邊緣計算將成為下一個戰(zhàn)場��,IOTech 產(chǎn)品總監(jiān) Andrew Foster 寫道,企業(yè)必須確保其安全��。
工業(yè)企業(yè)正在競相實現(xiàn)現(xiàn)代化�。傳感器、控制器和邊緣平臺被部署在工廠��、廠房和倉庫中�����,以實現(xiàn)實時可見性、自動化控制和更智能的運營�����。然而�����,在急于連接的過程中�,許多人忽略了一個關鍵因素:安全性。
隨著傳統(tǒng)的運營技術 (OT) 系統(tǒng)被引入到云端�,將數(shù)據(jù)輸入到云分析平臺和企業(yè)軟件中���,它們正面臨一個從未設計過的安全威脅�����。數(shù)十年來����,在封閉的門禁和隔離網(wǎng)絡環(huán)境下安全運行的工業(yè)系統(tǒng)�,如今卻暴露在全球攻擊面前�����。這種轉(zhuǎn)變正在造成越來越大的風險����,令許多企業(yè)措手不及�。
內(nèi)部漏洞
問題不僅僅在于這些系統(tǒng)陳舊。更在于它們是為隔離而設計的���,而不是為互聯(lián)網(wǎng)設計的����。像 Modbus 和 OPC Classic 這樣的協(xié)議在設計時從未考慮過加密或身份驗證�����。許多仍在使用的傳統(tǒng)設備甚至缺乏基本的憑證管理��。有些系統(tǒng)無法更新�,有些則運行在不受支持的操作系統(tǒng)上。
這些系統(tǒng)在當時非?���?煽?�,從流程的角度來看���,它們在很多情況下仍然可靠。但在現(xiàn)代工業(yè)物聯(lián)網(wǎng)環(huán)境中���,可靠性無法取代韌性�����。一旦連接�,這些設備就很容易受到攻擊�����。攻擊者也深知這一點�����。
一些備受矚目的事件表明���,某些系統(tǒng)實際上是多么容易受到攻擊。雖然并非每次攻擊都會成為頭條新聞��,但威脅確實存在。勒索軟件組織已經(jīng)開始積極攻擊工業(yè)環(huán)境����,而不僅僅是IT網(wǎng)絡。在一個案例中�,攻擊者入侵了一家全球化學品分銷商,竊取了超過100GB的敏感文件���。該公司支付了數(shù)百萬美元的贖金�����,只是為了阻止這些數(shù)據(jù)被公開����。在另一起有據(jù)可查的事件中��,惡意軟件被專門設計用于干擾一家石化工廠的安全系統(tǒng)����。
這并非紙上談兵。對于運營老化設備的公司來說���,每一個新的數(shù)據(jù)連接��,無論是用于遠程訪問��、預測性維護還是分析�,都必須被視為攻擊者的潛在切入點。
邊緣計算為何成為關鍵戰(zhàn)場
邊緣計算正處于這些挑戰(zhàn)的交匯點�����。它是傳統(tǒng)技術與現(xiàn)代技術的交匯點�。它將工業(yè)協(xié)議轉(zhuǎn)換為企業(yè)級數(shù)據(jù)流,將工廠車間連接到云端���,并支持靠近資產(chǎn)的時間敏感型處理���。
如果運行良好,邊緣計算將是一個強大的賦能者��。但如果缺乏正確的架構�����,它也可能成為薄弱環(huán)節(jié)��。當邊緣平臺被純粹視為數(shù)據(jù)網(wǎng)關而非關鍵安全控制點時�����,尤其如此���。
許多組織正是因此而犯錯����。他們認為�����,如果云提供商擁有強大的安全性�,那么其余的流程也一定受到保護。但部署在工廠車間的邊緣設備通常缺乏適當?shù)母綦x���。它們可能運行在默認配置下��,通過扁平網(wǎng)絡連接����,或者由于缺乏安全的更新機制而錯過固件更新�。
這導致工業(yè)堆棧中最關鍵的部分之一的攻擊面不斷擴大。
工業(yè)團隊現(xiàn)在可以做什么
好消息是,保護工業(yè)環(huán)境并不總是需要拆除和更換傳統(tǒng)設備���。很多情況下���,關鍵在于在正確的位置應用現(xiàn)代保護措施。企業(yè)在實施過程中應關注以下幾個關鍵領域:
隔離:將 OT 網(wǎng)絡與 IT 系統(tǒng)分離��。避免扁平化架構�。使用 VLAN、防火墻和訪問控制在不應相互通信的系統(tǒng)之間創(chuàng)建邊界����。
協(xié)議轉(zhuǎn)換和遏制:使用安全的邊緣平臺,使其能夠與傳統(tǒng)設備交互�,但將其與外部網(wǎng)絡隔離。
可修補性和可觀察性:盡可能確保系統(tǒng)能夠安全更新����。如果無法進行修補,則在邊緣添加監(jiān)控功能��,以便及早發(fā)現(xiàn)異常行為���。
供應商訪問:控制和審核遠程訪問���,尤其是對支持合作伙伴的訪問。限制哪些系統(tǒng)可以遠程訪問以及在何種條件下可以訪問�����。
實現(xiàn)此目標的一種方法是在傳統(tǒng)設備和外部網(wǎng)絡之間部署一個安全感知的邊緣平臺�。例如,像 IOTech 的 Edge Central 這樣的平臺旨在充當傳統(tǒng)設備和外部網(wǎng)絡之間的安全中介層����。這些系統(tǒng)允許工業(yè)團隊維護現(xiàn)有設備,同時分層采用現(xiàn)代保護措施�����,包括協(xié)議轉(zhuǎn)換�����、加密�����、身份驗證和邊緣的遠程訪問控制�。
最重要的是�,要認識到安全并非一次性項目���。它是一個必須隨著系統(tǒng)發(fā)展��、新連接的增加以及威脅行為者的適應而持續(xù)維護的過程�����。
文化和優(yōu)先級的轉(zhuǎn)變
阻礙進步的最容易被忽視的障礙之一根本不是技術問題���,而是組織問題。在許多工業(yè)公司中���,網(wǎng)絡安全對話仍然處于孤立狀態(tài)��。IT 部門管理公司網(wǎng)絡���,OT 部門管理工廠車間。兩者之間缺乏協(xié)調(diào)�,結果往往是安全實踐不一致,使關鍵系統(tǒng)暴露在風險之中��。
彌合這一差距需要的不僅僅是溝通�,還需要共同承擔責任�����。兩個團隊必須了解他們的決策會如何影響對方�。例如��,強制定期重啟系統(tǒng)的 IT 策略可能會擾亂全天候生產(chǎn)環(huán)境��,而 OT 部門不愿修補過時的系統(tǒng)�����,這可能會引入 IT 部門必須防御的漏洞�����。這些矛盾不能僅通過政策來解決��。它們需要文化轉(zhuǎn)變���,將共享風險管理置于安全規(guī)劃的核心。
這種轉(zhuǎn)變也必須深入到高管層面����。在制定數(shù)字化轉(zhuǎn)型戰(zhàn)略時�,安全領導層應該發(fā)揮重要作用����。采購團隊評估供應商時,不僅要考慮其功能和價格�����,還要考慮他們與設施整體安全架構的集成程度����。當安全成為一項共同責任時,組織就能構建更強大����、更統(tǒng)一的防御體系。
縮小差距
工業(yè)領域在數(shù)字化方面取得了令人矚目的進步�。新型傳感器、更智能的機器和更敏捷的分析技術正在帶來真正的價值——從提高資產(chǎn)利用率到預測性維護和能源效率�。但這些收益往往建立在缺乏抵御現(xiàn)代網(wǎng)絡威脅韌性的基礎設施之上。
縮小連接與安全之間的差距意味著要認真審視現(xiàn)有系統(tǒng)���,并坦誠地認識到它們的局限性�����。這意味著要將安全性融入到每一個新的連接中���,這并非事后諸葛亮�,而是作為一項設計原則����。這意味著要投資于工具和流程,使監(jiān)控�、訪問控制和響應不僅成為可能�,而且對運營團隊來說切實可行。
最重要的是���,這意味著要認識到工業(yè)安全并非一成不變�����。它并非產(chǎn)品�,而是一種思維方式����。將安全視為卓越運營的核心要素(如同安全性和可靠性一樣)的設施,將更有能力應對日益互聯(lián)的世界帶來的挑戰(zhàn)����。
下一波工業(yè)創(chuàng)新將由邊緣智能�����、實時數(shù)據(jù)和跨系統(tǒng)無縫集成驅(qū)動����。但如果基礎不牢固�����,這一切都將毫無意義?�,F(xiàn)在正是打好基礎的時候���。
