導(dǎo)讀:物聯(lián)網(wǎng)之前已被證明是威脅參與者的一個有吸引力的目標(biāo),因為它數(shù)據(jù)豐富,而且不斷擴大的攻擊面為黑客提供了更大的破壞機會。
物聯(lián)網(wǎng)(IoT) 安全性是指不僅保護 IoT 設(shè)備而且保護這些設(shè)備使用的網(wǎng)絡(luò)的做法。物聯(lián)網(wǎng)安全旨在保護數(shù)據(jù)機密,并維護用戶隱私以及物聯(lián)網(wǎng)設(shè)備和支持技術(shù)的政策合規(guī)性。
物聯(lián)網(wǎng)之前已被證明是威脅參與者的一個有吸引力的目標(biāo),因為它數(shù)據(jù)豐富,而且不斷擴大的攻擊面為黑客提供了更大的破壞機會。
物聯(lián)網(wǎng)安全趨勢
日益復(fù)雜的物聯(lián)網(wǎng)環(huán)境
2020 年,美國大多數(shù)家庭可使用的連接設(shè)備的平均數(shù)量為 10 臺。復(fù)雜的物聯(lián)網(wǎng)環(huán)境正逐漸成為常態(tài)。由于互連功能的網(wǎng)絡(luò)日益復(fù)雜,這些環(huán)境變得越來越難以控制和管理。
操作技術(shù) (OT) 已在工業(yè)環(huán)境中廣泛實施。但是,此類解決方案需要更多數(shù)據(jù)才能做出更明智的決策。為了實現(xiàn)這一點,需要使用更多的儀表和傳感器。
因此,被動物聯(lián)網(wǎng)和 OT 之間的界限變得更加模糊,并使 OT 環(huán)境面臨更多風(fēng)險。物聯(lián)網(wǎng)實施復(fù)雜性不斷增加所帶來的安全風(fēng)險是為威脅參與者引入了大量新的攻擊向量。
規(guī)定
由于缺乏全球監(jiān)管一致性,物聯(lián)網(wǎng)市場經(jīng)常面臨市場摩擦和物聯(lián)網(wǎng)安全策略的稀釋。除了蜂窩連接等行業(yè)已經(jīng)受到嚴(yán)格監(jiān)管之外,聯(lián)合國關(guān)于智能汽車的法規(guī)等進一步的法規(guī)也在不斷涌現(xiàn)。
美國和歐洲正在制定立法,旨在規(guī)范到 2024 年提供物聯(lián)網(wǎng)的能力。目前的監(jiān)管軌跡表明,監(jiān)管將很快影響所有物聯(lián)網(wǎng)制造商、供應(yīng)商和消費者。
美國和歐洲正在制定符合ETSI EN 303 645標(biāo)準(zhǔn)的計劃。歐盟委員會通過了聯(lián)網(wǎng)無線電設(shè)備和可穿戴無線電設(shè)備計劃,通過確定物聯(lián)網(wǎng)設(shè)備的基準(zhǔn)標(biāo)準(zhǔn)來加強聯(lián)網(wǎng)設(shè)備的安全性。美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 發(fā)布了一份名為《消費物聯(lián)網(wǎng)設(shè)備基線安全標(biāo)準(zhǔn)》的白皮書。這兩個實例突出了對消費者標(biāo)簽的需求以及需要進行的網(wǎng)絡(luò)安全強化和測試。
歐洲電信標(biāo)準(zhǔn)協(xié)會ETSI(European Telecommunications Standards Institute)在2020年發(fā)布了物聯(lián)網(wǎng)產(chǎn)品安全/消費者隱私保護標(biāo)準(zhǔn)ETSI EN 303 645,涵蓋的物聯(lián)網(wǎng)產(chǎn)品包括:穿戴式健康追蹤設(shè)備、智能語音助手、智能家居系統(tǒng)、智能監(jiān)控攝像機、智能冰箱、洗衣機等等;符合ETSI EN 303 645標(biāo)準(zhǔn),確保物聯(lián)網(wǎng)設(shè)備的安全,并且保護消費者的隱私及個人信息安全。
隨著消費者開始要求更高的安全性以及違規(guī)數(shù)量不斷增加,政府和監(jiān)管機構(gòu)也將采取更大的行動來規(guī)范物聯(lián)網(wǎng)安全。
協(xié)作與合作
物聯(lián)網(wǎng)生態(tài)系統(tǒng)的特點是異構(gòu)設(shè)備、連接性、實施和基礎(chǔ)。因此,有效的物聯(lián)網(wǎng)服務(wù)交付將通過所涉及的大量技術(shù)和學(xué)科專家之間的合作得到促進。這不僅會產(chǎn)生更復(fù)雜和多方面的解決方案,而且有助于應(yīng)對新興的物聯(lián)網(wǎng)安全挑戰(zhàn)。
更多技術(shù)決策者將對改善行業(yè)協(xié)作以及有關(guān)物聯(lián)網(wǎng)安全的跨市場知識共享感興趣。隨著新技術(shù)創(chuàng)新帶來的新挑戰(zhàn)的影響越來越大,加強協(xié)作與合作的需求將繼續(xù)增加。
更多數(shù)據(jù)
物聯(lián)網(wǎng)設(shè)備的增加意味著生成的數(shù)據(jù)量正在增加,圍繞這些數(shù)據(jù)的問題圍繞其駐留和隱私。然而,即使數(shù)據(jù)位于云端、邊緣或數(shù)據(jù)中心,所有這些數(shù)據(jù)也需要得到保護。此外,邊緣設(shè)備的增加意味著它們也必須受到管理和保護。
物聯(lián)網(wǎng)設(shè)備增長帶來的風(fēng)險敞口
由于企業(yè)在各種應(yīng)用中采用了多種物聯(lián)網(wǎng)解決方案和實施,物聯(lián)網(wǎng)設(shè)備的數(shù)量迅速增加。
隨著組織繼續(xù)嘗試在其所有運營中建立物聯(lián)網(wǎng)計劃以提高業(yè)務(wù)績效和協(xié)作,他們最終可能會無意中將連接的設(shè)備引入其網(wǎng)絡(luò)。隨著制造商繼續(xù)在更大范圍的設(shè)備中建立連接,員工將他們的設(shè)備連接到這些企業(yè)網(wǎng)絡(luò)。
讓所有這些連接的設(shè)備都可以訪問企業(yè)網(wǎng)絡(luò)會引發(fā)更大風(fēng)險的擔(dān)憂。這些設(shè)備最有可能將漏洞引入網(wǎng)絡(luò),因為它們?nèi)狈m當(dāng)和充分的安全控制。
為了防止物理損壞、數(shù)據(jù)被盜以及數(shù)據(jù)和收入損失等風(fēng)險,組織可以采取措施,例如評估和清點其物聯(lián)網(wǎng)設(shè)備以及進行設(shè)備分類和保護。
盤點企業(yè)物聯(lián)網(wǎng)設(shè)備可確保企業(yè)了解連接到其網(wǎng)絡(luò)的所有設(shè)備。這使企業(yè)能夠在制定和實施政策和控制措施時充分了解情況,以降低意外數(shù)據(jù)泄露的風(fēng)險。設(shè)備分類和保護可以指導(dǎo)企業(yè)建立正確的控制。
使用物聯(lián)網(wǎng)設(shè)備清單,企業(yè)可以了解設(shè)備的使用方式、它們的業(yè)務(wù)影響、漏洞以及確保安全策略得到有效應(yīng)用的更多指標(biāo)。
缺乏加密
物聯(lián)網(wǎng)安全最明顯的挑戰(zhàn)之一是常規(guī)傳輸缺乏加密。未能對流量進行加密會使物聯(lián)網(wǎng)設(shè)備面臨各種類型的中間人攻擊 (MITM),攻擊者經(jīng)常使用這些攻擊來攔截憑據(jù),并最終用于破壞企業(yè)網(wǎng)絡(luò)。部分加密和錯誤配置的數(shù)據(jù)也涉及風(fēng)險。
組織應(yīng)確保易受 MITM 攻擊的數(shù)據(jù)在存儲在物聯(lián)網(wǎng)設(shè)備上時通過正確的加密進行密封。他們應(yīng)該評估和解決設(shè)備的弱點,以及解決設(shè)備加密不佳和密碼算法薄弱的問題,以減少被攔截的可能性。
組織還可以使用傳輸加密并采用TLS(傳輸層安全性)等標(biāo)準(zhǔn)。此外,他們可以使用隔離網(wǎng)絡(luò)來保持設(shè)備隔離并建立私密和安全的通信。
管理設(shè)備更新
對物聯(lián)網(wǎng)網(wǎng)關(guān)和設(shè)備上的軟件或固件進行更新和安全補丁并不是一個簡單的過程。它涉及跟蹤可用更新并在由使用不同網(wǎng)絡(luò)協(xié)議進行通信的不同設(shè)備定義的分布式環(huán)境中同時應(yīng)用它們。
此外,許多設(shè)備可能不支持無線更新,或者某些設(shè)備可能會在停機期間執(zhí)行更新。舊設(shè)備可能缺少更新,或者最終可能不受其制造商的支持。
為了解決這些問題,企業(yè)制定了設(shè)備管理策略或使用設(shè)備管理系統(tǒng)來自動跟蹤這些設(shè)備并推出所需的更新。這些系統(tǒng)還應(yīng)該突出顯示哪些設(shè)備不受支持和易受攻擊,以及哪些設(shè)備應(yīng)該退役。企業(yè)還應(yīng)確保他們使用的設(shè)備向后兼容。
投資不足
隨著企業(yè)安全專業(yè)人員繼續(xù)意識到物聯(lián)網(wǎng)設(shè)備導(dǎo)致的安全風(fēng)險范圍不斷擴大,他們意識到他們可能沒有足夠的投資在企業(yè)物聯(lián)網(wǎng)實踐和解決方案上,以有效應(yīng)對日益增加的安全挑戰(zhàn)。
企業(yè)將需要大幅更新其安全預(yù)算,以資助諸如部署無代理解決方案以及數(shù)據(jù)分類和加密實踐等計劃。他們還需要與解決方案提供商建立合作伙伴關(guān)系,以幫助克服應(yīng)對復(fù)雜且不斷變化的 IT 環(huán)境和威脅的挑戰(zhàn)。
處理能力低
由于大多數(shù)物聯(lián)網(wǎng)應(yīng)用使用的數(shù)據(jù)很少,因此它們的電池壽命得到了延長,同時成本也降低了。然而,這些物聯(lián)網(wǎng)設(shè)備中的大多數(shù)可能難以進行無線更新,導(dǎo)致它們無法實施端到端加密、防火墻和惡意軟件掃描程序等網(wǎng)絡(luò)安全功能。因此,這些設(shè)備更容易被黑客入侵。
保護此類 IoT 應(yīng)用的有效方法是確保網(wǎng)絡(luò)具有內(nèi)置且不斷更新的安全功能。
物聯(lián)網(wǎng)安全的未來趨勢
由于全球芯片短缺預(yù)計將持續(xù)到 2022 年之后,其對幾乎所有行業(yè)的影響引發(fā)了人們的擔(dān)憂,即制造商可能會從使用基于基礎(chǔ)信任根 (RoT) 構(gòu)建的組件轉(zhuǎn)向非標(biāo)準(zhǔn)來源。這可能會導(dǎo)致制造商使用帶有安全漏洞的假冒芯片。它們還可能包含后門,使客戶資產(chǎn)面臨被利用的巨大風(fēng)險。
向設(shè)備制造商展示組件安全證書的認(rèn)證措施的增加將使這些制造商能夠采購受信任的組件,從而減輕非標(biāo)準(zhǔn)芯片帶來的安全風(fēng)險。由于許多半導(dǎo)體公司已表示要提高生產(chǎn)能力,因此對現(xiàn)場認(rèn)證的需求將會增加,以確保這些生產(chǎn)設(shè)施滿足安全要求。
此外,這些認(rèn)證需要可重復(fù)使用,以確保它們不會阻礙物聯(lián)網(wǎng)的部署和開發(fā)。此類認(rèn)證將降低涉及第三方評估的成本,并有助于整理物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)。
隨著全球芯片短缺導(dǎo)致的負(fù)面因素、消費者意識的提高以及政府和監(jiān)管機構(gòu)采取更有影響力的行動來觸發(fā)這種增長,物聯(lián)網(wǎng)安全的采用率將會上升。監(jiān)管和消費者對更高物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的行動最終將推動組織對物聯(lián)網(wǎng)安全采取更積極主動的方法。