导读:物联网之前已被证明是威胁参与者的一个有吸引力的目标,因为它数据丰富,而且不断扩大的攻击面为黑客提供了更大的破坏机会。
物联网(IoT) 安全性是指不仅保护 IoT 设备而且保护这些设备使用的网络的做法。物联网安全旨在保护数据机密,并维护用户隐私以及物联网设备和支持技术的政策合规性。
物联网之前已被证明是威胁参与者的一个有吸引力的目标,因为它数据丰富,而且不断扩大的攻击面为黑客提供了更大的破坏机会。
物联网安全趋势
日益复杂的物联网环境
2020 年,美国大多数家庭可使用的连接设备的平均数量为 10 台。复杂的物联网环境正逐渐成为常态。由于互连功能的网络日益复杂,这些环境变得越来越难以控制和管理。
操作技术 (OT) 已在工业环境中广泛实施。但是,此类解决方案需要更多数据才能做出更明智的决策。为了实现这一点,需要使用更多的仪表和传感器。
因此,被动物联网和 OT 之间的界限变得更加模糊,并使 OT 环境面临更多风险。物联网实施复杂性不断增加所带来的安全风险是为威胁参与者引入了大量新的攻击向量。
规定
由于缺乏全球监管一致性,物联网市场经常面临市场摩擦和物联网安全策略的稀释。除了蜂窝连接等行业已经受到严格监管之外,联合国关于智能汽车的法规等进一步的法规也在不断涌现。
美国和欧洲正在制定立法,旨在规范到 2024 年提供物联网的能力。目前的监管轨迹表明,监管将很快影响所有物联网制造商、供应商和消费者。
美国和欧洲正在制定符合ETSI EN 303 645标准的计划。欧盟委员会通过了联网无线电设备和可穿戴无线电设备计划,通过确定物联网设备的基准标准来加强联网设备的安全性。美国国家标准与技术研究院 (NIST) 发布了一份名为《消费物联网设备基线安全标准》的白皮书。这两个实例突出了对消费者标签的需求以及需要进行的网络安全强化和测试。
欧洲电信标准协会ETSI(European Telecommunications Standards Institute)在2020年发布了物联网产品安全/消费者隐私保护标准ETSI EN 303 645,涵盖的物联网产品包括:穿戴式健康追踪设备、智能语音助手、智能家居系统、智能监控摄像机、智能冰箱、洗衣机等等;符合ETSI EN 303 645标准,确保物联网设备的安全,并且保护消费者的隐私及个人信息安全。
随着消费者开始要求更高的安全性以及违规数量不断增加,政府和监管机构也将采取更大的行动来规范物联网安全。
协作与合作
物联网生态系统的特点是异构设备、连接性、实施和基础。因此,有效的物联网服务交付将通过所涉及的大量技术和学科专家之间的合作得到促进。这不仅会产生更复杂和多方面的解决方案,而且有助于应对新兴的物联网安全挑战。
更多技术决策者将对改善行业协作以及有关物联网安全的跨市场知识共享感兴趣。随着新技术创新带来的新挑战的影响越来越大,加强协作与合作的需求将继续增加。
更多数据
物联网设备的增加意味着生成的数据量正在增加,围绕这些数据的问题围绕其驻留和隐私。然而,即使数据位于云端、边缘或数据中心,所有这些数据也需要得到保护。此外,边缘设备的增加意味着它们也必须受到管理和保护。
物联网设备增长带来的风险敞口
由于企业在各种应用中采用了多种物联网解决方案和实施,物联网设备的数量迅速增加。
随着组织继续尝试在其所有运营中建立物联网计划以提高业务绩效和协作,他们最终可能会无意中将连接的设备引入其网络。随着制造商继续在更大范围的设备中建立连接,员工将他们的设备连接到这些企业网络。
让所有这些连接的设备都可以访问企业网络会引发更大风险的担忧。这些设备最有可能将漏洞引入网络,因为它们缺乏适当和充分的安全控制。
为了防止物理损坏、数据被盗以及数据和收入损失等风险,组织可以采取措施,例如评估和清点其物联网设备以及进行设备分类和保护。
盘点企业物联网设备可确保企业了解连接到其网络的所有设备。这使企业能够在制定和实施政策和控制措施时充分了解情况,以降低意外数据泄露的风险。设备分类和保护可以指导企业建立正确的控制。
使用物联网设备清单,企业可以了解设备的使用方式、它们的业务影响、漏洞以及确保安全策略得到有效应用的更多指标。
缺乏加密
物联网安全最明显的挑战之一是常规传输缺乏加密。未能对流量进行加密会使物联网设备面临各种类型的中间人攻击 (MITM),攻击者经常使用这些攻击来拦截凭据,并最终用于破坏企业网络。部分加密和错误配置的数据也涉及风险。
组织应确保易受 MITM 攻击的数据在存储在物联网设备上时通过正确的加密进行密封。他们应该评估和解决设备的弱点,以及解决设备加密不佳和密码算法薄弱的问题,以减少被拦截的可能性。
组织还可以使用传输加密并采用TLS(传输层安全性)等标准。此外,他们可以使用隔离网络来保持设备隔离并建立私密和安全的通信。
管理设备更新
对物联网网关和设备上的软件或固件进行更新和安全补丁并不是一个简单的过程。它涉及跟踪可用更新并在由使用不同网络协议进行通信的不同设备定义的分布式环境中同时应用它们。
此外,许多设备可能不支持无线更新,或者某些设备可能会在停机期间执行更新。旧设备可能缺少更新,或者最终可能不受其制造商的支持。
为了解决这些问题,企业制定了设备管理策略或使用设备管理系统来自动跟踪这些设备并推出所需的更新。这些系统还应该突出显示哪些设备不受支持和易受攻击,以及哪些设备应该退役。企业还应确保他们使用的设备向后兼容。
投资不足
随着企业安全专业人员继续意识到物联网设备导致的安全风险范围不断扩大,他们意识到他们可能没有足够的投资在企业物联网实践和解决方案上,以有效应对日益增加的安全挑战。
企业将需要大幅更新其安全预算,以资助诸如部署无代理解决方案以及数据分类和加密实践等计划。他们还需要与解决方案提供商建立合作伙伴关系,以帮助克服应对复杂且不断变化的 IT 环境和威胁的挑战。
处理能力低
由于大多数物联网应用使用的数据很少,因此它们的电池寿命得到了延长,同时成本也降低了。然而,这些物联网设备中的大多数可能难以进行无线更新,导致它们无法实施端到端加密、防火墙和恶意软件扫描程序等网络安全功能。因此,这些设备更容易被黑客入侵。
保护此类 IoT 应用的有效方法是确保网络具有内置且不断更新的安全功能。
物联网安全的未来趋势
由于全球芯片短缺预计将持续到 2022 年之后,其对几乎所有行业的影响引发了人们的担忧,即制造商可能会从使用基于基础信任根 (RoT) 构建的组件转向非标准来源。这可能会导致制造商使用带有安全漏洞的假冒芯片。它们还可能包含后门,使客户资产面临被利用的巨大风险。
向设备制造商展示组件安全证书的认证措施的增加将使这些制造商能够采购受信任的组件,从而减轻非标准芯片带来的安全风险。由于许多半导体公司已表示要提高生产能力,因此对现场认证的需求将会增加,以确保这些生产设施满足安全要求。
此外,这些认证需要可重复使用,以确保它们不会阻碍物联网的部署和开发。此类认证将降低涉及第三方评估的成本,并有助于整理物联网安全标准。
随着全球芯片短缺导致的负面因素、消费者意识的提高以及政府和监管机构采取更有影响力的行动来触发这种增长,物联网安全的采用率将会上升。监管和消费者对更高物联网安全标准的行动最终将推动组织对物联网安全采取更积极主动的方法。