物聯(lián)網(wǎng)（ IoT ）無處不在－這已然成為我們無法忽視的一大事實(shí)。即使您堅(jiān)決抵制像智能揚(yáng)聲器、聯(lián)網(wǎng)型溫控器或智能手表等消費(fèi)型物聯(lián)網(wǎng)設(shè)備，依然無法阻止工業(yè)物聯(lián)網(wǎng)（ IIoT ）設(shè)備的發(fā)展－物聯(lián)網(wǎng)領(lǐng)域的一個(gè)子集－因?yàn)樗鼈円呀?jīng)構(gòu)成我們?nèi)粘Ｉ�活不可或缺的一部分。從水電供�?yīng)到生產(chǎn)制造，再到休閑娛樂（ 比如游樂設(shè)施 ），工業(yè)物聯(lián)網(wǎng)設(shè)備已成為更多行業(yè)的一部分，而且這種情況已經(jīng)存在了一段時(shí)間。根據(jù) Gartner 近期所作的估計(jì)，到 2019 年底，全球工業(yè)物聯(lián)網(wǎng)資產(chǎn)總量已達(dá)到 48 億臺(tái)，并預(yù)計(jì)這一數(shù)字在 2020 年將增長(zhǎng) 21 個(gè)百分點(diǎn)。

　　那么，如何從整體上保護(hù)您的物聯(lián)網(wǎng)資產(chǎn)和整個(gè) OT 網(wǎng)絡(luò)免受惡意攻擊，尤其是那些無法快速修復(fù)的高可用性資產(chǎn)？

　　網(wǎng)絡(luò)監(jiān)控通常是您可采取的最有效措施。但是一旦涉及工業(yè)物聯(lián)網(wǎng)資產(chǎn)，對(duì)網(wǎng)絡(luò)流量進(jìn)行被動(dòng)監(jiān)控就顯得尤為重要。主動(dòng)式監(jiān)控的方法由于會(huì)產(chǎn)生流量，還要通過網(wǎng)絡(luò)專門發(fā)送這些流量才能對(duì)其進(jìn)行觀察，因此會(huì)增大網(wǎng)絡(luò)負(fù)載，從而使設(shè)備性能受到影響，甚至發(fā)生故障。相比之下，被動(dòng)式掃描則是通過流量監(jiān)聽并記錄流量的特征，而不會(huì)將新的流量引入 OT 環(huán)境。

　　及時(shí)盤點(diǎn)網(wǎng)絡(luò)上的資產(chǎn)對(duì)于保障 IT 和 OT 網(wǎng)絡(luò)的安全也非常重要。被動(dòng)式監(jiān)控可幫助企業(yè)了解網(wǎng)絡(luò)上的資產(chǎn)，包括存在漏洞的設(shè)備以及非法設(shè)備。在對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行綜合全面地清點(diǎn)之后，您就能針對(duì)不同的資產(chǎn)組創(chuàng)建相應(yīng)的策略。

　　此外，對(duì)網(wǎng)絡(luò)進(jìn)行合理的分段也很重要。如果您還不清楚該如何對(duì)工業(yè)物聯(lián)網(wǎng)資產(chǎn)和 OT 網(wǎng)絡(luò)進(jìn)行合理的分段，那么全面的資產(chǎn)盤點(diǎn)以及相應(yīng)的策略會(huì)為您提供很大的幫助。但是對(duì)于攻擊意圖明確的攻擊者來說，那么這項(xiàng)措施對(duì)于阻止它們突破不同網(wǎng)區(qū)間的邊界可能起不到什么作用，但是起碼可以減緩它們的進(jìn)攻速度，從而為企業(yè)爭(zhēng)取更多的時(shí)間以采取應(yīng)對(duì)策略。

　　根據(jù) ISA 99 和 IEC 62443 的相關(guān)內(nèi)容，尋求您所在企業(yè)的可實(shí)施區(qū)域和渠道。

　　然而值得一提的是，許多工業(yè)物聯(lián)網(wǎng)資產(chǎn)都采用廣播和組播的網(wǎng)絡(luò)通信方式，參與此類通信的一臺(tái)或多臺(tái)設(shè)備會(huì)向網(wǎng)絡(luò)上的其他所有設(shè)備發(fā)送流量。如果采用過于激進(jìn)的網(wǎng)絡(luò)分段策略，則可能會(huì)帶來麻煩。要解決這個(gè)問題，就必須對(duì)網(wǎng)絡(luò)上的資產(chǎn)進(jìn)行全面的清點(diǎn)。此外，采用數(shù)據(jù)流鏡像的方法，能為我們了解哪些資產(chǎn)正在彼此通信，以及這些資產(chǎn)在整體上如何交互提供很大幫助。

　　為此我們強(qiáng)烈建議在發(fā)現(xiàn)漏洞后盡快對(duì)工業(yè)物聯(lián)網(wǎng)資產(chǎn)進(jìn)行修復(fù)。但是，如果無法在脫機(jī)狀態(tài)下修復(fù)設(shè)備，就務(wù)必強(qiáng)化對(duì)設(shè)備的洞察。所以要明確哪些設(shè)備絕對(duì)需要修復(fù)，您必須搞清楚您的網(wǎng)絡(luò)資產(chǎn)狀況以及具體的網(wǎng)絡(luò)布局。此外，分析工業(yè)物聯(lián)網(wǎng)的冗余度也是有意義的，因?yàn)樵诰S護(hù)過程中，您可參考這個(gè)數(shù)據(jù)關(guān)閉某臺(tái)設(shè)備，與此同時(shí)安排其他設(shè)備接管這臺(tái)設(shè)備的負(fù)載。

　　工業(yè)物聯(lián)網(wǎng)流量異常檢測(cè)也是一種非常有用的方法。這種方法能幫您找到不應(yīng)該發(fā)生的網(wǎng)絡(luò)異常行為，比如兩臺(tái)本不應(yīng)相互通信的工業(yè)物聯(lián)網(wǎng)設(shè)備、計(jì)劃外的固件更新、意外的配置更改等一系列異常情況。

　　最后介紹一種在 OT 環(huán)境中搜索和清除威脅的好方法－威脅追蹤。您首先主動(dòng)出擊尋找網(wǎng)絡(luò)中的惡意行為者，然后制定相應(yīng)的策略，并自動(dòng)執(zhí)行策略，經(jīng)過這一系列過程，您的網(wǎng)絡(luò)安全狀況將得到大幅改善。

　　思科安全防御之道

　　保護(hù)工業(yè)物聯(lián)網(wǎng)資產(chǎn)無疑是網(wǎng)絡(luò)安全領(lǐng)域比較棘手的任務(wù)之一。它不但涉及類型繁多的設(shè)備，且其中很多設(shè)備的運(yùn)行方式極具個(gè)性化，因此無法有效應(yīng)對(duì)因多個(gè)安全流程和程序引起的中斷。

　　但幸運(yùn)的是，思科推出的網(wǎng)絡(luò)安全系列產(chǎn)品，能夠?yàn)槟�有效解除這方面的憂患。

• 思科 Cyber Vision 方案旨在幫助 OT 團(tuán)隊(duì)和網(wǎng)絡(luò)管理員全面洞察其網(wǎng)絡(luò)中的工業(yè)資產(chǎn)和應(yīng)用流程。這套方案內(nèi)嵌在思科工業(yè)網(wǎng)絡(luò)設(shè)備中，通過解碼各種工業(yè)協(xié)議對(duì)您的 OT 網(wǎng)絡(luò)進(jìn)行映射，并檢測(cè)異常流程或不應(yīng)該發(fā)生的資產(chǎn)修改行為。
• 思科身份服務(wù)引擎（ ISE ）借助基于思科 Cyber Vision 構(gòu)建起的資產(chǎn)清單來創(chuàng)建動(dòng)態(tài)安全組，并通過 TrustSec 自動(dòng)執(zhí)行分段策略。
• ISA 3000 是一款適用于惡劣環(huán)境的加固耐用型工業(yè)防火墻設(shè)備，可幫您執(zhí)行區(qū)域網(wǎng)路分段、檢測(cè)入侵行為并有效阻斷網(wǎng)絡(luò)威脅。
• 思科安全分析解決方案 Stealthwatch 通過整合行為建模、機(jī)器學(xué)習(xí)和全網(wǎng)威脅情報(bào)來檢測(cè)各種高級(jí)威脅。與思科 Cyber Vision 集成后，原本通過 Stealthwatch 獲得的全網(wǎng)可視性得以在工業(yè)物聯(lián)網(wǎng)基礎(chǔ)設(shè)施中廣泛延伸。
• 思科終端安全方案（ AMP for Endpoints ）專門用于保障 OT 環(huán)境中每個(gè)工程設(shè)計(jì)工作站的安全。
• 思科 Duo 多因素身份驗(yàn)證功能可防止惡意攻擊者通過橫向移動(dòng)獲取網(wǎng)絡(luò)上的系統(tǒng)訪問權(quán)限。
• 思科電子郵件安全解決方案可檢測(cè)專門針對(duì)工業(yè)物聯(lián)網(wǎng)設(shè)備操作者等角色發(fā)起的定向網(wǎng)絡(luò)釣魚電子郵件，從而防止惡意有效載荷訪問預(yù)期目標(biāo)。

　　最后，思科通過一套分層防護(hù)方案為您提供最出色的安全體驗(yàn)。例如，通過思科 Cyber Vision 自動(dòng)洞察所有工業(yè)設(shè)備，確保操作流程安全可靠。在與思科網(wǎng)絡(luò)安全系列產(chǎn)品集成后，它就能為 Stealthwatch 系統(tǒng)提供用于深入分析工業(yè)設(shè)備的上下文信息，同時(shí)梳理網(wǎng)絡(luò)流量的通信模式，以便借助基于 ISE 的細(xì)粒度的分段功能來實(shí)現(xiàn)策略的定義和執(zhí)行。

　　掃描二維碼 免費(fèi)測(cè)試網(wǎng)絡(luò)可視性，幫助您了解企業(yè)網(wǎng)絡(luò)中存在哪些風(fēng)險(xiǎn)。