物聯(lián)網(wǎng)(IoT) 安全性是指不僅保護 IoT 設(shè)備而且保護這些設(shè)備使用的網(wǎng)絡(luò)的做法。物聯(lián)網(wǎng)安全旨在保護數(shù)據(jù)機密��,并維護用戶隱私以及物聯(lián)網(wǎng)設(shè)備和支持技術(shù)的政策合規(guī)性。
物聯(lián)網(wǎng)之前已被證明是威脅參與者的一個有吸引力的目標�,因為它數(shù)據(jù)豐富����,而且不斷擴大的攻擊面為黑客提供了更大的破壞機會。
物聯(lián)網(wǎng)安全趨勢
日益復(fù)雜的物聯(lián)網(wǎng)環(huán)境
2020 年����,美國大多數(shù)家庭可使用的連接設(shè)備的平均數(shù)量為 10 臺�。復(fù)雜的物聯(lián)網(wǎng)環(huán)境正逐漸成為常態(tài)。由于互連功能的網(wǎng)絡(luò)日益復(fù)雜����,這些環(huán)境變得越來越難以控制和管理。
操作技術(shù) (OT) 已在工業(yè)環(huán)境中廣泛實施���。但是�,此類解決方案需要更多數(shù)據(jù)才能做出更明智的決策�����。為了實現(xiàn)這一點,需要使用更多的儀表和傳感器���。
因此���,被動物聯(lián)網(wǎng)和 OT 之間的界限變得更加模糊,并使 OT 環(huán)境面臨更多風險����。物聯(lián)網(wǎng)實施復(fù)雜性不斷增加所帶來的安全風險是為威脅參與者引入了大量新的攻擊向量。
規(guī)定
由于缺乏全球監(jiān)管一致性�,物聯(lián)網(wǎng)市場經(jīng)常面臨市場摩擦和物聯(lián)網(wǎng)安全策略的稀釋。除了蜂窩連接等行業(yè)已經(jīng)受到嚴格監(jiān)管之外���,聯(lián)合國關(guān)于智能汽車的法規(guī)等進一步的法規(guī)也在不斷涌現(xiàn)����。
美國和歐洲正在制定立法����,旨在規(guī)范到 2024 年提供物聯(lián)網(wǎng)的能力。目前的監(jiān)管軌跡表明,監(jiān)管將很快影響所有物聯(lián)網(wǎng)制造商��、供應(yīng)商和消費者��。
美國和歐洲正在制定符合ETSI EN 303 645標準的計劃����。歐盟委員會通過了聯(lián)網(wǎng)無線電設(shè)備和可穿戴無線電設(shè)備計劃,通過確定物聯(lián)網(wǎng)設(shè)備的基準標準來加強聯(lián)網(wǎng)設(shè)備的安全性��。美國國家標準與技術(shù)研究院 (NIST) 發(fā)布了一份名為《消費物聯(lián)網(wǎng)設(shè)備基線安全標準》的白皮書����。這兩個實例突出了對消費者標簽的需求以及需要進行的網(wǎng)絡(luò)安全強化和測試。
歐洲電信標準協(xié)會ETSI(European Telecommunications Standards Institute)在2020年發(fā)布了物聯(lián)網(wǎng)產(chǎn)品安全/消費者隱私保護標準ETSI EN 303 645����,涵蓋的物聯(lián)網(wǎng)產(chǎn)品包括:穿戴式健康追蹤設(shè)備���、智能語音助手�����、智能家居系統(tǒng)����、智能監(jiān)控攝像機、智能冰箱����、洗衣機等等;符合ETSI EN 303 645標準����,確保物聯(lián)網(wǎng)設(shè)備的安全,并且保護消費者的隱私及個人信息安全����。
隨著消費者開始要求更高的安全性以及違規(guī)數(shù)量不斷增加,政府和監(jiān)管機構(gòu)也將采取更大的行動來規(guī)范物聯(lián)網(wǎng)安全����。
協(xié)作與合作
物聯(lián)網(wǎng)生態(tài)系統(tǒng)的特點是異構(gòu)設(shè)備、連接性���、實施和基礎(chǔ)����。因此����,有效的物聯(lián)網(wǎng)服務(wù)交付將通過所涉及的大量技術(shù)和學科專家之間的合作得到促進���。這不僅會產(chǎn)生更復(fù)雜和多方面的解決方案,而且有助于應(yīng)對新興的物聯(lián)網(wǎng)安全挑戰(zhàn)����。
更多技術(shù)決策者將對改善行業(yè)協(xié)作以及有關(guān)物聯(lián)網(wǎng)安全的跨市場知識共享感興趣。隨著新技術(shù)創(chuàng)新帶來的新挑戰(zhàn)的影響越來越大���,加強協(xié)作與合作的需求將繼續(xù)增加��。
更多數(shù)據(jù)
物聯(lián)網(wǎng)設(shè)備的增加意味著生成的數(shù)據(jù)量正在增加�,圍繞這些數(shù)據(jù)的問題圍繞其駐留和隱私���。然而�,即使數(shù)據(jù)位于云端����、邊緣或數(shù)據(jù)中心�����,所有這些數(shù)據(jù)也需要得到保護。此外���,邊緣設(shè)備的增加意味著它們也必須受到管理和保護��。
物聯(lián)網(wǎng)設(shè)備增長帶來的風險敞口
由于企業(yè)在各種應(yīng)用中采用了多種物聯(lián)網(wǎng)解決方案和實施���,物聯(lián)網(wǎng)設(shè)備的數(shù)量迅速增加。
隨著組織繼續(xù)嘗試在其所有運營中建立物聯(lián)網(wǎng)計劃以提高業(yè)務(wù)績效和協(xié)作���,他們最終可能會無意中將連接的設(shè)備引入其網(wǎng)絡(luò)�����。隨著制造商繼續(xù)在更大范圍的設(shè)備中建立連接����,員工將他們的設(shè)備連接到這些企業(yè)網(wǎng)絡(luò)���。
讓所有這些連接的設(shè)備都可以訪問企業(yè)網(wǎng)絡(luò)會引發(fā)更大風險的擔憂����。這些設(shè)備最有可能將漏洞引入網(wǎng)絡(luò)���,因為它們?nèi)狈m當和充分的安全控制�。
為了防止物理損壞、數(shù)據(jù)被盜以及數(shù)據(jù)和收入損失等風險�,組織可以采取措施,例如評估和清點其物聯(lián)網(wǎng)設(shè)備以及進行設(shè)備分類和保護��。
盤點企業(yè)物聯(lián)網(wǎng)設(shè)備可確保企業(yè)了解連接到其網(wǎng)絡(luò)的所有設(shè)備�。這使企業(yè)能夠在制定和實施政策和控制措施時充分了解情況,以降低意外數(shù)據(jù)泄露的風險���。設(shè)備分類和保護可以指導(dǎo)企業(yè)建立正確的控制���。
使用物聯(lián)網(wǎng)設(shè)備清單,企業(yè)可以了解設(shè)備的使用方式���、它們的業(yè)務(wù)影響����、漏洞以及確保安全策略得到有效應(yīng)用的更多指標����。
缺乏加密
物聯(lián)網(wǎng)安全最明顯的挑戰(zhàn)之一是常規(guī)傳輸缺乏加密。未能對流量進行加密會使物聯(lián)網(wǎng)設(shè)備面臨各種類型的中間人攻擊 (MITM)����,攻擊者經(jīng)常使用這些攻擊來攔截憑據(jù),并最終用于破壞企業(yè)網(wǎng)絡(luò)�����。部分加密和錯誤配置的數(shù)據(jù)也涉及風險���。
組織應(yīng)確保易受 MITM 攻擊的數(shù)據(jù)在存儲在物聯(lián)網(wǎng)設(shè)備上時通過正確的加密進行密封���。他們應(yīng)該評估和解決設(shè)備的弱點,以及解決設(shè)備加密不佳和密碼算法薄弱的問題�,以減少被攔截的可能性。
組織還可以使用傳輸加密并采用TLS(傳輸層安全性)等標準�����。此外���,他們可以使用隔離網(wǎng)絡(luò)來保持設(shè)備隔離并建立私密和安全的通信���。
管理設(shè)備更新
對物聯(lián)網(wǎng)網(wǎng)關(guān)和設(shè)備上的軟件或固件進行更新和安全補丁并不是一個簡單的過程。它涉及跟蹤可用更新并在由使用不同網(wǎng)絡(luò)協(xié)議進行通信的不同設(shè)備定義的分布式環(huán)境中同時應(yīng)用它們�����。
此外,許多設(shè)備可能不支持無線更新�����,或者某些設(shè)備可能會在停機期間執(zhí)行更新����。舊設(shè)備可能缺少更新,或者最終可能不受其制造商的支持���。
為了解決這些問題�����,企業(yè)制定了設(shè)備管理策略或使用設(shè)備管理系統(tǒng)來自動跟蹤這些設(shè)備并推出所需的更新����。這些系統(tǒng)還應(yīng)該突出顯示哪些設(shè)備不受支持和易受攻擊�,以及哪些設(shè)備應(yīng)該退役。企業(yè)還應(yīng)確保他們使用的設(shè)備向后兼容��。
投資不足
隨著企業(yè)安全專業(yè)人員繼續(xù)意識到物聯(lián)網(wǎng)設(shè)備導(dǎo)致的安全風險范圍不斷擴大,他們意識到他們可能沒有足夠的投資在企業(yè)物聯(lián)網(wǎng)實踐和解決方案上���,以有效應(yīng)對日益增加的安全挑戰(zhàn)���。
企業(yè)將需要大幅更新其安全預(yù)算����,以資助諸如部署無代理解決方案以及數(shù)據(jù)分類和加密實踐等計劃。他們還需要與解決方案提供商建立合作伙伴關(guān)系�,以幫助克服應(yīng)對復(fù)雜且不斷變化的 IT 環(huán)境和威脅的挑戰(zhàn)。
處理能力低
由于大多數(shù)物聯(lián)網(wǎng)應(yīng)用使用的數(shù)據(jù)很少���,因此它們的電池壽命得到了延長���,同時成本也降低了。然而�����,這些物聯(lián)網(wǎng)設(shè)備中的大多數(shù)可能難以進行無線更新�����,導(dǎo)致它們無法實施端到端加密���、防火墻和惡意軟件掃描程序等網(wǎng)絡(luò)安全功能����。因此,這些設(shè)備更容易被黑客入侵�。
保護此類 IoT 應(yīng)用的有效方法是確保網(wǎng)絡(luò)具有內(nèi)置且不斷更新的安全功能。
物聯(lián)網(wǎng)安全的未來趨勢
由于全球芯片短缺預(yù)計將持續(xù)到 2022 年之后���,其對幾乎所有行業(yè)的影響引發(fā)了人們的擔憂���,即制造商可能會從使用基于基礎(chǔ)信任根 (RoT) 構(gòu)建的組件轉(zhuǎn)向非標準來源。這可能會導(dǎo)致制造商使用帶有安全漏洞的假冒芯片�����。它們還可能包含后門����,使客戶資產(chǎn)面臨被利用的巨大風險。
向設(shè)備制造商展示組件安全證書的認證措施的增加將使這些制造商能夠采購受信任的組件����,從而減輕非標準芯片帶來的安全風險。由于許多半導(dǎo)體公司已表示要提高生產(chǎn)能力,因此對現(xiàn)場認證的需求將會增加���,以確保這些生產(chǎn)設(shè)施滿足安全要求��。
此外�����,這些認證需要可重復(fù)使用,以確保它們不會阻礙物聯(lián)網(wǎng)的部署和開發(fā)��。此類認證將降低涉及第三方評估的成本�����,并有助于整理物聯(lián)網(wǎng)安全標準����。
隨著全球芯片短缺導(dǎo)致的負面因素、消費者意識的提高以及政府和監(jiān)管機構(gòu)采取更有影響力的行動來觸發(fā)這種增長����,物聯(lián)網(wǎng)安全的采用率將會上升。監(jiān)管和消費者對更高物聯(lián)網(wǎng)安全標準的行動最終將推動組織對物聯(lián)網(wǎng)安全采取更積極主動的方法����。
