显然,物联网安全比以往任何时候都重要——但不幸的是,物联网安全也比以往任何时候都更具挑战性。
一些背景:2019冠状病毒病(COVID-19)大流行和2020年的封锁让所有分析师的预测陷入混乱,但随着经济开始走出危机,IT支出预计将再次恢复,其中包括物联网(IoT)的增长。
物联网不是一个单一的类别,而是分为许多行业和用例。ForresterResearch预测,到2021年,物联网市场的增长将由医疗保健、智能办公室、位置服务、远程资产监控和新的网络技术驱动。
这在很大程度上是由COVID-19的余波推动的。远程工作的爆炸式增长,以及远程医疗,在一定程度上推动了这一趋势。新的设备正在问世,为那些不能或不愿去看医生的病人做诊断。
与成功采用物联网相关的关键问题之一是具备足够的安全机制。这对物联网医疗设备尤其重要,因为出于隐私原因,医疗保健受到了严格的监管。
不仅仅是保护特定的物联网设备,而是保护所有设备。如果被黑客入侵,你连接的冰箱可能不会对你的家庭安全造成太大威胁,但它可以作为一个网关,进入你家庭网络中更重要的设备。然后它就变得和心脏监测器一样重要了。
工业物联网(IIoT)也是如此。去年夏天,有消息称俄罗斯黑客侵入了美国核电站的控制系统。这种妥协对全球制造业务的影响是相当大的。
因此,一段时间以来,物联网安全一直是IT经理的头等大事也就不足为奇了。
了解物联网及其复杂性
物联网(IoT)是连接到互联网的设备集合;这些物联网设备不是传统的计算设备。想想那些在历史上还没有联网的电子设备,比如复印机、冰箱、心脏和血糖仪,甚至咖啡壶。
物联网是一个热门话题,因为它可以连接以前未连接的设备,并将连接带到通常孤立的地方和事物。研究表明,采用物联网的公司最大的好处是提高员工生产力、更好的远程监控和简化流程。
关于物联网安全,你应该知道些什么?
多年来,技术领域出现了一种不幸的模式;我们急于拥抱新事物,并在稍后确保它的安全。物联网设备就是这样。他们经常因为黑客攻击而登上新闻,威胁程度从轻微到严重不等。
物联网安全是国土安全部最关心的问题,该部撰写了一篇关于物联网设备安全的长篇论文。虽然该文档已经存在5年了,而且物联网世界已经发生了很多变化,但其中列出的许多原则和最佳实践仍然有效,值得考虑。
51Research的研究表明,有55%的IT专业人员将IoT安全列为重中之重,而且这一数字可能还会增长。那么,您如何做才能保护您的物联网设备呢?很多很多领域让我们深入。
1)假设每个物联网设备都需要配置
当市场看到智能猫砂盒和智能盐瓶的出现时,你就知道我们正处于或接近物联网设备的采用高峰。但是,不要忽略这些特性,也不要认为它们是开箱即用的安全配置。让它们未配置或未锁定,对黑客来说是一个突破口,不管是什么设备。
2)了解设备
你必须知道哪些类型的设备连接到你的网络,并对所有连接的物联网资产保持详细的、最新的库存。
您应该始终保持您的资产地图与每一个连接到网络的新物联网设备的最新,并尽可能多地了解它。需要了解的事实包括制造商和型号ID、序列号、软件和固件版本,等等。
3)需要强大的登录凭证
人们倾向于在所有设备上使用相同的登录名和密码,而且通常密码都很简单。
确保每个员工的每次登录都是唯一的,并要求设置强密码。如果可用,请使用双因素授权,并始终在新设备上更改默认密码。为了确保可信的连接,使用公钥基础设施(PKI)和数字证书为设备身份和信任提供安全的基础。
4)使用端到端加密
连接的设备相互通信,当它们这样做的时候,数据就从一个点传输到另一个点,而且往往是在没有加密的情况下。您需要在每次传输时加密数据,以防止包嗅探(一种常见的攻击形式)。设备应该有加密数据传输选项。如果没有,考虑其他选择。
5)确保更新设备
确保在第一次使用时更新设备,因为固件和软件可能在设备生产和购买之间更新过。如果设备有自动更新功能,启用它,这样你就不必手动更新了。定期检查设备,看看是否需要更新。
在服务器端,修改路由器的名称和密码。默认情况下,路由器通常以制造商命名。还建议您避免在网络中使用公司名称。
6)禁用你不需要的功能
保护设备的一个很好的步骤是禁用任何你不需要的特性或功能。这包括开放的TCP/UDP端口,开放的串行端口,开放的密码提示,未加密的通信,不安全的无线电连接或任何可以进行代码注入的地方,如Web服务器或数据库。
7)避免使用公共Wi-Fi
在星巴克使用Wi-Fi并不是什么好主意,尤其是当你连接到自己的网络时。
公共Wi-Fi接入点经常是旧的、过时的、没有升级的,而且很容易破坏安全。如果必须使用公共Wi-Fi,请使用VPN(VirtualPrivateNetwork)。
8)建立客户网络
访客网络是一个很好的安全解决方案,对于那些想在家里或办公室使用你的Wi-Fi的访客。客户网络为他们提供网络访问,但将他们与主网络隔离,因此他们无法访问你的系统。
你也可以为你的物联网设备使用客用网络,这样如果设备被入侵,黑客就会被困在客用网络中。
9)使用网络分段
网络分段是指将网络划分为两个或多个子部分,以实现对设备和工作负载之间流量横向移动的精细控制。在不分段的网络中,没有任何东西是隔开的。每个端点都可以与另一个端点通信,因此一旦黑客突破你的防火墙,他们就拥有完全的访问权限。在一个分段的网络中,黑客移动变得更加困难。
企业应使用虚拟局域网(VLAN)配置和下一代防火墙策略来实施将物联网设备与IT资产分开的网段。这样,两个组都可以受到保护,不会受到横向攻击的可能性。
还可以考虑部署零信任网络体系结构。顾名思义,零信任基本上保护了每一个数字资产,并且不假定来自另一个数字资产的信任,从而限制了未经授权访问的人的移动。
10)主动监控物联网设备
我们再怎么强调这一点也不为过:实时监控、报告和警报对于组织管理物联网风险是必不可少的。
传统的端点安全解决方案通常不能与物联网设备一起工作,因此需要一种新的方法。这意味着对异常行为进行实时监控。就像零信任网络一样,不要让物联网设备在没有持续关注的情况下访问你的网络。