蜂窩無線技術的進步(如 LPWAN 和 5G)、強大的物聯網應用平臺、安全的物聯網連接平臺和一體化物聯網基礎設施解決方案,使公司比以往任何時候都更容易部署變革性的新物聯網應用。然而,隨著新型工業資產監測、預測性維護、智慧能源、醫療物聯網(IoMT)和其他物聯網應用的使用不斷擴大,這些應用的威脅態勢也隨之擴大。鑒于這種不斷擴大的威脅態勢,以及網絡攻擊的數量和復雜性不斷增加,組織如何以安全的方式部署物聯網應用(端到端地保護它們——從邊緣設備到網絡再到云)?
物聯網安全太過復雜,沒有一篇文章可以為您提供實施強大物聯網安全策略所需的所有信息。但是,通過回答一些關于物聯網安全的基本問題,將有助于您了解什么才是強大的物聯網安全策略,并為您提供一些可行步驟來實施這些策略。
物聯網應用為什么會受到攻擊?
試圖勒索數據的犯罪分子、試圖竊取商業機密的競爭對手、試圖推進其國家利益的流氓國家行為者、想要一點刺激的無聊黑客,以及其他惡意行為者都會對您的物聯網應用構成威脅。
有時,這些惡意行為者想要訪問物聯網應用生成和傳輸的數據。其他時候,他們希望使用這些物聯網網關作為侵入您其他企業系統的入口——例如著名的犯罪分子利用智能魚缸入侵賭場的內部IT系統。黑客甚至可能只是想利用您的物聯網設備對其他組織的 IT 系統發起攻擊,就像Mirai僵尸網絡接管物聯網設備對域名服務提供商Dyn發起攻擊那樣,最終導致Twitter、Netflix、CNN和其他使用Dyn服務的網站癱瘓。
正如這些示例所示,犯罪分子出于多種原因使用多種技術攻擊物聯網應用。如果您有物聯網應用,則需要物聯網安全策略,以幫助最大限度地減少所有這些類型攻擊成功的機會。
什么是物聯網安全策略?
物聯網安全策略使用安全技術和流程來防止物聯網攻擊,在發生時進行檢測,并減輕這些攻擊的程度和損害。
強大的物聯網安全策略應端到端保護物聯網應用,從智能物聯網模塊、路由器或其他邊緣設備,到以太網、Wi-Fi、蜂窩或其他網絡,再到它們所收集和傳輸的數據。
這種保護還需要超越保護物聯網數據的范疇——如上面的智能魚缸和Mirai 僵尸網絡示例所示,犯罪分子可能希望利用您的物聯網設備、網絡或云來滲透或攻擊您自己的IT系統或其他組織的IT系統。
物聯網給企業帶來了哪些獨特的安全挑戰?
雖然組織在保護其物聯網應用方面面臨的許多挑戰與他們在保護其ERP、移動和其他應用方面面臨的挑戰類似,但物聯網安全也帶來了其獨特的挑戰。
物聯網安全的最大挑戰之一是連網“事物”的數量。除了傳統的 IT 基礎設施之外,呈指數級增長的連網事物增加了潛在的攻擊面,從而產生了更多潛在的安全問題。事實上,Gartner 預測到 2029 年將有超過 150 億臺物聯網設備連接到企業基礎設施。
與筆記本電腦、智能手機相比,許多物聯網設備的預期壽命要長得多——10 到 15 年或更長。這意味著需要對這些設備進行精心設計,以便在未來幾年可以通過安全補丁進行升級。這對于物聯網設備來說可能很困難,因為這些設備中的許多都依賴于電池供電,而安全升級在傳輸到設備時會耗盡物聯網設備的電量。
此外,與用于其他類型應用的設備不同,很多物聯網設備位于人們難以接近的地方(管道、電線上、屋頂、工業設備內部)。這使得物聯網安全技術可以遠程配置和管理變得非常重要——派遣技術人員物理連接每個設備以更新其安全性可能非常耗時且昂貴。
物聯網還從以前從未連網的東西(熱水器、空氣壓縮機、液體肥料罐)收集數據。與計算機和智能手機不同,這些東西可能沒有內置安全技術,您的物聯網安全策略需要考慮到這一點。
如何實施強大的物聯網安全策略?
網絡安全是一個復雜的主題,物聯網安全策略應反映物聯網應用和使用案例的特定安全要求。這使得很難在一篇文章中為您提供實施強大物聯網安全策略所需的所有信息——尤其是具有深度防御、多層設備、網絡和云保護的策略。
但是,通過遵循這些最佳實踐,您可以加強您的物聯網安全策略,并降低物聯網攻擊成功穿透您防御并中斷您運營的可能性。
? 選擇具有高級安全功能并支持安全協議的物聯網設備
在物聯網安全方面,并非所有物聯網設備都是一樣的。通過使用具有安全引導、安全無線固件更新、安全存儲、訪問控制和其他高級安全功能的設備,以及對 HTTPS 和 TLS 等安全協議的支持,您將能夠實施強大的物聯網安全策略。
? 保護您的物聯網網絡
網絡犯罪分子可以通過您的網絡以及您的物聯網設備侵入您的物聯網系統。確保您的設備、網絡和云允許您實施網絡安全機制,包括具有網絡地址轉換 (NAT) 和端口地址轉換 (PAT) 的狀態防火墻、端口轉發、DMZ 主機、專用接入點名稱(APN)選項和虛擬專用網絡 (VPN) 功能,例如 IKEv2、MOBIKE 和 FIPS 140-2。
? 使用安全云
您的物聯網應用可能不僅使用物聯網設備和無線網絡,還使用云服務。為您的物聯網應用選擇云服務時,請確認該服務允許您創建唯一或隨機的設備憑據,使用多身份驗證加密數據,并可以抵御DDoS攻擊。
? 隨時了解新威脅
新的物聯網安全漏洞和新型網絡攻擊不斷涌現。這需要不斷更新您的物聯網安全策略以應對這些變化。通過建立一個流程來收集和評估來自物聯網合作伙伴和政府機構關于新安全威脅和漏洞的信息,并定期更新所有固件和系統,可以確保您的物聯網安全策略不會隨著時間推移而減弱。
? 保護您的密鑰
使用強憑據對設備和服務器進行多身份驗證。每個設備都應該使用唯一的憑證,理想情況下,憑證應該是隨機的。此外,即使是強憑據也應根據行業準則進行更換,以限制任何被盜憑據的有效性。
? 與專業的物聯網安全合作伙伴合作
隨著物聯網成為企業成功不可或缺的一部分,與值得信賴的公司合作開發物聯網應用和數據變得比以往任何時候都要重要。此外,除非您從事物聯網安全業務,否則您的組織很難投入所有必要的資源,以讓您的團隊擁有專業的物聯網安全專家。與您可以信任的公司合作,這些公司擁有長期、受人尊敬的物聯網記錄,并且在制定嚴格法規以保護客戶數據的國家/地區設有辦事處。
? 零信任模型
這種主動式安全模型假定網絡和/或設備始終面臨內部和外部威脅。為了應對這些威脅,組織可以采取一系列措施,包括設備身份驗證的強識別、集中配置和合規性解決方案。
