亿迅智能制造网
工业4.0先进制造技术信息网站!
首页 | 制造技术 | 制造设备 | 工业物联网 | 工业材料 | 设备保养维修 | 工业编程 |
home  MfgRobots >> 亿迅智能制造网 >  >> Industrial Internet of Things >> 物联网技术

物联网安全:我们可以从最近的威胁中学到什么

一家未命名的拉斯维加斯赌场被黑客入侵,其鱼缸与物联网相连以监控喂食和水温

物联网 (IoT) 为企业提供了前所未有的灵活性和功能。更多联网设备有望帮助企业简化供应链运营、提高效率并降低现有流程中的成本、提高产品和服务质量,甚至为客户创造新产品和服务。

Tata Communications 托管安全服务主管 Avinash Prasad 表示,企业可以获得无数好处 ,物联网将增强甚至彻底改革商业模式,使其变得更好。

虽然物联网数据的大量生成、收集和分析肯定会为企业提供巨大的机会,但通过不安全的网络和其他易受攻击的入口点(包括物联网设备)轻松访问的潜在机会正在吸引网络犯罪分子。

根据 Gartner ,近 20% 的组织在过去三年中至少观察到一次基于物联网的攻击。预计到 2025 年,全球联网设备将达到惊人的 750 亿台,因此网络安全漏洞和数据泄露的风险将比今天增加五倍。

因此,随着我们进入一个物联网主导的新时代,当部署多个连接的设备并将其纳入企业安全策略时,必须重新审视企业面临的威胁。以下是所有企业在制定网络防御计划时都应考虑的三个物联网漏洞示例 - 从看似无害的产品上的漏洞到彻头彻尾的恶意。

  1. 即使是最简单的联网设备也容易受到攻击

许多去拉斯维加斯的人回来的钱比他们去的少得多,但这通常与任何网络攻击无关,更不用说从鱼缸开始的攻击了。然而,这正是罪恶之城一家无名赌场遭遇第一次网络安全违规的方式。

连接的温度计用于赌场水族馆内的远程监控和喂食,为希望获取最高消费游客数据的黑客提供了完美的接入点。黑客总共窃取了 10GB 的个人数据,并将其发送到芬兰的远程服务器。

物联网设备越来越多地用于不同领域,正如维加斯鱼缸示例所见,即使是最简单的连接设备也可能成为企业网络其他私有部分的潜在网关。鉴于世界上 80% 的数据都保存在私人服务器上,将黑客拒之门外从未如此重要。

  1. 连接设备的物理保护和处理可能很麻烦

有时,您需要警惕的不是黑客,而是物联网设备本身的行为。 2018 年,网络安全博客结果有限 用钢锯切割 LIFX Mini White 灯泡,发现智能灯泡本身存在漏洞。任何对产品有物理访问权限的人都可以提取所有者的 Wi-Fi 密码,因为它以明文形式存储在设备上,以及 RSA 私钥和 root 密码。

LIFX 通过固件更新修复了漏洞,但它引发了有关设备物理状态的重要问题,包括使用过程中的保护以及旧或有缺陷的智能设备的处置。随着企业业务不断采用和升级物联网,必须牢记这一经常被遗忘的漏洞利用方面。

  1. 工业规模的恶意软件——网络物理威胁

世界已经习惯于窃取私人信息的恶意软件,但正如维加斯鱼和 LIFX 示例所见,它很少对其受害者构成物理威胁。直到 2018 年,才发现 Triton 工业恶意软件针对沙特阿拉伯炼油厂的安全系统。据说这是有史以来第一个旨在危害工业安全系统的恶意软件,使黑客能够禁用传感器并启用致命的灾难。黑客刻意采取行动,花时间渗透越来越多的炼油厂系统并开发更精确的恶意软件。

幸运的是,在执行更多攻击之前就发现了该实例,但这并不能阻止黑客开发更危险的恶意软件。因此,随着工业控制系统变得越来越互联并越来越依赖物联网设备,企业必须采取措施为这些层建立安全性。

合规难题

即使没有广泛采用物联网,许多企业也面临着创新的挑战,这些创新可能会打开数据保护的潜在漏洞。在过去几个月中,英国航空公司、万豪酒店 根据欧盟的《通用数据保护条例》(GDPR),各种地方当局组织因意外暴露大量个人数据而被处以巨额罚款。事实上,仅万豪数据泄露事件就暴露了与英国居民相关的 700 万条记录。

征收的所有罚款都表明,欧盟委员会 (EC) 内的监管机构愿意解决安全和合规问题以确保个人数据保持私密性的积极性。英国即将出台的新物联网安全法将要求设备制造商对连接设备本身内的易受攻击的入口点负责。然而,企业还需要为其自身 IT 架构中的弱点(安全性和合规性)承担更多责任。

那么,解决方案是什么?

在可预见的未来,物联网刚刚起步的性质很可能使其成为黑客的一个有吸引力的目标。随着更多技术的出现和 IT 环境变得越来越复杂,物联网攻击面将会增加。如今,企业必须采取正确的预防措施,以防止对新实施的物联网环境的成功攻击可能造成的严重损害。

加强网络安全的一种方法是在安全环境中使用由机器学习 (ML) 和人工智能 (AI) 等高级分析处理的物联网数据。通过实施高级分析技术,可以监控所有连接设备的行为和使用异常,从而识别关键安全事件或误用。此外,通过采用区块链,企业可以消除对物联网网络中央权威的需求。这意味着如果管理员被要求执行不寻常的任务,公共组中的连接设备可以提醒管理员。

在支持充满物联网的环境时,企业还必须寻求合作伙伴的支持。由专业网络安全参与者运营的高级安全防御中心可实时响应网络攻击,可为企业提供一站式服务,满足其网络安全、合规性和新兴技术需求。

这样的网络安全中心应该由大量复杂的工具和平台提供支持,包括日志和行为分析、网络威胁情报、基于云的安全框架、由机器学习驱动的高级攻击预测平台,并集成到自动化和编排平台中。

因此,这些中心可以为企业提供一个全面的安全仪表板——IT 和物联网网络及其安全的鸟瞰图。从成本和技能的角度来看,此类中心很难建立和维护,因此企业可以利用专家合作伙伴的深厚专业知识来帮助加强其系统和数据保护态势,并应对不断变化的法规。

只有对物联网安全采取整体方法——采用基于云的普遍控制,通过新兴技术提供扩展的可见性和保护——才能确保企业得到端到端的保护,并始终符合数据保护标准。

总之,没有必要害怕物联网。有了正确的保护措施,它就可以兑现承诺,改进旨在提供的流程和服务。

作者是 Tata Communications 托管安全服务主管 Avinash Prasad。


物联网技术

  1. 拆解物联网系列:安全挑战以及您可以采取的措施
  2. 应对家庭工作者物联网安全挑战
  3. 物联网平台在 2018 年的期待
  4. 物联网带来的安全挑战:第 1 部分
  5. 从物联网到加密劫持:了解新的移动设备威胁
  6. 物联网设备的日益普及是最大的网络安全风险
  7. 企业中的物联网流量正在上升,威胁也在增加
  8. 智能安全:如何保护您的智能家居设备免受黑客攻击
  9. 保护从网络层到应用层的物联网
  10. 保护工业物联网:日益严峻的安全挑战——第 1 部分
  11. COVID-19:医疗物联网网络安全从第一波中学到了什么
  12. 物联网设备安全保障四步指南