2021年,物聯(lián)網(wǎng)安全會發(fā)生什么?
2020年終于過去了!在網(wǎng)絡安全方面,每個人都擔心惡意行為者篡改選舉數(shù)據(jù),但他們似乎更專注于(或至少成功地)對醫(yī)院進行勒索軟件攻擊。
在物聯(lián)網(wǎng)方面,我們看到了重大漏洞的披露,例如6月份的Ripple20和12月份的Amnesia-33,這些漏洞暴露了數(shù)百萬臺物聯(lián)網(wǎng)設備中使用的TCP / IP堆棧。TCP/IP作為物聯(lián)網(wǎng)的動脈系統(tǒng),承載著作為其生命線的數(shù)據(jù),這些漏洞再次證明了為什么所有組織都需要一個計劃來快速對其物聯(lián)網(wǎng)設備執(zhí)行固件更新——如果他們想從這些漏洞中及時“止血”的話。
那么,在物聯(lián)網(wǎng)安全方面,新的一年會帶來什么?我不能說我的水晶球足夠透亮,但是我愿意就2021年的物聯(lián)網(wǎng)安全發(fā)展做出以下三個預測。
安全即服務迅速進入物聯(lián)網(wǎng)市場
正如FireEye和其他安全即服務(SECaaS)提供商最近取得的成功所表明的那樣,公司越來越多地尋求將其本地部署、云和其他網(wǎng)絡安全需求外包出去。這些SECaaS提供商將深厚的網(wǎng)絡安全專業(yè)知識、易于部署的SaaS安全解決方案和規(guī)模經(jīng)濟相結(jié)合,以比內(nèi)部替代方案更低的成本為公司提供強大的安全性。
現(xiàn)在,SECaaS供應商正在向物聯(lián)網(wǎng)市場擴張——我預計這種擴張將在2021年加速。全球公司部署的數(shù)以百萬計的物聯(lián)網(wǎng)設備是網(wǎng)絡犯罪分子的巨大目標,而公司缺乏物聯(lián)網(wǎng)安全專業(yè)知識往往使這些設備容易被犯罪分子攻擊。與其自己成為物聯(lián)網(wǎng)安全專家,我希望公司越來越多地與SECaaS提供商合作,以保護其物聯(lián)網(wǎng)數(shù)據(jù)免受惡意行為者的攻擊。
然而,關于這個新興的物聯(lián)網(wǎng)安全市場,一個問題是,誰將主導它?SECaaS提供商是否會將其現(xiàn)有應用擴展到物聯(lián)網(wǎng),為公司提供滿足其安全需求的全面解決方案?或者是專門為保護物聯(lián)網(wǎng)數(shù)據(jù)而設計的SECaaS應用的初創(chuàng)企業(yè),誰會是這個市場的領導者?在這個問題上,只有時間能證明一切。
公司將要求物聯(lián)網(wǎng)解決方案提供商建立自己的安全保障體系
雖然越來越多的公司將物聯(lián)網(wǎng)安全外包給SECaaS提供商,但他們現(xiàn)在也將開始要求(如果他們還沒有這樣做的話)其物聯(lián)網(wǎng)設備、網(wǎng)絡連接、云和其他提供商不僅要承諾讓他們的解決方案安全,而且還要證明這一點。
具體來說,他們將只與對物聯(lián)網(wǎng)安全問題有深刻理解、將強大的安全功能集成到產(chǎn)品中,并正在不斷更新這些產(chǎn)品的物聯(lián)網(wǎng)解決方案提供商合作。
通過僅與致力于安全性的物聯(lián)網(wǎng)解決方案提供商合作,這些公司將能夠部署其物聯(lián)網(wǎng)安全計劃,為其提供深度防御,使他們能夠避免物聯(lián)網(wǎng)安全盔甲出現(xiàn)裂縫,導致數(shù)據(jù)泄露或丟失。
預計會有更多公司要求其物聯(lián)網(wǎng)解決方案供應商對以下問題給出明確的答案,以此來兌現(xiàn)他們的安全承諾:
- 可以展示您在處理安全漏洞報告時如何致力于透明度和響應能力?
- 您是否通過成為產(chǎn)品的CVE編號機構(gòu)(CNA)來承擔漏洞披露責任?
- 您有什么計劃來提供及時的物聯(lián)網(wǎng)設備安全更新,您將如何幫助我們部署這些更新?
物聯(lián)網(wǎng)黑客教會公司,他們必須將安全性作為物聯(lián)網(wǎng)部署的關鍵要求。畢竟,如果他們與不致力于安全的物聯(lián)網(wǎng)解決方案提供商合作,則他們會使其物聯(lián)網(wǎng)應用程序乃至整個IT環(huán)境面臨遭受復雜網(wǎng)絡罪犯攻擊的風險。
物聯(lián)網(wǎng)安全基礎的回歸
去年,許多人預測,公司將部署新的基于AI的威脅情報和其他前沿安全技術(shù),以保護自己免受攻擊。
然而,盡管這些新技術(shù)確實有希望,但過去一年發(fā)生的大多數(shù)物聯(lián)網(wǎng)黑客攻擊都是由于公司根本沒有遵循基本的物聯(lián)網(wǎng)安全最佳實踐造成的。(來源物聯(lián)之家)早在2018年,開放式網(wǎng)絡應用安全項目(OWASP)就確定了十大最具影響力的物聯(lián)網(wǎng)安全漏洞,其中最大的漏洞是弱密碼、可猜測密碼或硬編碼密碼。緊隨其后的是缺乏安全更新機制,這可能導致設備運行在舊的、易受攻擊的固件上。
說到保護您的物聯(lián)網(wǎng)數(shù)據(jù),您無需人工智能即可創(chuàng)建強密碼、更新設備固件或激活并使用物聯(lián)網(wǎng)設備的內(nèi)置防火墻——只需要確保您遵循基本的物聯(lián)網(wǎng)安全最佳實踐。
實施這些基本的最佳實踐不僅可以提高物聯(lián)網(wǎng)應用的安全性,而且還可以帶來降低運營成本的機會。例如,一家確保更新其設備固件的公司可能會很快發(fā)現(xiàn),通過無線固件更新,他們可以很容易地保護自己的物聯(lián)網(wǎng)設備免受新的攻擊,從而使他們消除了技術(shù)人員的昂貴差旅——手動更新物聯(lián)網(wǎng)設備。
也許我過于樂觀了,但我相信,在過去一年里,基本的物聯(lián)網(wǎng)安全最佳實踐可以解決諸如Ripple20和Amnesia-33之類備受關注的漏洞。到2021年,公司將確保已完全實施這些最佳實踐,然后,再尋找其他技術(shù)來應對更罕見、更復雜的攻擊。
