我第一次接触物联网是在2016年。当时我们正致力于开发基于物联网的血库监测解决方案。安全性已经摆在桌面上,但我在与许多物联网专家的交流中发现,当时对许多企业来说,安全并不是一个重要的优先事项。在众多分布式拒绝服务攻击和几代物联网设备的出现之后,企业仍在努力解决物联网安全问题。让我们来看看为什么物联网安全继续对企业构成巨大挑战,以及需要做些什么来解决这个问题。
物联网设备面临哪些安全挑战
1、扩大面积
用户通常是最重要的攻击面,因为他们可能成为钓鱼活动的目标,可能无意中或自愿共享凭证或其他敏感信息,或很容易被骗采取可能导致恶意软件部署的操作。所有这些行为不仅会泄露数据和证书,还会引发攻击,造成昂贵的成本,并将生产计划或其他目标推迟数天、数月甚至数年。
设备的增加也意味着威胁面积的增加。此外,网络或设备的错误配置也可能导致安全体系结构中的漏洞。
2、物联网设备日益增多
联网设备的数量每个月都在持续增长。根据订阅数据源的不同,这个数字可能千差万别。随着每年新用例的增加,物联网已经深入到农业、智能家居、交通、金融服务和制造业等领域。在过去几年里,物联网供应商的数量也呈指数增长。随着传统制造国家的制造商数量增加,以及其他国家新制造单位的增加,物联网设备制造商的数量也出现了指数级增长。
随着设备制造数量的增加,人们希望安全性会得到更多的关注,并且随着新的、更高效的物联网设备的到来,代际安全差距将得到解决。然而,我们看到的是在新设备的所有级别检测到新的漏洞,以及尚未解决的漏洞,这种情况正在为黑客创造新的机会。
3、日益复杂的攻击
物联网设备和项目正在吸引APT群体的大量关注。物联网与关键基础设施项目的日益融合,以及物联网在金融服务和其他关键领域的使用,可能是APT群体越来越多地跨垂直领域扫描物联网设备的原因之一。根据某研究团队的研究,物联网项目在2022年4月的网络攻击增加了77%。这是有史以来最大的一次攻击增长。复杂攻击的数量在同月增加了133%。石油和天然气以及制造业是受攻击最多的行业。
4、监管/合规监管标准
企业可以采用很多标准来提高安全性。此外,OneM2M标准还使物联网应用能够基于一个通用的服务层,在各种分布式环境中发现和接口物联网设备。它还规定了许多其他途径来提高物联网安全。
虽然大多数标准是自愿的,但监管机构往往建议自愿遵守这些标准,以减轻风险和降低风险,这可能是许多跨部门的企业没有遵守这些标准的原因之一。其中一些标准一旦采用,可以提高效率,促进网络和资产透明度,从而转化为提高生产力和投资的资本回报率。
这些只是物联网安全仍然是企业面临挑战的部分原因。为了解决这些问题,企业将不得不扩大其整体安全措施。
以下是应对物联网安全挑战的7项措施:
● 在采购过程中嵌入安全要求,以覆盖整个供应链。
● 应在每个项目的概念验证级别测试安全要求。
● 应优先考虑漏洞和补丁管理。
● 应经常进行安全审计,并分析风险暴露和整体安全状况,以找出差距和改进机会。
● 物联网安全目标应该作为企业跨地点整体运营安全政策的一部分发布。
● 使用正确的威胁情报和成熟的实践来改进威胁搜索。
●进行物联网威胁评估来找出安全漏洞。