据预测,到2025年,物联网市场规模将达到1.5万亿美元。从长远来看,这比2019年增长了600%,当时物联网市场的规模为2500亿美元。预计到2025年,将有250亿台设备成为物联网网络的一部分,其中智能手机占24%。物联网革命的最大受益者是工业4.0。只有当我们能够保护流经数十亿物联网连接的大量数据时,物联网革命才能起飞。这就引出了我们关注的焦点——物联网安全。
物联网安全--开启工业4.0的钥匙
物联网安全涉及存储、处理、收集、传输和处理数据的软件、硬件和网络的安全。无论是自动车库门还是智能照明都是通过传感器工作的。这些传感器收集数据并将其发送到指挥中心,然后指挥中心处理并发送响应,这些数据需要得到保护,设备也需要安全保护,整个网络都需要保护,这就是物联网安全要解决的问题。它包括工具、策略和方法,以保护免受黑客的攻击,这些黑客会不断地回来寻找网络中的漏洞。
与基于设备的安全性不同,物联网安全是基于云的。它是物联网、大数据、云计算生态系统的基础模块。物联网设备有助于生成和收集数据,而大数据平台负责分析,而云计算系统存储处理和处理与数据迁移相关的其他方面。物联网安全确保在云和物联网设备内发生的一切都得到很好的保护。
工业4.0的命运掌握在物联网安全的手中,而不仅仅是物联网设备的互联互通,为了应对物联网安全挑战,在设计层面,采用安全设计架构是预防和缓解物联网安全威胁和漏洞的最佳方式。
没有物联网安全的网络就像没有屋顶的房子!
在工业现场失去对100吨机器的控制会是什么感觉?如果地铁信号系统失灵会发生什么?这甚至难以想象。电力分配、水管理、交通管理、智能家居等复杂系统和大量其他系统和设备通过物联网设备相互连接,形成复杂的网络。
虽然物联网连接的好处已经众所皆知,但对这些复杂网络的任何安全妥协都可能导致灾难性事件。如果军事网络、核电站网络或输电网络受到破坏,威胁可能是国家层面的。强大的物联网安全对于保持世界运转的复杂和敏感网络至关重要。从网络安全专家的观点来看,网络安全团队需要应对许多物联网安全挑战。
让我们以智能汽车制造工厂为例。工厂的运作和能力突出了物联网革命随着时间的推移所提供的东西。另一方面,这家工厂是理解物联网安全有多重要的典型案例。黑客一旦渗透进工厂的网络,就能进入工厂内部运行的关键系统和流程。他们获得对“权限升级”权限的控制只是时间问题。例如黑客可以修改制造单元或组装单元的设置,从而危及数百人的生命。同样,如果它们设法进入监控数百个医疗设备,如人工心脏起搏器的医疗指挥控制系统,就有可能造成更大的人员伤亡。
即使是像闭路电视、智能电视、智能冰箱等家用设备也不安全。这些设备被配置到家庭网络,无需更改其默认凭据。这将整个网络置于危险之中,并任由黑客摆布。确保网络的所有端点安全是很重要的。在设备和云之间传递的数据应始终加密。即使在数据泄露期间,这也可以降低风险。
了解物联网安全框架
大多数基于各种物联网安全框架的指南严格依赖于通过云操作的协议和预定义策略。根据行业性质、收集的数据水平、数据处理等参数,企业符合当地法律要求的某些合规标准。虽然这有利于物联网设备上的安全数据处理,但即使是制造商和消费者也应该认识到他们的做法。物联网安全框架主要分布在三个层次:
物理层:
1、安全设计
物联网安全设计应严格执行。开发团队应该将“安全”特性与设备本身同等重要,并将其嵌入到SoC(芯片系统)中。这将最大限度地减少物联网设备生命周期内的安全威胁。补丁和固件更新只能通过安全机制提供。
2、访问设备
在任何时候,用户访问凭据都应该是机密和私有的。为了防止“暴力解锁”和滥用登录尝试,应采取措施。全面的物联网安全测试有助于降低物联网安全风险。访问敏感数据应该强制执行MFA。
3、检测和防篡改机制
制造商应确保在运输和安装过程中使用最少的工具不会篡改物联网设备。如果需要,应该内置一个全面的检测系统来提醒指挥控制。遵守某些安全认证可以帮助消费者在购买物联网设备时做出更好的选择。由于最近窃听实例的增加,这一点至关重要,这通常通过预算物联网设备执行。
4、保持消费者的知情权
应始终将有关设备的实时、可读和易于理解的信息传达给用户。特别是在数据被泄露的可能性很高的情况下,用户可以立即修改密码或采取其他预防措施来保护自己的账户。
通信层:
边缘网络:
1、物联网设备互连
边缘网络通过有线或无线接口促进同一网络上的多个物联网设备之间的通信。它建立了互联物联网设备之间共享和处理数据所需的协议。这种通信途径容易受到许多网络攻击。
2、边缘计算
帮助预处理靠近源(物联网设备)的数据。这提高了数据处理的容量和速度,实现了更多以行动为主导的结果。
3、同质性跨设备
大多数连接到网络的设备通常不是来自单一的制造商。全球大多数物联网设备制造商和开发人员选择基本的身份验证和安全协议,以限制设备之间和网络连接期间的任何故障。这使得他们很容易成为黑客的目标。不仅设备和它存储的数据被泄露,网络上的每一个设备和网络本身也被泄露。在此类网络上建立同质的安全策略是减少物联网安全漏洞的关键。
核心网络:
1、将物联网设备接入云端
核心网络是连接云与物联网设备的关键通信通道,促进数据移动。黑客经常针对此途径进入网络。在先进而复杂的网络攻击面前,传统的网络安全方法已经远远落后。随着精心策划和复杂的网络攻击的发生,核心网络路径引发了众多物联网安全挑战。
2、端点和安全负担是相对的
随着网络中物联网设备数量的增加,与网络相关的物联网安全风险比例不断增加。尽管最佳的物联网安全实践和努力已经到位,但为了保护拥有成百上千个物联网设备的网络,持续的网络监控是必要的。
处理层(云端):
1、处理与大数据分析
大部分的处理和数据分析都是在云端进行的。这是迄今为止保证物联网设备所需功能的最关键的资产。物联网设备将数据发送到云端进行进一步处理。通过分析数据,可以了解长期使用模式和其他关联的用户模式。应用、网络管理平台和数据存储构成了云上的大部分资产。
2、实现DevSecOps
DevSecOps是“开发-安全-操作”的缩写这是对现有DevOps的提升,后者专注于开发和运营。考虑到开发模式和单个大型团队在项目中工作,采用DevSecOps有助于从一开始就将更好的安全性嵌入到代码和设备中。开发人员可以坚持安全编码标准,采用电子集成驱动器安全插件,并跟踪威胁建模。
3、无数的端点
确保单个物联网设备产生的众多端点的安全,并连接到云是一项困难的工作。并不是所有的连接都是安全的,这就需要持续监控恶意软件和其他机器人的存在。
保护整个物联网生态系统的安全性比必要性更强。它可以通过采用4点策略来实现,这有助于确保网络系统、路径和物联网设备的安全:
1、策略驱动的安全性
保护物理设备、通信路径和云。
主要依靠一组预定义的策略和协议或软件来保护、检测、缓解和恢复物联网网络。虽易于实现和部署,但需要不断更新以应对新出现的威胁。
2、防篡改和检测
专注于保护物联网生态系统的物理组件。
处理物联网设备、通信路径和其他物理硬件。
几乎不可能越狱。
3、数据保护和保密
物联网设备上的数据存储和与云之间的数据传输需要加密。
数据应该通过CoAP和MQTT协议传输。
4、IP安全与保护
互联网协议安全是一套保护物联网设备与云之间通信安全的协议。
通过这些协议,可以实现数据的加密、认证和敏感数据的保护。
身份验证标头、密钥交换和封装安全负载是IPsec最常用的部署方式。
物联网安全常见问题及其修复
黑客一直在想方设法让网络安全专家忙于开发更好的安全系统。虽然不能完全规避物联网安全问题,但一个强大的过程一旦付诸实施,可以缓解和避免许多问题。在大多数情况下,黑客利用未关闭的端口、已知的漏洞、使用开源代码构建的应用、糟糕的配置和人为错误来渗透网络。有时,这些漏洞可能来自第三方设备、密码错误和其他地方。
在这里,我们列出了导致企业物联网安全问题的最常见因素和需要采取的措施。
1、弱密码
这确实是导致设备或网络被黑的首要原因。弱密码只会使网络的安全性变得薄弱且易受攻击。大多数消费者不会更改设备附带的默认用户名和密码。当这些设备被接入网络时,它们最终成为黑客进入网络的通道。此外,黑客可以迅速接管整个系统。大多数勒索软件攻击都是由于由弱凭据提供的,而不是与加密有关。
为了解决这个问题,每个企业都应该确保所有物联网设备的凭证在连接到网络之前就已更改。选择字母数字和唯一的密码组合以及启用2FA/MFA等措施可以提高安全性,这降低了网络攻击成功的概率。
2、不安全的用户界面
用户界面被视为大多数网络攻击的另一个切入点。通常,开发人员会忽略用户在将信息输入系统/服务器时带来的风险。在几乎没有加密的情况下,像移动、云、API、web、网络路由器和其他接口可以为黑客进入网络铺平道路。
在对现有网络进行任何更改之前,网络安全团队应该评估现有网络的每个组件的安全状况。强大的加密和MFA是确保网络安全的关键。在任何情况下,在进入网络之前都必须进行身份验证和用户验证。
3、设备缺乏可视性
大型零售空间、商业机构和工业生态系统在任何给定时间都有数十万个物联网设备连接在同一网络上。通常情况下,我们找不到任何明确的设备连接网络、加入和退出网络、网络安全态势的日志。如果黑客设法通过不安全的闭路电视或暖通空调系统进入网络,那么在确定渗透并采取适当措施时为时已晚。为了防止这种情况发生,应该建立一个强大的系统,提供每个设备的可见性和安全态势。
4、使用可移动媒体
不是所有的苹果都是红色的,员工也是如此。如果员工或者一个听从黑客组织指令的人,可以使用移动媒体将恶意软件注入网络。类似的事件也发生在特斯拉的一家制造厂。使用可移动媒体来修补系统和共享数据使整个网络容易受到攻击。
企业可以完全禁止使用可移动媒体设备。如果这是一个小时的需要,那么应该在所有设备上全天候运行持续的反恶意软件和反病毒扫描。应在可移动媒体上禁用自动运行功能,并且应加密数据。
5、第三方设备
大型办公空间需要大量的设施,除了常规的工作设备。无论是电梯、升降机、暖通空调系统,还是照明。大多数提供这些服务的供应商都不知道黑客如何使用这些设备进入本地网络。由于缺乏知识或其他限制,第三方供应商安装的大多数系统都具有绝对零安全性。
防止黑客利用安全性差的第三方设备,或系统的唯一方法是限制对这些供应商的远程访问。远程访问密钥应该只在特定的时间段内生成,并且在期满后必须重新生成。企业应强制供应商使用2FA登录网络。将企业网络与物联网设备网络隔离是保护企业关键资产的关键步骤。
6、物联网技术的差距
虽然物联网革命仍近在咫尺,但物联网攻击已经悄悄溜进了窗外。除了从事网络安全工作的员工之外,员工之间存在巨大的技能差距。大多数恶意软件通过伪装成诱人电子邮件发送的恶意链接下载到商业系统中。打开电子邮件后,恶意软件文件会在后台快速下载并执行其命令。
如果可以弥合员工之间的技能差距,则防止网络攻击变得更加容易。通过定期组织关于网络安全的讲座和定期发送物联网安全最佳实践,企业可以对其员工进行教育。这有助于在很大程度上防止员工点击恶意电子邮件链接和插入可移动媒体设备。企业的首席执行官应该把这视为保护数字资产的一项投资,而不是一项支出。
物联网安全威胁和解决方案
大多数物联网安全问题都可以通过培训、学习和提高意识来避免。但这并不能阻止黑客发现漏洞。它可以是漏洞攻击或DDoS攻击,网络安全团队应该准备好有效的策略来对抗任何类型的网络安全威胁。
企业如何在现代世界中避免这些威胁
在任何时候,建议对跨设备共享登录凭证和其他信息采取零信任策略。
1、通过僵尸网络进行DDoS攻击
黑客们知道单个物联网设备处理能力较低,但是,当数千个这样的物联网设备放在一起时,它们所汇集的能量是疯狂的。黑客将恶意软件注入物联网设备,从而进一步复制该过程并感染更多物联网设备。然后使用这些设备向目标服务器发送大量请求,导致其崩溃。
任何人都很难实时区分真实的攻击流量和DDoS攻击流量。虽然无法阻止DDoS攻击,但可以通过部署诸如Web应用程序防火墙等工具来缓解攻击。它通过充当反向代理来保护目标服务器免受恶意流量的侵害。其他可用的解决方案是速率限制,也就是限制服务器可以接受的请求数量,和将所有流量路由到黑洞中并从系统中移除。IP欺骗是DDoS攻击的另一种方式。这可以通过采用入口过滤加以限制。限制带宽和硬件资源是防止DDoS攻击的好方法。
2、漏洞攻击
在某些情况下,黑客甚至在开发之前就发现了应用程序代码中的漏洞。黑客利用这种情况,利用这些漏洞进入网络并制造混乱。
限制漏洞利用的几种方法有避免开源代码、严格的代码测试、beta测试和企业外部专家的代码审查。如果代码已经被推送,开发团队应该以黑客的心态寻找进入应用的方法。定期的漏洞扫描、输入验证、杀毒、部署WAF和定期的补丁管理可以帮助识别任何漏洞。
3、勒索软件攻击
超过90多个国家的GDP低于2022年预计的200亿美元的勒索软件攻击成本。这一数据会让安全经理和高管们夜不能寐,担心他们数字资产的安全。黑客控制了关键数据、物联网设备、安全系统、恒温器,以及他们可以访问的任何东西,并要求赎金。在收到付款后,他们可能会或可能不会放弃对资产的控制权。
企业应随时对其关键数据进行备份。当他们必须决定是否向黑客支付赎金时,这就派上了用场。在任何时候,企业、物联网设备和支付网络都应该分离。智能家居业主应该确保网络上的所有端点都是安全的,并得到很好的保护。企业应该在网络安全专家团队的监督下,不时进行彻底的勒索恶意软件扫描。
4、窃听
一个智能灯泡足以入侵网络,物联网设备是窃听的绝佳选择。黑客可以修改物联网设备,并使用它们来记录视听。它是一个持续的威胁,遍及商业、政治,甚至个人的生活。工业和政治间谍活动可以破坏一个国家的GDP。
仅从经过认证、品牌化、可靠且符合合规性的制造商处购买物联网设备,应该持续监控带宽和其他资源。在安装之前,应彻底检查和测试设备是否存在任何错误或间谍电子设备。
5、编辑个人资料佯装熟人
黑客们会花费数小时编制个人资料。他们会浏览目标的社交媒体资料、公司详细信息、博客、联系信息,以及他们能得到的一切信息。然后他们利用这些信息让你相信他们认识你本人,并试图实施攻击。黑客非常有耐心,善于操纵。
当收到声称认识您本人的人的电子邮件时,请务必要求他们提供他们的详细信息以及身份证明,把企业邮件、私人邮件和与银行相关的邮件分开,最好将个人笔记本电脑和工作笔记本电脑分开使用。
物联网安全标准
无论是在当地的电子商店购买现成的产品,还是在亚马逊上下单,都应该只购买经过认证的物联网设备。在国际上,许多机构和贸易组织,包括政府和非政府组织都提出了一套协议,在将物联网设备推向市场之前确保其安全。
根据地理位置和当地法律,制造商和开发者可以根据所选择的框架遵循网络安全标准。主要的物联网安全框架如下:
ETSIEN303645:欧洲电信标准协会推荐了一套65个安全协议和实践,针对参与基于消费者的物联网设备制造和开发的组织。
NIST物联网安全框架:由美国国家标准与技术研究所开发,NISTIR8259系列(适用于制造商),SP800-213系列(适用于联邦机构)和EO14028(适用于消费级物联网设备)指导物联网设备的制造商和开发者建立更高的设备安全标准。
美国联邦贸易委员会:美国联邦贸易委员会的目标是使制造商和开发者必须依法遵守政府法规,这提高了全国物联网设备的安全态势。
ENISA:欧盟网络与信息安全框架机构,旨在为网络空间即将到来的发展和举措奠定基础,并帮助在欧洲促进物联网安全合规标准。
安全物联网设备生态系统的10项基本要求:
没有默认/常规密码
持续的软件更新和安全补丁
加密通信渠道
最小化攻击面
强大的备份和弹性计划
100%设备可见性和管理
用于企业和物联网设备的独立网络
采用零信任策略和2F身份验证
实现微营销
定期对整个系统进行漏洞扫描和检查
数以百万计的企业正在意识到网络安全威胁是真实存在的残酷现实,他们的企业很可能成为下一个目标。近年来,物联网安全和网络安全领域投入了大量预算。这为一个快速增长的大市场打开了大门。预计在2022-2029年,物联网安全市场将以21.2%的复合年增长率增长,到2029年达到591.6亿美元。
北美企业物联网安全状况
北美企业占全球物联网安全市场总规模的50%以上。随着北美数以千计的企业为其全球客户提供数字服务,网络安全风险加大。根据物联网安全市场报告,超过三分之二的美国公司在2020年支付了赎金以克服勒索软件攻击。平均而言,企业在2020年发生安全漏洞后的支出为840万美元,比2006年的平均354万美元增加了235%以上。与此同时,全球企业在发生安全漏洞后的平均成本为386万美元。虽然这些物联网安全统计数据可能很难理解,但它们描绘了北美,尤其是美国企业的真实状况。
超过65%的公司在其网络上拥有的物联网设备比计算机还多,这并不奇怪。此外,由于“分工”概念,物联网技术差距在大公司中最为明显。黑客组织主要针对服务行业、医疗保健、杂货店、支付网关和其他行业,这些行业的应用由大量用户数据推动。
暖通空调系统第三方服务提供商等接入主系统。这样做是为了将运营成本降到最低,因为维护比培训或雇用技术人员更便宜。第三方服务提供商端的安全故障可以为黑客进入主网铺平道路。
几乎不少于20%的企业对其物联网安全分期付款有信心。大多数企业的物联网设备并没有100%的可见性和管理能力。如果此类设施遭到入侵,至少需要数周甚至数月才能确定黑客的进入点。
尽管有许多框架和指南可供物联网设备制造商和开发人员使用,但仍有少数人遵循它们。这种不合规往往会降低产品在公开市场上的价格,从而吸引许多企业。为此,政府应该出台严格的法规,确保物联网设备符合一定的行业标准。由于其在市场中的地位而增加了脆弱性的企业,必须准备好强有力的“识别、防御、检测、反应和恢复”。定期备份数据可以帮助应对勒索病毒攻击。现代网络安全和物联网解决方案中嵌入了人工智能和机器学习,以及自动警报隔离系统。
增加对物联网安全管理工具和服务的预算分配是企业层面的一线希望。首席信息安全官应主动参与向公司的每位员工解释安全状况。首席信息安全官需要提出物联网安全最佳实践的时间表,以保持其企业的安全和安全。有数百家物联网安全公司承诺提供全套网络安全服务。在选择物联网安全供应商时,应该在深入研究该公司的经验和团队后做出决定。
物联网安全问题会阻碍物联网革命吗
毫无疑问,网络威胁的频率、复杂性和性质每小时都在增加。但与此同时,安全研究人员正在开发强大的工具和技术来阻止这些威胁。通过遵循推荐的物联网安全最佳实践,可以避免大多数威胁。即使黑客侵入,一个强大的网络安全系统也可以在短时间内减轻威胁,网络可以在几个小时内恢复。
