IIoT基础设施面临的风险是确实存在的吗？

借助基于IIoT的运营来构造产品的大多数公司可能会密切关注供应链，以提供可预测的原材料和服务流，从而使他们能够推出产品并保持业务繁荣。

但是第二条基本供应链受到的审查较少。而且，如果该供应链的安全性受到某种程度的损害，企业可能会陷入停顿。

被忽视的供应链提供了构建IIoT基础设施的组件。从安全角度来看，这些设备的购买者位于供应链的末端，缺乏对供应链的足够透明性。实际上，跟踪构成所交付的IIoT设备的内部元素的来源将是一个挑战。

因此，与IIoT绑定的组件附带可利用的安全漏洞并不少见。IIoT供应链的复杂性和全球影响力只会使问题更加复杂，单个设备可能由数十个组件制造商提供的零件制成。

一家物联网网络安全公司Finite State在2019年发布的报告《Finite State Supply Chain Assessment》中指出：“数十个由全球公司制造的组件会通过多层供应商和集成商反应，直到它们被放置在产品上，由OEM进行测试和包装为止。”

大多数网络运营商都认识到IIoT供应链风险，但是特定的漏洞很难隔离。这些部署通常意义深远，超出制造商的范围，延伸到托运人、商人和其他商业伙伴。随着网络的扩展并包括其他集成点，一小部分恶意代码将被复制的风险只会增加。实际上，代码本身可能不是恶意的，但可以提供一个可能危害系统的开放端口。

Finite State首席执行官Matt Wyckhouse指出：“仅是亲眼目睹嵌入式系统中有多少漏洞，这是资产所有者没有意识到这些漏洞存在于其系统中的地方。”

一旦违反了IIoT环境，恶意行为者就可以将其用作进一步钻入公司系统的入口。工业控制系统(ICS)和其他生产系统可能会受到威胁，但是如果闯入者可以逃避安全障碍并进行更深入的研究，则可能还会暴露关键的公司应用和相关数据。这全部归因于可疑固件，固件进入了生产传感器、执行器和其他可运行IIoT的供应链。

Wyckhouse解释说：“报告漏洞时，制造商需要一段时间才能解决该漏洞，在那里发布补丁，然后资产所有者才能执行对该设备的更新并为其运行最新版本的固件。” 描述已知漏洞如何持续存在。

ARC咨询小组针对安全提供商卡巴斯基(Kaspersky)在2019年7月发布的《工业网络安全状况》中，超过四分之一(26%)的受访者表示，他们认为“来自第三方的威胁，例如供应连锁店或合作伙伴”成为主要问题，另有44%的受访者表示这是次要问题。有趣的是，所有其他主要安全问题，例如勒索软件(70%)和针对性攻击(68%)都可以通过供应链违规对公司发起。

在同一调查中，有28%的受访者指出，很可能或非常有可能将其公司的ICS或工业控制网络作为攻击目标。

由荷兰安全机构爱迪德(Erdeto)于2019年进行的另一次“全球互联产业网络安全调查”强调，许多公司已经被入侵性物联网攻击所烧毁：“该研究令人震惊地发现，只有17%的物联网设备使用或大型企业制造的产品在过去的12个月中没有经历过网络攻击。”

IIoT供应链如何受到损害

通常，对于为企业的生产线提供服务的供应链，最大的担忧是生产活动可能会中断，从而导致生产放缓或停产。对于IIoT供应链，威胁要隐蔽得多，可能要花几周或几个月才能显现出来。

通常，当IIoT供应链损坏时，它更多是由多米诺骨牌效应造成的，这掩盖了漏洞的来源。

提供固件检查服务的公司Adolus首席执行官埃里克·拜雷斯(Eric Byres)说：“攻击者考虑到了一些受害者，但他们没有直接去攻击受害者，而是去了二级工业物联网供应商，破坏了他们的网站，并用特洛伊木马版本替换了合法固件和软件。”

不知情的IIoT网络管理员会进行适当的网络维护，可能会不经意地扩散恶意代码。 Byres说：“他们立即下载并将其带入他们的工厂，然后突然有这种恶意软件在工厂内部，防火墙内部以及所有内部进行控制。”

闯入者可能闯入工业网络，然后破坏公司数据网络。 “破坏者攻击一个站点，他们得到了这种可靠的乘数效应，” Byres继续说道。 “对于攻击者来说，这是非常可观的投资回报。”

大多数IIoT环境包括成百上千的较旧设备-传感器和其他组件可能已经使用了十年(或更长时间)。专家们认为，设备越旧，由于落后于支持和更新，就越有可能带来安全风险。

例如，有限状态报告描述了某些制造商制造的组件，这些组件包括使用2003年发布的OpenSSL版本的代码，并且众所周知(并记录在案)极易受到攻击。

某些IIoT供应链安全漏洞可能是故意插入的，是无辜的并且是出于恶意目的。一个例子是后门。一件软件中的后门允许访问固件的核心部分，从而访问组件本身，而无需通过常规的身份验证过程。

意图良好的后门通常由组件制造商开放，以为技术人员提供支持和监视设备的切入点。这些后门通常称为调试端口，还使恶意行为者易于访问。同样，旨在允许与工业控制系统集成的应用程序编程接口(API)可能会无意间提供了另一种损害设备操作的方式。各国通常会在其出口产品上留下比较邪恶的后门，因为它们希望以后再使用它们来处理知识产权(IP)或其他数据。

一般而言，工业物联网的供应链比控制得当更像是狂野的西部。

纽约大学的Muhammad Junaid Farooq和Quanyan Zhu发表的研究论文指出：“就安全标准而言，物联网仍然是完全不受监管的技术。” “从设备所有者的角度来看，无法控制上游供应链。并非所有供应商都准备好清楚阐明其网络安全实践并披露其供应链信息。”

（编辑：常州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!