越来越多的连接设备使组织面临更多的安全风险。尽管如此,近一半的IT和安全决策者表示,在企业网络中部署物联网设备时,网络安全是事后才考虑的问题。根据IoTAnalytics报告,到2025年,已安装的IoT设备数量将从目前的约70亿增加到超过210亿。随着漏洞的增多,数据泄露的机会也会相应增加。为减少物联网设备带来的额外安全风险,请采取以下措施。IoT设备风险IoT设备特别危险,因为它们通常位于数字世界和物理世界的交汇处,因此入侵IoT设备可能会在现实世界中产生危险的后果。基础设施黑客攻击的例子包括破坏发电站、水处理厂、炼油厂、铁路等。物联网设备的主要风险后果是:失去客户信任导致声誉、销售损失勒索软件造成的财务损失恢复正常的财务成本火灾、爆炸或生产设施中断后的运营长期缺乏业务连续性导致因违规而破产数据隐私法规的监管罚款数据泄露示例最近通过受损物联网设备泄露数据的示例包括:赌场数据泄露。使用Wi-Fi连接的水族箱智能温度计,黑客进入赌场网络,检索有关高价值客户的数据,然后通过温度传感器将数据发送到云端。Equifax被黑客窃取了近一半美国人(约1.43亿)的信用信息数据。此次黑客攻击之所以成功,是因为ApacheStruts漏洞已经存在数月之久,但Equifax未能及时修复。Mirai恶意软件将易受攻击的Linux物联网设备招募到僵尸网络中,然后发起大规模DDoS攻击,导致多个网站崩溃。恶意软件会寻找并掠夺仍然使用出厂默认用户名和密码的物联网设备。午夜时分,得克萨斯州达拉斯响起156次紧急警报。这一次,黑客通过无线电控制系统发送了一条误报命令。一家运营物联网智能家居设备管理平台的中国公司。安全研究团队发现了一个与该公司智能家居产品相关的开放数据库。该数据库包含超过20亿条日志,记录了用户名、电子邮件地址、密码、精确定位等所有内容。只要数据库保持打开状态,可用数据量每天都会增加。物联网设备的好处商业物联网设备的好处是,通过它们收集的数据,可以提高业务绩效以及产品和服务的能力。物联网设备的快速增长正在发生,因为它使组织可以轻松获得以下方面的数据:组织流程的健康和绩效,示例包括供应链、分销或制造。产品在用户手中的有效性,例如使用频率、停机时间或即将发生的问题。内部系统的性能,例如吞吐量、崩溃、常见错误或数据质量。降低物联网风险的可管理措施可降低因物联网设备受损而导致数据泄露或设施损坏风险的可管理措施包括:不要等到数据泄露发生才采取行动。扩大安全专业人员(CSO/CISO)的职权范围,以包括移动和物联网应用程序安全。为安全专业人员提供足够的资源来执行计算基础设施的日志记录、监控和报告任务。避免对开发团队施加不适当的压力以快速发布应用程序。这种压力会导致安全功能的开发和测试不足。加强流程和系统以跟踪和管理物联网设备。降低物联网风险的技术措施降低因物联网设备受损而导致数据泄露或设施损坏风险的技术措施包括:快速修补所有设备,因为软件供应商提供此类补丁。恶意软件创建者跟踪软件供应商的补丁公告,因为这些公告描述了恶意软件创建者可以利用的漏洞。WannaCry勒索软件攻击就是一个很好的例子。使用最新的防病毒和反恶意软件功能抵御恶意活动。使用强身份验证进行操作。更改所有出厂默认用户名和密码。这些凭据广为人知,因为所有物联网设备都附带它们以便于设置。摆脱使漏洞长期存在的“如果它没有损坏,就不要修复它”的态度。保护物联网设备免受未经授权的物理访问。不要购买缺乏修补功能的物联网设备。关闭Telnet端口。
