IOT.
(in)IOT的安全性以及可以完成的内容
事物互联网(物联网)是能够交互和交换数据的巨大和营销的连接设备网络。一些物联机是消费者设备 - 冰箱,灯开关和恒温器 - 但许多其他物联网设备在商业环境中运行,帮助监控和运行工厂和物流操作。
安全性对许多物联网设备设计师尚未考虑。这意味着物联网设备相对容易。其次,使用这些物联网设备的最终客户也不关心安全性。因此,卖方和买方缺乏对安全的关注,提高了可能影响其他第三方的严重安全风险。
实际上,数据显示IoT设备容易攻击。2017年,网络解决方案公司Aruba宣布了调查结果1显示84%的IOT部署的受访者已经经历了与IoT相关的安全漏洞。
是什么让互联网如此容易受到损害?IOT Infrastructure是一个系统中的硬件,传感器,连接器,网关和应用软件的组合,使其成为复杂和脆弱的系统。此外,实时流分析,复杂的事件处理以及大数据量和品种的存在将整个系统暴露于各种风险。
典型的物联网系统具有四个主要组成部分,即设备,通信通道,云接口和应用程序界面。这些中的每一个都有不同的攻击表面。
例如,每个设备都容易受到内存,固件和物理接口中的故障,如USB端口,Web接口和管理接口。
像蓝牙一样的通信通道,可以通过打开的网络或不安全设备网络流量拦截Wi-Fi。
云通常因密码,默认凭据和不安全的传输加密而削弱。
应用程序接口通常提供易于隐藏的敏感数据或个人数据的路由。
这些关于确保物联网的担忧都没有停止实施物联网的公司。由于IOT的潜力留下了深刻的印象,以帮助降低成本,提高效率并提供更多的可见性进入所有各种各样的运营方面,制造商正在推动计划的计划连接IOT技术。
黑客砍伐较少旅行
正如数十亿弱保护的物联网设备在全球网上都会在线,遭到攻击者越来越多地将这些设备瞄准这些设备,其中可能是大多数网络安全策略的雷达的攻击,也可以悄悄地进行,直到已经造成了很大的伤害,他们难以检测到这一点。例如:
2018年4月,商业内幕2关于事件报告的黑客通过黑客在赌场大厅水族馆中攻击IOT恒温器来获得赌场网络并窃取从高辊数据库的信息。在另一集中,攻击者通过其互联网连接的CCTV安全摄像头攻击到银行。
一些物联网攻击可能是生命或死亡问题。2017年,FDA3.发出警报,即圣裘德医疗的可植入的物联网心脏设备容易受到“网络安全性侵入和利用”,这可能让黑客进入和远程消耗电池,甚至不适当的起搏或震动。这可能只是冰山一角。安全研究人员已经表明,许多其他物联网医疗器械包括胰岛素泵,呼吸机,婴儿培养箱,MRI机器和患者监视器具有高度易受破解攻击的影响。
管理IoT风险的六个步骤
制造商和消费者不能承担IoT部署的信心不已。作为上述情况表明,无担保的物联网设备留下易受数据盗窃,物理损害,收入损失,声誉损害等的企业。
另一方面,IOT还提供了效率,生产力和创新的许多好处。公司无法在部署IOT技术上无限期地暂停。无所作为携带自己的严重风险,让竞争对手失去竞争对手,以便更快地抓住物联网的优势。
最好的方法是通过使用纪律流程来仔细部署IOT以最大限度地减少危险。以下是,公司可以采取六步,以查找对IOT安全问题的解决方案:
- 确定业务的哪些部分可能是最脆弱的或暴露于对IOT设备的攻击。首先编译在整个组织中部署的IOT设备完整清单。然后评估这些设备对各种企业平台,网络和云集成构成风险的程度。公司应该努力保护所有漏洞,但他们应该优先考虑确保黑客可能会导致最令人发知的MASHEM,如果他们设法找到一种方式。
- 建立协作,多层防御。物联网设备通常有许多利益相关者,因此有任何成功的计划,减轻物联网风险将取决于跨业务部队的强大合作。通过共同努力,这些不同的利益相关者可以建立多层安全性,使公司的防御硬化,并提高公司遏制任何与IOT相关攻击造成伤害的能力。
- 练习并准备最坏情况的情况。良好的网络安全操作经常运行试验“消防钻探”练习,以模拟违规行为,以便测试组织的响应计划。鉴于检测和响应IOT违规所涉及的独特挑战,运行物联网特定的攻击模拟有意义。公司可以使用这些模拟的经验来创建防御剧本。如果是真正的物联网攻击,这些剧本将帮助网络安全团队可以灵活地响应,并有效地修复违规,含有损坏,并保持积极的客户体验。
- 制定全面的物联网安全技能。Cyber Security团队任务,有IOT保护应该能够保护设备本身的操作系统和固件,同时在平台或第三方集成的情况下也提供API安全性。为提供最佳的IOT保护,团队还应通过适当的加密密钥管理在身份验证,设备硬化和强加密中具有专业知识。
- 为IOT设备本身的安全性更强。公司可以向IOT设备制造商传达其安全问题,并宣布内置设备安全将在未来的购买决策中发挥重要作用。公司还可以促使大厅政府和监管部门对IOT行业施加更严格的安全规则。有一些司法管辖区开始征收这些规则的迹象。例如,到2020年,在加利福尼亚销售的任何IOT设备都需要用唯一的密码运送,或者在第一次使用设备时使用户选择自己的密码。有一些证据表明IOT设备制造商可以鼓励自我规范。在医疗保健行业中,一些主要的物联网设备制造商已形成联盟,以推动较紧密的行业标准对隐私和安全性。为了保护患者隐私,这些制造商正在努力确保IoT设备不存储任何个人可识别的信息(PII)。这也是一项政策问题,我们预计各国政府将出现越来越多的安全标准,以嵌入所有高冲击物联网系统的“安全通过设计”概念。
- 不断审核和监控IoT设备设置和健康。与网络安全的其他领域一样,对IOT的威胁总是改变和发展。为了保持强大的物联网安全,公司必须有程序到位,以确保IOT设备始终配备了针对已知威胁的最新补丁。它们还应不断扫描其网络以检测与IOT相关的异常,因此他们可以调查可疑活动并在发生任何漏洞时含有损坏。当此刻,网络安全控制的实施是由于缺乏工具和解决方案,但这一旦这些设备的威胁开始变得更加真实,这将迅速改变。
加强最薄弱的联系
它是否为构建由防火墙,入侵检测和事件管理系统,垃圾邮件过滤器,访问控制协议,数据加密,强密码要求和双因子认证组成的大规模网络安全堡垒。只能让IoT后门解锁宽敞地向任何偷偷地拓展过去。
IOT违规对公司的声誉及其整个行动构成了严重的威胁。损害物联网设备的攻击者可能导致各种各样的混乱 - 不仅仅是窃取数据,而且潜在地关闭工厂,破坏性设备,释放效用电网,甚至将微妙的制造缺陷引入精致的产品,这些产品可以导致昂贵的回忆几个月或多年未来。
鉴于所有这些威胁,组织应通过采取所有必要的步骤在黑客罢工之前加强其安全链中最薄弱的联系,以加强安全链中最薄弱的联系。此外,政府还应该有强烈的需求,为所有IOT系统发出安全和安全标准,并要求制造商在其IOT产品中设计设计。
1https://news.arubanetworks.com/press-release/arubanetworks/iot-heading-mass-adoption-2019-driven-better-expected-business-results.
2https://www.businessinsider.com/hackers-stole-a-casinos-database-伸出--a-thermometer-in-the-lobby -fish-tank-2018-4
3.https://www.fda.gov/medicaldevices/safety/AlertsandNotices/Cucm535843.htm.
