供應(yīng)鏈不僅為物聯(lián)網(wǎng)提供了基礎(chǔ)，還為漏洞提供了保護(hù)。IT專業(yè)人員需要抵御利用供應(yīng)鏈安全漏洞的惡意攻擊。

[[380820]]

借助基于IIoT的運(yùn)營來構(gòu)造產(chǎn)品的大多數(shù)公司可能會密切關(guān)注供應(yīng)鏈，以提供可預(yù)測的原材料和服務(wù)流，從而使他們能夠推出產(chǎn)品并保持業(yè)務(wù)繁榮。

但是第二條基本供應(yīng)鏈?zhǔn)艿降膶彶檩^少。而且，如果該供應(yīng)鏈的安全性受到某種程度的損害，企業(yè)可能會陷入停頓。

被忽視的供應(yīng)鏈提供了構(gòu)建IIoT基礎(chǔ)設(shè)施的組件。從安全角度來看，這些設(shè)備的購買者位于供應(yīng)鏈的末端，缺乏對供應(yīng)鏈的足夠透明性。實際上，跟蹤構(gòu)成所交付的IIoT設(shè)備的內(nèi)部元素的來源將是一個挑戰(zhàn)。

因此，與IIoT綁定的組件附帶可利用的安全漏洞并不少見。IIoT供應(yīng)鏈的復(fù)雜性和全球影響力只會使問題更加復(fù)雜，單個設(shè)備可能由數(shù)十個組件制造商提供的零件制成。

一家物聯(lián)網(wǎng)網(wǎng)絡(luò)安全公司Finite State在2019年發(fā)布的報告《Finite State Supply Chain Assessment》中指出：“數(shù)十個由全球公司制造的組件會通過多層供應(yīng)商和集成商反應(yīng)，直到它們被放置在產(chǎn)品上，由OEM進(jìn)行測試和包裝為止。”

IIoT基礎(chǔ)設(shè)施面臨的風(fēng)險是真實存在的

大多數(shù)網(wǎng)絡(luò)運(yùn)營商都認(rèn)識到IIoT供應(yīng)鏈風(fēng)險，但是特定的漏洞很難隔離。這些部署通常意義深遠(yuǎn)，超出制造商的范圍，延伸到托運(yùn)人、商人和其他商業(yè)伙伴。隨著網(wǎng)絡(luò)的擴(kuò)展并包括其他集成點，一小部分惡意代碼將被復(fù)制的風(fēng)險只會增加。實際上，代碼本身可能不是惡意的，但可以提供一個可能危害系統(tǒng)的開放端口。

Finite State首席執(zhí)行官M(fèi)att Wyckhouse指出：“僅是親眼目睹嵌入式系統(tǒng)中有多少漏洞，這是資產(chǎn)所有者沒有意識到這些漏洞存在于其系統(tǒng)中的地方。”

一旦違反了IIoT環(huán)境，惡意行為者就可以將其用作進(jìn)一步鉆入公司系統(tǒng)的入口。工業(yè)控制系統(tǒng)(ICS)和其他生產(chǎn)系統(tǒng)可能會受到威脅，但是如果闖入者可以逃避安全障礙并進(jìn)行更深入的研究，則可能還會暴露關(guān)鍵的公司應(yīng)用和相關(guān)數(shù)據(jù)。這全部歸因于可疑固件，固件進(jìn)入了生產(chǎn)傳感器、執(zhí)行器和其他可運(yùn)行IIoT的供應(yīng)鏈。

Wyckhouse解釋說：“報告漏洞時，制造商需要一段時間才能解決該漏洞，在那里發(fā)布補(bǔ)丁，然后資產(chǎn)所有者才能執(zhí)行對該設(shè)備的更新并為其運(yùn)行最新版本的固件。” 描述已知漏洞如何持續(xù)存在。

ARC咨詢小組針對安全提供商卡巴斯基(Kaspersky)在2019年7月發(fā)布的《工業(yè)網(wǎng)絡(luò)安全狀況》中，超過四分之一(26%)的受訪者表示，他們認(rèn)為“來自第三方的威脅，例如供應(yīng)連鎖店或合作伙伴”成為主要問題，另有44%的受訪者表示這是次要問題。有趣的是，所有其他主要安全問題，例如勒索軟件(70%)和針對性攻擊(68%)都可以通過供應(yīng)鏈違規(guī)對公司發(fā)起。

在同一調(diào)查中，有28%的受訪者指出，很可能或非常有可能將其公司的ICS或工業(yè)控制網(wǎng)絡(luò)作為攻擊目標(biāo)。

由荷蘭安全機(jī)構(gòu)愛迪德(Erdeto)于2019年進(jìn)行的另一次“全球互聯(lián)產(chǎn)業(yè)網(wǎng)絡(luò)安全調(diào)查”強(qiáng)調(diào)，許多公司已經(jīng)被入侵性物聯(lián)網(wǎng)攻擊所燒毀：“該研究令人震驚地發(fā)現(xiàn)，只有17%的物聯(lián)網(wǎng)設(shè)備使用或大型企業(yè)制造的產(chǎn)品在過去的12個月中沒有經(jīng)歷過網(wǎng)絡(luò)攻擊。”

IIoT供應(yīng)鏈如何受到損害

通常，對于為企業(yè)的生產(chǎn)線提供服務(wù)的供應(yīng)鏈，最大的擔(dān)憂是生產(chǎn)活動可能會中斷，從而導(dǎo)致生產(chǎn)放緩或停產(chǎn)。對于IIoT供應(yīng)鏈，威脅要隱蔽得多，可能要花幾周或幾個月才能顯現(xiàn)出來。

通常，當(dāng)IIoT供應(yīng)鏈損壞時，它更多是由多米諾骨牌效應(yīng)造成的，這掩蓋了漏洞的來源。

提供固件檢查服務(wù)的公司Adolus首席執(zhí)行官埃里克·拜雷斯(Eric Byres)說：“攻擊者考慮到了一些受害者，但他們沒有直接去攻擊受害者，而是去了二級工業(yè)物聯(lián)網(wǎng)供應(yīng)商，破壞了他們的網(wǎng)站，并用特洛伊木馬版本替換了合法固件和軟件。”

不知情的IIoT網(wǎng)絡(luò)管理員會進(jìn)行適當(dāng)?shù)木W(wǎng)絡(luò)維護(hù)，可能會不經(jīng)意地擴(kuò)散惡意代碼。 Byres說：“他們立即下載并將其帶入他們的工廠，然后突然有這種惡意軟件在工廠內(nèi)部，防火墻內(nèi)部以及所有內(nèi)部進(jìn)行控制。”

闖入者可能闖入工業(yè)網(wǎng)絡(luò)，然后破壞公司數(shù)據(jù)網(wǎng)絡(luò)。 “破壞者攻擊一個站點，他們得到了這種可靠的乘數(shù)效應(yīng)，” Byres繼續(xù)說道。 “對于攻擊者來說，這是非?？捎^的投資回報。”

大多數(shù)IIoT環(huán)境包括成百上千的較舊設(shè)備-傳感器和其他組件可能已經(jīng)使用了十年(或更長時間)。專家們認(rèn)為，設(shè)備越舊，由于落后于支持和更新，就越有可能帶來安全風(fēng)險。

例如，有限狀態(tài)報告描述了某些制造商制造的組件，這些組件包括使用2003年發(fā)布的OpenSSL版本的代碼，并且眾所周知(并記錄在案)極易受到攻擊。

某些IIoT供應(yīng)鏈安全漏洞可能是故意插入的，是無辜的并且是出于惡意目的。一個例子是后門。一件軟件中的后門允許訪問固件的核心部分，從而訪問組件本身，而無需通過常規(guī)的身份驗證過程。

意圖良好的后門通常由組件制造商開放，以為技術(shù)人員提供支持和監(jiān)視設(shè)備的切入點。這些后門通常稱為調(diào)試端口，還使惡意行為者易于訪問。同樣，旨在允許與工業(yè)控制系統(tǒng)集成的應(yīng)用程序編程接口(API)可能會無意間提供了另一種損害設(shè)備操作的方式。各國通常會在其出口產(chǎn)品上留下比較邪惡的后門，因為它們希望以后再使用它們來處理知識產(chǎn)權(quán)(IP)或其他數(shù)據(jù)。

一般而言，工業(yè)物聯(lián)網(wǎng)的供應(yīng)鏈比控制得當(dāng)更像是狂野的西部。

紐約大學(xué)的Muhammad Junaid Farooq和Quanyan Zhu發(fā)表的研究論文指出：“就安全標(biāo)準(zhǔn)而言，物聯(lián)網(wǎng)仍然是完全不受監(jiān)管的技術(shù)。” “從設(shè)備所有者的角度來看，無法控制上游供應(yīng)鏈。并非所有供應(yīng)商都準(zhǔn)備好清楚闡明其網(wǎng)絡(luò)安全實踐并披露其供應(yīng)鏈信息。”

惡意攻擊者的目標(biāo)和他們想要的

IIoT供應(yīng)鏈的入侵可能導(dǎo)致其他類型的網(wǎng)絡(luò)違規(guī)造成的任何妥協(xié)情況。但是，鑒于其本身的性質(zhì)和功能，“泄漏的” IIoT設(shè)備可能導(dǎo)致各種惡意活動和破壞。

勒索軟件仍然是攻擊的主要動機(jī)。許多IIoT供應(yīng)鏈滲透也是如此，因為不良行為者可能會阻止或以其他方式對生產(chǎn)產(chǎn)生負(fù)面影響，直到支付贖金為止。

在工業(yè)環(huán)境中，生產(chǎn)中斷可能造成更大的破壞。通過更改來自傳感器和其他IIoT設(shè)備的數(shù)據(jù)流，可以對機(jī)器設(shè)置進(jìn)行操作，從而導(dǎo)致制造過程中出現(xiàn)看不見的問題，從而可能導(dǎo)致產(chǎn)品故障或工廠地面機(jī)器(例如機(jī)器人設(shè)備)在不安全的情況下運(yùn)行方式。

2020年3月的《 OT安全最佳實踐》報告指出，違反工業(yè)控制系統(tǒng)可能會產(chǎn)生深遠(yuǎn)的影響：“其中一些危害包括對人類健康和安全的重大風(fēng)險，對環(huán)境的嚴(yán)重破壞以及財務(wù)問題，例如生產(chǎn)損失，以及對一個國家的經(jīng)濟(jì)產(chǎn)生負(fù)面影響。”

某些垂直行業(yè)也已成為關(guān)鍵目標(biāo)。

“如果您想要一個目標(biāo)豐富，目標(biāo)很多的環(huán)境，那就去能源、去電網(wǎng)、去石油和天然氣。”阿道魯斯的拜爾斯說。 “由于大流行，現(xiàn)在我們看到的另一個目標(biāo)豐富的環(huán)境是醫(yī)療。”

Finite State的Wyckhouse還指出醫(yī)療保健是主要目標(biāo)。 “在過去的幾周內(nèi)，我們實際上在醫(yī)療保健行業(yè)中看到了破壞性的、威脅生命的破壞性攻擊，在大流行期間，勒索軟件攻擊使醫(yī)院癱瘓。”

豐厚的報酬并不總是攻擊者的目標(biāo)，有時是目標(biāo)，例如關(guān)鍵知識產(chǎn)權(quán)(IP)中的信息。

通過IIoT環(huán)境中的漏洞以到達(dá)企業(yè)數(shù)據(jù)網(wǎng)絡(luò)也是一種常見的策略。 Wyckhouse說：“攻擊面每天都在增長，并且變得越來越復(fù)雜。” “在某些情況下，我們應(yīng)該擔(dān)心一個行為者將供應(yīng)鏈用作初始訪問機(jī)制。”

如何應(yīng)對IIoT供應(yīng)鏈不足

對于大多數(shù)公司而言，僅由于網(wǎng)絡(luò)上的設(shè)備數(shù)量眾多且歷史悠久，創(chuàng)建一個更安全的IIoT環(huán)境將是一項艱巨的任務(wù)。如果您已經(jīng)有了這些設(shè)備的詳細(xì)而全面的清單，那么您將邁出第一步-否則，這就是開始的地方。

一旦您確定了基礎(chǔ)的布局，下一步就是供應(yīng)鏈風(fēng)險評估。確定“宏觀”風(fēng)險，例如勒索情況，數(shù)據(jù)損壞或IP盜竊。但是，風(fēng)險評估也需要更細(xì)化，在此評估每個設(shè)備的潛在漏洞，以及如何將該漏洞組合到更廣泛的網(wǎng)絡(luò)入侵中。

還需要仔細(xì)研究公司的網(wǎng)絡(luò)及其集成方式。例如，通過使用氣隙將運(yùn)營技術(shù)環(huán)境與IT網(wǎng)絡(luò)分開，可以將IIoT與Internet隔離。

還應(yīng)評估IIoT設(shè)備供應(yīng)商，以了解其安全工作的水平。最好的時機(jī)是您的公司評估購買產(chǎn)品的時間，因為“在設(shè)備生命周期中，操作員對制造商影響最大的時間點是在購買設(shè)備期間”。

如果購買IIoT設(shè)備的次數(shù)很多且頻繁，那么最好建立一個正式的評估流程以確保所有供應(yīng)商和產(chǎn)品都經(jīng)過適當(dāng)?shù)膶彶椤?/p>

拜爾斯說：“不要只說“我們認(rèn)真對待安全性”。 “從他們那里獲得適當(dāng)?shù)膱蟾?，或者去找第三方進(jìn)行適當(dāng)?shù)姆治?，并真正弄清楚您的供?yīng)商是否正在做有關(guān)安全性的工作。”

您還可以利用資源，例如美國國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)的國家漏洞數(shù)據(jù)庫(NVD)來檢查其常見漏洞和披露(CVE)列表。

新興的服務(wù)和應(yīng)用類別正在涌現(xiàn)，專門用于解決IIoT供應(yīng)鏈情況。 Adolus和Finite State是提供服務(wù)的公司的示例，這些服務(wù)可以幫助用戶確定他們已經(jīng)安裝或正在考慮的設(shè)備的安全性。

Adolus最初是美國國土安全部的一個項目，后來演變成可商業(yè)使用的服務(wù)。它建立在一個數(shù)據(jù)庫之上，該數(shù)據(jù)庫收集與數(shù)千種IoT設(shè)備相關(guān)的已發(fā)布和軼事信息，包括所有已知漏洞的匯總。最終用戶或設(shè)備制造商可以利用數(shù)據(jù)庫來跟蹤組件的沿襲，并找到有關(guān)其組成部分和供應(yīng)商的詳細(xì)信息。

“我們的技術(shù)是建立這些軟件的物料清單，” Adolus首席執(zhí)行官Eric Byres說。 “因此，我們不僅可以了解您剛剛購買和安裝的基本產(chǎn)品，還可以了解其附帶的所有組件的全部信息。”

有些國家還對這一問題采取了新穎的方法。該公司的技術(shù)可以有效地解析固件，以確定它是否會對IIoT基礎(chǔ)架構(gòu)帶來風(fēng)險。這一點尤其重要，因為正如Finite State的首席執(zhí)行官M(fèi)att Wyckhouse指出的那樣：“當(dāng)應(yīng)用固件更新時，該固件會替換該設(shè)備上的所有軟件。它完全替代了它，因此可以完全改變設(shè)備的風(fēng)險狀況。”