物聯網格局和威脅

考慮到物聯網設備固有的不安全性，企業當今面臨更多的威脅，而安全防御措施薄弱的物聯網設備通常作為第一道防線。這尤其令人擔憂，因為在行業調查中，有94%的首席信息官承認，他們的運營環境將在未來一年內面臨一些嚴重威脅。

從以下這些擔憂中可以看出：

• 將近一半的首席信息官將違規視為最大的風險。
• 39%的首席信息官認為惡意軟件和勒索軟件是他們面臨的最大風險。
• 27%的首席信息官表示恢復力是三大優先事項之一。
• 68%的IT和安全專業人員計劃使用零信任來確保設備安全;42%的受訪者表示已經在這樣做。

一些影響物聯網的具體風險包括：

(1)內置漏洞：物聯網設備通常專門為消費者使用，沒有采用企業級加密或安全控制措施。

(2)基于人工智能的攻擊：基于機器人的攻擊越來越善于模仿用戶行為，更容易突破許多物聯網設備較弱的安全防御措施。

(3)訪問控制中的Deepfakes：現在能夠對手機上的指紋生物特征進行暴力破解。

(4)更復雜的攻擊方法：隨著攻擊者開始專注于某些領域(社交工程和圖形設計)，對物聯網的攻擊將變得更先進，更難防御。

(5)隱藏的民族國家攻擊：由于物聯網設備防御不力導致成功的網絡攻擊，民族國家將越來越多地雇用網絡攻擊者來利用物聯網設備滲透并訪問更重要的設施。

考慮到2025年底全球使用的物聯網設備將超過640億臺，如果不保護構成物聯網中的所有設備，就不可能保護企業的業務安全，并實現零信任環境。

為什么設備的零信任很重要

調研機構Gartner公司預測，到2025年，99%的云安全故障都是客戶導致的。這意味著保護與其連接的設備的責任完全由用戶自己承擔。

為此企業可以建立基于身份的零信任策略。美國國家標準與技術研究院(NIST)將零信任定義為“一系列概念和想法，旨在在信息系統和服務中面對被視為受損的網絡時，最大限度地減少執行準確的和最低權限的訪問決策的不確定性。”

在以身份為中心的方法中，人員和機器身份是安全策略創建的核心，具有基于分配屬性的訪問控制和策略。在這種情況下，訪問企業數據和資源的主要要求是基于授予請求用戶或機器的訪問權限。因此，零信任是基于驗證請求機器身份的加密控制建立的。

保護物聯網設備是確保云訪問安全的關鍵

數據和隱私專家Ambler Jackson解釋說：“如果網絡犯罪分子破壞設備并獲得企業云計算環境的訪問權，他們可以竊取數據、進行勒索軟件攻擊或進行惡意軟件活動。為了防止這種情況，企業必須能夠看到所有連接的設備，并能夠在允許訪問云計算資源之前驗證其身份。”

正如Venafi公司安全專家Ivan Wallis所說，“在云計算平臺等按需使用的環境中，零信任引導系統需要一開始就擁有身份。在這種以機器為中心的世界中，人員作為檢查點沒有意義，這是因為人們不能再粗略地假設應該信任哪些外部系統。從這個意義上說，零信任自動假定機器上不允許給定的活動，除非它在用戶和功能可接受的安全參數范圍內。”

因此，基于安全數字身份(而非一般外部系統)的信任成為在云平臺中和整個生態系統中建立真正零信任的關鍵。

用于物聯網設備的機器身份識別與訪問管理(IAM)

Jackson說，“為了實施零信任戰略，擁有成熟網絡安全計劃的企業需要使用機器身份管理。驗證設備或機器的身份是保護對企業資源訪問的基礎，其中包括在云中處理數據的工作負載。”在當今的威脅經濟中，沒有機器身份管理就不可能實現零信任。

在每個物聯網設備中都有數以千計的機器身份或因素來確定其身份以及是否可以信任它。正如安全專家David Bisson所說，“機器身份識別與訪問管理(IAM)可以幫助企業評估他們對機器身份的信任程度，其中包括憑據，例如機密、加密密鑰、X.509和代碼簽名證書以及SSH鑰匙。”

Wallis表示，加密密鑰和數字證書用于識別機器并確定特定的信任級別。但這只有在有辦法確保這些機器身份的完整性時才有效。

全面的機器身份管理策略允許安全團隊：

• 實現所有已經部署機器身份的可見性。
• 確保所有權和治理。
• 保護相關的加密密鑰。
• 自動分配密鑰。