為什么我們不能推遲在關鍵國家基礎設施中保護物聯網
在討論物聯網(IoT)安全時,首先要認識到我們的日常生活越來越依賴于這些完全連接的系統。將物聯網設備集成到關鍵行業中意味著,在提高效率的同時,我們也為新的攻擊點創造了溫床。Sectigo嵌入式解決方案IoT副總裁Alan Grau說,這些網絡至關重要;保護大門成為當務之急。
即使是外行市民也會意識到保持電網或供水系統密封的關鍵性,但談話中經常缺少一個要素,即確保物聯網設備安全的核心作用,包括使用數字證書進行認證。
現在有必要對所有相關的東西進行認證,而證書是克服我們關鍵的國家基礎設施(CNI)中的漏洞的最前線。時間是最重要的。Ponemon研究所透露,90%的CNI提供商已經在應對物聯網攻擊。很可能,其他10%的人還沒有意識到他們也受到了攻擊。
隨著越來越多的分布式拒絕服務(DDoS)和勒索軟件攻擊繼續針對不安全設備,組織需要喚醒并解決從服務器到車輛到電網的生態系統中不安全端點所帶來的固有風險。
最近,越來越多的政府發布了消費設備安全的監管要求,但這些措施遠沒有全球性,也不全面。這取決于生態系統中的每個人,從原始設備制造商(OEM)到最終用戶組織,構建并采用保護我們CNI的認證技術。
保障醫療行業安全
醫療保健部門面臨著處理大量敏感數據的巨大挑戰。無論是管理知識產權、機密個人健康信息(PHI)還是連接設備的配置;數據理所當然是衛生部門最寶貴的資產,也是最復雜的保護對象之一。
任何保存或傳輸高價值患者、研究或組織數據的系統或設備都面臨風險。這些威脅可能來自內部和外部來源,現在已經從惡意軟件、勒索軟件、物聯網僵尸網絡和盜竊到網絡釣魚、商業電子郵件泄露(BEC)、勒索和大規模數據泄露。
不幸的是,許多醫療機構仍然沒有得到充分的保護。大多數都沒有高級別的數據加密來保護動態數據和靜態數據。許多人仍然沒有充分利用數字身份在各種用例中帶來的好處。
或許更令人擔憂的是,該行業無擔保的“東西”往往被忽視的風險。大多數具有依賴物聯網的新興商業模式的醫療保健機構通常無法認識到其連接的設備(用于患者監控的生物傳感器、用于遠程醫療的可穿戴設備、起搏器、泵等)代表著重大的安全風險。
患者體驗的日益數字化,加上對數據(包括信用卡支付數據)的日益依賴,意味著該行業的組織必須不斷增強其安全能力,并消除潛在的漏洞,以防受到威脅。
保護每輛車
自主車輛的到來將加大物聯網攻擊對財產和生命的潛在威脅。在不久的將來,送貨卡車、公共汽車、出租車和個人車輛將實現自主化,為網絡攻擊者提供豐富的目標。自主汽車制造商表示,物聯網技術將使這些車輛能夠直接相互通話,并與城市交通系統進行通話,這將導致更高效、更安全的出行系統。
然而,這種交流需要一個完美的,不受車輛之間信息流的限制,以確保它們在高速行駛時保持緊密的協調,僅相距幾英寸。
根據2019年消費者監督機構的報告“Kill Switch”,到2022年,美國道路上超過三分之二的新車將與它們的安全關鍵系統建立在線連接,這將使它們面臨對主要用于信息娛樂、GPS導航和其他功能的車輛“頭部”系統的致命黑客攻擊。
如果這些車輛中的一個受到黑客攻擊,通信中斷,無法與其他車輛協調,會發生什么情況?至少,黑客可以導致流量混亂。在最壞的情況下,不良行為可能導致嚴重事故,可能導致乘客和/或附近行人受傷和死亡。另一個真正的威脅是針對車輛的大規模勒索軟件攻擊。安全性對于聯網汽車來說顯然是必不可少的。
保護電網
物聯網在能源領域的好處顯而易見。傳感器和控制裝置的大量收集確保了供電的可靠性,并且可以通過控制任何給定時刻的功率通量來防止停電。該系統的現代化還意味著提高能源效率,減少對人為干預的需求,這是企業節省成本的優勢。此外,通過檢索豐富的數據,智能電網可以創建預測性維護模型,提高整體安全性。
當然,這種自動化和集體智能也有另一面。在過去的十年里,無數的網絡攻擊和白帽事件凸顯了能源行業的脆弱性及其作為目標的高價值。網絡犯罪分子明白這一點,并繼續積極尋找在外國網格中植入惡意代碼的方法,以便在需要攻擊時加以利用。其中一個例子是俄羅斯對烏克蘭電網的試射,證實了該國有能力隨意熄燈。
考慮到潛在的災難性后果,能源行業現在比以往任何時候都更重要的是,確保這一日益普及的技術成為一個主要優先事項。
從制造層設計解決方案
解決方案不僅掌握在立法者手中,還掌握在設備制造商和其他供應鏈相關方手中。身份管理必須通過設計內置、自動化以避免錯誤或破壞,并在每個設備的整個生命周期中定期更新。
身份驗證工具是保護關鍵基礎設施及其許多設備的基本保障。數字證書、安全引導和安全代碼更新、嵌入式防火墻和其他技術使醫療、運輸、能源和其他關鍵企業能夠在未經授權的連接進入網絡之前檢測并阻止這些連接,從而從一開始就對網絡犯罪分子關上了大門。
企業和嵌入式物聯網安全不再僅僅是技術供應商或網格運營商關心的問題。物聯網身份已經成為國家利益的問題。
