物聯(lián)網(wǎng)（ IoT ）無處不在－這已然成為我們無法忽視的一大事實。即使您堅決抵制像智能揚聲器、聯(lián)網(wǎng)型溫控器或智能手表等消費型物聯(lián)網(wǎng)設(shè)備，依然無法阻止工業(yè)物聯(lián)網(wǎng)（ IIoT ）設(shè)備的發(fā)展－物聯(lián)網(wǎng)領(lǐng)域的一個子集－因為它們已經(jīng)構(gòu)成我們?nèi)粘Ｉ�活不可或缺的一部分。從水電供�?yīng)到生產(chǎn)制造，再到休閑娛樂（ 比如游樂設(shè)施 ），工業(yè)物聯(lián)網(wǎng)設(shè)備已成為更多行業(yè)的一部分，而且這種情況已經(jīng)存在了一段時間。根據(jù) Gartner 近期所作的估計，到 2019 年底，全球工業(yè)物聯(lián)網(wǎng)資產(chǎn)總量已達到 48 億臺，并預(yù)計這一數(shù)字在 2020 年將增長 21 個百分點。

　　那么，如何從整體上保護您的物聯(lián)網(wǎng)資產(chǎn)和整個 OT 網(wǎng)絡(luò)免受惡意攻擊，尤其是那些無法快速修復(fù)的高可用性資產(chǎn)？

　　網(wǎng)絡(luò)監(jiān)控通常是您可采取的最有效措施。但是一旦涉及工業(yè)物聯(lián)網(wǎng)資產(chǎn)，對網(wǎng)絡(luò)流量進行被動監(jiān)控就顯得尤為重要。主動式監(jiān)控的方法由于會產(chǎn)生流量，還要通過網(wǎng)絡(luò)專門發(fā)送這些流量才能對其進行觀察，因此會增大網(wǎng)絡(luò)負載，從而使設(shè)備性能受到影響，甚至發(fā)生故障。相比之下，被動式掃描則是通過流量監(jiān)聽并記錄流量的特征，而不會將新的流量引入 OT 環(huán)境。

　　及時盤點網(wǎng)絡(luò)上的資產(chǎn)對于保障 IT 和 OT 網(wǎng)絡(luò)的安全也非常重要。被動式監(jiān)控可幫助企業(yè)了解網(wǎng)絡(luò)上的資產(chǎn)，包括存在漏洞的設(shè)備以及非法設(shè)備。在對網(wǎng)絡(luò)設(shè)備進行綜合全面地清點之后，您就能針對不同的資產(chǎn)組創(chuàng)建相應(yīng)的策略。

　　此外，對網(wǎng)絡(luò)進行合理的分段也很重要。如果您還不清楚該如何對工業(yè)物聯(lián)網(wǎng)資產(chǎn)和 OT 網(wǎng)絡(luò)進行合理的分段，那么全面的資產(chǎn)盤點以及相應(yīng)的策略會為您提供很大的幫助。但是對于攻擊意圖明確的攻擊者來說，那么這項措施對于阻止它們突破不同網(wǎng)區(qū)間的邊界可能起不到什么作用，但是起碼可以減緩它們的進攻速度，從而為企業(yè)爭取更多的時間以采取應(yīng)對策略。

　　根據(jù) ISA 99 和 IEC 62443 的相關(guān)內(nèi)容，尋求您所在企業(yè)的可實施區(qū)域和渠道。

　　然而值得一提的是，許多工業(yè)物聯(lián)網(wǎng)資產(chǎn)都采用廣播和組播的網(wǎng)絡(luò)通信方式，參與此類通信的一臺或多臺設(shè)備會向網(wǎng)絡(luò)上的其他所有設(shè)備發(fā)送流量。如果采用過于激進的網(wǎng)絡(luò)分段策略，則可能會帶來麻煩。要解決這個問題，就必須對網(wǎng)絡(luò)上的資產(chǎn)進行全面的清點。此外，采用數(shù)據(jù)流鏡像的方法，能為我們了解哪些資產(chǎn)正在彼此通信，以及這些資產(chǎn)在整體上如何交互提供很大幫助。

　　為此我們強烈建議在發(fā)現(xiàn)漏洞后盡快對工業(yè)物聯(lián)網(wǎng)資產(chǎn)進行修復(fù)。但是，如果無法在脫機狀態(tài)下修復(fù)設(shè)備，就務(wù)必強化對設(shè)備的洞察。所以要明確哪些設(shè)備絕對需要修復(fù)，您必須搞清楚您的網(wǎng)絡(luò)資產(chǎn)狀況以及具體的網(wǎng)絡(luò)布局。此外，分析工業(yè)物聯(lián)網(wǎng)的冗余度也是有意義的，因為在維護過程中，您可參考這個數(shù)據(jù)關(guān)閉某臺設(shè)備，與此同時安排其他設(shè)備接管這臺設(shè)備的負載。

　　工業(yè)物聯(lián)網(wǎng)流量異常檢測也是一種非常有用的方法。這種方法能幫您找到不應(yīng)該發(fā)生的網(wǎng)絡(luò)異常行為，比如兩臺本不應(yīng)相互通信的工業(yè)物聯(lián)網(wǎng)設(shè)備、計劃外的固件更新、意外的配置更改等一系列異常情況。

　　最后介紹一種在 OT 環(huán)境中搜索和清除威脅的好方法－威脅追蹤。您首先主動出擊尋找網(wǎng)絡(luò)中的惡意行為者，然后制定相應(yīng)的策略，并自動執(zhí)行策略，經(jīng)過這一系列過程，您的網(wǎng)絡(luò)安全狀況將得到大幅改善。

　　思科安全防御之道

　　保護工業(yè)物聯(lián)網(wǎng)資產(chǎn)無疑是網(wǎng)絡(luò)安全領(lǐng)域比較棘手的任務(wù)之一。它不但涉及類型繁多的設(shè)備，且其中很多設(shè)備的運行方式極具個性化，因此無法有效應(yīng)對因多個安全流程和程序引起的中斷。

　　但幸運的是，思科推出的網(wǎng)絡(luò)安全系列產(chǎn)品，能夠為您有效解除這方面的憂患。

• 思科 Cyber Vision 方案旨在幫助 OT 團隊和網(wǎng)絡(luò)管理員全面洞察其網(wǎng)絡(luò)中的工業(yè)資產(chǎn)和應(yīng)用流程。這套方案內(nèi)嵌在思科工業(yè)網(wǎng)絡(luò)設(shè)備中，通過解碼各種工業(yè)協(xié)議對您的 OT 網(wǎng)絡(luò)進行映射，并檢測異常流程或不應(yīng)該發(fā)生的資產(chǎn)修改行為。
• 思科身份服務(wù)引擎（ ISE ）借助基于思科 Cyber Vision 構(gòu)建起的資產(chǎn)清單來創(chuàng)建動態(tài)安全組，并通過 TrustSec 自動執(zhí)行分段策略。
• ISA 3000 是一款適用于惡劣環(huán)境的加固耐用型工業(yè)防火墻設(shè)備，可幫您執(zhí)行區(qū)域網(wǎng)路分段、檢測入侵行為并有效阻斷網(wǎng)絡(luò)威脅。
• 思科安全分析解決方案 Stealthwatch 通過整合行為建模、機器學(xué)習(xí)和全網(wǎng)威脅情報來檢測各種高級威脅。與思科 Cyber Vision 集成后，原本通過 Stealthwatch 獲得的全網(wǎng)可視性得以在工業(yè)物聯(lián)網(wǎng)基礎(chǔ)設(shè)施中廣泛延伸。
• 思科終端安全方案（ AMP for Endpoints ）專門用于保障 OT 環(huán)境中每個工程設(shè)計工作站的安全。
• 思科 Duo 多因素身份驗證功能可防止惡意攻擊者通過橫向移動獲取網(wǎng)絡(luò)上的系統(tǒng)訪問權(quán)限。
• 思科電子郵件安全解決方案可檢測專門針對工業(yè)物聯(lián)網(wǎng)設(shè)備操作者等角色發(fā)起的定向網(wǎng)絡(luò)釣魚電子郵件，從而防止惡意有效載荷訪問預(yù)期目標。

　　最后，思科通過一套分層防護方案為您提供最出色的安全體驗。例如，通過思科 Cyber Vision 自動洞察所有工業(yè)設(shè)備，確保操作流程安全可靠。在與思科網(wǎng)絡(luò)安全系列產(chǎn)品集成后，它就能為 Stealthwatch 系統(tǒng)提供用于深入分析工業(yè)設(shè)備的上下文信息，同時梳理網(wǎng)絡(luò)流量的通信模式，以便借助基于 ISE 的細粒度的分段功能來實現(xiàn)策略的定義和執(zhí)行。

　　掃描二維碼 免費測試網(wǎng)絡(luò)可視性，幫助您了解企業(yè)網(wǎng)絡(luò)中存在哪些風(fēng)險。