物联网景观和威胁鉴于物联网设备固有的不安全性,当今企业面临更多威胁,而安全防御薄弱的物联网设备往往是第一道防线。这尤其令人担忧,因为在行业调查中,94%的CIO承认他们的运营环境将在明年面临一些严重的威胁。这在这些担忧中很明显:近一半的CIO将数据泄露视为他们的首要风险。39%的CIO将恶意软件和勒索软件列为首要风险。27%的CIO表示弹性是他们的三大优先事项之一。68%的IT和安全专业人员计划使用零信任来保护设备;42%的人表示他们已经这样做了。影响物联网的一些具体风险包括:(1)内置漏洞:物联网设备通常设计供消费者使用,没有企业级加密或安全控制。(2)基于人工智能的攻击:基于机器人的攻击越来越擅长模仿用户行为,更容易突破许多物联网设备薄弱的安全防御。(3)访问控制中的Deepfakes:现在可以在手机上暴力破解指纹生物识别技术。(4)更复杂的攻击方法:随着攻击者开始专注于某些领域(社会工程和图形设计),对物联网的攻击将变得更高级,更难防御。(5)隐藏的民族国家攻击:由于物联网设备防御薄弱导致网络攻击得逞,民族国家将越来越多地利用网络攻击者利用物联网设备渗透并访问更多关键设施。考虑到到2025年底全球将有超过640亿台物联网设备在使用,如果不保护构成物联网的所有设备,就不可能保护企业的业务并实现零信任环境。为什么设备零信任很重要研究公司Gartner预测,到2025年,99%的云安全故障将由客户引起。这意味着保护与其连接的设备的责任完全由用户承担。为此,企业可以建立基于身份的零信任策略。美国国家标准与技术研究院(NIST)将零信任定义为“一组概念和想法,旨在最大限度地减少对权限的访问决策实施准确和最小不确定性的需要。”在以身份为中心的方法中,人和机器的身份是安全策略创建的核心,具有基于分配属性的访问控制和策略。在这种情况下,访问公司数据和资源的主要要求是基于授予请求用户或机器的访问权限。因此,零信任是基于验证请求机器身份的密码控制建立。保护IoT设备是保护云访问的关键,数据和隐私专家AmblerJackson解释说:“如果网络犯罪分子破坏设备并获得对企业云计算环境的访问权限,他们可以窃取数据、运行勒索软件攻击或运行恶意软件活动。到为了防止这种情况,企业必须能够看到所有连接的设备并能够在允许访问云计算资源之前验证其身份。”正如Venafi的安全专家IvanWallis所说,“按需用于零信任引导系统需要从一开始就拥有身份的环境。在这个以机器为中心的世界中,人类作为检查站没有意义,因为人们可以“不再粗略地假设应该信任哪些外部系统。从这个意义上说,零信任自动假设给定的活动在机器上是不允许的,除非它在用户和功能可接受的安全参数范围内。”因此,基于安全数字身份(而不是一般的外部系统)的信任成为在云平台和跨生态系统中建立真正零信任的关键。物联网设备的机器身份和访问管理(IAM)杰克逊说,“为了实现零信任策略,具有成熟网络安全方案的企业需要使用机器身份管理。验证设备或机器的身份是保护对企业资源的访问的关键。基础,包括在云中处理数据的工作负载。”在当今的威胁经济中,没有机器身份管理就不可能实现零信任。在每个物联网设备中,都有数以千计的机器身份或决定其身份及其是否可信的因素。正如安全专家DavidBisson所说,“机器身份和访问管理(IAM)可以帮助组织评估他们对机器身份的信任程度,其中包括机密、加密密钥、X.509和代码签名证书以及SSH密钥等凭证。”Wallis说,加密密钥和数字证书用于识别机器并建立特定的信任级别。但这只有在有办法确保这些机器身份的完整性时才有效。全面的机器身份管理策略允许安全团队:实现对所有已部署机器身份的可见性。确保所有权和治理。保护相关的加密密钥。自动分配密钥。
