物聯(lián)網(wǎng)安全的發(fā)展與對威脅的防御
隨著物聯(lián)網(wǎng)設(shè)備風(fēng)險的增加,企業(yè)必須通過培訓(xùn)、滲透測試和設(shè)備維護(hù)計劃來評估和加強其產(chǎn)品保護(hù)。
物聯(lián)網(wǎng)設(shè)備具有固有的網(wǎng)絡(luò)安全風(fēng)險,這已經(jīng)不是什么秘密。物聯(lián)網(wǎng)為惡意攻擊者發(fā)動網(wǎng)絡(luò)攻擊和入侵聯(lián)網(wǎng)設(shè)備打開了大門;網(wǎng)絡(luò)攻擊者通過DDoS攻擊破壞基礎(chǔ)設(shè)施并入侵網(wǎng)絡(luò);并可能獲得對私人或敏感信息的訪問權(quán)限。運行物聯(lián)網(wǎng)設(shè)備的許多嵌入式固件不安全且極易受到攻擊,從而使關(guān)鍵系統(tǒng)面臨風(fēng)險。
隨著物聯(lián)網(wǎng)設(shè)備的激增,風(fēng)險也在增加。根據(jù)調(diào)研機構(gòu)Gartner公司的預(yù)測,到2021年底,全球物聯(lián)網(wǎng)設(shè)備的采用數(shù)量預(yù)計將達(dá)到250億臺。根據(jù)麥肯錫公司的調(diào)查,每秒將有127個新的物聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng),這些設(shè)備上潛在的可利用漏洞助長了不斷增長的攻擊面。
應(yīng)對物聯(lián)網(wǎng)安全挑戰(zhàn)需要一種雙管齊下的方法。它必須從受保護(hù)產(chǎn)品的角度(通過運行軟件的安全代碼)和這些設(shè)備上的固件來為應(yīng)對網(wǎng)絡(luò)攻擊做好準(zhǔn)備。物聯(lián)網(wǎng)安全策略還必須具有檢測和響應(yīng)能力,以防止網(wǎng)絡(luò)攻擊者利用漏洞進(jìn)行的攻擊。
預(yù)測設(shè)備安全性改進(jìn)
雖然物聯(lián)網(wǎng)的采用率持續(xù)增長,但圍繞物聯(lián)網(wǎng)的標(biāo)準(zhǔn)、合規(guī)性要求和安全編碼實踐并沒有以同樣的速度發(fā)展。最近備受關(guān)注的軟件供應(yīng)鏈攻擊使安全編碼問題成為焦點,促使各國政府發(fā)布命令,要求政府部門和企業(yè)購買和部署安全軟件。這一關(guān)鍵性的轉(zhuǎn)變將對全球軟件開發(fā)過程和生命周期產(chǎn)生直接影響,特別是考慮到采購的巨大范圍時。幾乎所有設(shè)備制造商和軟件公司都將受到直接影響,因為政府部門開始要求私營部門履行義務(wù),并在各行業(yè)領(lǐng)域建立新的安全標(biāo)準(zhǔn)。
針對物聯(lián)網(wǎng),這些命令指示政府部門啟動試點計劃,以提高物聯(lián)網(wǎng)設(shè)備的安全能力,并確定物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和消費者標(biāo)簽計劃的安全軟件開發(fā)實踐。也許這正是私營部門需要調(diào)整其做法以符合這些標(biāo)準(zhǔn)的驅(qū)動力。根據(jù)Bitdefender公司的估計,在該公司通知的具有軟件漏洞證據(jù)的物聯(lián)網(wǎng)設(shè)備制造商中,只有不到30%的制造商做出了回應(yīng)或承認(rèn)了這些缺陷。此外,雖然大多數(shù)制造商最終會解決問題,但他們的反應(yīng)相對緩慢。
由于政府機構(gòu)積極與行業(yè)領(lǐng)袖進(jìn)行協(xié)商,以解決有關(guān)命令實施的確切時間以及各種基礎(chǔ)設(shè)施和制造商需要遵守的規(guī)模的問題,制造商現(xiàn)在可以采取以下一些措施做好準(zhǔn)備:
- 強制要求軟件開發(fā)人員接受安全編碼培訓(xùn)。
- 通過社區(qū)征集和共享有關(guān)常見物聯(lián)網(wǎng)漏洞的信息。
- 通過檢查網(wǎng)絡(luò)安全社區(qū)來研究最常見的陷阱。
- 使用自動化工具進(jìn)行代碼分析,確保在未預(yù)先掃描潛在漏洞的情況下,任何內(nèi)容都不會泄露。
- 使用滲透測試團隊查找開發(fā)周期中遺漏的任何內(nèi)容,但要審查第三方滲透測試提供商。
假設(shè)一切都有缺陷
在理想情況下,對于物聯(lián)網(wǎng)設(shè)備的用戶來說,其購買的產(chǎn)品符合標(biāo)準(zhǔn)和要求,但要認(rèn)識到需要對設(shè)備進(jìn)行滲透測試。
如今,沒有哪一個系統(tǒng)不會受到損害,無論是在什么運營環(huán)境中。因此利用滲透測試找到這些漏洞是很重要的。
一旦物聯(lián)網(wǎng)設(shè)備通過安全認(rèn)證并部署在企業(yè)的基礎(chǔ)設(shè)施中,務(wù)必使用擴展檢測和響應(yīng)、端點檢測和響應(yīng)或其他安全運營中心解決方案進(jìn)行監(jiān)控。這樣即使被攻擊,也會擁有所需的可見性,以確定設(shè)備是否正在執(zhí)行有關(guān)訪問、查詢、時間和IP地址的可疑行為方面不應(yīng)該做的事情。此外,這些檢測和響應(yīng)功能提供了物聯(lián)網(wǎng)設(shè)備應(yīng)該如何操作的信息,使異常行為更容易被發(fā)現(xiàn),同時還確保在這些設(shè)備受到網(wǎng)絡(luò)攻擊時提供保護(hù)。
準(zhǔn)備防御措施
物聯(lián)網(wǎng)設(shè)備在消費者與工業(yè)或商業(yè)環(huán)境中的使用壽命差異很大。根據(jù)調(diào)查,物聯(lián)網(wǎng)設(shè)備在消費者環(huán)境中的平均使用壽命為3至5年,在商業(yè)環(huán)境中的平均使用壽命為7至10年。現(xiàn)實情況是,其中只有一小部分是具有受控更新機制的智能設(shè)備,因此預(yù)計任何內(nèi)置保護(hù)措施可能將在兩年內(nèi)過時。
即使產(chǎn)品開發(fā)生命周期中的標(biāo)準(zhǔn)尚未實施,也要假設(shè)其環(huán)境中的一切以及為保護(hù)它所做的一切都是有缺陷的。所以很重要的一點是,需要了解這些設(shè)備遭到破壞時會發(fā)生什么,以及會產(chǎn)生什么影響。雖然需要預(yù)測它是如何發(fā)生的,但更重要的是關(guān)注它是否發(fā)生。
面臨這些風(fēng)險,準(zhǔn)備好防御措施是很重要的:
- 首先,對物聯(lián)網(wǎng)設(shè)備進(jìn)行優(yōu)先排序和隔離。隔離網(wǎng)絡(luò)上的設(shè)備將在發(fā)生網(wǎng)絡(luò)攻擊時最大限度地減少任何損害,并允許快速隔離。利用端點檢測和響應(yīng)技術(shù)或與提供端點檢測和響應(yīng)的服務(wù)提供商合作,仍然是在用戶或設(shè)備級別識別和補救潛在威脅的關(guān)鍵。
- 制定解決設(shè)備維護(hù)問題的短期、中期和長期計劃。了解哪些設(shè)備(例如交換機和路由器)必須安裝最新的操作系統(tǒng)或軟件。了解更新到達(dá)設(shè)備有多容易或有多困難,如果存在漏洞,供應(yīng)商修復(fù)和發(fā)布軟件更新的速度有多快。
- 確定供應(yīng)鏈攻擊的緩解措施。不僅要考慮這些設(shè)備的生產(chǎn)鏈,還要考慮該設(shè)備的環(huán)境和生態(tài)系統(tǒng),尤其是在服務(wù)提供商級別。
在評估企業(yè)中物聯(lián)網(wǎng)設(shè)備的安全性時,準(zhǔn)備工作仍然是關(guān)鍵。通過了解如何確保安全的產(chǎn)品保護(hù)和利用滲透測試以及端點和網(wǎng)絡(luò)防御準(zhǔn)備措施,企業(yè)能夠更好地解決物聯(lián)網(wǎng)的安全問題。
