物聯(lián)網(wǎng)(IoT) 安全性是指不僅保護(hù) IoT 設(shè)備而且保護(hù)這些設(shè)備使用的網(wǎng)絡(luò)的做法。物聯(lián)網(wǎng)安全旨在保護(hù)數(shù)據(jù)機(jī)密,并維護(hù)用戶隱私以及物聯(lián)網(wǎng)設(shè)備和支持技術(shù)的政策合規(guī)性。
物聯(lián)網(wǎng)之前已被證明是威脅參與者的一個(gè)有吸引力的目標(biāo),因?yàn)樗鼣?shù)據(jù)豐富,而且不斷擴(kuò)大的攻擊面為黑客提供了更大的破壞機(jī)會(huì)。
物聯(lián)網(wǎng)安全趨勢(shì)
日益復(fù)雜的物聯(lián)網(wǎng)環(huán)境
2020 年,美國(guó)大多數(shù)家庭可使用的連接設(shè)備的平均數(shù)量為 10 臺(tái)。復(fù)雜的物聯(lián)網(wǎng)環(huán)境正逐漸成為常態(tài)。由于互連功能的網(wǎng)絡(luò)日益復(fù)雜,這些環(huán)境變得越來(lái)越難以控制和管理。
操作技術(shù) (OT) 已在工業(yè)環(huán)境中廣泛實(shí)施。但是,此類解決方案需要更多數(shù)據(jù)才能做出更明智的決策。為了實(shí)現(xiàn)這一點(diǎn),需要使用更多的儀表和傳感器。
因此,被動(dòng)物聯(lián)網(wǎng)和 OT 之間的界限變得更加模糊,并使 OT 環(huán)境面臨更多風(fēng)險(xiǎn)。物聯(lián)網(wǎng)實(shí)施復(fù)雜性不斷增加所帶來(lái)的安全風(fēng)險(xiǎn)是為威脅參與者引入了大量新的攻擊向量。
規(guī)定
由于缺乏全球監(jiān)管一致性,物聯(lián)網(wǎng)市場(chǎng)經(jīng)常面臨市場(chǎng)摩擦和物聯(lián)網(wǎng)安全策略的稀釋。除了蜂窩連接等行業(yè)已經(jīng)受到嚴(yán)格監(jiān)管之外,聯(lián)合國(guó)關(guān)于智能汽車的法規(guī)等進(jìn)一步的法規(guī)也在不斷涌現(xiàn)。
美國(guó)和歐洲正在制定立法,旨在規(guī)范到 2024 年提供物聯(lián)網(wǎng)的能力。目前的監(jiān)管軌跡表明,監(jiān)管將很快影響所有物聯(lián)網(wǎng)制造商、供應(yīng)商和消費(fèi)者。
美國(guó)和歐洲正在制定符合ETSI EN 303 645標(biāo)準(zhǔn)的計(jì)劃。歐盟委員會(huì)通過(guò)了聯(lián)網(wǎng)無(wú)線電設(shè)備和可穿戴無(wú)線電設(shè)備計(jì)劃,通過(guò)確定物聯(lián)網(wǎng)設(shè)備的基準(zhǔn)標(biāo)準(zhǔn)來(lái)加強(qiáng)聯(lián)網(wǎng)設(shè)備的安全性。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 發(fā)布了一份名為《消費(fèi)物聯(lián)網(wǎng)設(shè)備基線安全標(biāo)準(zhǔn)》的白皮書。這兩個(gè)實(shí)例突出了對(duì)消費(fèi)者標(biāo)簽的需求以及需要進(jìn)行的網(wǎng)絡(luò)安全強(qiáng)化和測(cè)試。
歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)ETSI(European Telecommunications Standards Institute)在2020年發(fā)布了物聯(lián)網(wǎng)產(chǎn)品安全/消費(fèi)者隱私保護(hù)標(biāo)準(zhǔn)
隨著消費(fèi)者開(kāi)始要求更高的安全性以及違規(guī)數(shù)量不斷增加,政府和監(jiān)管機(jī)構(gòu)也將采取更大的行動(dòng)來(lái)規(guī)范物聯(lián)網(wǎng)安全。
協(xié)作與合作
物聯(lián)網(wǎng)生態(tài)系統(tǒng)的特點(diǎn)是異構(gòu)設(shè)備、連接性、實(shí)施和基礎(chǔ)。因此,有效的物聯(lián)網(wǎng)服務(wù)交付將通過(guò)所涉及的大量技術(shù)和學(xué)科專家之間的合作得到促進(jìn)。這不僅會(huì)產(chǎn)生更復(fù)雜和多方面的解決方案,而且有助于應(yīng)對(duì)新興的物聯(lián)網(wǎng)安全挑戰(zhàn)。
更多技術(shù)決策者將對(duì)改善行業(yè)協(xié)作以及有關(guān)物聯(lián)網(wǎng)安全的跨市場(chǎng)知識(shí)共享感興趣。隨著新技術(shù)創(chuàng)新帶來(lái)的新挑戰(zhàn)的影響越來(lái)越大,加強(qiáng)協(xié)作與合作的需求將繼續(xù)增加。
更多數(shù)據(jù)
物聯(lián)網(wǎng)設(shè)備的增加意味著生成的數(shù)據(jù)量正在增加,圍繞這些數(shù)據(jù)的問(wèn)題圍繞其駐留和隱私。然而,即使數(shù)據(jù)位于云端、邊緣或數(shù)據(jù)中心,所有這些數(shù)據(jù)也需要得到保護(hù)。此外,邊緣設(shè)備的增加意味著它們也必須受到管理和保護(hù)。
物聯(lián)網(wǎng)設(shè)備增長(zhǎng)帶來(lái)的風(fēng)險(xiǎn)敞口
由于企業(yè)在各種應(yīng)用中采用了多種物聯(lián)網(wǎng)解決方案和實(shí)施,物聯(lián)網(wǎng)設(shè)備的數(shù)量迅速增加。
隨著組織繼續(xù)嘗試在其所有運(yùn)營(yíng)中建立物聯(lián)網(wǎng)計(jì)劃以提高業(yè)務(wù)績(jī)效和協(xié)作,他們最終可能會(huì)無(wú)意中將連接的設(shè)備引入其網(wǎng)絡(luò)。隨著制造商繼續(xù)在更大范圍的設(shè)備中建立連接,員工將他們的設(shè)備連接到這些企業(yè)網(wǎng)絡(luò)。
讓所有這些連接的設(shè)備都可以訪問(wèn)企業(yè)網(wǎng)絡(luò)會(huì)引發(fā)更大風(fēng)險(xiǎn)的擔(dān)憂。這些設(shè)備最有可能將漏洞引入網(wǎng)絡(luò),因?yàn)樗鼈內(nèi)狈m當(dāng)和充分的安全控制。
為了防止物理?yè)p壞、數(shù)據(jù)被盜以及數(shù)據(jù)和收入損失等風(fēng)險(xiǎn),組織可以采取措施,例如評(píng)估和清點(diǎn)其物聯(lián)網(wǎng)設(shè)備以及進(jìn)行設(shè)備分類和保護(hù)。
盤點(diǎn)企業(yè)物聯(lián)網(wǎng)設(shè)備可確保企業(yè)了解連接到其網(wǎng)絡(luò)的所有設(shè)備。這使企業(yè)能夠在制定和實(shí)施政策和控制措施時(shí)充分了解情況,以降低意外數(shù)據(jù)泄露的風(fēng)險(xiǎn)。設(shè)備分類和保護(hù)可以指導(dǎo)企業(yè)建立正確的控制。
使用物聯(lián)網(wǎng)設(shè)備清單,企業(yè)可以了解設(shè)備的使用方式、它們的業(yè)務(wù)影響、漏洞以及確保安全策略得到有效應(yīng)用的更多指標(biāo)。
缺乏加密
物聯(lián)網(wǎng)安全最明顯的挑戰(zhàn)之一是常規(guī)傳輸缺乏加密。未能對(duì)流量進(jìn)行加密會(huì)使物聯(lián)網(wǎng)設(shè)備面臨各種類型的中間人攻擊 (MITM),攻擊者經(jīng)常使用這些攻擊來(lái)攔截憑據(jù),并最終用于破壞企業(yè)網(wǎng)絡(luò)。部分加密和錯(cuò)誤配置的數(shù)據(jù)也涉及風(fēng)險(xiǎn)。
組織應(yīng)確保易受 MITM 攻擊的數(shù)據(jù)在存儲(chǔ)在物聯(lián)網(wǎng)設(shè)備上時(shí)通過(guò)正確的加密進(jìn)行密封。他們應(yīng)該評(píng)估和解決設(shè)備的弱點(diǎn),以及解決設(shè)備加密不佳和密碼算法薄弱的問(wèn)題,以減少被攔截的可能性。
組織還可以使用傳輸加密并采用TLS(傳輸層安全性)等標(biāo)準(zhǔn)。此外,他們可以使用隔離網(wǎng)絡(luò)來(lái)保持設(shè)備隔離并建立私密和安全的通信。
管理設(shè)備更新
對(duì)物聯(lián)網(wǎng)網(wǎng)關(guān)和設(shè)備上的軟件或固件進(jìn)行更新和安全補(bǔ)丁并不是一個(gè)簡(jiǎn)單的過(guò)程。它涉及跟蹤可用更新并在由使用不同網(wǎng)絡(luò)協(xié)議進(jìn)行通信的不同設(shè)備定義的分布式環(huán)境中同時(shí)應(yīng)用它們。
此外,許多設(shè)備可能不支持無(wú)線更新,或者某些設(shè)備可能會(huì)在停機(jī)期間執(zhí)行更新。舊設(shè)備可能缺少更新,或者最終可能不受其制造商的支持。
為了解決這些問(wèn)題,企業(yè)制定了設(shè)備管理策略或使用設(shè)備管理系統(tǒng)來(lái)自動(dòng)跟蹤這些設(shè)備并推出所需的更新。這些系統(tǒng)還應(yīng)該突出顯示哪些設(shè)備不受支持和易受攻擊,以及哪些設(shè)備應(yīng)該退役。企業(yè)還應(yīng)確保他們使用的設(shè)備向后兼容。
投資不足
隨著企業(yè)安全專業(yè)人員繼續(xù)意識(shí)到物聯(lián)網(wǎng)設(shè)備導(dǎo)致的安全風(fēng)險(xiǎn)范圍不斷擴(kuò)大,他們意識(shí)到他們可能沒(méi)有足夠的投資在企業(yè)物聯(lián)網(wǎng)實(shí)踐和解決方案上,以有效應(yīng)對(duì)日益增加的安全挑戰(zhàn)。
企業(yè)將需要大幅更新其安全預(yù)算,以資助諸如部署無(wú)代理解決方案以及數(shù)據(jù)分類和加密實(shí)踐等計(jì)劃。他們還需要與解決方案提供商建立合作伙伴關(guān)系,以幫助克服應(yīng)對(duì)復(fù)雜且不斷變化的 IT 環(huán)境和威脅的挑戰(zhàn)。
處理能力低
由于大多數(shù)物聯(lián)網(wǎng)應(yīng)用使用的數(shù)據(jù)很少,因此它們的電池壽命得到了延長(zhǎng),同時(shí)成本也降低了。然而,這些物聯(lián)網(wǎng)設(shè)備中的大多數(shù)可能難以進(jìn)行無(wú)線更新,導(dǎo)致它們無(wú)法實(shí)施端到端加密、防火墻和惡意軟件掃描程序等網(wǎng)絡(luò)安全功能。因此,這些設(shè)備更容易被黑客入侵。
保護(hù)此類 IoT 應(yīng)用的有效方法是確保網(wǎng)絡(luò)具有內(nèi)置且不斷更新的安全功能。
物聯(lián)網(wǎng)安全的未來(lái)趨勢(shì)
由于全球芯片短缺預(yù)計(jì)將持續(xù)到 2022 年之后,其對(duì)幾乎所有行業(yè)的影響引發(fā)了人們的擔(dān)憂,即制造商可能會(huì)從使用基于基礎(chǔ)信任根 (RoT) 構(gòu)建的組件轉(zhuǎn)向非標(biāo)準(zhǔn)來(lái)源。這可能會(huì)導(dǎo)致制造商使用帶有安全漏洞的假冒芯片。它們還可能包含后門,使客戶資產(chǎn)面臨被利用的巨大風(fēng)險(xiǎn)。
向設(shè)備制造商展示組件安全證書的認(rèn)證措施的增加將使這些制造商能夠采購(gòu)受信任的組件,從而減輕非標(biāo)準(zhǔn)芯片帶來(lái)的安全風(fēng)險(xiǎn)。由于許多半導(dǎo)體公司已表示要提高生產(chǎn)能力,因此對(duì)現(xiàn)場(chǎng)認(rèn)證的需求將會(huì)增加,以確保這些生產(chǎn)設(shè)施滿足安全要求。
此外,這些認(rèn)證需要可重復(fù)使用,以確保它們不會(huì)阻礙物聯(lián)網(wǎng)的部署和開(kāi)發(fā)。此類認(rèn)證將降低涉及第三方評(píng)估的成本,并有助于整理物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)。
隨著全球芯片短缺導(dǎo)致的負(fù)面因素、消費(fèi)者意識(shí)的提高以及政府和監(jiān)管機(jī)構(gòu)采取更有影響力的行動(dòng)來(lái)觸發(fā)這種增長(zhǎng),物聯(lián)網(wǎng)安全的采用率將會(huì)上升。監(jiān)管和消費(fèi)者對(duì)更高物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的行動(dòng)最終將推動(dòng)組織對(duì)物聯(lián)網(wǎng)安全采取更積極主動(dòng)的方法。