物联网(IoT)安全是指不仅保护物联网设备,还保护这些设备使用的网络的做法。IoT安全性旨在保护数据机密性并维护IoT设备和支持技术的用户隐私和政策合规性。物联网先前已被证明是威胁行为者的一个有吸引力的目标,因为它拥有丰富的数据和不断扩大的攻击面,为黑客提供了更大的破坏机会。IoT安全趋势日益复杂的IoT环境到2020年,大多数美国家庭可用的连接设备的平均数量为10台。复杂的IoT环境正日益成为常态。由于互连功能网络的复杂性不断增加,这些环境变得越来越难以控制和管理。操作技术(OT)在工业环境中得到广泛应用。但是,此类解决方案需要更多数据才能做出更明智的决策。为此,需要使用更多的仪表和传感器。因此,无源物联网和OT之间的界限变得更加模糊,并使OT环境面临更多风险。越来越复杂的物联网实施带来的安全风险是为威胁参与者引入了许多新的攻击媒介。法规由于缺乏全球监管一致性,物联网市场经常面临市场摩擦和物联网安全策略的稀释。除了已经受到严格监管的蜂窝连接等行业之外,联合国关于智能汽车的法规等进一步的法规也在不断涌现。美国和欧洲正在制定立法,旨在规范到2024年交付物联网的能力。目前的监管轨迹表明,监管将很快影响到所有物联网制造商、供应商和消费者。美国和欧洲正在制定符合ETSIEN303645标准的计划。欧盟委员会通过了连接无线电设备和可穿戴无线电设备计划,通过为物联网设备建立基准标准来加强连接设备的安全性。美国国家标准技术研究院(NIST)发布了一份名为《消费物联网设备基线安全标准》的白皮书。这两个实例凸显了消费者标签的必要性以及网络安全强化和测试的必要性。ETSI(欧洲电信标准协会)于2020年发布物联网产品安全/消费者隐私保护标准ETSIEN303645,涵盖物联网产品包括:可穿戴健康追踪设备、智能语音助手、智能家居系统、智能监控摄像头、智能冰箱、洗机器等;符合ETSIEN303645标准,确保物联网设备安全,保护消费者隐私和个人信息安全。随着消费者开始要求更高的安全性并且违规数量不断增加,政府和监管机构也将采取更大的行动来规范物联网安全。协作与合作物联网生态系统的特点是异构设备、连接性、实施和基础。因此,通过涉及的大量技术和主题专家之间的协作,将促进有效的物联网服务交付。这不仅会导致更复杂和多方面的解决方案,而且还将有助于解决新出现的物联网安全挑战。更多的技术决策者将对改善物联网安全方面的行业协作和跨市场知识共享感兴趣。随着新技术创新带来的新挑战的影响越来越大,加强协作与合作的需求将继续增加。更多数据物联网设备的增加意味着生成的数据量正在增加,围绕这些数据的问题围绕着它的驻留和隐私。然而,所有这些数据都需要受到保护,即使它们位于云端、边缘或数据中心。此外,边缘设备的激增意味着它们也必须得到管理和保护。物联网设备增长带来的风险随着企业在各种应用中采用多种物联网解决方案和实施,物联网设备的数量正在迅速增加。随着组织继续尝试在其所有运营中构建物联网计划以提高业务绩效和协作,他们最终可能会无意中将连接的设备引入其网络。随着制造商继续在更广泛的设备之间建立连接,员工将他们的设备连接到这些公司网络。让所有这些连接的设备访问公司网络会引起人们对更大风险的担忧。这些设备最有可能将漏洞引入网络,因为它们缺乏适当和充分的安全控制。为了防范物理损坏、数据盗窃以及数据和收入损失等风险,组织可以采取措施,例如评估和清点其物联网设备以及设备分类和保护。清点企业物联网设备可确保企业了解连接到其网络的所有设备。这使组织在制定和实施政策和控制以降低意外数据泄露的风险时能够充分了解情况。设备分类和保护可以指导企业建立正确的控制措施。使用IoT设备清单,组织可以了解设备的使用方式、它们的业务影响、漏洞以及确保安全策略得到有效应用的更多指标。缺乏加密物联网安全面临的最明显挑战之一是常规传输中缺乏加密。未能加密流量会使IoT设备暴露于各种类型的中间人攻击(MITM),攻击者通常使用这些攻击来拦截凭据并最终利用它们来破坏公司网络。部分加密和错误配置的数据也存在风险。组织应确保MITM易受攻击的数据在存储在IoT设备上时通过适当的加密进行密封。他们应该评估和解决设备漏洞,并解决设备加密不良和加密算法薄弱的问题,以降低被拦截的可能性。组织还可以使用传输加密并采用TLS(传输层安全性)等标准。此外,他们可以使用隔离网络来隔离设备并建立私密和安全的通信。管理设备更新在物联网网关和设备上应用软件或固件更新和安全补丁并不是一个简单的过程。它涉及跟踪可用更新并在由使用不同网络协议进行通信的不同设备定义的分布式环境中同时应用它们。此外,许多设备可能不支持无线更新,或者某些设备可能会在停机期间执行更新。较旧的设备可能缺少更新,或者可能最终不受其制造商的支持。为了解决这些问题,企业制定了设备管理策略或使用设备管理系统来自动跟踪这些设备并推出所需的更新。这些系统还应该突出显示哪些设备不受支持和易受攻击,哪些应该淘汰。企业还应确保他们使用的设备向后兼容。投资不足随着企业安全专业人员不断意识到物联网设备带来的安全风险范围不断扩大,他们意识到他们可能没有在企业物联网实践和解决方案上投入足够的资金来有效应对日益增长的安全挑战。组织将需要大幅更新其安全预算,以资助部署无代理解决方案以及数据分类和加密实践等举措。他们还需要与解决方案提供商建立合作伙伴关系,以帮助克服应对复杂且不断变化的IT环境和威胁的挑战。低处理能力由于大多数物联网应用程序使用的数据很少,因此它们可以延长电池寿命并降低成本。然而,这些物联网设备中的大多数可能难以通过无线方式更新,从而使它们无法实施网络安全功能,例如端到端加密、防火墙和恶意软件扫描程序。因此,这些设备更容易受到黑客攻击。保护此类物联网应用程序的有效方法是确保网络具有内置且不断更新的安全功能。物联网安全的未来趋势由于全球芯片短缺预计将持续到2022年以后,它对几乎所有行业的影响引起了人们的担忧,即制造商可能会从使用基于信任根(RoT)构建的组件转向非标准来源。这可能会导致制造商使用带有安全漏洞的假冒芯片。它们还可能包含后门,使客户资产面临被利用的重大风险。向设备制造商展示组件安全凭证的更多认证措施将使这些制造商能够采购可信组件,从而减轻非标准芯片带来的安全风险。由于许多半导体公司表示将增加产能,现场认证的需求将增加,以确保这些生产设施符合安全要求。此外,这些认证需要可重复使用,以确保它们不会阻碍物联网的部署和开发。此类认证将降低第三方评估所涉及的成本,并有助于编纂物联网安全标准。由于全球芯片短缺、消费者意识增强以及政府和监管机构采取更有影响力的行动引发了这种增长,因此物联网安全采用率将会上升。针对更高物联网安全标准的监管和消费者行动最终将推动组织采取更积极主动的方法来保护物联网安全。
