尽管具有所有优势,但物联网设备的设计并没有考虑到安全性。这可能会导致巨大的问题。
物联网 (IoT) 带来了许多好处。它还改变了管理业务和 IT 风险的方式。在过去几年中,有关相机被劫持、医疗设备被黑和工业控制系统被攻陷的报道浮出水面。随着 5G 成为主流,嵌入式物联网设备变得越来越普遍,问题只会变得更糟。
物联网为现有保护增加了另一层安全性。这就是让它如此困难的原因。因为物联网可能涉及企业内部的一切——并向外延伸到合作伙伴和供应链——它涉及固件、操作系统、TCP/IP 堆栈、网络设计、数据安全工具等等。
Merritt Maxim 是 Forrester 的副总裁兼研究主管。 “这个广泛生态系统中的漏洞更容易被忽视,”他说。
这是一个严重的问题。识别网络中的所有物联网设备可能非常困难。这不是结束。
许多物联网设备在设计时并没有考虑到安全性。 “部署和设置物联网系统的人并不总是对安全有很好的把握。增加来自不同制造商的多种设备会增加复杂性,”普华永道网络和隐私创新研究所负责人乔诺塞拉。
失控
每一次关于物联网安全的讨论都始于一个简单的事实:物联网在安全性方面与传统 IT 有着根本的不同。许多物联网设备没有用户界面,因此通常直接在设备上或通过设备进行攻击以获取对企业网络的访问权限。 Maxim 还指出,攻击可能具有与勒索软件或其他攻击不同的动态。
他说:“动机通常是为了更大规模的破坏。”
事实上,攻击可能导致无法修复的设备或可能出于经济或政治动机的业务中断。例如,2月份,一名黑客通过工业控制系统入侵了佛罗里达州的一家水处理厂,并试图篡改水质。早在 2018 年,网络窃贼就通过大堂水族馆中连接互联网的温度计入侵了英国的一家赌场。赌场的客户数据被小偷窃取。
制造商通常会创建自己的固件、协议和设计标准。他们并不总是在维护和修补系统方面做得很好。许多物联网设备依赖于旧版本的 Windows 和 Linux。物联网带来了更多令人头疼的问题:原本不打算与世界连接的工业控制系统和机械现在已经成为一部分。
保护你自己
值得注意的是,去年 6 月 Ponemon Institute 调查的公司中有 74% 表示,他们的物联网风险管理计划未能跟上物联网设备无处不在所带来的风险。
普华永道的 Nocera 表示,了解网络上运行的物联网设备及其拥有的数据是构建强大保护的第一步。
他说,“很多公司都不知道。”
由于某些制造商使用无法清楚识别其设备的晦涩名称或代码,这一点变得更加困难。 Nocera 建议您将责任分配给一个组并进行盘点以识别潜在的故障点和风险。有时,组织可能需要专门的资产管理或发现解决方案。
建立对整个物联网环境的可见性和控制至关重要。
Nocera 说:“组织应该能够打开和关闭各种设备并相应地配置它们。”
使用正确的工具可以确保仅在设备上运行必要的服务而关闭所有其他设备。配置管理解决的另一个问题是确保设备不使用默认密码或出厂设置。
Ulf Mattsson(Protegrity 的首席安全策略师)说应该定期更改密码。他建议使用令牌、数据匿名化和多因素身份验证 (MFA) 以及生物特征身份验证。动态和静态数据加密、下一代防火墙和入侵防御系统 (IPS) 都是必要的。他说,让这些系统保持最新并打补丁至关重要。
Nocera 还指出,网络分段是另一个有用的工具。隔离工业控制、企业应用程序和其他关键信息等关键系统很重要,这样黑客就无法通过物联网设备入侵网络。
他说,例如,“如果你是一家航运公司和物流公司,也许用于管理你的车队的物联网设备不需要与物联网设备和仓库中使用的其他系统进行通信,”这种方式,如果有的话设备受到威胁,您只会丢失一个仓库而不是所有仓库。
玩 IT 是安全的
还有许多其他策略可用于构建更具弹性的物联网基础设施。这些策略包括锁定可用于重新配置设备的云凭据。禁用未使用的功能。定期审核物联网基础设施并淘汰不需要的设备。保持最新的恶意软件防护并更换安全性较低的设备。您还应该了解 5G 如何影响物联网框架。
Maxim 表示,寻找使用安全芯片和信任根 (RoT) 技术的更新物联网设备也是明智之举。这降低了可以更改 BIOS 或操作系统级别的可能性。另一个值得观察的领域是越来越多地使用连接器、应用程序编程接口 (API),它们扩展并有时屏蔽数据源和设备。
使用一系列工具和策略来保护设备和数据的整体方法是最好的防御。 Maxim 表示,任何 IoT 设备或系统都应接受与企业应用程序相同的严格审查,并在部署后应遵守严格的安全标准。
他补充说,物联网带来了新的、有时甚至是更严重的风险,可能会扰乱业务或导致死亡。