：IBM 商业价 值研究院对标 分析调研 物联网安全意识有限。对物联网部 署所带来的风险理解不全面，再加 上没有正式的物联网安全计划，导 致物联网采用与保护能力之间存在 差距。 以 IT 为核 心的 安全框 架 和组 织结构往往不足以满足物联网设备 永续运行的可靠性和可预测性需 求。 物联网安全标准发展缓慢。已有的 互 联网 安全 中心 (CIS) 控制 措施 、 运营和技术实践、保护性技术和物 联网认证方法，必须统统得到妥善 实施。CIS 控制措施包括盘清授权 设备和软件，部署带有内置诊断功 能与安全性能加固硬件和固件的设 备。 购买保险 与第三 方签订 合同以 缓解风 险 组建跨职 能的安 全团队 ，涵盖 IT 安全 部 门、工程 部 门、运营 部门、 控制系 统供应 商 自动扫描 互联设 备 减少攻击 面 部署带有 诊断功 能的设 备，以 检测故 障 组件造成 的 功能中断 部署云端 安全解 决方案 ，管理 访问、 保 护数据 并实现可 视性 开展油田/ 工厂 态势感 知/ 安全 运营中 心 监测 增加员工 洞悉物 联网安 全运营 状况的 能 力 集中/ 协 调进行 修补和 更新 执行网络 安全漏 洞模拟 ，做好 有效应 对 网络攻击 的准备 开展数据 输入清 理 定义明确 的安全 与隐私 服务级 别协议 (SLA) 持续监控 物联网 流量， 查找异 常并评 估 漏洞 6 充满威胁的网络 物联网威 胁检测 物联网网 络安全 物联网加 密 物联网安 全分析 物联网 API 安全 物联网设 备用户 隐私控制 物联网网 络细分 物联网认 证 物联网设 备加固 物联网身 份存储 物联网公 共关键 基础架构 物联网区 块链 赶 上威 胁增长 的速 度 图 2 在实施保 护性技 术来缓 解物联 网安 全风险方 面处于高级 阶段 的企业 物联网安全并非存在于真空环境中。企 业必须遵循流程，采用实践和技术并采 取措施 ，才 能满 足关 键性 能指标 (KPI) 。 为缓解物联网安全风险并提高性能，企 业可以 实施 以下 方法 ： 了解何时以及如何主动出 击。为做好 有效应对网络攻击的准备 ，必须执行 漏洞模拟、定期的油田和 工厂态势感 知以及 安全 运营 中心 监测 。 制定正式的物联网安全计划 。 采用涵 盖人员、流程和技术的卓越运营模 式，建设物联网安全保护能力。增加 员工洞悉物联网安全运营、IT 和 OT 的能力。新一代互联设备和服务供应 商可能考虑针对软件故障和黑客可能 造成的 任何 破坏 购买 保险 。 了解每个终端及其作用和交互对象。 必须识别和注册每个物联网终端，然 后将其添加到资产库存并进行监控。 定 义明 确的 SLA ，这 主要依 赖合 作伙 伴和系统集成商。组建由 IT 安全部 门、工程部门、运营部门、控制系统 供应商 构成 的跨 职能 安全 团队。 IBV 对 标分 析调 研评 估了受 访 者使 用相 关重要技术来实现物联网安全的情况 （见图 2 ）。 其中包 括： 实施加密， 防御攻 击，保 护敏感信 息 安全，避免 财产和 设备损 坏，确保 员 工人身 安全 。 实施网络安 全和设 备认证 ，保护物 联 网设备、边 缘设备 与后端 系统和应 用 之间的 部署 。 开展安全分 析，识 别可能 绕过传统 安 全控制措施的潜在物联网攻击和入 侵。 来源：2018 年 IBM 商业价值 研究院对标分 析调研 执行身份和访问管理，帮助企业和 服务供应商管理和保护身份和物联 网设备 之间的 关系 。 7 确 保安 全无虞 主题 专家 长期以来，风险一直被用于识别、评 估、控 制、 监测 和响 应运 营中存 在的 危 险，包 括安 全方面 的危 险。 随 着工 业企 业快速 采用 物联 网技 术， 他们也 必须 协 调物联 网安 全实 践与 更广 泛的风 险框 架 保持一 致。 要想 开启 更加 有力的 安全 对 话，交 付优 化的 技术 解决 方案， 领导 者 可以采 取以 下措 施： 在企业层面管理物联网网络安全风 险。执行定期 风险评估， 识别物联网 系统和互联生 产环境中的 漏洞，并制 定和执行缓解 潜在风险的 计划。建设 或增强网络安 全情报能力 ，了解企业 中易被 利用 的最 脆弱 的攻 击载体 。 了解物联网系统、标准企业 IT 系统 以及运营设备之间的不同，分享 IT 和 OT 安全 专业 知识 以提 供更好 的保 护。在决定安 全控制措施 的正确优先 顺序，以最大 限度地缓解 风险时，将 这些差 异考 虑在 内。 打破 IT 和 OT 组织 之间 的孤岛 。制 定 跨 领域的通用风险方法，管理传统上 以 IT 为核 心的信 息处理技 术和以 OT 为核心的技术，以便监测并控制信息 物理系 统环 境。 Tim Hahn 首席架构师 IBM 物联网安 全 hahntus.ibm linkedin/in/hahnt/ Marcel Kisch IBM Security 全球能源 与公 用事业和 制造业安全解决方 案主管 marcel.kischde.ibm linkedin/in/highpotential/ James Murphy IBM Watson and Cloud Platform 全 球物联网、安全性 和区块链 解决方案 负责人 jamesmuruk.ibm linkedin/in/jamesmurphygb/ 关于对标 洞察IBV 报告 对标洞察IBV 汇集了思想领导者关于具有 新闻价值的业务和相关技术主题的看法， 以及 IBM 商业价值研究院 (IBV) 对标分析 团队得出的研究结果。这些报告的编制基 础是与全球领先主题专家的对话，以及从 IBV 对标分析团队开展的调研中得来的相关 数据。如欲了解更多信息，请联系 IBM 对 标分析团队成员 Lisa-Giane Fisher ： global.benchmarkingus.ibm 。 Copyright IBM Corporation 2018 New Orchard Road Armonk, NY 10504 美国出 品 2018 年 3 月 IBM 、IBM 徽 标及 ibm 是 International Business Machines Corporation 在全 球各 地 司法辖 区的注 册商 标。其他 产品 和服 务名 称可 能是 IBM 或 其他 公司 的商 标。Web 站点 ibm/legal/copytrade.shtml 上的“Copyright and trademark information” 部 分中包 含了 IBM 商标 的最 新列 表。 本文档 是首 次发 布日 期之 版本 ， IBM 可 能会 随时 对其 进行更改。IBM 并不一定 在开展业 务的所有国 家或地 区提供 所有 产品 或服 务。 本文档内的信息“ 按现状” 提供，不附有任何种类（无 论是明示还是默示）的保证，包括不附有关于适销 性 、适用 于某种特 定用途 的任何 保证 以及非 侵权的 任 何保证或条 件。IBM 产品 根据其提 供时所依据 的协议 条款和 条件 获得 保证 。 本 报告的 目的仅为 提供通 用指南 。它 并不旨 在代替 详 尽 的研究 或专业判 断依据 。由于 使用 本出版 物对任 何 企业或 个人 所造 成的 损失 ，IBM 概不 负责。 本报告中 使用的 数据可 能源自 第三 方，IBM 并 不独 立核实、验证或审计此类数据。此类数据的使用结 果均为“ 按现状” 提供，IBM 不作出任何明示或默示的声 明或保证。 62013962CNZH-01 备注和参考资料 1 Columbus, Louis.“Roundup of Internet of Things forecasts and market estimates.”Forbes.2016. forbes/sites/louiscolumbus/2016/ 11/27/roundup-of-internet-of-things-forecasts-and- market-estimates-2016/#789467a8292d 2 McKendrick, Joe.“With Internet of Things and big data, 92 percent of everything we do will be in the cloud.”Forbes.2016. forbes/sites/joemckendrick/2016/1 1/13/with-internet-of-things-and-big-data-92-of- everything-we-do-will-be-in-the- cloud/#18a41ee74ed5 3 Gerbrandt, Ryan.“IIoT for Utilities:Lessons learned, opportunities ahead.”Internet of Things Institute.January 2018. ioti/smart- energy-and-utilities/iiot-utilities-lessons-learned- opportunities-ahead 4 Nordman, Carl, Cristene J Gonzalez-Wertz and Karen Butner.“Intelligent Connections:Reinventing enterprises with Intelligent IoT.”IBM Institute for Business Value.January 2018. - 935.ibm/services/studies/csuite/iot/ 5 “Benchmarking survey.”IBM Institute for Business Value.2018.(unpublished data) 6 Menachery, Martin.“New study:Middle East oil and gas sector needs readiness boost as industrial cyber risk increases.”Arabian Oil and Gas.November 2017 .arabianoilandgas/article- 18052-new-study-middle-east-oil-gas-sector-needs- readiness-boost-as-industrial-cyber-risk-increases/ 7 Ibid. 8 “Benchmarking survey.”IBM Institute for Business Value.2018.(unpublished data)