在讨论物联网(IoT)安全时,首先要认识到我们的日常生活越来越依赖于这些完全连接的系统。将物联网设备集成到关键行业中意味着,在提高效率的同时,我们也为新的攻击点创造了温床。Sectigo嵌入式解决方案IoT副总裁Alan Grau说,这些网络至关重要;保护大门成为当务之急。
即使是外行市民也会意识到保持电网或供水系统密封的关键性,但谈话中经常缺少一个要素,即确保物联网设备安全的核心作用,包括使用数字证书进行认证。
现在有必要对所有相关的东西进行认证,而证书是克服我们关键的国家基础设施(CNI)中的漏洞的最前线。时间是最重要的。Ponemon研究所透露,90%的CNI提供商已经在应对物联网攻击。很可能,其他10%的人还没有意识到他们也受到了攻击。
随着越来越多的分布式拒绝服务(DDoS)和勒索软件攻击继续针对不安全设备,组织需要唤醒并解决从服务器到车辆到电网的生态系统中不安全端点所带来的固有风险。
最近,越来越多的政府发布了消费设备安全的监管要求,但这些措施远没有全球性,也不全面。这取决于生态系统中的每个人,从原始设备制造商(OEM)到最终用户组织,构建并采用保护我们CNI的认证技术。
保障医疗行业安全
医疗保健部门面临着处理大量敏感数据的巨大挑战。无论是管理知识产权、机密个人健康信息(PHI)还是连接设备的配置;数据理所当然是卫生部门最宝贵的资产,也是最复杂的保护对象之一。
任何保存或传输高价值患者、研究或组织数据的系统或设备都面临风险。这些威胁可能来自内部和外部来源,现在已经从恶意软件、勒索软件、物联网僵尸网络和盗窃到网络钓鱼、商业电子邮件泄露(BEC)、勒索和大规模数据泄露。
不幸的是,许多医疗机构仍然没有得到充分的保护。大多数都没有高级别的数据加密来保护动态数据和静态数据。许多人仍然没有充分利用数字身份在各种用例中带来的好处。
或许更令人担忧的是,该行业无担保的“东西”往往被忽视的风险。大多数具有依赖物联网的新兴商业模式的医疗保健机构通常无法认识到其连接的设备(用于患者监控的生物传感器、用于远程医疗的可穿戴设备、起搏器、泵等)代表着重大的安全风险。
患者体验的日益数字化,加上对数据(包括信用卡支付数据)的日益依赖,意味着该行业的组织必须不断增强其安全能力,并消除潜在的漏洞,以防受到威胁。
保护每辆车
自主车辆的到来将加大物联网攻击对财产和生命的潜在威胁。在不久的将来,送货卡车、公共汽车、出租车和个人车辆将实现自主化,为网络攻击者提供丰富的目标。自主汽车制造商表示,物联网技术将使这些车辆能够直接相互通话,并与城市交通系统进行通话,这将导致更高效、更安全的出行系统。
然而,这种交流需要一个完美的,不受车辆之间信息流的限制,以确保它们在高速行驶时保持紧密的协调,仅相距几英寸。
根据2019年消费者监督机构的报告“Kill Switch”,到2022年,美国道路上超过三分之二的新车将与它们的安全关键系统建立在线连接,这将使它们面临对主要用于信息娱乐、GPS导航和其他功能的车辆“头部”系统的致命黑客攻击。
如果这些车辆中的一个受到黑客攻击,通信中断,无法与其他车辆协调,会发生什么情况?至少,黑客可以导致流量混乱。在最坏的情况下,不良行为可能导致严重事故,可能导致乘客和/或附近行人受伤和死亡。另一个真正的威胁是针对车辆的大规模勒索软件攻击。安全性对于联网汽车来说显然是必不可少的。
保护电网
物联网在能源领域的好处显而易见。传感器和控制装置的大量收集确保了供电的可靠性,并且可以通过控制任何给定时刻的功率通量来防止停电。该系统的现代化还意味着提高能源效率,减少对人为干预的需求,这是企业节省成本的优势。此外,通过检索丰富的数据,智能电网可以创建预测性维护模型,提高整体安全性。
当然,这种自动化和集体智能也有另一面。在过去的十年里,无数的网络攻击和白帽事件凸显了能源行业的脆弱性及其作为目标的高价值。网络犯罪分子明白这一点,并继续积极寻找在外国网格中植入恶意代码的方法,以便在需要攻击时加以利用。其中一个例子是俄罗斯对乌克兰电网的试射,证实了该国有能力随意熄灯。
考虑到潜在的灾难性后果,能源行业现在比以往任何时候都更重要的是,确保这一日益普及的技术成为一个主要优先事项。
从制造层设计解决方案
解决方案不仅掌握在立法者手中,还掌握在设备制造商和其他供应链相关方手中。身份管理必须通过设计内置、自动化以避免错误或破坏,并在每个设备的整个生命周期中定期更新。
身份验证工具是保护关键基础设施及其许多设备的基本保障。数字证书、安全引导和安全代码更新、嵌入式防火墙和其他技术使医疗、运输、能源和其他关键企业能够在未经授权的连接进入网络之前检测并阻止这些连接,从而从一开始就对网络犯罪分子关上了大门。
企业和嵌入式物联网安全不再仅仅是技术供应商或网格运营商关心的问题。物联网身份已经成为国家利益的问题。