2022年的物联网安全一直是一个相对温和的问题。警报已经敲响,网络安全专家也一直在提醒行业不规范使用物联网设备的风险。到2023年,物联网安全的前景不太可能变得乐观,特别是在经济发展不确定的背景下,这往往迫使企业在安全支出上妥协,并促使网络犯罪分子更有侵略性和创造性。
然而,这并不全是悲观和厄运。以下是新的一年将为物联网安全形势带来的概述。
协同物联网安全工作
从积极的方面来看,政府正越来越多地参与网络安全工作,这是令人鼓舞的。例如,在美国,H.R.1668-2020年物联网网络安全改进法案明确了国家标准与技术协会(NIST)和管理和预算办公室(OMB)参与物联网设备网络安全的授权。
此外,目前正在努力为物联网产品建立网络安全标签计划,类似于用于指示电子设备能效的能源之星标签。许多业内人士已经表示支持物联网网络安全标签的想法。Google表示非常希望成为该计划的一部分,并指出其此前已采取措施保护其Next和Pixel设备的安全。
在网络安全解决方案提供商方面,专门从事物联网安全的企业应运而生。例如,以色列初创企业Sternum提供专为保护和管理物联网和设备而设计的专利技术,包括用于医疗(IoMT)和工业(IIoT)领域的设备。Sternum物联网安全解决方案是对这个快速增长的利基市场可行性的认可。
政府、安全解决方案提供商、物联网设备制造商以及物联网用户似乎愿意参与充分保护物联网安全的工作。这无疑是一个受欢迎的发展,因为有报道称威胁行为者利用物联网设备的漏洞和安全弱点。
医疗保健物联网安全日益重要
在过去几年里,医疗保健一直是最常受到攻击的行业之一。随着物联网设备的更广泛部署,其将在未来一年成为一个更具“吸引力”的目标。一份市场研究报告显示,到2026年,全球医疗保健物联网市场将增长近两倍,与2021年的水平相比。这大约是攻击面的三倍,特别是对于许多还不熟悉物联网安全的组织来说。
丹佛大学的安全策略师Richard Staynings对2023年的医疗网络安全状况表示不太乐观态度。
这位网络安全和健康信息学教授不确定企业是否已经改进了防御网络攻击的方式。其认为一些卫生系统已经优先考虑网络安全问题,但仍觉得大多数卫生系统还有很长的路要走。这又回到了治理、领导力和网络安全的优先事项上。
积极应对威胁的必要性
大多数组织在应对网络威胁方面继续采用被动方法。医院和其他医疗机构部署了安全控制措施,但缺乏预测攻击和抵御零日威胁的能力。物联网设备制造商也是如此。到目前为止,大多数设备制造商的首选网络安全策略是安全修复,其中设备制造商只在检测到新威胁并进行分析时发布安全修复或固件更新。
已经存在解决未知威胁或零日威胁的主动方法。其中包括Web应用防火墙,其通过流量监控和过滤来保护Web应用,而不是通常的基于边界的保护。还有基于SaaS的扩展检测和响应(XDR)平台,旨在通过跨网络点收集和关联安全数据来应对安全威胁。
物联网产品制造商还可以通过在其设备上部署具有主动威胁缓解功能的产品安全和可观察性系统来主动保护其设备。这听起来像是额外的成本和努力,但对于物联网设备制造商来说,要想在充斥着普通产品和糟糕安全声誉的市场中脱颖而出,建立有吸引力的声誉是至关重要的。
实施物联网安全解决方案的困难
一项针对高级IT经理的调查显示,93%的组织承认其在物联网安全项目上失败了。人们一直在努力保护物联网设备,但很少有人取得成功。此外,大多数组织都意识到有必要根据物联网改善其安全态势,但在实现目标方面遇到了困难。
这些失败的原因有很多。其中的主要原因是安全技术的成本和实施所需的时间。许多组织仍然犹豫在安全解决方案上投资,而把重点放在传统的安全支出或基本的必需品上,因为其正在合理化IT支出。这些原因可能会持续到2023年,因为组织正在努力应对动荡的经济状况。
尽管如此,仍有研究预测2023年物联网安全支出将显着增加。Reportlinker的一份报告显示,复合年增长率相对较高,为31.7%。这标志着人们承认物联网威胁的严重性,并需要相应地分配资源。不过,鉴于全球经济状况,预计明年物联网安全支出增长将过于乐观。
喜忧参半,谨慎乐观
同样,预测2023年是物联网安全迫在眉睫的灾难是不准确的。即使威胁行为者的攻击不断演变、组织在物联网安全方面的疏忽和妥协,但仍有理由保持乐观。显然,政府和行业都在努力应对物联网使用增加带来的日益严重的威胁。
此外,尽管在2023年可能无法实现向主动物联网安全的重大转变,但组织已经暗示其意识到了物联网威胁的严重性。还有一些调查表明,在一定程度上,人们愿意分配更多资源来加强物联网安全。
所有这些的一线希望是,关于物联网风险的知识和见解已经建立。此外,有效且高效的物联网安全工具和策略已经可用。组织要充分利用其所知道的和所能负担得起的资源。