物聯網(IoT)=互聯網威脅(Internet of Threats)?
物聯網預示著連接對象的新時代。隨著工業 4.0 繼續向智能家居和智慧城市發展,物聯網創建的生態系統與制造業有著深遠的影響,這些智能家居和智慧城市依賴于創建沉浸式生態系統的數字設備集成系統。
然而,物聯網安全嗎?企業和個人應注意哪些潛在風險?
如今,有超過86億個物聯網連接。根據ABI Research的市場數據,到2026年,這一數字將增長近三倍,達到236億。隨著這種擴展水平,確保安全性是物聯網的基礎至關重要,但行業在創建新設備時是否對此給予足夠重視?
《2021年SonicWall網絡威脅年度報告》對網絡安全進行了廣泛的研究。今年的報告將大流行病暴露和加劇的安全問題考慮在內。
報告指出:“2020 年 3 月,大量員工連續數月收拾個人辦公室物品和設備在家工作,同時創造了大量新的攻擊媒介。”
“在 2020 年,SonicWall Capture Labs 威脅研究人員記錄了 5690 萬次物聯網惡意軟件嘗試,增長了 66%,表明潛伏的網絡犯罪分子的策略正在發生變化。”
此外,英國是受勒索軟件影響第四大的國家,攻擊次數為 850 萬次,占全球所有攻擊的 4.2%。隨著大流行病蔓延,勞動力遷移,物聯網設備成為黑客的后門,整個歐洲的攻擊率上升了 48%。
Palo Alto網絡公司對14個國家的企業進行了調查,得出的結論是57%的物聯網設備容易受到攻擊。該報告進一步揭示,許多公司在嘗試應用強大的物聯網安全實踐時正陷入困境。只有五分之一(21%)的受訪IT決策者報告已經實施了使用微細分將物聯網設備包含在自己嚴格控制的安全區域的最佳程序。
現如今,部署的物聯網設備范圍非常廣泛,涵蓋從醫療保健到農業的各個行業和部門。在如此廣泛的部署環境下,保護這些設備可能是一項挑戰。
Acronis 網絡保護研究副總裁 Candid Wüest 在與 Maddyness 交談時解釋了通常影響安全物聯網處理方式的困境:“不幸的是,安全和隱私對于大多數物聯網設備來說仍然不是最重要的。這對供應商和消費者都差不多,他們不要求安全或很少愿意為額外的安全功能支付更多費用。”
“對于大多數最終用戶來說,無法從包裝上判斷產品的安全級別。這就是為什么各種用戶協會要求對物聯網產品進行認證和簡單易懂的解釋的原因之一。 5G 與物聯網的廣泛集成可能會增加可直接從互聯網訪問的設備數量,這可能導致更多受損的物聯網設備被用作僵尸網絡的一部分,例如進行 DDoS 攻擊。”
數字生態系統
5G的推出加速了物聯網設備的開發和部署。無論是支持制造業轉型還是迎來智慧城市和智能家居時代,正在創建的數字環境往往沒有密切關注這些網絡和設備必須包含的安全性。
隨著物聯網生態系統的擴展,很少有消費者了解正在開發的攻擊媒介。例如,配備物聯網的烤面包機應該可以正常工作并包含集成的安全協議,但通常情況并非如此。
并非所有物聯網設備都是一樣的。這可能是某些 IoT 設備內置的安全級別的重要影響因素。GSMA 在他們的報告中明確指出:“許多物聯網設備旨在實現低功耗、低復雜性和低成本、長壽命和戶外運行。低成本的物聯網設備可能具有有限的加密能力、小內存和受限的操作系統。”
“結果是該設備可能無法執行‘互聯網級’加密或包含‘安全硬件’,并且它們可能會受到物理或局部攻擊,從而危及存儲在其中的數據的安全性和隱私性。”
讓每臺設備的安全協議保持最新并不是消費者所渴望的。更令人擔憂的是,大量的物聯網設備將是自主運行的。
M2M(機器對機器)通信對于創建每個人都可以使用的服務網絡至關重要。
但是,如果沒有全面而強大的安全更新,這些無人值守的網絡很容易受到攻擊。無縫連接到可用網絡的需求提供了極大的便利,但也可能為惡意攻擊打開大門。
ITRS 集團 IT 全球負責人 Reza Moqadasi 告訴 Maddyness 更好的安全性即將到來:“大多數努力都是在國家層面組織的。例如,在過去兩年中,作為英國政府國家網絡安全戰略的一部分,對如何提高消費者物聯網產品和相關服務的網絡安全進行了審查。”
“該計劃被稱為‘設計安全’,為物聯網制造商和開發商制定了行為準則。通過確保全球貿易伙伴遵守相同的最佳實踐,有可能在減輕物聯網消費者的隱私和安全風險方面取得先機。”
新安全
正在采取措施使物聯網安全成為這些設備的集成和標準組件。FIDO(Fast IDentity Online)聯盟最近宣布了他們的 FIDO Device Onboard 協議,旨在解決入職過程中的物聯網安全問題——正如它通過其 FIDO 身份驗證標準所做的那樣,以幫助解決全球數據泄露問題。
FDO 規范已達到建議標準狀態,并且是開放和免費實施的。最初,該規范針對工業和商業應用。
FIDO 聯盟執行董事兼首席營銷官 Andrew Shikiar 表示:“FIDO Device Onboard 標準建立在聯盟不斷努力的基礎上,旨在通過將這項工作擴展到物聯網應用來幫助彌合當前網絡上存在的安全漏洞。”
“企業認識到物聯網的巨大潛力及其可為制造、零售、醫療保健、運輸、物流等帶來的巨大好處。模式需要立即轉變,以便我們能夠以更安全、更強大和更安全的身份驗證方式推動物聯網技術在工業和商業環境中的這些重要用途。”
谷歌 Android 安全和隱私副總裁 Dave Kleidermacher 也評論說:“如果沒有行業合作和標準化,FIDO 聯盟正在通過縮小網絡安全漏洞來解決網絡釣魚的工作是不可能的。 FIDO 聯盟自然適合使用這些相同的工具來解決對物聯網基礎設施的威脅。作為 FIDO 聯盟成立之初的董事會成員,谷歌很自豪能夠為這項新的標準化工作做出貢獻,以更好地保護物聯網。”
據悉,英國政府最近宣布將主要旨在保護智能設備的新網絡安全立法列為優先事項,也加入了這一舉措。
Thycotic 首席安全科學家 Joseph Carson 在評論這一發展時說:“新的英國提高智能設備安全性的法律是朝著正確方向邁出的可喜的一步,但是,它必須更進一步以確保它包含安全最佳實踐這是解決方案的一部分。”
“透明度至關重要,因此在購買新的智能設備時,必須清楚供應商繼續提供安全更新的時間,就像制造商的保修期或到期日期一樣。這種類型的方法將為消費者在選擇智能設備時提供明確的選擇,將僅提供兩年安全更新的供應商與提供五年安全更新的供應商進行比較。”
ITRS 集團的 Reza Moqadasi 也支持正在進行的方法,他表示:“圍繞 5G 等新技術或物聯網等系統的演進和采用所面臨的安全和隱私挑戰,強調需要關注解決此類挑戰的方法在社會技術領域。
“網絡安全和隱私問題需要跨學科合作,其中創新者、技術專家、社會科學家和政策制定者可以聯合起來,為采用新概念、技術和系統制定安全的前進道路。”
Sectigo的物聯網和嵌入式解決方案副總裁Alan Grau總結道,隨著物聯網空間的迅速擴展,安全也將隨之擴大:“隨著攻擊載體的不斷發展,組織采用能夠確保其物聯網系統完整性和安全性的安全解決方案變得越來越重要。
物聯網設備安全的最佳實踐包括強身份驗證和安全軟件更新——確保只能在設備上安裝真實代碼。
“對于像 Alexa's Skills 這樣涉及 Alexa 平臺、第三方應用程序和第三方云服務的復雜系統,確保生態系統安全的綜合方法至關重要。”
必須取得平衡,以確保物聯網設備在一個強大的安全環境中繼續為企業和消費者提供優勢。由于物聯網會破壞易受影響的網絡,因此需要采取零信任措施,迫使所有物聯網制造商實現最低安全水平。在這里,在為每個新的物聯網設備考慮安全性時,標準對于確保明確的指導至關重要。
