影響物聯網設備未來管理方式的三個主要因素
組織必須采取積極主動的方法來減輕互聯技術帶來的日益增長的網絡風險。
盡管做出了很大努力,但毫無疑問,在可預見的未來,網絡安全仍將是大多數組織的優先事項。黑客們仍在積極嘗試滲透到公司和個人的各種網絡系統中,其中勒索軟件、惡意軟件、間諜軟件和其他不需要的程序繼續感染系統,破壞數據并竊取知識產權。自動化的“僵尸網絡”程序會搜索整個全球網絡,并攻擊它們找到的每臺計算機或每個網站,以探測諸如過時軟件或已知漏洞。
有人可能會認為,這種情況會導致人們對將更多設備連接到全球網絡的興趣降低。相反,新的連網設備的數量和多樣性正在迅速增加,而我們仍處于由物聯網驅動的更加互聯世界的早期階段。
壞消息是,沒有任何一個網絡可訪問的信息或系統是完全安全的,也沒有任何行業、政府或個人能夠幸免。
好消息是,現在正是審查物聯網設備安全策略和更新網絡相關管理流程的最佳時機,以確保它們已準備就緒以應對這一迅速接近的現實。以下是影響物聯網設備未來管理方式的三個主要因素。
因素一:挑戰的規模
物聯網正在改變安全挑戰的規模。過去,諸如門鎖或安全攝像頭之類的設備都是基于物理機制或專用電子電路的。如今,支持互聯網的門鎖和安全攝像頭集成了需要跟蹤、管理和更新的處理器和操作固件。過去習慣于管理公司服務器和筆記本電腦的IT和安全部門已經發現,他們現在需要管理大量連網設備,以維護網絡安全。
很快,將增加更多設備——環境傳感器、照明控制、暖氣通風口等等。設想不久的將來,花園內灌溉系統中的每個噴頭都能聯網并由可更新的固件驅動。到那時,大型系統的管理者將不再管理幾百臺設備,而是管理數千臺、幾十萬臺,甚至數百萬臺設備。
因素二:連網設備的性質
物聯網設備的性質也在發生變化,因為物聯網設備的目的是提高互聯系統的能力。在過去,例如,攝像頭捕獲圖像,并通過專用電纜將視頻流直接發送到記錄器。攝像頭和記錄器分別執行其功能,并且具有不同的目的。如今,視頻監控系統通常由VMS管理,該VMS使用IP網絡與記錄器和攝像頭通信并對其進行控制。
與基于每個單元功能的舊方法相比,網絡系統單元之間的這種互操作性支持更大的能力和靈活性。這種新方法還支持大型復雜系統,例如由多個供應商攝像頭組成的系統。然而,為了使其工作,每個單元的軟件不僅必須以保護其免受網絡威脅的方式進行維護和更新,而且還必須以與系統中每個其他單元兼容的方式進行更新,以支持所需的操作。
展望未來,物聯網設備制造商將面臨巨大且不斷增長的挑戰,既要保持其設備的持續安全性,又要保持與各種系統的互操作性(這些系統將與他們的設備進行交互,以執行所需的功能)。
因素三:提高安全性的影響
如上所述,當今的網絡環境包括黑客、惡意軟件和自動攻擊者。作為回應,網絡設備制造商不僅增加了其產品的基本安全性能,而且還增加了更高級別的安全保護。例如,一些聯網監控攝像頭不僅需要密碼才能訪問其管理功能,而且現在還包括一個功能,如果連續發生太多次失敗的登錄嘗試,該功能可以暫時鎖定IP地址。
隨著越來越多的系統將使用多個物聯網設備來完成越來越廣泛的功能,管理設備的密碼也將變得越來越重要和復雜。今天,VMS還必須存儲系統中每個可訪問攝像頭的當前密碼,此外該密碼還存儲在本地每個攝像頭中。同樣,配備了向VMS或其他系統發送主動消息的攝像頭也必須存儲這些系統的密碼。這兩者都需要了解其相關方的安全協議,以避免觸發鎖定或發出警報,例如,當一個自動系統試圖更新其固件時,攝像頭自身的安全協議會有什么反應——它會把這種嘗試視為攻擊嗎?
今天,系統管理員為圖省事而不是完全管理這種復雜性仍然太常見。事實上,加利福尼亞州最近頒布了一項法律,禁止制造商向該州銷售帶有默認密碼的監控攝像頭,因為發現很多監控系統的默認密碼仍然有效。而且,隨著物聯網設備數量的增加,這一挑戰的復雜性只會在未來繼續增加。
未來
知道黑客將對每臺連接互聯網的設備進行漏洞探測,那么公司可以采取什么措施來生存和減輕網絡攻擊?
當然,所有用于網絡安全的常規措施仍然適用,例如建立和實施密碼管理策略。但是,每個策略都需要根據物聯網設備給組織網絡系統帶來的變化進行審查,例如,為員工制定的密碼策略(包括密碼的長度和復雜性以及更改的頻率)是否適合公司設施中的物聯網設備?如何檢測、記錄、限制和鎖定每臺物聯網設備的失敗登錄嘗試?在新物聯網設備的背景下對現有策略進行思考,將大大有助于在任何大規模推出之前加強安全基礎。
此外,應制定具體計劃,為自動化網絡測試做準備,包括定期發現每個連網的設備,然后根據需要自動檢查固件和軟件版本并進行更新。這是組織有機會領先于由黑客觸發的自動僵尸網絡攻擊的唯一方法。
另一個最佳實踐是擁有一個準備采取行動的“危機響應小組”。 通常,這些小組將由物理和邏輯安全人員組成,并且能夠在網絡事件期間共同評估并采取行動。這些小組還可以擴大其工作范圍,不僅僅是在事件發生期間——實際上,通過在關鍵時刻協同工作,組織更容易承擔更長期的工作,因為大家對需要做什么有著共同的理解。
通過采取積極主動的方法來降低物聯網設備風險,組織可以減少其網絡的可攻擊面,確保遵守適用的法規,并留出時間專注于最重要的安全措施。此外,了解物聯網設備如何改變網絡安全格局,將有助于團隊現在就做好準備!
