当前位置: 首页 > 科技观察

这么多的物联网安全事件,我们从中学到了什么?

时间:2023-03-19 20:04:44 科技观察

物联网为企业带来了前所未有的灵活性和功能。更多的物联网设备有望帮助企业简化供应链运营、提高效率、降低现有流程的成本、提高产品和服务质量,甚至为客户创造新的产品和服务。物联网将优化甚至彻底改变商业模式,使其变得更好。物联网数据的大规模生成、收集和分析无疑将为企业带来巨大利益,但物联网设备容易受到不安全网络和易受攻击的入口点的攻击,这吸引了许多蠢蠢欲动的网络。罪犯。据Gartner称,近20%的企业在过去三年中至少经历过一次基于物联网的攻击。到2025年,全球将有750亿台联网设备,这意味着网络安全漏洞和数据泄露的风险将在当前基础上增加5倍。因此,当我们进入一个以物联网为主导的新时代时,当务之急是重新审视并纳入部署多个连接设备时对企业的威胁。以下是所有企业在制定网络防御计划时都应考虑的物联网安全漏洞的三个示例——从看似无害的产品入侵到彻头彻尾的恶意攻击。1.即使是最简单的连接设备也容易受到攻击几乎所有去拉斯维加斯赌场的人都是赢少输多,但这通常与网络攻击无关,更不用说从鱼缸开始的物联网攻击了。然而,这正是拉斯维加斯赌场遭受首次网络安全攻击的原因。用于远程监控和赌场浴缸喂食的联网温度计为黑客获取高级访客数据提供了一个完美的接入点。黑客总共窃取了10GB的个人数据并将其发送到芬兰的远程服务器。物联网设备越来越多地被用于各种领域,就像拉斯维加斯鱼缸的例子一样,即使是最简单的连接设备也可以成为通往企业网络或其他专用网段的潜在网关。世界上80%的数据保存在私人服务器上,防止黑客入侵比以往任何时候都更加重要。2.连接设备的物理保护和处理很复杂。有时您需要警惕的不是黑客,而是物联网设备本身的运作方式。2018年,网络安全博客LimitedResults对LIFX迷你白炽灯泡进行了黑客攻击,发现智能灯泡本身存在漏洞,即任何能够物理访问该产品的人都可以提取用户的Wi-Fi密码,以及RSA私钥和root密码。LIFX通过固件更新修复了该漏洞,但它引发了有关设备物理状态的重要问题,包括使用期间的保护以及处理旧的或有缺陷的智能设备。随着企业不断采用和升级物联网,必须牢记这个经常被遗忘的漏洞。3.恶意软件带来网络物理威胁世界已经习惯了窃取私人信息的恶意软件,但正如拉斯维加斯Fishbowl和LIFX的例子,它很少对受害者构成物理威胁。直到2018年,Triton工业恶意软件被发现针对沙特阿拉伯一家炼油厂的安全系统。据说这是有史以来第一个旨在破坏工业安全系统的恶意软件,允许黑客禁用传感器,并在严重的情况下导致致命的灾难。黑客采取措施慢慢渗透越来越多的系统,并开发出越来越精确的恶意软件。幸运的是,这个实例在进行更多攻击之前就被捕获了,但这并没有阻止黑客开发更危险的恶意软件。因此,随着工业控制系统越来越多地连接和依赖物联网设备,公司必须采取措施在这些设施中建立安全性。合规管理挑战即使没有广泛采用物联网,许多企业也面临着可能在数据保护方面打开潜在差距的创新挑战。过去几个月,英国航空公司、万豪酒店和多家地方政府机构不小心泄露了大量个人数据,根据欧盟(eu)《一般数据保护条例》(通用数据保护条例,简称GDPR)与巨额罚款。事实上,仅万豪酒店数据泄露事件就暴露了700万条与英国居民相关的记录。这些巨额罚款表明,欧盟委员会(EC)内的监管机构正在积极解决安全和合规问题,以确保个人数据的私密性。即将出台的基于英国的新物联网安全法将要求设备制造商对连接设备本身内的易受攻击的入口点负责。然而,企业也需要对自身IT架构中的弱点——安全和合规承担更多的责任。解决办法是什么?物联网仍处于起步阶段,在可预见的未来,它很可能成为黑客的一个有吸引力的目标。随着更多技术的出现和IT环境变得更加复杂,物联网的攻击面将迅速增加。企业必须采取正确的预防措施,以防止黑客攻击对物联网项目造成严重破坏。加强网络安全的一种方法是使用机器学习(ML)和人工智能(AI)等高级分析在安全环境中处理物联网数据。通过采用高级分析,可以监控所有连接设备的操作和异常情况,以识别关键安全事件或误用。更重要的是,通过采用区块链,企业可以消除物联网中对数据中心的需求。这意味着如果要求管理员执行异常任务,网络中任何连接的设备都可以提醒管理员。企业在支持物联网环境的同时,还必须考虑合作伙伴——专业的网络安全机构,运营先进的安全防御中心,实时应对网络攻击,为企业提供一站式服务,满足企业需求。网络安全、合规性和新兴技术需求。这样的网络安全中心应该由一套复杂的工具和平台提供支持,包括日志和行为分析、网络威胁情报、基于云的安全框架、由机器学习驱动的高级攻击预测平台,集成到自动化和编排平台中.因此,这些中心可以为企业提供全面的安全仪表板,其中包含IT和物联网网络及其安全性的鸟瞰图。从成本和技能的角度来看,此类中心很难建立和维护,因此企业可以利用专家合作伙伴的深厚专业知识来加强他们的系统和数据保护状况,并应对不断变化的法规。只有全面的物联网安全方法——通过普遍的基于云的控制和通过新兴技术扩展的可见性和保护——才能确保企业受到端到端的保护并始终遵守数据保护标准。总之,没有必要害怕物联网。有了正确的保障措施,它就可以兑现承诺并改进其打算提供的流程和服务。