Joe Lomako offers advice on the preventative measures that can be taken to secure processes against cyber attacks."> 通过设计保护物联网 - 必威betway西

通过设计保护物联网

2020年9月15日

乔Lomako提供有关可采取的预防措施的建议,以确保进程免受网络攻击。

随着设备、系统和流程日益数字化和互联,物联网(IoT)为工业提供了机会。然而,使价值创造成为可能的技术,也为网络罪犯提供了新的攻击面。例如,设备上的开放端口使黑客能够渗透到公司的网络和连接的生产设施的关键基础设施。

在物联网时代,每个无线支持的产品都代表着对数据安全和隐私的潜在威胁,但主动、健壮的安全规划使制造商能够管理网络安全风险,以减轻攻击。

预防性保安措施应从设计阶段,甚至概念阶段开始,采用“设计安全”的原则。尽管顾名思义,这是针对设计阶段的,但理解安全性是一个连续的过程是很重要的。

因此,设计安全原则是明智的。然而,它本身必须被定义。因此,这个过程应该从对业务影响和风险概率的评估开始。如果不清楚地了解和确定风险的优先级,就不可能确定该产品乃至整个物联网系统的适当安全需求。

评价
在了解了风险之后,下一步是评估硬件和软件——“攻击面”。根据风险评估确定的需求对单个组件进行测试是安全产品的基础。在产品开发之后,将安全性作为软件附加组件安装是非常困难的。因此,必须评估每个方面的漏洞,包括设备硬件(芯片组、传感器和执行器)、无线通信模块和协议、设备固件(操作系统和嵌入式应用程序)、云平台和应用程序。

在组件测试之后,应该执行端到端评估,以确定各个组件和支持服务的攻击弹性。重要的是,这个过程是连续的。“我们是否找到了每一个弱点?”或者“我们引入了新的漏洞吗?”’总是在空中。因此,在产品生命周期中为更新实现安全验证过程也很重要。

行业标准
人们通常认为,由于系统复杂,所以它就自动安全。不幸的是,情况并非总是如此。

欧洲引入NIS指令(网络和信息系统安全)旨在改善这一状况,但实施速度缓慢,协助改善网络安全所需的标准的引入也是如此。然而,一些标准确实存在,或正在由国际组织制定,旨在提供基线保护,帮助为网络防御的第一线提供基本安全保障。

物联网设备的两个主要标准是NIST 8259(美国)和EN 303 645(欧盟)草案。NIST的范围旨在解决广泛的物联网类型产品,这些产品至少有一个传感器。必威官方登陆因此,它可以应用于工业4.0产品。必威官方登陆更重要的是,这一标准在加州已经根据第327号州法案被强制执行,而且很可能会在全美普及。

然而,EN 303 645标准草案的范围仅针对消费物联网设备,因此不适用于工业产品,尽管其中的一般原则当然可以通用地应用,以提供少量的保护。必威官方登陆

控制
目前存在一些争议,认为现行网络安全标准在应用上缺乏细节和适用性,没有充分涵盖典型工业应用的范围。因此,制造商应该考虑他们自己的方案,出发点是:

•考虑“设计安全”,并采取积极的方法来保护网络安全,认识到攻击是“当而不是如果”。
•确保符合所有标准。
•经常检查“网络抵抗”状态。

对网络安全的持续投资至关重要,既要跟上技术发展以获得竞争优势,又要采取有效措施打击黑客对关键IT基础设施的新形式攻击。例如,公司经常忽视对员工的it安全培训,尽管社交工程长期以来一直是每个网络罪犯的标准武器。

在进行新的IT投资或收购公司之后,企业还经常忘记断开过时或未使用的设备。这些操作系统可能运行不受支持的操作系统,并且缺少更新的安全补丁,这为黑客攻击打开了漏洞。

传统上,“模式匹配”被用于识别IT基础设施中的安全风险,但随着机器学习和人工智能的使用,网络攻击越来越多地实现,这已经不够了。因此,企业应该通过在网络安全工作中部署人工智能,专注于识别异常。

网络安全不仅成为IT经理的关注焦点,也越来越成为c级管理的关注焦点。然而,高管和IT专家经常不能有效沟通,在许多问题上采用不同的观点。在这种情况下,采用适合各自目标群体的沟通水平是有帮助的。否则,通信问题可能会延迟必要的IT安全投资。
虽然拥有一定程度的内部安全知识,但许多制造商将受益于与外部专家的合作,这些专家在评估各种类型的产品或基础设施方面拥有更广泛的经验,并拥有更好的装备,以帮助管理新的和不断发展的网络威胁。要解决网络安全风险问题,只能通过全面规划、定期评估、更新和监控——从设计到淘汰。

Joe Lomako是TÜV SÜD的业务发展经理(IoT)。


联系方式和档案…

列印本页|通过电子邮件发送此页面