物联网设备通常是执行特定任务的小型工具或设备。因此,它们经常被忽略,而且它们在企业的IT基础结构中的重要性很少被考虑到。然而,考虑到物联网生态系统是一个广泛而微弱的攻击面,可能使企业机构遭受严重的网络攻击,情况不应如此。
物联网秒级范围
可以理解的是,开发物联网设备的程序员只能能做这么多事情,让这些互联设备更安全。这些设备的处理能力、RAM和存储有限,无法集成完整的安全解决方案。此外,在使用的众多物联网设备中,配备网络安全应用是非常低效的。预计到2025年,全球将有近310亿件物联网设备。
不过,网络安全团队总能找到方法来实施针对物联网的安全措施,政府监管机构也能制定规则,最大限度地降低攻击成功率。重要的是要认识到物联网的威胁有多严重,并寻找最好的方法来保护物联网。
物联网安全的重要性
由于企业和其他组织对物联网的依赖日益增长,物联网安全无疑是必不可少的。它们用于跟踪资源使用情况、自动化数据收集、执行人力资源功能、管理供应链以及服务于各种其他目的。特别是,物联网安全对于大型企业、工业组织、医疗设施和设备制造商至关重要。这些组织是2021年上半年上半年15亿物联网攻击的首要目标之一。
许多企业倾向于安装并忘记这些设备,没有意识到它们显著扩大了网络攻击的范围,并导致更大的网络风险暴露。据一项研究显示,只有不到25%的企业有信心充分保护其物联网设备。
物联网攻击与其他类型的网络攻击并无太大区别。它们对企业造成重大损害。2021年的一项研究估计,一次攻击物联网设备的成本约为30万美元。然而,当物联网攻击被用作访问企业网络、窃取数据或引入病毒、间谍软件、勒索软件和其他恶意软件的方法时,实际成本可能接近其他网络攻击的总成本。
对物联网威胁的重大响应
物联网安全有多重要?美国政府在这方面的行动可以成为一个很好的衡量标准。美国将物联网攻击视为一个主要问题,这一点从2020年物联网网络安全改进法案的通过得到了证明,该法案旨在为联邦政府拥有,或控制的物联网设备制定最低安全标准。该法案承认物联网产品带来的风险,并提高了美国政府对物联网安全的警惕。
此外,白宫最近公布了为联网设备制造商、行业集团和网络设备零售商实施物联网安全标签等计划。该程序类似于能源之星标签系统。它为消费者提供了有关其可用网络设备安全性的有用信息。
欧盟也有类似的计划。拟议的《欧盟网络弹性法案》包括旨在提高智能和联网设备安全性的部分。计划中的法律将要求设备制造商提供持续的安全支持和更新。此外,它还要求设备制造商在购买前后向消费者提供充分和准确的安全信息。
英国也有一个类似的立法提案,称为《产品安全和电信基础设施法案》,它建立在《消费者物联网安全实践守则》中设定的最佳实践的基础上。该法律适用于设备制造商、进口商和零售商。
开发人员如何提供帮助
旨在增强物联网安全法律的通过是一个受欢迎的发展,因为它迫使物联网设备制造商分担保持物联网生态系统安全的责任。物联网安全主要有三种方法,即网络安全、嵌入式安全和固件安全。
第一种方法主要是用户责任,而第二种和第三种方法是用户和设备制造商之间的共同责任。嵌入式安全可以由设备制造商预先安装,也可以由企业(用户)自己的网络安全和开发团队添加。设备制造商需要保证固件的安全,但用户也有义务对其进行漏洞扫描,并确定其已更新至最新版本。
然而,值得关注的是开发人员的作用,因为他们确实可以为更好的物联网安全做出贡献。除了确定固件的安全性之外,它们还可以帮助简化与不同操作系统的设备集成,特别是考虑到网络安全平台可以整合来自不同安全控制的安全数据。此外,开发人员可以为物联网设备开发轻量级应用,以实现安全功能,特别是确保安全引导、访问控制和固件更新管理。
在开发人员的帮助下,物联网设备中的许多安全漏洞都可以得到解决。问题是,他们没有被强迫把安全放在首位。许多设备制造商并不关注软件驱动的安全性,而是专注于生产和销售尽可能多的产品。一些无良的公司甚至要求他们的开发人员简单地使用和稍微调整免费的开源软件。
到目前为止,许多关键的安全保护措施都缺失了。这些措施包括对设备和网络的强身份认证,以确保只有经过授权的个人才能获得数据,以及对静止和传输中的数据进行加密,但有多少设备还没有配备可以更新的固件,以应对新出现和不断发展的威胁。
这一问题的明显证据是,所谓的智能设备和支持网络的设备普遍存在,它们可以自动连接到最近的蓝牙设备。而没有安全意识的廉价“智能”和物联网设备已经充斥全球市场。
一些物联网制造商,如戴尔、ARM、微软和博世一直在合作创建物联网平台,使设备能够使用通用语言,相互操作,并通过通用的数字认证和加密系统实现安全。然而,大多数其他国家并没有效仿。
结论
物联网的安全问题不是一个容易解决的问题。它需要物联网市场参与者之间的整体解决方案和协作。物联网市场的企业需要接受设备安全的需求,并投资于体面的固件开发或谨慎的开源使用。
开发人员可以为设备制造商自由使用高质量的开源物联网框架,但这样的努力不会说服制造商优先考虑安全问题。幸运的是,各国政府现在已经认识到物联网的安全挑战,相关法律已经在制定中。希望世界其他地区能更多地意识到物联网的安全问题,并采取必要的解决方案。