2020年终于过去了!在网络安全方面,每个人都担心恶意行为者篡改选举数据,但他们似乎更专注于(或至少成功地)对医院进行勒索软件攻击。
在物联网方面,我们看到了重大漏洞的披露,例如6月份的Ripple20和12月份的Amnesia-33,这些漏洞暴露了数百万台物联网设备中使用的TCP / IP堆栈。TCP/IP作为物联网的动脉系统,承载着作为其生命线的数据,这些漏洞再次证明了为什么所有组织都需要一个计划来快速对其物联网设备执行固件更新——如果他们想从这些漏洞中及时“止血”的话。
那么,在物联网安全方面,新的一年会带来什么?我不能说我的水晶球足够透亮,但是我愿意就2021年的物联网安全发展做出以下三个预测。
安全即服务迅速进入物联网市场
正如FireEye和其他安全即服务(SECaaS)提供商最近取得的成功所表明的那样,公司越来越多地寻求将其本地部署、云和其他网络安全需求外包出去。这些SECaaS提供商将深厚的网络安全专业知识、易于部署的SaaS安全解决方案和规模经济相结合,以比内部替代方案更低的成本为公司提供强大的安全性。
现在,SECaaS供应商正在向物联网市场扩张——我预计这种扩张将在2021年加速。全球公司部署的数以百万计的物联网设备是网络犯罪分子的巨大目标,而公司缺乏物联网安全专业知识往往使这些设备容易被犯罪分子攻击。与其自己成为物联网安全专家,我希望公司越来越多地与SECaaS提供商合作,以保护其物联网数据免受恶意行为者的攻击。
然而,关于这个新兴的物联网安全市场,一个问题是,谁将主导它?SECaaS提供商是否会将其现有应用扩展到物联网,为公司提供满足其安全需求的全面解决方案?或者是专门为保护物联网数据而设计的SECaaS应用的初创企业,谁会是这个市场的领导者?在这个问题上,只有时间能证明一切。
公司将要求物联网解决方案提供商建立自己的安全保障体系
虽然越来越多的公司将物联网安全外包给SECaaS提供商,但他们现在也将开始要求(如果他们还没有这样做的话)其物联网设备、网络连接、云和其他提供商不仅要承诺让他们的解决方案安全,而且还要证明这一点。
具体来说,他们将只与对物联网安全问题有深刻理解、将强大的安全功能集成到产品中,并正在不断更新这些产品的物联网解决方案提供商合作。
通过仅与致力于安全性的物联网解决方案提供商合作,这些公司将能够部署其物联网安全计划,为其提供深度防御,使他们能够避免物联网安全盔甲出现裂缝,导致数据泄露或丢失。
预计会有更多公司要求其物联网解决方案供应商对以下问题给出明确的答案,以此来兑现他们的安全承诺:
- 可以展示您在处理安全漏洞报告时如何致力于透明度和响应能力?
- 您是否通过成为产品的CVE编号机构(CNA)来承担漏洞披露责任?
- 您有什么计划来提供及时的物联网设备安全更新,您将如何帮助我们部署这些更新?
物联网黑客教会公司,他们必须将安全性作为物联网部署的关键要求。毕竟,如果他们与不致力于安全的物联网解决方案提供商合作,则他们会使其物联网应用程序乃至整个IT环境面临遭受复杂网络罪犯攻击的风险。
物联网安全基础的回归
去年,许多人预测,公司将部署新的基于AI的威胁情报和其他前沿安全技术,以保护自己免受攻击。
然而,尽管这些新技术确实有希望,但过去一年发生的大多数物联网黑客攻击都是由于公司根本没有遵循基本的物联网安全最佳实践造成的。(来源物联之家)早在2018年,开放式网络应用安全项目(OWASP)就确定了十大最具影响力的物联网安全漏洞,其中最大的漏洞是弱密码、可猜测密码或硬编码密码。紧随其后的是缺乏安全更新机制,这可能导致设备运行在旧的、易受攻击的固件上。
说到保护您的物联网数据,您无需人工智能即可创建强密码、更新设备固件或激活并使用物联网设备的内置防火墙——只需要确保您遵循基本的物联网安全最佳实践。
实施这些基本的最佳实践不仅可以提高物联网应用的安全性,而且还可以带来降低运营成本的机会。例如,一家确保更新其设备固件的公司可能会很快发现,通过无线固件更新,他们可以很容易地保护自己的物联网设备免受新的攻击,从而使他们消除了技术人员的昂贵差旅——手动更新物联网设备。
也许我过于乐观了,但我相信,在过去一年里,基本的物联网安全最佳实践可以解决诸如Ripple20和Amnesia-33之类备受关注的漏洞。到2021年,公司将确保已完全实施这些最佳实践,然后,再寻找其他技术来应对更罕见、更复杂的攻击。