2016年10月21日,一起物联网安全事件导致全球范围内大规模断网一天。其罪魁祸首是名为Mirai的臭名昭著的僵尸网络(恶意流量雪崩攻击或分布式拒绝服务攻击)。该恶意软件发现数以万计的消费级物联网设备仍在使用Mirai获得的默认密码运行。一旦控制了这些物联网设备,Mirai就会将它们用作机器人大军来执行网络攻击。此次网络攻击背后的公司主要针对顶级域名系统(DNS)提供商,显然是为了破坏Playstation网络。它最终导致Reddit、Netflix和Twitter数小时不可用。同样的网络攻击行为可以让黑客自由控制商业物联网系统,并带来从数据被盗到勒索软件甚至更糟的潜在灾难性影响。安全服务提供商卡巴斯基表示,从2020年上半年到2021年,针对物联网设备的网络攻击事件增加了一倍多。但也有一个好消息:依赖物联网的60%以上的企业并非无力保护自己。自2016年以来,物联网网络安全得到了很大改善。只要确保选择防御最先进的物联网合作伙伴,基本上就可以保证安全。如今,许多物联网系统在自助服务平台上运行,允许所有业务用户构建自定义物联网应用程序,而无需从头开始设计。那么,面对安全威胁,您如何决定哪个平台最能让您安心呢?请向您的供应商询问以下五个物联网安全问题。他们的回答将揭示他们是否遵循当今物联网安全的最佳实践,或者您是否应该继续搜索。物联网平台提供商的5个物联网安全问题企业无法将传统的IT安全策略应用于物联网系统。每个设备都是潜在的入侵媒介,这种新范式需要一种新的网络防御方法。评估物联网平台的安全水平,需要与厂商面谈,从以下五个物联网安全问题入手:(1)整体安全框架是什么?网络安全是一个具有既定战略的强大领域。企业的物联网平台提供商应该能够描述这些策略。欧洲网络和信息安全局推荐了一种深度防御方法,多层防御可以阻止攻击;在一个安全边界失效的地方,这个概念成立,另一个安全边界将继续存在。纵深防御与物联网系统密切相关,企业及其物联网平台提供商必须至少保持三个级别的安全性:保护设备本身,包括硬件、软件和网络连接。●保护物联网云平台,包括管理层和数据访问。●遵守数据隐私法,包括(取决于人们所在的位置)通用数据保护条例(GDPR)、当地法律和行业认证。为了提供这些保护层,物联网平台开发人员可以应用ISO27001等认证标准或遵循DevSecOps(开发、安全和运营)计划,该计划在开发过程的每一步都集成了安全性。他们可能会使用多种方法。同时,微软公司推荐物联网安全的零信任原则。这种防御框架假定所有请求在被证明无罪之前都是有罪的;它需要在提供访问权限之前进行严格的验证。重要的是要注意纵深防御和零信任并不相互排斥。IoT平台中的强大安全性可能包括两者的要素。事实上,第三种策略(安全设计)涉及同时集成多个安全策略,将安全视为整个系统及其生命周期的整体要求。(2)如何开启平台的安全功能?这是一个棘手的问题。理想情况下,默认情况下应启用安全功能。同样,在完全确定需要这些功能之前,应禁用会打开潜在漏洞的设备功能。与此相关的是,默认密码最初应该很强。组织还应在部署前更改密码和用户名,这是2016年Mirai攻击的一个教训,至今仍然适用。(3)如何防止设备级安全漏洞?物联网平台的设备安全可能很棘手;毕竟,他们并不总是控制用户使用的设备。与提供预集成设备库供您选择的供应商合作,询问他们是否已验证设备固件中的安全协议。一个关键的最佳实践是只使用提供基于硬件的不可变信任根的设备。这是一个验证真正的基本输入/输出系统(BIOS)的芯片,即引导系统的固件。如果没有这种验证,黑客就可以在损坏的BIOS上启动设备,从而获得完全控制权。(4)平台如何控制用户访问权限?不允许恶意行为者进入系统。物联网平台中的用户控制主要是身份验证和授权问题,但并非所有身份验证协议都同样强大。为了与零信任安全保持一致,平台应该单独保护系统资源。最常见的资源授权协议称为OAuth2;根据分配的用户角色,选择包含OAuth2或更好的资源单点登录(SSO)授权的平台提供商。说到角色,请在您的企业物联网平台中寻找基于角色的访问控制(RBAC)。这使企业能够向物联网项目中涉及的每个人授予不同级别的访问权限,从管理员到内部用户再到第三方合作伙伴。(5)如何处理软件和固件更新?企业越早更新其应用程序,其整个系统就会越安全。但在拥有数十个(或数百个)设备的物联网系统中,仅使用手动方法无法使其保持最新状态。相反,寻找支持无线(OTA)更新的物联网系统,将新版本的软件和固件推送到云平台。它还可能会询问更新服务器的安全性、设备连接以及更新包的加密方式。克服物联网平台中的网络安全挑战物联网的前景,例如极其丰富的数据收集、前所未有的自动化和实时数据流,使这项技术成为竞争的关键。产生这些好处的相同功能会带来一系列新的安全挑战。大多数物联网设备在物理尺寸和计算能力方面都设计得尽可能紧凑。这并不总是为安全功能留出空间。更糟糕的是,物联网市场尚未为所有利益相关者确定标准化的安全协议。例如,设备制造商可能会采用完全不同的身份验证方法。平台提供商、系统集成商和运营商本身可能并不都在同一页面上。选择一个单一的自助服务物联网平台可以消除这种碎片化。这些平台使整体安全设计策略相对简单。但在与任何平台提供商合作之前,了解他们如何处理安全问题很重要。上面列出的物联网安全问题是一个很好的起点。
