为什么 98% 的物联网流量未加密

98% 的 IoT 流量未加密。 DigiCert 物联网安全副总裁 Mike Nelson 表示，当我阅读 Palo Alto Networks 在他们的 Unit 42 2020 威胁报告中发布的统计数据时，我应该感到震惊 .

去年，Z-Scaler 报告说了类似的话：91% 的物联网流量是未加密的。虽然这些数字可能并不能真正代表真正的问题，但有一件事是肯定的——太多的物联网流量在绝对应该加密的情况下没有加密。

未加密的物联网流量最明显地意味着攻击者可以执行中间人 (MiTM) 攻击。通过利用未加密的数据流，攻击者可以进入设备（或设备和更大的网络）之间并窃取或更改数据。

物联网安全的失败是有据可查的。制造商通常会迅速将联网设备推向市场，他们在设计过程中犯下了明显但很容易预防的安全错误。然后它们会被那些通常不考虑这些故障并部署到其他安全网络的企业急切地收购。从那里，攻击者通过简单的搜索发现它们，并找到进入企业的简单漏洞点。

然而——无论其安全状态如何——物联网正在如火如荼地发展。麦肯锡估计，到 2023 年，将有 430 亿台物联网设备连接到互联网。如果目前的趋势继续下去——并且 98% 的物联网流量未加密——这将成为网络犯罪分子的狂潮。

通常，当人们想到物联网黑客时——他们会想到易受攻击的玩偶或门铃——利用设备功能的攻击——有趣但最终是噱头。真正的威胁远没有那么丰富多彩。企业物联网部署通常由数百个甚至数千个单独的设备组成，如果这些设备中只有一个暴露在外，那么它可能会为原本安全的网络提供一个简单的突破点。

人们可以在拉斯维加斯现在臭名昭著的物联网漏洞中看到这样一个例子。 2017年，黑客利用鱼缸进行了一场赌场抢劫。有问题的鱼缸通过传感器连接到互联网，允许操作员远程操作和控制鱼缸。然而，安装后不久，安全人员注意到鱼缸将数据发送到芬兰的远程服务器。进一步的调查揭示了一个巨大的漏洞——黑客利用那个鱼缸从赌场的豪客数据库中窃取了 10 GB 的数据。

黑客揭示了三个紧迫点。首先，被盗信息在赌场系统上未加密，攻击者只需获取即可。其次，赌场没有足够的访问和身份验证检查来阻止攻击者从该物联网设备获取他们持有的一些最敏感的信息。最后，那个鱼缸连接到赌场更广泛的网络——并且通过利用该产品的弱点——他们可以连接并窃取大量敏感数据。

此类攻击的后果可能会有所不同，从财务或客户数据泄露到对关键基础设施的攻击。想一想大规模电网停电、互联网停电、全国卫生系统关闭和重症监护所造成的损害。名单还在继续。

开始 100% 加密

物联网或没有物联网——所有机密数据都必须加密。所有这一切 - 任何高于 0% 的值都是不可接受的。您或许可以对这里和那里的错误稍加考虑 - 但任何未加密的数据都容易受到损害。

这并不是说它没有自己的挑战。现代数据的本质是不断移动——从中心到网关，从网关到云，再往前走。这让事情变得更加复杂，因为数据必须在静态和传输中进行加密。

企业物联网网络尤其如此，这些网络通常由一系列不同的端点、传感器和设备构成，这些设备不断在其不同部分之间来回发送数据。该网络中的一个裂缝可以让攻击者进入，使其不仅成为一个特别敏感的区域，而且是一个特别需要修复的区域。

带有数字证书的公钥基础设施 (PKI) 开始解决这个问题。由于 PKI 可以在大型网络的各个节点之间提供相互验证并加密整个数据流，因此适用于物联网的巨大规模，企业开始将其作为保护其大型物联网部署的一种方式。

尽管该行业正在取得进步，领先的公司、从业者和监管机构正在采取措施共同努力并改善这些设备的安全状况——但我们还有很长的路要走。我们需要更多制造商优先考虑安全性并实施最佳实践——仅举几例——加密、身份验证和完整性——并且实施不能是渐进式的。那还不够好。

大规模加密是企业保护物联网流量所需要的。领先的制造商正在关注并实施 PKI。让我们希望其他人能赶上。很快。

作者是 DigiCert 物联网安全副总裁 Mike Nelson .

关于作者

Mike Nelson 是数字安全提供商 DigiCert 的物联网安全副总裁。在此职位上，Mike 负责监督公司针对各种关键基础设施行业的战略市场开发，以保护高度敏感的网络和物联网 (IoT) 设备，包括医疗保健、交通运输、工业运营以及智能电网和智慧城市实施。

Mike 经常与组织进行磋商，为媒体报道做出贡献，参与行业标准机构，并在行业会议上就如何利用技术改善关键系统及其依赖者的网络安全发表演讲。

Mike 的职业生涯是在医疗保健 IT 领域度过的，包括在美国卫生与公众服务部 GE Healthcare 和 Leavitt Partners – 一家精品医疗保健咨询公司。 Mike 对该行业的热情源于他作为 1 型糖尿病患者的个人经历以及他在治疗中使用互联技术。