这里深度解读2019年物联网安全法规,相关标准进一步完善。尽管安全和隐私问题日益受到关注,但普通消费者和企业越来越多地采用物联网设备,例如智能家居和智能办公室。在2019年,这些趋势将发展得更快。2018年的物联网攻击在2018年的众多物联网攻击中,我们看到了针对金融行业的Wicked、OMGMirai、ADB.Miner、DoubleDoor、Hide'NSeek和Mirai-Variant物联网僵尸网络。不过,2018年的主要攻击绝对是VPNFilter,它攻击了全球超过50万台设备,其中大部分是路由器,包括Linksys、MikroTik、Netgear、TP-Link、QNAP、Asus、D-Link、Huawei等厂商的产品、Ubiquiti、UPVEL和中兴也未能幸免。虽然这次袭击的规模比较大,但已经不是什么稀罕事,也不是意外了。监管工作将进一步增加这种攻击的增加。这是否意味着该行业已经习惯了物联网网络攻击?关于物联网安全监管,今年的答案是否定的,多个层面的监管行动正在落地。英国政府的DCMS部门(数字、文化、媒体和体育)发布了“消费者物联网安全实践守则”和“设计安全:改善消费者物联网报告的网络安全”,制定了物联网设备安全指南和建议。美国加州政府更进一步,通过了《B-327信息隐私:设备连接》法案,这是第一个关注物联网设备安全和用户隐私保护的法案。该法案表明政府能够而且将会参与物联网设备的监管。即将到来的政府标准化工作将在2019年继续显着增加。我们预计法规将扩展到身份验证和数据隐私之外,以及更详细的网络安全要求和设备材料清单的可见性。这些操作将增加对供应商的要求,从安全建议到实际工作分配。此外,在2018年,我们看到物联网安全事件的报道已经超越了安全和技术媒体,进入了主流媒体。我们相信这将在2019年继续增加,因为这将提高物联网用户的威胁意识,这反过来将加快监管进程,并对制造商施加更大压力,要求他们提高其产品的安全标准。2019年三大物联网攻击向量2019年,针对物联网的三大攻击向量将继续快速增长。通过直接互联网接口感染大量设备的攻击,以及对数据中心和云服务或加密货币挖掘的DDoS攻击。有针对性地开发特定设备来勒索个人和组织,例如酒店、医院或赌场。我们预见到的一些攻击:劫持设备并在支付赎金后才释放它们;录制令人尴尬或犯罪的视频和音频;将设备作为APT(高级持续威胁)攻击的一部分,并使用它们进行横向移动以访问敏感数据资产(例如,通过打印机直接与Web服务交互,通过智能电话会议系统等);利用联网设备的功能,由国家资助的机构和攻击性网络安全公司收集情报;大型安全公司以及个人安全研究人员进行了广泛的研究工作,以发现和披露各种设备(包括相机、路由器、网关、NAS和真空吸尘器)中的零日漏洞,而无需与供应商合作。这些研究工作虽然有意义,但会导致攻击者利用被发现易受攻击但供应商尚未修补的设备。攻击的复杂性将增加虽然大多数物联网安全研究是针对在实验室中拆卸和破解的易于购买的设备进行的,但我们预计对更高端连接设备的研究将逐渐增加,例如智能建筑的关键基础设施、火灾报警器系统和公用事业基础设施。现在的情况是攻击者越来越聪明,越来越大胆,比如VPNFilter对乌克兰一家氯气蒸馏厂的攻击就是一个很好的例子。该威胁具有扩展到大量设备的能力,它基于不同架构的模块化机制,在设备重启后仍然存在,并且具有监视和拦截通过设备的流量的能力。这种复杂性将继续发展,这只是我们将看到的未来物联网设备缺乏安全实施的一个例子。增强设备安全的设计能力我们已经看到许多关于安全和隐私问题的案例,裁定有利于用户,并让设备制造商承担责任。在2019年,我们预计此类案件和裁决的数量将继续增加。即使在庭外解决,这一趋势也将成为物联网制造商更加重视安全的强大动力,使安全成为开发阶段的关键问题。此外,物联网制造商将受到激励来保护他们的设备,因为企业买家将需要适合企业环境的安全设备,以降低他们的风险和攻击面。网络安全自动化时代来自联网设备的网络威胁不断增加,这将对业务和运营的连续性以及消费者的生活产生更大的影响。对于某些情况,物联网设备制造商必须对物联网网络安全有更快的反应和反应。我们希望制造商转向自动化以开发安全的新设备,并修补大量的旧设备目录,这可能是解决安全和隐私问题的唯一真正有效的方法。2019年将是基于技术的解决方案之年,依靠自动化可能是物联网安全生态系统的指路明灯。
