如何加强物联网安全性物联网先前已被证明是网络威胁参与者的一个有吸引力的目标,因为它拥有丰富的数据和不断扩大的攻击面,为黑客提供了更大的破坏机会。物联网安全趋势 (1)日益复杂的物联网环境2020年,美国大多数家庭平均拥有10台物联网设备,复杂的物联网环境日益成为常态。由于互连功能网络的复杂性不断增加,这些环境变得越来越难以控制和管理。操作技术(OT)已在工业环境中广泛实施。但是,此类解决方案需要更多数据才能做出更明智的决策。为此,需要更多的仪表和传感器。因此,物联网和OT之间的界限变得模糊,并使OT环境面临更多风险。越来越复杂的物联网实施带来的安全风险是为威胁参与者引入了许多新的攻击媒介。(2)规定由于缺乏全球监管一致性,物联网市场经常面临市场摩擦和物联网安全策略的稀释。除了蜂窝连接等已经受到严格监管的行业外,各国对智能汽车的监管等进一步监管也在不断涌现。美国和欧洲正在制定立法,旨在规范到2024年交付物联网的能力。目前的监管轨迹表明,监管将很快影响到所有物联网制造商、供应商和消费者。美国和欧洲正在采取符合ETSIEN303645的举措。欧盟委员会通过了连接无线电设备和可穿戴无线电设备计划,通过为物联网设备建立基准标准来加强连接设备的安全性。美国国家标准与技术研究院(NIST)发布了一份名为《消费物联网设备基线安全标准》的白皮书。这两个实例凸显了消费者标签的必要性以及网络安全强化和测试的必要性。随着消费者开始要求更高的安全性并且违规数量不断增加,政府和监管机构也将采取更大的行动来规范物联网安全。(3)协作与合作物联网生态系统的特点是异构设备、连接性、实施和基础。因此,通过涉及的大量技术和主题专家之间的协作,将促进有效的物联网服务交付。这不仅会导致更复杂和多方面的解决方案,而且还将有助于解决新出现的物联网安全挑战。更多的技术决策者将对改善物联网安全方面的行业协作和跨市场知识共享感兴趣。随着新技术创新带来的新挑战的影响越来越大,加强协作与合作的需求将继续增加。(4)更多数据物联网设备的增加意味着生成的数据量正在增加。围绕这些数据的问题围绕着它的居住地和隐私。然而,所有这些数据都需要受到保护,即使它们位于云端、边缘或数据中心。此外,边缘设备的激增意味着它们也必须得到管理和保护。物联网安全挑战 (1)物联网设备增长带来的风险暴露随着企业在各种应用中采用多种物联网解决方案和实施,物联网设备的数量正在迅速增加。随着企业继续尝试在其所有运营中构建物联网计划以提高业务绩效和协作,他们最终可能会无意中将连接的设备引入其网络。随着制造商继续在更广泛的设备之间建立连接,员工将他们的设备连接到这些公司网络。让所有这些连接的设备访问公司网络会引起人们对更大风险的担忧。这些设备最有可能将漏洞引入网络,因为它们缺乏适当和充分的安全控制。为了防范物理损坏、数据盗窃以及数据和收入损失等风险,企业可以采取措施,例如评估和清点其物联网设备,以及设备分类和保护。清点企业物联网设备可确保企业了解连接到其网络的所有设备。这使组织在制定和实施政策和控制以降低意外数据泄露的风险时能够充分了解情况。设备分类和保护可以指导企业建立正确的控制措施。使用IoT设备清单,组织可以了解设备的使用方式、业务影响、漏洞以及确保安全策略得到有效应用的更多指标。(2)缺乏加密物联网安全最明显的挑战之一是常规传输中缺乏加密。未能加密流量会使IoT设备暴露于各种类型的中间人攻击(MITM),攻击者通常使用这些攻击来拦截凭据并最终利用它们来破坏公司网络。部分加密和错误配置的数据也存在风险。企业应确保易受MITM攻击的数据在存储在IoT设备上时通过适当的加密进行密封。他们应该评估和解决设备漏洞,并解决设备加密不良和加密算法薄弱的问题,以降低被拦截的可能性。组织还可以使用传输中加密并采用传输层安全性(TLS)等标准。此外,他们可以使用隔离网络来隔离设备并建立私密和安全的通信。(3)管理设备更新在物联网网关和设备上应用软件或固件更新和安全补丁并不是一个简单的过程。它涉及跟踪可用更新并在由使用不同网络协议进行通信的不同设备定义的分布式环境中同时应用它们。此外,许多设备可能不支持无线更新,或者某些设备可能会在停机期间执行更新。较旧的设备可能缺少更新,或者可能最终不受其制造商的支持。为了解决这些问题,企业制定了设备管理策略或使用设备管理系统来自动跟踪这些设备并推出所需的更新。这些系统还应该突出显示哪些设备不受支持和易受攻击,哪些应该淘汰。企业还应确保他们使用的设备向后兼容。(4)投资不足随着企业安全专业人员不断意识到物联网设备带来的安全风险范围不断扩大,他们意识到他们可能没有在企业物联网实践和解决方案上投入足够的资金来有效应对日益增加的安全挑战。组织将需要大幅更新其安全预算,以资助部署无代理解决方案以及数据分类和加密实践等举措。他们还需要与解决方案提供商建立合作伙伴关系,以帮助克服应对复杂且不断变化的IT环境和威胁的挑战。(5)低处理能力由于大多数物联网应用使用的数据很少,因此它们的电池寿命得以延长并降低了成本。然而,对大多数这些IoT设备进行无线更新可能很困难,从而阻止它们实施网络安全功能,例如端到端加密、防火墙和恶意软件扫描程序。因此,这些设备更容易受到黑客攻击。保护此类物联网应用程序的有效方法是确保网络具有内置且不断更新的安全功能。物联网安全的未来趋势 全球芯片短缺预计将持续到2022年以后,它对几乎所有行业的影响引发了人们的担忧,即制造商可能会从组件转移到非标准来源。这可能会导致制造商使用带有安全漏洞的假冒芯片。它们还可能包含后门,使客户资产面临被利用的重大风险。向设备制造商展示组件安全凭证的更多认证措施将使这些制造商能够采购可信组件,从而减轻非标准芯片带来的安全风险。由于许多半导体公司发誓要提高产能,现场认证的需求将增加,以确保这些生产设施符合安全要求。此外,这些认证需要可重复使用,以确保它们不会阻碍物联网的部署和开发。此类认证将降低第三方评估所涉及的成本,并有助于编纂物联网安全标准。由于全球芯片短缺、消费者意识增强以及政府和监管机构采取更有影响力的行动引发了这种增长,因此物联网安全采用率将会上升。针对更高物联网安全标准的监管和消费者行动最终将推动企业对物联网安全采取更积极主动的方法。
