Skip to main content

工业

系统集成商如何成为物联网安全卫士

物联网安全性

在工业 4.0 时代,智能工厂连接生产设备并将其数字化,实现了巨大的性能提升。但是,随着公司连接的系统和设备越来越多,它们还造成了巨大的物联网安全挑战。

一个主要问题在于,许多制造商认为安全是系统集成商 (SI) 的责任,但系统集成商认为应该由制造商(甚至是最终客户自己)处理安全问题,致使这件事无人提起。由于没有强大的安全策略,漏洞会越来越多。

这是网络攻击的主要目标,数据盗窃、商业间谍,甚至劫持整个基础设施的勒索软件攻击会造成严重经济损失。

但是,系统集成商可以在物联网安全方面领先行动,阻止这种严重破坏,成为工业领域客户的安全卫士。

减轻各个击破式方法存在的物联网安全挑战

虽然没有人希望看到这些挑战的发生,但常常事与愿违。secunet 高级解决方案架构师 Jan Ludwig Tiedemann 说许多工厂一次只对一个系统进行自动化。这可能会导致自己的设置工作激增。事实上,Tiedemann 经常看到工厂的制造环境中遍布数百个基于 Raspberry Pi 的一次性系统。

虽然这种做法在短期内具有较高的成本效益,但它会阻碍各种整体安全策略的实施。这意味着系统充满安全漏洞,而安全漏洞随着时间不断增加,最终造成无法管理的混乱局面。制造商最终容易遭到攻击和生产中断的情况。

许多公司对他们的安全性有错误的安全感,使这个问题变得更加严重。换句话说,他们可能完全不知道自己的行为是不安全的。

Tiedemann 以一家食品加工公司的经验为例。在该公司的生产线上,多数设备运行存在已知漏洞的旧软件,但他们对这个风险视而不见。一个黑客发动了勒索软件攻击,每台有漏洞的机器在数分钟内变得无法运行。

这不仅阻碍了生产,还造成了实际损害。标签打印系统在攻击中遭到破坏,破坏了标签历史记录。因此,公司无法在进行召回的情况下跟踪已发货的产品。

导致安全漏洞的另一个问题在于,制造商希望系统集成商尽可能降低预算。Tiedemann 发现,由于会被认为增加成本,系统集成商可能不愿提出对增强安全性的需求。

他解释道:“领先行动对任何一方来说都不是容易的事,因此造成了一个‘不要问、不要说’、无人负责的局面。”

另一个问题是机器可能需要停机。Tiedemann 看到一家公司几乎对攻击视而不见,采用各个击破式的方法进行最低限度的处理。设备持续暴露在漏洞下的风险,并不会比为了停止生产、清理漏洞而付出的代价更加严重。因此该公司继续放任攻击者在他们的系统中游走。这是名副其实的达摩克利斯之剑。

内置物联网安全性的工业电脑

幸运的是,有一个解决方案可以解决这些问题:先构建一个内置安全性的平台。secunet 应运而生。作为具有独特安全要求的领域(例如工业物联网、政府和医疗保健)的专家,secunet 看到了人们对真正安全的边缘解决方案的需求。secunet 边缘是针对此需求构建的平台,采用安全第一的原则进行设计。

增强型硬件是平台的核心,包括作为容器应用和数据安全的信任锚的安全元件。此防篡改芯片经过 FIPS140-2 Level 3 或 BSI CC L3 EAL 5 认证,使远程用户能够确定他们安全地存储和处理了云服务或类似应用的敏感密钥。

除了硬件以外,还采用安全的软件平台以及将应用封装在容器中的应用环境,这样还可以防止一个容器中的漏洞影响其他容器。这些应用不仅实现了安全功能(例如自动识别网络流量异常),还实现了关键系统功能。这些功能包括将机器数据传输到后端和外部服务,以及连接系统的远程控制。

由于 secunet 边缘基于强大、可靠的英特尔® 处理器,除了安全软件以外,还可以运行各种现有应用。因此,系统集成商可以构建高度集成,同时高度安全、便于使用、经济高效的自动化解决方案。

Tiedemann 说:“secunet 边缘使公司能够在利用现代化数字解决方案优势的同时,降低其实施过程中固有的风险。”

此外,secunet 还提供用于将平台保持最新版本的服务。这意味着系统集成商无需担心在发现新漏洞时系统会失去保护,并且无需保留所有底层技术堆栈。

相反,secunet 提供了操作系统和其他部分的更新,可以主动阻止所有安全漏洞并增加新功能。作为平台维护方,secunet 还运行软件供应链的安全分析并定期进行渗透测试,以进行验证。

低成本改造,保持物联网安全性

毫无疑问,保护工厂不只是保护新系统的问题。现有资产也必须隔离。

一个常见问题是如何在提供保护的同时避免高昂的设备更换费用。旧机器通常采用过时的专用协议。因此难以将旧系统连接到现代物联网环境,在现代物联网环境下,访问云和其他 IT 域是必要条件。

为了解决此问题,secunet 与工业协议领域专家 PTC 建立了合作关系。通过在平台中引入 PTC Thingsworx 中间件,secunet 边缘可以访问工业物联网和云。这保持了数据的自由传输,同时将旧机器隔离在阻止漏洞的防护墙后面。

例如,一家制造纸币印刷和清点机器的制造商发现,虽然机器在设计之初预计可运行数十年,但是操作系统已经过时。secunet 帮助该机构更新了物联网安全功能,因此可以在保留现有设备的同时提供前沿解决方案,无需淘汰机器并放弃在机器上投入的资金。

Tiedemann 说:“这是一个典型的用例,在通过补救措施保护机器后再对机器进行改造,而不是把它们报废。”他还补充说,这种主动措施最终可以阻止数百万美元的损失。(图 1)

借助英特尔® 技术,使用外形小巧的 secunet 边缘设备即可轻松改造。
图 1. 借助英特尔® 技术,使用外形小巧的 secunet 边缘设备即可轻松改造。(来源:secunet

展望未来,Tiedemann 预计他们与英特尔的合作将成为持续创新的关键。Tiedemann 说:“英特尔在 IT 领域拥有悠久的历史,还提供卓越的边缘计算能力,这是大部分竞争对手无法比拟的。”例如,secunet 将在不远的将来提供搭载英特尔® 酷睿 i5 处理器、性能更高的设备。

“英特尔凭借其他公司无法比拟的服务,帮助我们走在数字转型的前沿。”

作者简介

Cathie Ericson is a freelance writer who creates articles, white papers, and other B2B content. Her expertise spans retail, education, finance, HR, and real estate fields for companies of all sizes. In addition her work regularly appears on websites that include U.S. News & World Report, MSN, Business Insider, Yahoo Finance, Market Watch, Fast Company, and more.

Profile Photo of Cathie Ericson