汽车行业工业物联网 实施迅速,保护滞后IBM商业价值研究院 对标分析报告 汽车行业 本报告亮点 汽车行业工业物联网(IIoT)的网络安全风险与采用进展情况 表现出众的企业在保护IIoT安全环境方面展现出三大独特的优势 九项重要的网络安全实践 IBM的能力 如今,车辆正逐渐从一种交通工具转变为新型的移动数据中心,车载传感器和计算机能够即时捕获有关车辆的信息。利用此类实时数据,IBM可以帮助汽车制造业的高管提供全新的服务,满足互联互通时代的消费者对于车辆体验的新要求和期望。我们既拥有丰富的制造业经验,也具备深厚的全球汽车行业专业知识,可以帮助消除消费者对安全和质量的顾虑。通过使用Watson等创新技术,我们可以满足汽车制造商(OEM)和供应商的各种需求,提供更安全可靠的产品和服务,从而实现更高的品牌忠诚度和客户满意度。敬请访问:ibm.com/industries/automotive。 智能工业物联网的网络安全 互联自主驾驶汽车的安全问题备受关注。但企业更应当专注于基本层面,即用于制造汽车以及科技含量日益提升的零部件的工业系统。如果在没有实施有效的网络安全措施的情况下,匆忙上马“智能工业物联网”,会让整个企业处于风险之中。IBM商业价值研究院(IBV)的一项调研表明,87%的汽车企业在工厂和装配线上实施了工业物联网(IIoT)技术,但没有充分评估风险或准备有效的应对措施。汽车企业需要提升网络安全能力,能够以认知方式自动适应所处环境,持续发现、缓解和预防风险。 危机四伏 随着工业物联网技术的实施,制造设备和流程变得越来越智能化和自动化,但企业所面临的网络攻击风险也与日俱增。网络入侵可能来自于网络黑客、竞争对手、进行商业间谍活动的国家或地区,或者是心怀不满的员工,这都可能导致大量设备损坏、关键数据丢失、企业声誉受损甚至人身安全受到威胁。 在IBV调研“加速车辆信息安全:赢得车辆完整性和数据隐私竞争”中,我们介绍了“设计、制造、驾驶”信息安全方法(见图1)。1这种方法中的“制造安全的汽车”阶段明确了控制生产环境的要求。 图1 “设计、制造、驾驶”信息安全方法 可信系统 可信生态系统 设计车辆 信息安全 为应对故障而设计 设计安全的汽车 设计安全的基础架构 制造安全 的汽车 建立可信的供应链 控制生产环境 建立可信的分销渠道 持续反馈 可信生态系统 放心驾驶 预防漏洞 检测可疑行为 通过妥善安全的恢复方式作出响应 可信生态系统 来源:IBM商业价值研究院分析 87% 的受访汽车企业正在部署IIoT 技术,但未对风险进行全面评估 86% 的受访汽车企业没有定期进行 IIoT网络安全评估 87% 的受访汽车企业没有正式制定 IIoT网络安全计划 虽然工业物联网的实施有助于大幅提升运营效率,但如果没有得到适当保护,它们也会暴露出潜在的新安全隐患。无论是高价值的资产或服务、云端关键工作负载、信息物理融合系统中的流程控制系统,还是关键的业务和运营数据,任何事物都可能成为网络攻击的突破点。 为了更好地理解工业物联网的安全风险和影响,IBV与牛津经济研究院合作,对700位最高层主管进行了调研。他们代表了18个国家或地区能源和工业领域的700家在工厂中实施了IIoT的企业(其中135家是汽车企业)。 机器/工业自动化是企业应用IIoT技术最多的领域,有76%的整车厂(OEM)和84%的供应商选择了这一项(见图2)。58%的OEM和75%的供应商表示他们具有自动化的工作流程应用。令人惊讶的是,预测性维护方面的应用并不像预期的那么多。 汽车企业似乎认识到了网络安全风险,并在一定程度上相应调整了IIoT支出(见图3)。但他们并不清楚如何将多种IIoT网络安全能力(技能、控制、实践和保护技术)有机结合起来,以保护目前和未来的业务免受IIoT威胁。 图2 IIoT技术在汽车制造工厂和装配线上的前五大应用 OEM 供应商 机器/工业自动化 自动化工作流程 实时设备监控资产/设备监控预测性维护 来源:IBM商业价值研究院对标分析调研,2018年,n=135。 图3 IIoT网络安全风险与支出推动因素对比 OEM 供应商 5项影响最大的汽车行业汽车行业IIoT网络安全支 IIoT网络安全风险出的5大推动因素 敏感数据/保密数据泄露保护敏感数据/保密数据 企业声誉受损减少事件、事故和违规 破坏活动导致的生产中断改进事件检测和响应 违反法规要求保护知识产权 潜在的环境危害遵守法规 来源:IBM商业价值研究院对标分析调研,2018年,n=135。计数较低(n<20)在统计学上不具有可靠性,但与其余受访者做比较时可以视作方向性推论。 由于未能实施适当的网络安全保护措施,汽车企业将面临重大风险。特别是: 1.敏感数据/保密数据泄露。受访高管认为这是他们面临的最大风险。72%的OEM和68%的供应商敏锐地意识到,客户知识产权和高级工程设计等数据的泄露可能会对企业发展产生非常不利的影响。 2.企业声誉受损,公众信心丧失。70%的OEM和65%的供应商认为,安全漏洞可能会对汽车企业的形象和声誉造成巨大的负面影响。企业品牌的公信力和可信度很容易受到损害,业务和客户关系会遭到不可挽回的破坏。 3.破坏活动导致生产中断。60%的OEM和53%的供应商表示,这种风险非常巨大,可能会导致物理设备损坏、零部件报废或车辆产生缺陷。网络攻击者可能会入侵企业的工业系统并操纵网络基础设施(见插图:“对工业控制系统的攻击—简图”)。他们会修改机器软件程序或监视控制和数据采集系统(SCADA)。 4.违反法规要求。2018年5月生效的《通用数据保护条例》(GDPR)和类似法律增加了不合规的风险。51%的OEM和57%的供应商表示,他们高度关注不合规的潜在影响以及由此可能导致的巨额罚款。 对工业控制系统的攻击(ICS)简图2 利用 系统中的零日漏洞,寻找对于攻击有用的信息。 一种远程访问工具 ,用于攻击各种工业目标,尤其是能源领域。 利用四个零日漏洞,用于攻击工业可编程 用于一项复杂的活动,目标是运行工业企业的人机接口产品的系统。 利用一个大型电力公司 的 安全 逻辑控制器 。 系统固件的零日漏洞。 5.潜在的环境危害。52%的OEM和51%的供应商高度关注当违反控制措施,有害物质被释放到环境中的情形。 从支出的角度来看,保护敏感数据是最重要的任务,67%的OEM和56%的供应商将其列为IIoT网络安全预算的主要推动因素。超过50%的OEM和供应商还表示,减少事件、事故和违规是高优先级任务领域。 表现出众企业的数量 我们所调研的各个行业中都有表现出众的企业,包括汽车业。在受访的700家 企业中,有76家属于这一类,其中包括 20家汽车企业。这组企业以下所有三个指标的表现都排名前四分之一: 1.由安全技术措施解决的已知IIoT漏洞的百分比。 2.发现和检测IIoT网络安全事件的周期时间。这排除了驻留时间(即成功入侵和发现入侵之间的时间)。 3.应对IIoT网络安全事件并从中恢复的周期时间。 出于本次调研的目的,提及的“表现出众的企业”涵盖所有受访行业,包括来自汽车行业的20家企业。提及的“其他汽车 企业”包括另外115家汽车企业,不包含 20家表现出众的企业。 表现出众的企业一马当先 我们发现了一组表现出众的企业,他们在保护IIoT环境方面处于领先地位(请参阅侧边栏“表现出众企业的数量”)。 虽然表现出众的企业在真正做到有效保护这些环境方面也有很长的路要走,但他们确实比同行企业更好地掌握了要领。47%表现出众的企业已经创建了正式的网络安全计划,用于建立、管理和更新所需的IIoT网络安全工具、流程和技能,而其他汽车企业中只有10%做到了这一点(见图4)。 图4 理解IIoT网络安全并采用正式的网络安全计划 显著 正式采用IIoT网络安全计划 中等 正在评估IIoT风险 有限 对IIoT网络安全的理解有限 47% 表现出众的企业 10%* 其他汽车企业 53% 表现出众的企业 83% 其他汽车企业 0%* 表现出众的企业 8%* 其他汽车企业 来源:IBM商业价值研究院对标分析调研,2018年,表现出众的企业:n=76;其他汽车企业n=115。计数较低(n<20)在统计学上不具有可靠性,但与其余受访者做比较时可以视作方向性推论。注:本图和其他图中提及的“表现出众的企业”包括所有受访行业,其中有来自汽车行业的20家企业。提及的“其他汽车企业”包括另外115家汽 车企业,不包含20家表现出众的企业。 表现出众的企业还以更快的速度将IIoT集成到业务和运营流程中(见图5)。20%表现出众的企业优化了IIoT网络安全功能并实现了效益,而其他汽车企业无一做到这一点。另外,5%表现出众的企业实际上正在进行基于IIoT网络安全集成的创新。 图5 IIoT网络安全集成成熟度 的表现出众企业已经不仅仅是投资于网络安全 表现出众的企业其他汽车企业 57% 投资 拥有战略和业务用例,IIoT网络安全的部署正在进行中,价值正在实现 集成 拥有基础设施和流程,可以安全地提供新的IIoT产品/服务 优化 实现IIoT网络安全功能和效益 创新 实现永久性的改善,能够安全地利用新的IIoT推动的业务和运营商机 来源:IBM商业价值研究院对标分析调研,2018年,表现出众的企业:n=76;其他汽车企业n=115。计数较低(n<20)在统计学上不具有可靠性,但与其余受访者做比较时可以视作方向性推论。 在使用网络安全解决方案保护数据和设备,以及使用自动化和认知技术检测和响应安全威胁方面,表现出众的企业在三个方面与其他企业有所区别 (见图6)。 图6 表现出众企业的优势 保护整个IIoT生态系统中的数据 在整个生命周期中保护设备,确保安全系统保持最新状态 借助自动化和认知智能增强检测和响应能力 33% 表现出众的企业 19% 其他汽车企业 37% 表现出众的企业 29% 其他汽车企业 28% 表现出众的企业 17%* 其他汽车企业 来源:IBM商业价值研究院对标分析调研,2018年,表现出众的企业:n=76;其他汽车企业n=115。计数较低(n<20) 在统计学上不具有可靠性,但与其余受访者做比较时可以视作方向性推论。 保护整个IIoT生态系统中的数据。企业行业供应链中共享了大量的敏感数据和知识产权(IP)。如果这些数据泄露或被盗,可能会将企业的未来业务置于风险中。值得注意的是,33%表现出众的企业与19%的其他汽车企业在实施特定网络安全解决方案方面处于领先地位。 在整个生命周期中保护设备;实时更新安全系统。不受保护的传感器和设备会将操作技术(OT)/IIoT网络暴露在网络攻击之下,这可能会带来灾难性的实际损害和经济损失。37%表现出众的企业能够充分保护其IIoT设备,相比之下,其他汽车企业中这一比例为29%。 借助自动化和认知智能增强检测和响应能力。保护和预防并不能解决所有问题。企业必须部署适当的系统,用于检测漏洞和减轻损害。传统的检测系统旨在解决已知的攻击和威胁载体以及漏洞。认知能力,比如人工智能(AI)、机器学习和高级行为分析,均有助于处理未来可能出现和被利用的“未知状况”。28%表现出众的企业在将这些实践结合使用方面处于领先,而其他汽车企业的这一比例为17%。 必要实践 表现出众的企业将基于风险与合规的方法应用于安全领域,重点关注九项实践(见图7)。 图7 表现出众的企业部署的九项独具特色的安全实践 IIoT设备用户隐私控制用于用户身份验证的IIoT认证 制定明确的安全与隐私SLA 盘点授权和未经授权的软件 设备内置诊断功能自动扫描互联设备 安全而强化的设备硬件和固件 高级行为分析,用于漏洞检测和响应人工智能技术支持实时监控和响应 保护整个IIoT生态系统中的数据 在整个生命周期中保护设备,确保安全系统保持 最新状态 借