根據(jù)微軟2021年物聯(lián)網(wǎng)信號(hào)報(bào)告顯示,90% 的采用者表示物聯(lián)網(wǎng)對(duì)他們的成功至關(guān)重要,44%的企業(yè)預(yù)計(jì)會(huì)增加對(duì)它的投資。該報(bào)告強(qiáng)調(diào)了企業(yè)希望獲得的廣泛好處,包括質(zhì)量保證、云操作、設(shè)備和資產(chǎn)的安全性、提高運(yùn)營效率和員工的生產(chǎn)力、提高工作場所的安全性以及管理供應(yīng)鏈等。
物聯(lián)網(wǎng)的關(guān)鍵安全問題
盡管這項(xiàng)技術(shù)如今無處不在,但在微軟報(bào)告中接受調(diào)查的企業(yè)中,近三分之一的企業(yè)不想擴(kuò)大物聯(lián)網(wǎng)解決方案的使用范圍,因?yàn)樗麄冋J(rèn)為存在安全風(fēng)險(xiǎn)。像Mirai和Gafgyt這樣的代碼庫仍然是針對(duì)該系統(tǒng)攻擊的活躍部分,受感染的設(shè)備被用來竊取信息和執(zhí)行分布式拒絕服務(wù)(DDoS)攻擊。此外,受感染的設(shè)備可作為攻擊者進(jìn)入內(nèi)部網(wǎng)絡(luò)的入口點(diǎn)或跳板,也可以用于構(gòu)建挖掘加密貨幣的僵尸網(wǎng)絡(luò)。
強(qiáng)大物聯(lián)網(wǎng)安全的基本要素
為了獲得足夠的安全性,請(qǐng)牢記物聯(lián)網(wǎng)安全的這些基本原則。
設(shè)備清單
您無法保護(hù)您不知道的東西。通過跟蹤在網(wǎng)絡(luò)中添加設(shè)備的日志記錄和定期的網(wǎng)絡(luò)掃描來保持最新的設(shè)備清單,可以幫助您了解環(huán)境中有哪些設(shè)備。了解目前的情況將有助于您計(jì)劃更新和配置更改,并確保您考慮到保護(hù)資產(chǎn)所需的一切。
賬戶安全
物聯(lián)網(wǎng)設(shè)備連接到網(wǎng)絡(luò),因此需要具有一定級(jí)別的安全密碼。然而,許多企業(yè)用戶仍然沒有更改設(shè)備上的默認(rèn)密碼,導(dǎo)致留下了“admin”或“123456”等弱密碼。僵尸網(wǎng)絡(luò)和攻擊者可以使用這些弱密碼在設(shè)備系統(tǒng)中獲得立足點(diǎn)。相反,應(yīng)設(shè)置強(qiáng)大的新密碼或密鑰,并使其受到與其他網(wǎng)絡(luò)設(shè)備相同的安全標(biāo)準(zhǔn)和憑據(jù)保護(hù)。
設(shè)備配置
物聯(lián)網(wǎng)設(shè)備上的新特性和管理功能可以使任務(wù)比以往任何時(shí)候都更容易。然而,攻擊者也在利用這一優(yōu)勢(shì),將其作為危害敏感數(shù)據(jù)的關(guān)鍵入口或跳板。為了最大限度地減少攻擊成功的可能性,您需要了解網(wǎng)絡(luò)上每臺(tái)設(shè)備上的可用功能,應(yīng)用經(jīng)過測試和強(qiáng)化的配置,并準(zhǔn)備好測試和部署新配置(如果發(fā)現(xiàn)當(dāng)前配置存在問題)。
網(wǎng)絡(luò)分段
在設(shè)計(jì)物聯(lián)網(wǎng)設(shè)備及其網(wǎng)絡(luò)時(shí),請(qǐng)考慮每臺(tái)設(shè)備可以訪問的數(shù)據(jù)的重要性。提出問題,包括它需要哪些數(shù)據(jù)、它對(duì)正常運(yùn)行時(shí)間或安全性的影響有多大,以及如果該設(shè)備遭到破壞會(huì)對(duì)企業(yè)構(gòu)成什么風(fēng)險(xiǎn)。將設(shè)備管理與正常數(shù)據(jù)操作分開可以防止最敏感的功能成為網(wǎng)絡(luò)用戶的目標(biāo)。然后,與傳統(tǒng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施一樣,根據(jù)業(yè)務(wù)風(fēng)險(xiǎn)對(duì)設(shè)備所在的網(wǎng)絡(luò)進(jìn)行分段保護(hù)。
打補(bǔ)丁
為物聯(lián)網(wǎng)設(shè)備打補(bǔ)丁可能很復(fù)雜,原因有很多——設(shè)備數(shù)量、應(yīng)用補(bǔ)丁的設(shè)計(jì)難度,以及特定設(shè)備(包括醫(yī)療或工業(yè)機(jī)器)持續(xù)正常運(yùn)行的需要。設(shè)備清單有助于解決此問題。在您的清單中,您應(yīng)該記錄如何為每臺(tái)設(shè)備打補(bǔ)丁、監(jiān)測補(bǔ)丁版本以及安排補(bǔ)丁窗口,就像您對(duì)其他網(wǎng)絡(luò)設(shè)備所做的那樣。如果無法修補(bǔ)設(shè)備,請(qǐng)?jiān)诰W(wǎng)絡(luò)上將其與敏感數(shù)據(jù)分開。
網(wǎng)絡(luò)流量監(jiān)控
除了配置和應(yīng)用安全控制之外,了解設(shè)備在網(wǎng)絡(luò)上的行為也至關(guān)重要。這需要監(jiān)控網(wǎng)絡(luò)流量。從添加設(shè)備時(shí)開始觀察流量,有助于您為預(yù)期的流量繪制基線,確定提高效率的方法,識(shí)別表明存在危害的異常流量,并采取措施,例如修補(bǔ)或停用受感染的設(shè)備。
數(shù)據(jù)加密
根據(jù)2020年P(guān)alo Alto Networks Unit 42關(guān)于企業(yè)和醫(yī)療保健中物聯(lián)網(wǎng)使用情況的報(bào)告,所有設(shè)備流量中有98%是未加密的。一些設(shè)備不加密數(shù)據(jù),而另一些設(shè)備則避開已知的加密標(biāo)準(zhǔn),轉(zhuǎn)而采用較少測試的“輕量級(jí)”加密技術(shù)。隨著設(shè)備能夠訪問更敏感的信息,請(qǐng)確保憑據(jù)和其他敏感數(shù)據(jù)在傳輸和存放過程中得到充分加密。這涉及評(píng)估現(xiàn)有設(shè)備、新設(shè)備,其中包括它們使用強(qiáng)加密技術(shù)加密數(shù)據(jù)的能力。
物理安全
即使采取了加密、正確配置和網(wǎng)絡(luò)分段等預(yù)防措施,物理安全也很重要。如果攻擊者可以接觸物聯(lián)網(wǎng)設(shè)備,那么他們可能會(huì)篡改設(shè)備、重置設(shè)備或訪問與其連接的數(shù)據(jù)??紤]鎖定可以訪問敏感信息的設(shè)備,并選擇具有強(qiáng)防篡改保護(hù)的設(shè)備。
滲透測試
與傳統(tǒng)的 IT 基礎(chǔ)設(shè)施一樣,除非您對(duì)其進(jìn)行測試,否則您無法知道安全控制是否按預(yù)期工作。與具有設(shè)備經(jīng)驗(yàn)的滲透測試人員合作,可以像攻擊者一樣查看安全態(tài)勢(shì),從而幫助您改善安全狀況。滲透測試將幫助您確定物聯(lián)網(wǎng)安全性不足的地方,以及您應(yīng)該采取哪些措施來防止軟件漏洞、配置缺陷、加密問題和易受攻擊的通信協(xié)議之間的攻擊。
總結(jié)
物聯(lián)網(wǎng)可以提高企業(yè)效率,但像其他軟件或基礎(chǔ)設(shè)施一樣,它也會(huì)引發(fā)安全問題。現(xiàn)在是學(xué)習(xí)安全基礎(chǔ),并確保物聯(lián)網(wǎng)基礎(chǔ)設(shè)施不會(huì)使您的企業(yè)面臨不必要風(fēng)險(xiǎn)的時(shí)候了。隨著您的業(yè)務(wù)不斷發(fā)展,將這些要素納入安全計(jì)劃可以幫助您滿懷信心地實(shí)現(xiàn)現(xiàn)代化。