亿迅智能制造网
工业4.0先进制造技术信息网站!
首页 | 制造技术 | 制造设备 | 工业物联网 | 工业材料 | 设备保养维修 | 工业编程 |
home  MfgRobots >> 亿迅智能制造网 >  >> Industrial Internet of Things >> 物联网技术

如果攻击成功获利,预计会发生类似的攻击:一些预防性安全步骤

独立安全评估员的 Ted Harrington

对手在不断进化。成功孕育了模仿者。安全是多方面的。这些是 Jeremy Cowan 从与执行合伙人、独立安全评估员的 Ted Harrington 交谈中获得的一些重要经验教训 .

IoT Now:企业数据安全的最大威胁在哪里?是否对数据构成威胁 在传输中,还是在存储的数据资产中?

泰德·哈灵顿: 这取决于给定企业的威胁模型。威胁建模是一项练习,组织可以通过该练习识别它试图保护的资产、它关注防御的对手以及这些对手将发起活动的攻击面的集合。一个组织面临的最大威胁可能与另一个组织不同;威胁建模有助于回答这个问题。

IoT Now:在一项研究中,我了解到 ISE 确定了 21 个金融、医疗、保险和公用事业帐户站点(70% 的测试站点)未能禁止浏览器将缓存内容存储在磁盘上。因此,在访问这些站点后,未加密的敏感内容会留在最终用户的机器上。这能证明吗 t 有哪些好的程序和培训与最新的软件一样重要?您如何说服数字服务提供商优先考虑培训和流程?

TH: 这项研究主要证明所有类型的公司都需要有效地了解攻击者如何破坏系统。只有了解攻击者,您才有希望防御他。这项研究表明,即使是出于善意的开发努力,试图将安全性考虑在内,如果这些努力不考虑如何破坏系统,也总是会落空。我们使用多种策略来尝试说服公司寻求更有效的安全方法。其中包括:

执行教育 .我们相信,更明智的执行官将做出更好的安全决策。因此,我们所有安全研究的副产品不仅需要技术成果,还要以对高管有意义且可操作的方式转化这些成果。

漏洞利用演示 .人性中固有的许多自然偏见会导致人们高估自己的能力,而低估对抗能力或妥协的可能性。通过进行让无形变为有形的研究,我们有助于消除这种偏见,从而有望带来有意义的行动。

同理心 .安全社区经常被认为与构建事物的人不一致;开发人员普遍认为安全性“让我们慢下来”,而用户体验专家则认为安全性“让事情变得困难”。虽然我们不同意这样的立场,但我们不会彻底抛弃它们;相反,我们始终注意倾听并了解客户的困扰。通过最好地了解他们的业务并同情他们的问题,我们能够开发出在其业务运营的现实环境中有效的缓解措施。

现在的物联网: 1 月份有报道称,黑客对奥地利 Romantik Seehotel Jaegerwirt 酒店进行了第三次攻击,要求以 1,600 美元的比特币将酒店门锁的控制权交还给管理层。不幸的是,由于酒店已订满,酒店经营者选择遵守规定并支付赎金。酒店业和其他行业可以从中吸取哪些教训?

TH: 从中可以吸取几个教训。

对手在不断发展 .勒索软件本身是旧攻击工具的一个相对较新的转折点,使用它通过破坏客户体验来强制付款是一项真正了不起的创新。如果只关注昨天的防御范式,公司将永远无法防御现代攻击者,更不用说未来的攻击者了。

成功孕育模仿者 .由于该攻击者成功地将其努力货币化,酒店业可以合理地预期类似的攻击会随之而来。攻击者经常像其他人一样做出基于结果的决策;他们看到过去成功所展示的机会,他们就会去追求。

安全是多方面的 .在安全方面,酒店业主要关注 PCI 合规性以及保护客人的个人身份信息 (PII)。然而,这个案例证明了对其他非常宝贵的资产——品牌声誉、客人安全和客人体验的妥协。仅考虑 PCI 和 PII 不足以同时保护品牌声誉、客人安全和客人体验。

IoT Now:ISE 在克服这一威胁方面发挥了什么作用?

泰国 :多年来,我们一直在积极参与酒店业。与我在 凯悦酒店 的同行一起 ,我们为行业贸易协会下一代酒店技术成立并共同主持了门锁安全工作组。

经过 2 年多的努力,我们为行业创造了几个有价值的可交付成果,包括门锁系统的抽象威胁模型,以及一套新兴的锁系统的开发最佳实践,如 RFID、在线锁系统和移动键。

我最近刚刚与 Interel 一起担任领导职务 ,酒店经营者连接设备的领先创新者,共同主持同一行业协会的物联网工作组。该小组目前正在进行中,我们正在指导它帮助业界思考如何采用连接设备,并确保它们以安全的方式开发和部署。

IoT Now:美国医疗保健提供者是否足够重视保护患者数据?还是他们更专注于满足 HIPAA(健康保险流通与责任法案(美国,1997 年)的要求?

泰国 :这些本质上是相同的,因为 HIPAA 迫使医疗保健部门专注于患者数据。相反,医疗保健安全的真正问题在于它们不是 专注于:保护患者健康。我们最近与 12 家医院及其许多辅助医疗设备和其他技术合作,发表了一项历时 2 年的大量研究成果。

这项研究调查了黑客如何在医疗保健环境中对患者造成伤害或死亡。我们证明,这不仅非常有可能,而且证明在许多情况下这样做很容易。从根本上说,仅保护患者数据的努力不足以保护患者的健康。冒着夸大事实的风险,这可能是目前最重要的安全问题。

IoT Now:IoT 服务提供商现在应该采取的前三项行动是什么 确保其客户的数据和身份安全?

泰国 :内置安全性。从收集需求的那一刻到部署之后,开发过程的每个阶段都应将安全性视为重中之重。这显然会带来更有效的安全性,但更令人惊讶的是,它也带来了成本更低、资源密集度更低的安全性。

    • 参与第三方专家的安全评估 .无论您是否调查系统的弱点,您的对手都会这样做。
    • 采取对抗心态 .当您考虑安全评估时,不要满足于自动化扫描、黑盒笔测试或合规性即安全性等商品方法。攻击者远远超出了这些基本步骤,您也应该如此。

位于巴尔的摩的 Independent Security Evaluators 的执行合伙人 Ted Harrington 接受了编辑总监 Jeremy Cowan 的采访。


物联网技术

  • 嵌入式
  • 传感器
  • 云计算
  • 物联网技术

    1. 重新定义固件安全性
    2. 管理 IIoT 安全性
    3. SolarWinds 攻击凸显了董事会层面网络安全决策的必要性
    4. 制定有效预防性维护计划的五个步骤
    5. 3 个步骤让网络和安全专家更好地协作
    6. 保护物联网免受网络攻击
    7. 聘请物联网世界最佳 CISO 的四个步骤
    8. 保护物联网中嵌入式系统的六个步骤
    9. 全球物联网安全的三个步骤
    10. ICS 安全攻击实现建筑物的远程控制
    11. 实施工业物联网安全时要采取的六个步骤
    12. 北美公用事业公司是否可以抵御网络攻击?