物聯網設備通常是執行特定任務的小型工具或設備���。因此���,它們經常被忽略,而且它們在企業的IT基礎結構中的重要性很少被考慮到��。然而,考慮到物聯網生態系統是一個廣泛而微弱的攻擊面����,可能使企業機構遭受嚴重的網絡攻擊��,情況不應如此。
物聯網秒級范圍
可以理解的是�����,開發物聯網設備的程序員只能能做這么多事情����,讓這些互聯設備更安全。這些設備的處理能力、RAM和存儲有限�����,無法集成完整的安全解決方案�。此外,在使用的眾多物聯網設備中,配備網絡安全應用是非常低效的。預計到2025年���,全球將有近310億件物聯網設備。
不過,網絡安全團隊總能找到方法來實施針對物聯網的安全措施�����,政府監管機構也能制定規則�,最大限度地降低攻擊成功率。重要的是要認識到物聯網的威脅有多嚴重���,并尋找最好的方法來保護物聯網。
物聯網安全的重要性
由于企業和其他組織對物聯網的依賴日益增長���,物聯網安全無疑是必不可少的。它們用于跟蹤資源使用情況�����、自動化數據收集�����、執行人力資源功能、管理供應鏈以及服務于各種其他目的����。特別是�����,物聯網安全對于大型企業、工業組織����、醫療設施和設備制造商至關重要��。這些組織是2021年上半年上半年15億物聯網攻擊的首要目標之一。
許多企業傾向于安裝并忘記這些設備���,沒有意識到它們顯著擴大了網絡攻擊的范圍,并導致更大的網絡風險暴露��。據一項研究顯示��,只有不到25%的企業有信心充分保護其物聯網設備���。
物聯網攻擊與其他類型的網絡攻擊并無太大區別��。它們對企業造成重大損害。2021年的一項研究估計���,一次攻擊物聯網設備的成本約為30萬美元。然而��,當物聯網攻擊被用作訪問企業網絡���、竊取數據或引入病毒���、間諜軟件�����、勒索軟件和其他惡意軟件的方法時��,實際成本可能接近其他網絡攻擊的總成本。
對物聯網威脅的重大響應
物聯網安全有多重要?美國政府在這方面的行動可以成為一個很好的衡量標準�����。美國將物聯網攻擊視為一個主要問題��,這一點從2020年物聯網網絡安全改進法案的通過得到了證明��,該法案旨在為聯邦政府擁有,或控制的物聯網設備制定最低安全標準�。該法案承認物聯網產品帶來的風險�����,并提高了美國政府對物聯網安全的警惕。
此外���,白宮最近公布了為聯網設備制造商、行業集團和網絡設備零售商實施物聯網安全標簽等計劃���。該程序類似于能源之星標簽系統。它為消費者提供了有關其可用網絡設備安全性的有用信息。
歐盟也有類似的計劃��。擬議的《歐盟網絡彈性法案》包括旨在提高智能和聯網設備安全性的部分�����。計劃中的法律將要求設備制造商提供持續的安全支持和更新。此外,它還要求設備制造商在購買前后向消費者提供充分和準確的安全信息。
英國也有一個類似的立法提案�����,稱為《產品安全和電信基礎設施法案》��,它建立在《消費者物聯網安全實踐守則》中設定的最佳實踐的基礎上����。該法律適用于設備制造商�����、進口商和零售商�。
開發人員如何提供幫助
旨在增強物聯網安全法律的通過是一個受歡迎的發展���,因為它迫使物聯網設備制造商分擔保持物聯網生態系統安全的責任�。物聯網安全主要有三種方法,即網絡安全����、嵌入式安全和固件安全����。
第一種方法主要是用戶責任�,而第二種和第三種方法是用戶和設備制造商之間的共同責任。嵌入式安全可以由設備制造商預先安裝�����,也可以由企業(用戶)自己的網絡安全和開發團隊添加����。設備制造商需要保證固件的安全�����,但用戶也有義務對其進行漏洞掃描��,并確定其已更新至最新版本。
然而�,值得關注的是開發人員的作用���,因為他們確實可以為更好的物聯網安全做出貢獻���。除了確定固件的安全性之外��,它們還可以幫助簡化與不同操作系統的設備集成���,特別是考慮到網絡安全平臺可以整合來自不同安全控制的安全數據����。此外��,開發人員可以為物聯網設備開發輕量級應用�,以實現安全功能��,特別是確保安全引導��、訪問控制和固件更新管理。
在開發人員的幫助下,物聯網設備中的許多安全漏洞都可以得到解決����。問題是��,他們沒有被強迫把安全放在首位。許多設備制造商并不關注軟件驅動的安全性,而是專注于生產和銷售盡可能多的產品����。一些無良的公司甚至要求他們的開發人員簡單地使用和稍微調整免費的開源軟件。
到目前為止����,許多關鍵的安全保護措施都缺失了��。這些措施包括對設備和網絡的強身份認證,以確保只有經過授權的個人才能獲得數據���,以及對靜止和傳輸中的數據進行加密,但有多少設備還沒有配備可以更新的固件��,以應對新出現和不斷發展的威脅�����。
這一問題的明顯證據是��,所謂的智能設備和支持網絡的設備普遍存在,它們可以自動連接到最近的藍牙設備�。而沒有安全意識的廉價“智能”和物聯網設備已經充斥全球市場�。
一些物聯網制造商���,如戴爾����、ARM、微軟和博世一直在合作創建物聯網平臺�����,使設備能夠使用通用語言�,相互操作,并通過通用的數字認證和加密系統實現安全����。然而,大多數其他國家并沒有效仿。
結論
物聯網的安全問題不是一個容易解決的問題。它需要物聯網市場參與者之間的整體解決方案和協作。物聯網市場的企業需要接受設備安全的需求�,并投資于體面的固件開發或謹慎的開源使用��。
開發人員可以為設備制造商自由使用高質量的開源物聯網框架,但這樣的努力不會說服制造商優先考慮安全問題。幸運的是���,各國政府現在已經認識到物聯網的安全挑戰,相關法律已經在制定中。希望世界其他地區能更多地意識到物聯網的安全問題�,并采取必要的解決方案����。
沃卡惠
