物联网为企业带来了前所未有的灵活性和功能性。更多的物联网设备有望帮助企业简化供应链运作,提高效率,降低现有流程中的成本,提高产品和服务质量,甚至为客户创造新的产品和服务。物联网将优化甚至彻底改革商业模式,使之变得更好。
物联网数据的大规模生成、收集和分析无疑将为企业提供巨大的利好,但通过不安全的网络和易受攻击的切入点,物联网设备很容易遭受攻击,这吸引了不少蠢蠢欲动的网络罪犯分子。
根据Gartner的数据,近20%的企业在过去三年中至少受到一次基于物联网的攻击。到2025年,全球联网设备预计将有750亿个,也就是说,网络安全漏洞和数据泄露的风险将在现在的基础上增加5倍。
因此,随着我们进入一个以物联网为主导的新时代,在部署多个连接设备时,必须重新审视企业面临的威胁,并将其纳入企业安全战略。以下是所有企业在制定网络防御计划中都应考虑到的物联网安全漏洞的三个案例——从对看似无利害关系的产品入侵,到彻头彻尾的恶意攻击。
1.即便是最简单的连接设备也容易受到攻击
几乎所有去拉斯维加斯赌场的人都是赢少输多,但这通常与网络攻击没有联系,更不用说从鱼缸开始的物联网攻击了。然而,这正是拉斯维加斯一家赌场首次遭遇网络安全攻击的原因。
在赌场的浴缸里,用于远程监控和投喂的连接温度计为黑客提供了一个完美的访问点,让他们可以获取有关高级游客的数据。黑客总共窃取了10GB的个人数据,并将其发送至芬兰的一个远程服务器。
物联网设备正越来越多地应用于各个领域,正如拉斯维加斯鱼缸的事例,即使是最简单的连接设备也可能成为通往企业网络或其他私有网段的潜在网关。鉴于世界上80%的数据都保存在私人服务器上,因此阻止黑客入侵比以往任何时候都更重要。
2.连接设备的物理保护和处理很复杂
有时候,你需要警惕的不是黑客,而是物联网设备本身的运作。2018年,网络安全博客Limited Results对LIFX迷你白炽灯泡进行了黑客攻击,发现了智能灯泡自身的漏洞,即任何能够实际访问该产品的人都可以提取用户的Wi-Fi密码、以及RSA私钥和root密码。
LIFX通过固件更新修复了该漏洞,但它引出了有关设备的物理状态的重要问题,包括旧的或有缺陷的智能设备的使用和处理过程中的保护。随着企业业务继续采用和升级IoT,这个经常被遗忘的漏洞必须铭记于心。
3.恶意软件带来网络物理威胁
世界已经习惯了恶意软件窃取私人信息,但正如拉斯维加斯鱼缸和LIFX的例子那样,它很少对受害者构成身体上的威胁。直到2018年,人们发现了针对沙特阿拉伯一家炼油厂安全系统的Triton industrial恶意软件。据说这是有史以来第一个被设计用来危害工业安全系统的恶意软件,通过该软件,黑客能够禁用传感器,严重的话会有致命的灾难发生。黑客们采取措施,慢慢渗透进越来越多的系统,并开发出更精确的恶意软件。
幸运的是,在更多的攻击被执行之前,这个实例就被发现了,但这并不能阻止黑客开发出更危险的恶意软件。因此,随着工业控制系统日益连接并依赖于物联网设备,企业必须采取措施为这些设施建立安全保障。
合规管理的难题
即使物联网没有广泛应用,许多企业也面临着创新的挑战,这些创新可能为数据保护打开潜在的漏洞。在过去的几个月里,英国航空公司(British Airways)、万豪酒店(Marriott Hotels)和多家地方政府机构因意外泄露大量个人数据,根据欧盟(eu)《一般数据保护条例》(General Data Protection Regulations,简称GDPR)被处以巨额罚款。事实上,仅万豪酒店的数据泄露就暴露了700万条与英国居民有关的记录。
这些巨额罚款表明,欧盟委员会(EC)内部的监管机构是很积极地解决安全和合规问题,以确保个人数据保持私密。即将出台的新的基于英国的物联网安全法律将要求设备制造商对连接设备本身内易受攻击的切入点负责。然而,企业还需要对自身IT架构中的弱点——安全性和遵从性,承担更多的责任。
解决方案是什么?
物联网尚处于雏形状态,在可预见的未来,它很可能会成为黑客的一个很具吸引力的目标。随着越来越多的技术出现,IT环境变得越来越复杂,物联网的攻击面将会迅速增加。企业必须采取正确的预防措施,防止黑客攻击对物联网项目造成严重破坏。
加强网络安全的一种方法是在安全环境中使用机器学习(ML)和人工智能(AI)等先进分析技术处理物联网数据。通过采用先进的分析技术,可以监测所有连接设备的运作和异常,从而识别关键的安全事件或误操作。更重要的是,通过采用BlockChain,企业可以消除物联网中对数据中心的需求。这意味着,如果管理员被要求执行一项不寻常的任务,网络中的任一连接设备都可以提醒管理员。
企业在支持物联网环境时,也必须考虑到他们的合作伙伴——专业的网络安全机构,其运营的用于实时应对网络攻击的先进安全防御中心,可以为企业提供一站式服务,满足它们的网络安全、合规和新兴技术需求。
这样的网络安全中心应该是由一系列复杂的工具和平台提供动力,包括日志和行为分析、网络威胁情报、基于云的安全框架、由机器学习驱动的高级攻击预测平台,并集成到一个自动化和编排平台中。
因此,这些中心可以为企业提供一个全面的安全仪表板,可鸟瞰IT和物联网网络及其安全性。从成本和技能的角度来看,这样的中心很难建立和维护,因此企业可以利用专家合作伙伴的深厚专业知识来加强他们的系统和数据保护态势,并应对日新月异的法规。
只有采用整体方法来解决物联网安全问题——采用基于云的普适控制,并通过新兴技术进行扩展可见性和保护,才能确保企业端到端受到保护,并始终遵守数据保护标准。
总之,没有必要害怕物联网。有了正确的保障措施,它就可以履行其承诺,并改进它要提供的流程和服务。