2020终于来了!谈到网络安全,每个人都担心恶意行为者篡改选举数据,但他们似乎更关注(或至少成功)对医院进行勒索软件攻击。在物联网方面,我们看到了6月的Ripple20和12月的Amnesia-33等重大漏洞的披露,这些漏洞暴露了数百万物联网设备中使用的TCP/IP堆栈。由于TCP/IP是物联网的动脉系统,承载着作为其生命线的数据,这些漏洞再次证明了为什么所有组织都需要一个计划来快速对其物联网设备执行固件更新——如果他们想从这些漏洞中恢复及时“止血”字样。那么,新的一年在物联网安全方面会带来什么?我不能说我的水晶球足够亮,但我愿意对2021年的物联网安全发展做出以下三个预测。安全即服务正在迅速进入物联网市场随着最近FireEye和其他安全即服务(SECaaS)提供商表明,公司越来越多地寻求外包其本地、云和其他网络安全需求。这些SECaaS提供商结合深厚的网络安全专业知识、易于部署的SaaS安全解决方案和规模经济,以比内部替代方案更低的成本为公司提供强大的安全性。现在,SECaaS提供商正在向物联网市场扩张——我预计这种扩张将在2021年加速。全球公司部署的数百万物联网设备是网络犯罪分子的巨大目标,而公司缺乏物联网安全专业知识往往使这些设备容易受到犯罪分子的攻击。我希望公司越来越多地与SECaaS提供商合作,以保护他们的物联网数据免受恶意行为者的侵害,而不是自己成为物联网安全专家。然而,关于这个新生的物联网安全市场的一个问题是,谁将主导它?SECaaS供应商是否会将他们现有的应用程序扩展到物联网,为公司提供满足其安全需求的全面解决方案?或者,SECaaS提供商是否会特别是具有旨在保护IoT数据的SECaaS应用程序的初创公司,谁将成为这个市场的领导者?只有时间会证明这一点。公司将要求物联网解决方案提供商建立自己的安全性。虽然越来越多的公司将物联网安全外包给SECaaS提供商,但他们现在也将开始要求(如果他们还没有这样做的话)他们的物联网网络设备、网络连接、云和其他提供商不仅必须承诺使他们的解决方案安全,但证明它。具体来说,他们只会与深入了解物联网安全问题、在产品中集成强大安全功能并不断更新这些产品的物联网解决方案提供商合作。通过仅与致力于安全的物联网解决方案提供商合作,这些公司将能够部署具有纵深防御的物联网安全计划,从而避免物联网安全装甲出现裂缝而导致数据泄露或丢失。期望更多的公司通过要求他们的物联网解决方案提供商对以下问题提供明确的答案来证明他们对安全的承诺:你能证明你在处理安全漏洞报告时对透明度和响应能力的承诺吗?您是否通过成为产品的CVE编号机构(CNA)来承担漏洞披露的责任?您有什么计划来为物联网设备提供及时的安全更新,您将如何帮助我们部署这些更新?物联网黑客告诉公司,他们必须将安全作为物联网部署的关键要求。毕竟,如果他们与不致力于安全的IoT解决方案提供商合作,他们就会将其IoT应用程序乃至整个IT环境置于老练的网络犯罪分子的威胁之下。物联网安全基础的回归去年,许多人预测公司将部署新的基于人工智能的威胁情报和其他尖端安全技术来保护自己免受攻击。然而,尽管这些新技术确实有希望,但过去一年中的大多数物联网黑客攻击都是由公司根本不遵循基本的物联网安全最佳实践造成的。(来源IoTHome)早在2018年,开放Web应用程序安全项目(OWASP)就确定了10大最具影响力的物联网安全漏洞,其中最大的漏洞是弱密码、可猜测密码或硬编码密码。其次是缺乏安全更新机制,这可能导致设备运行在旧的、易受攻击的固件上。在保护您的IoT数据时,您不需要人工智能来创建强密码、更新设备固件或激活和使用IoT设备的内置防火墙——只需确保您遵循基本的IoT安全最佳实践。实施这些基本的最佳实践不仅可以提高物联网应用程序的安全性,还可以降低运营成本。例如,一家确保其设备固件更新的公司可能会很快发现他们可以通过无线固件更新轻松保护他们的物联网设备免受新的攻击,从而使他们能够消除技术人员昂贵的差旅——手动更新物联网设备.也许我过于乐观了,但我相信基本的物联网安全最佳实践可以解决过去一年中备受瞩目的漏洞,例如Ripple20和Amnesia-33。到2021年,公司将确保完全实施这些最佳实践,然后再寻找其他技术来应对更罕见、更复杂的攻击。
