一旦控制了这些物联网设备,Mirai就会将它们作为机器人大军进行网络攻击。而这一网络攻击背后的企业主要以顶级域名系统(DNS)提供商为目标,显然是为了破坏Playstation网络。最终导致Reddit、Netflix和Twitter无法使用长达几个小时的时间。
同样的网络攻击行为可以让黑客自由支配商业物联网系统,从被盗数据到勒索软件甚至更糟,都可能造成灾难性影响。安全服务商卡巴斯基公司表示,从2020年上半年到2021年,物联网设备上的网络攻击事件增加了一倍多。
但也有好消息:依赖物联网的60%以上的企业并非无力保护自己。自从2016年以来,物联网的网络安全有了很大的进步。只要企业确保选择了拥有最先进防御的物联网合作伙伴,就基本可以保证安全。
如今,许多物联网系统在自助服务平台上运行,所有业务用户都可以构建定制的物联网应用程序,而无需从头开始设计。那么,面对安全威胁,如何决定哪个平台最能让自己安心?
向供应商询问以下这五个物联网安全问题。他们的答案将揭示他们是否遵循当今物联网安全的最佳实践,或者您是否应该继续搜索。
向物联网平台提供商提出的5个物联网安全问题
企业不能将传统的IT安全策略应用于物联网系统。每个设备都是潜在的入侵媒介,这种新范式需要新的网络防御方法。要评估物联网平台的安全级别,需要与供应商进行面谈,并从以下五个物联网安全问题开始:
(1)整体安全框架是什么?
网络安全是一个强大的领域,具有建立可靠防御的既定策略。企业的物联网平台提供商应该能够描述这些策略。欧盟网络和信息安全局建议采用纵深防御方法,其中多层防御可以阻止攻击;一个安全边界失效的地方,这个概念成立,另一个安全边界将继续存在。
纵深防御紧密地映射到物联网系统,企业和其物联网平台提供商必须在其中维护至少三个级别的安全性:
●保护设备本身,包括硬件、软件和网络连接。
●保护物联网云平台,包括管理层和数据访问。
●遵守数据隐私法,包括(取决于人们所在的位置)通用数据保护条例(GDPR)、当地法律和行业认证。
为了提供这些多层次的保护,物联网平台开发人员可以应用ISO27001等认证标准或遵循DevSecOps(开发、安全和运营)计划,该计划在开发过程的每一步都集成了安全性。他们可能采用多种方法。
与此同时,微软公司建议物联网安全的零信任原则。这个防御框架假定所有请求都是有罪的,直到被证明是无辜的;它需要在提供访问权限之前进行严格的验证。
需要注意的是,深度防御和零信任并不相互排斥。物联网平台中的强大安全性可能包括两者的元素。事实上,第三种策略(设计安全)涉及同时集成多个安全策略,将安全视为整个系统及其生命周期的整体要求。
(2)如何在平台中启用安全功能?
这是一个棘手的问题。在理想情况下,应默认启用安全功能。同样,在完全确定需要它们之前,应禁用打开潜在漏洞的设备功能。
在相关说明中,默认密码最初应该是健壮的。企业还应该在部署之前更改密码和用户名,这是2016年遭遇Mirai攻击的一个仍然相关的教训。
(3)如何防止设备级别的安全漏洞?
物联网平台的设备安全性可能很棘手;毕竟,他们并不总是控制用户使用的设备。与提供预集成设备库以供选择的提供商合作,并询问他们是否已验证设备固件中的安全协议。
一个关键的最佳实践是仅使用提供基于硬件的不可变信任根的设备。这是一个验证真实基本输入/输出系统(BIOS)的芯片,BIOS是启动系统的固件。如果没有这一验证,黑客可能会在损坏的BIOS上启动设备,这让他们可以完全控制。
(4)平台如何控制用户访问?
不要让恶意行为者进入系统。物联网平台中的用户控制主要是身份验证和授权问题,但并非所有身份验证协议都同样强大。为了与零信任安全保持一致,平台应单独保护系统资源。
最常见的资源授权协议称为OAuth2;选择包含OAuth2甚至更好的资源单点登录(SSO)授权的平台提供商,具体取决于分配的用户角色。说到角色,在企业的物联网平台中寻找基于角色的访问控制(RBAC)。这使企业能够为物联网项目中涉及的每个人(从管理员到内部用户再到第三方合作伙伴)授予不同级别的访问权限。
(5)如何处理软件和固件更新?
企业越早更新应用程序,其整个系统就会越安全。但是在一个拥有数十个(或数百个)设备的物联网系统中,仅使用人工方法是无法保持最新??状态的。
与其相反,寻找支持无线(OTA)更新的物联网系统,将新版本的软件和固件推送到云平台。可能还会询问更新服务器的安全性、设备连接以及更新包的加密方法。
克服物联网平台中的网络安全挑战
极其丰富的数据收集、前所未有的自动化、实时数据流等物联网的承诺,使这项技术成为竞争的关键。创造这些好处的相同特征导致了一系列新的安全挑战。
大多数物联网设备在物理尺寸和计算能力方面都设计得尽可能紧凑。这并不总是为安全功能留下空间。更糟糕的是,物联网市场尚未确定所有利益相关者的标准化安全协议。例如,设备制造商可能会采用完全不同的方法进行身份验证。平台提供商、系统集成商和运营商本身可能并不都在同一页面上。
选择一个单一的自助物联网平台可以消除这种碎片化。这些平台使整体安全设计策略相对简单。但在与任何平台提供商合作之前,请务必了解他们如何处理安全性。上面列出的物联网安全问题是一个很好的起点。