保护物联网威胁向量

Mark Hearn，爱迪德物联网安全总监

当今的组织都知道，他们需要制定网络安全战略，以保护其知识产权 (IP) 和敏感数据免于落入网络犯罪分子之手。

但是，只有针对组织面临的威胁量身定制安全策略才会有效，而且许多人未能从网络安全的角度了解他们面临的威胁。 Irdeto 物联网安全总监 Mark Hearn 表示，因此，无数组织没有正确实施最佳网络安全方法，这在很大程度上是我们看到全球范围内勒索软件和恶意软件攻击数量不断增加的原因。

问题在于，商业模式变化的步伐并未与组织安全方法的演变相匹配。随着消费者越来越需要灵活性、易用性和便利性，更不用说在各种设备上交付服务和内容，公司越来越依赖连接性。

虽然这对扩大商机有利且至关重要，但这种连接也引入了更多第三方来源的漏洞，而且随着物联网服务和设备的激增，这种情况只会进一步扩大。黑客利用这些漏洞绕过适当的保护措施以进入设备，并从那里对服务或业务施加压力。

与物联网相关的企业面临的威胁是显而易见的，但如何保护物联网设备本身及其上运行的服务？ 加特纳 曾预测到 2020 年将有超过 200 亿台物联网设备，物联网设备的部署模式经常是构建、运输和遗忘。

随着物联网设备连接水平的提高，通常部署在公司 IT 安全边界之外，制造商现在必须考虑将物联网设备的保护、更新和升级作为其物联网安全战略的关键部分。威胁在不断演变，因此物联网安全是可更新的并且由各种先进的安全技术组成，所有这些技术相互加强，这一点也至关重要。

PC 以外的勒索软件

对 IT 系统和 PC 的威胁在过去一年左右的时间里得到了惊人的证明。 5 月，WanaCrypt0r 2.0 勒索软件攻击来袭，紧随其后的是 6 月的全球攻击，该攻击最初被认为是 Petya 勒索软件的变种，但后来被确定实际上是恶意软件。

随着威胁的演变，我们必须意识到许多物联网设备也容易受到勒索软件的攻击，并且越来越多地成为攻击目标。迄今为止，我们所看到的针对汽车的攻击是基本的，但说明了可以轻松地破坏车队或整个车型年并勒索赎金。勒索软件是一个完全不同的球类游戏，需要准备和强大的网络安全策略。

物联网作为一个概念在许多行业中仍处于成熟阶段，并且仍然有许多不同版本的操作系统和芯片组来控制各种设备。未来随着融合和标准化，我们网络边缘的物联网设备面临的威胁将明显增加，这反过来将成为我们业务的风险战场。

针对工厂和医院的勒索软件攻击对底线产生了明显影响，并可能使消费者安全处于危险之中。然而，当涉及到物联网和汽车时，我们也可能会看到威胁品牌损害的勒索软件攻击——下一代勒索软件将把公司的客户或其品牌作为人质，黑客希望获得更大的回报。

以昂贵的消费电器或任何其他带有保修的昂贵消费品为例。一旦达到临界质量，攻击只需要威胁设备做一些奇怪的事情的可能性，以确保来自消费者的大规模保修电话。

潜在的品牌损害和更换成本可能会促使制造商根据威胁支付赎金。当您考虑攻击者就该漏洞及其对消费者的影响公开声明的可能性时，品牌肯定会感到害怕。

改进您的安全策略

随着越来越多的漏洞为黑客提供了新的目标，许多公司今天采用的“复选框”安全方法根本无效。在不知道您面临什么的情况下，组织的网络安全方法注定会失败。

通过对黑客的操作方式进行威胁风险分析，组织可以通过实施适当的保护措施来保护其敏感信息（包括组织的 IP 和客户数据）的安全，从而更有准备正面应对网络安全挑战。

尽管已经采取了安全措施，但了解黑客的目标以及他们如何获得访问权限非常重要。通过使组织 IT 基础设施中存在的物联网服务和连接中的漏洞难以利用来破坏黑客的商业模式也很重要。这不是让自己无法被黑客入侵，因为这几乎是不可能的，而是让自己作为攻击目标没有吸引力。

考虑到这一点，组织必须在其边缘设备（无论是仍在其网络中还是部署到消费者）上实施不断发展的深度网络安全防御方法，并不断提高针对最新攻击媒介的安全标准。这种方法需要在整个产品生态系统中实施多层安全，而不仅仅是简单的外围防御或纯硬件安全方法。

任何攻击的第一个目标总是最不安全的设备（尤其是与物联网相关的）或系统，因此组织必须专注于使自己比周围环境更安全，以确保任何攻击的回报都不值得投资以实现它。减轻对联网设备的攻击对于保护消费者、品牌声誉以及最终收入至关重要。

此博客的作者是爱迪德物联网安全总监 Mark Hearn