意大利米蘭理工大學和趨勢科技發(fā)布最新研究稱，工業(yè)機器人正面臨遭遇大規(guī)模網(wǎng)絡攻擊的風險，約8.3萬臺設備暴露于公共互聯(lián)網(wǎng)上，還有許多設備沒有認證保護。

報告稱，到2018年，全球工廠里將部署約130萬臺工業(yè)機器人。然而，工業(yè)機器人通常安全性較差，并面臨一系列在線威脅。一是為工業(yè)機器人提供動力的軟件和操作系統(tǒng)經(jīng)常被發(fā)現(xiàn)已經(jīng)過時了，二是它們依賴于因過時或破損導致認證機制較弱的加密庫，三是這些軟件和操作系統(tǒng)被發(fā)現(xiàn)使用默認的、不可更改的證書。

報告發(fā)現(xiàn)，約8.3萬臺設備被發(fā)現(xiàn)通過互聯(lián)網(wǎng)暴露給遠程攻擊者，其中5100臺設備根本沒有認證保護。此外，研究共發(fā)現(xiàn)64個已知和零日漏洞。

報告概述了五種可能損壞設備，甚至造成工人工傷的攻擊類型，分別是更改控制回路參數(shù)、篡改校準參數(shù)（這兩者都可能導致機器人意外或不準確地移動，以及產(chǎn)出瑕疵品和造成機器人損壞）；篡改生產(chǎn)邏輯（結(jié)果：有缺陷的產(chǎn)品）；改變用戶感知的機器人狀態(tài)或當前的機器人狀態(tài)（可能的結(jié)果：操作員受傷）。報告稱，趨勢科技研究人員發(fā)現(xiàn)的這些漏洞對于旨在牟利的網(wǎng)絡犯罪團伙和受國家贊助的黑客來說具有多種用途，而最終的結(jié)果都會導致目標公司遭受重大財務損失和聲譽嚴重受損。

趨勢科技安全策略師巴拉特·米斯特里稱，此次研究重點突出了幾種針對工業(yè)機器人的攻擊場景，包括破壞、勒索，甚至使用未打補丁的機器人作為入侵企業(yè)網(wǎng)絡的切入點，以竊取數(shù)據(jù)。他表示，可以通過識別軟件和網(wǎng)絡異常，來檢測針對工業(yè)機器人的攻擊。雖然為系統(tǒng)打補丁仍是推薦措施之一，但系統(tǒng)強化是一種更加可靠的保護方法，因為打補丁難以跨軟件實現(xiàn)維護。此外，構(gòu)建一個安全的軟件開發(fā)生命周期是降低網(wǎng)絡攻擊風險的最佳方法之一，這種方法能夠在創(chuàng)建軟件時就將漏洞消除掉。