为什么我们不能推迟保护关键国家基础设施中的物联网

保持电网安全密不可分。

在讨论物联网 (IoT) 安全性时，首先要认识到我们的日常生活越来越依赖这些完全连接的系统，这一点至关重要。在关键任务行业中集成物联网设备意味着，在提高效率的同时，我们为新的攻击点创造了温床。 Sectigo 嵌入式解决方案物联网副总裁 Alan Grau 表示，这些网络至关重要 ; 门的保护成为当务之急。

虽然即使是外行也会意识到保持电网或供水密闭的关键性质，但谈话中经常缺少一个要素，即保护物联网设备的核心作用，包括使用数字证书进行身份验证。

现在当务之急是对所有连接的事物进行身份验证，而证书是克服我们关键国家基础设施 (CNI) 中漏洞的最前沿。时间至关重要。 Ponemon 研究所 据透露，90% 的 CNI 提供商已经在与物联网攻击作斗争。很可能，另外 10% 的人还没有意识到他们也受到了攻击。

随着越来越多的分布式拒绝服务 (DDoS) 和勒索软件攻击继续针对不安全的设备，组织需要唤醒并解决从服务器到车辆再到电网的生态系统中不安全端点所带来的固有风险。

越来越多的政府最近发布了针对消费设备安全的监管要求，但这些措施远​​非全球性的；它们也不全面。生态系统中的每个人，从原始设备制造商 (OEM) 到最终用户组织，都应该构建和采用保护我们 CNI 的身份验证技术。

保障医疗保健行业的安全

医疗保健行业面临着处理大量敏感数据的巨大挑战。无论是管理知识产权、机密个人健康信息 (PHI) 还是连接设备的配置；数据理所当然地是卫生部门最宝贵的资产，也是保护起来最复杂的资产之一。

任何保存或传输高价值患者、研究或组织数据的系统或设备都存在风险。这些威胁可能来自内部和外部来源，现在涵盖从恶意软件、勒索软件、IoT 僵尸网络和盗窃到网络钓鱼企图、商业电子邮件入侵 (BEC)、敲诈勒索和大规模数据泄露。

不幸的是，许多医疗保健组织仍未得到充分保护。大多数都没有保护动态数据和静态数据所需的高级数据加密。许多人仍然没有充分利用数字身份可以为各种用例带来的好处。

也许更令人担忧的是该行业中无担保的“事物”所带来的经常被忽视的风险。大多数拥有依赖物联网的新兴业务模式的医疗保健组织往往没有意识到他们的连接设备（用于患者监测的生物传感器、用于远程医疗的可穿戴设备、起搏器、泵等）存在重大的安全风险。

患者体验的日益数字化，加上对数据（包括信用卡支付数据）的日益依赖，意味着该行业的组织必须不断加强其安全能力并关闭潜在漏洞以领先于威胁。

保护每辆车

自动驾驶汽车的到来将加剧物联网攻击对财产和生命的潜在威胁。在不远的将来，送货卡车、公共汽车、出租车和个人车辆将实现自动驾驶，为网络攻击者提供丰富的目标。自动驾驶汽车制造商表示，物联网技术将使这些车辆彼此直接对话并与城市交通系统对话，从而打造更高效、更安全的出行系统。

然而，这种通信需要车辆之间完美的、不受干扰的信息流，以确保它们在可能高速行驶、相距仅几英寸的情况下密切协调。

根据 2019 年 Consumer Watchdog 报告“Kill Switch”，到 2022 年，美国道路上超过三分之二的新车将在线连接到其安全关键系统，使它们面临对主要用于信息娱乐的车辆“头部”系统的致命黑客攻击的风险， GPS 导航和其他功能。

如果其中一辆车遭到黑客攻击，导致其通信瘫痪，从而无法与其他车辆协调，会发生什么情况？至少，黑客可能会导致流量混乱。在最坏的情况下，不良行为者可能会导致严重事故，可能导致乘客和/或附近行人受伤和丧生。另一个真正的威胁是针对车辆的大规模勒索软件攻击。对于联网汽车来说，安全性显然是必不可少的。

保护电网

物联网在能源领域的优势显而易见。大量传感器和控制设备的集合确保了供电的可靠性，并可以通过在任何给定时刻控制功率通量来防止断电。系统的现代化还意味着提高能源效率和减少人工干预的需要，这是组织节省成本的优势。此外，通过检索大量数据，智能电网可以创建预测性维护模型，从而提高整体安全性。

当然，这种自动化和集体智慧也有其反面。过去十年中无数的网络攻击和白帽事件凸显了能源行业的脆弱性及其作为目标的高价值。网络犯罪分子明白这一点，并继续积极寻找将恶意代码植入外国网格的方法，以便在需要攻击时加以利用。其中一个例子是俄罗斯对乌克兰电网的试射，证实了该国可以随意关灯。

鉴于潜在的灾难性后果，能源行业现在比以往任何时候都更重要的是将保护这一日益普及的技术作为主要优先事项。

从制造车间设计解决方案

解决方案不仅掌握在立法者手中，还掌握在设备制造商和供应链中的其他各方手中。身份管理必须按设计内置，自动化以避免错误或破坏，并在每台设备的整个生命周期内定期更新。

身份验证工具是保护关键基础设施及其众多设备的重要保障。数字证书、安全启动和安全代码更新、嵌入式防火墙和其他技术使医疗保健、运输、能源和其他关键企业能够在未经授权的连接进入网络之前检测并阻止它们，从而从一开始就对网络犯罪分子关闭大门.

企业和嵌入式物联网安全不再仅仅是技术供应商或电网运营商的关注点。物联网身份已成为国家利益的问题。

作者是 Sectigo 嵌入式解决方案物联网副总裁 Alan Grau

关于作者

Alan Grau 是 Sectigo 的物联网、嵌入式解决方案副总裁，Sectigo 是自动化数字身份管理和网络安全解决方案的全球供应商。作为公司收购 Icon Labs 的一部分，Alan 于 2019 年 5 月加入 Sectigo ，物联网和嵌入式设备的安全软件供应商，他是首席技术官和联合创始人。