【.com快译】在物联网的世界里,一切都变得越来越大。不仅是设备本身——有些设备非常小,只能容纳几个芯片,而且它们通常被隐藏起来,看不见也想不到。但物联网中庞大的数据和设备规模让任何网络安全专业人士都头疼不已。据广泛估计,目前物联网数据输出量为每天2.5TB,未来两年内,物联网将包含多达300亿台设备,并且这一数字还将继续增长。数字风险分析总监TroyLaHuis表示:“随着出现如此多的设备,物联网对每个人来说都是新事物,这对大多数企业来说将很困难。”随着规模的到来,风险也随之而来。在增加。让我们来看看物联网将面临的7大最重要的网络安全威胁,以及与网络安全相关的决策者如何应对这些挑战。1.潜在陷阱许多物联网设备专为特定任务而设计,例如感测温度或记录运动。但它们在微控制器和操作系统上运行,并且能够在后台执行更多操作。这也是企业和经营者面临的一大风险。LaHuis建议信息安全经理像参与任何其他技术收购一样参与公司的物联网收购流程。无论是服务器、存储架、航拍无人机,还是智能灯饰,“你都不希望IS团队在一切都买完之后再进来。”2.被遗忘的设备许多物联网设备被设计成既不能看也不能听,只能靠电源或纽扣电池运行多年。它们可以嵌入墙壁和天花板,或安装在维护人员通常无法接触到的工厂设备上。虽然它们以这种方式使用起来非常方便——可靠且维护成本低。但对于IT资产和网络安全管理来说,这是一个真正的问题。“最大的错误之一是人们忘记了他们的存在,”拉惠斯说。解决这个问题需要建立和执行与数据中心服务器和笔记本电脑等IT设备相同的严格更换和更新周期。由于许多物联网设备可能隐藏多年,因此需要更详细的更换计划文档,以便IT团队可以在更新或更换这些设备时找到它们。3.识别物联网目标物联网安全的防御方法可以从一些早期的物联网暴露中得到启发。智能相机和支付卡读卡器被盗,将数据传递给未经授权的用户。最近,嵌入式系统成为勒索软件的目标,勒索软件要求赔偿而不是关闭关键系统。然而,随着物联网设备的种类不断增加,威胁行为者可能对写入数据而不是读取数据更感兴趣。例如,配备物联网管理设备的工厂可能有数百个传感器,可以读取传送带上的当前供应水平,或测量管道中的流体压力。仅仅阅读这些信息对威胁行为者来说价值相对较小。然而,如果破坏者能够植入虚假记录,他们可能会通过伪造数据导致生产中断,从而导致装配线浪费太多组件,或组件不符合其额定负载。了解攻击者可能能够从未经授权的设备访问什么是设计保护措施的重要的第一步。4.平衡安全性和用户期望物联网设备通常被期望像家用电器一样运行:稳定、可靠且24/7全天候可用。他们不希望定期停机进行维护。NIST指出:“物联网设备的性能、可靠性、弹性和安全性的操作要求可能与传统IT设备的网络安全实践相冲突。”奇怪的是,用户不会在15分钟后接受或理解物联网设备是安全的。补丁在接受来自智能手机或笔记本电脑的这种行为时处于休眠状态。通过冗余备份设备、计划维护和相关的教育活动来解决这个问题,使用户期望与安全需求保持一致。5.不负责任的供应商物联网设备是为方便而设计的,但便利也伴随着风险。良好的物联网网络安全始于确保可以立即更改或禁用默认管理员或超级用户。阻止和禁用通用即插即用(UPnP)功能,以及关闭物联网威胁经常使用的非必要网络端口,都是值得采取的预防措施。如果供应商不能怎么办?不要部署。这些设备本身并不总是安全的。有些不允许您更改用户名和密码。一些最大的漏洞来自供应商。6.内部风险LaHuis指出,内部风险往往比外部实体构成更大的威胁。这种内部风险可能是员工为了自己的目的故意破坏设备,或者被安全威胁者通过网络钓鱼或其他社交途径操纵。“物联网为这个问题带来了新的维度——员工成为你的最后一道防线,”他说。“我们真的必须更加关注谁可以访问该设备以及他们可以用它做什么。”通常侧重于避免电子邮件和社交媒体诈骗的一般网络钓鱼教育可能还不够。应向员工明确说明谁有权与物联网设备交互,以及在什么情况下他们可以在没有IT监督的情况下对设备进行任何调整。7.防御废弃设备未打补丁、废弃或被遗忘的物联网设备的问题已经变得如此严重,以至于黑客分子正在有效地用恶意软件感染未受保护的设备物联网防御策略应该清楚地意识到这种风险,了解这些“灰帽黑客”的活动“并在他们能够之前采取行动。原标题:物联网世界的七大网络安全威胁,原作者:JasonCompton
