物聯(lián)網(wǎng)設(shè)備具有固有的網(wǎng)絡(luò)安全風(fēng)險，這已經(jīng)不是什么秘密。物聯(lián)網(wǎng)為惡意攻擊者發(fā)動網(wǎng)絡(luò)攻擊和入侵聯(lián)網(wǎng)設(shè)備打開了大門;網(wǎng)絡(luò)攻擊者通過DDoS攻擊破壞基礎(chǔ)設(shè)施并入侵網(wǎng)絡(luò);并可能獲得對私人或敏感信息的訪問權(quán)限。運(yùn)行物聯(lián)網(wǎng)設(shè)備的許多嵌入式固件不安全且極易受到攻擊，從而使關(guān)鍵系統(tǒng)面臨風(fēng)險。

 

隨著物聯(lián)網(wǎng)設(shè)備的激增，風(fēng)險也在增加。根據(jù)調(diào)研機(jī)構(gòu)Gartner公司的預(yù)測，到2021年底，全球物聯(lián)網(wǎng)設(shè)備的采用數(shù)量預(yù)計將達(dá)到250億臺。根據(jù)麥肯錫公司的調(diào)查，每秒將有127個新的物聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng)，這些設(shè)備上潛在的可利用漏洞助長了不斷增長的攻擊面。

 

應(yīng)對物聯(lián)網(wǎng)安全挑戰(zhàn)需要一種雙管齊下的方法。它必須從受保護(hù)產(chǎn)品的角度(通過運(yùn)行軟件的安全代碼)和這些設(shè)備上的固件來為應(yīng)對網(wǎng)絡(luò)攻擊做好準(zhǔn)備。物聯(lián)網(wǎng)安全策略還必須具有檢測和響應(yīng)能力，以防止網(wǎng)絡(luò)攻擊者利用漏洞進(jìn)行的攻擊。

 

 

雖然物聯(lián)網(wǎng)的采用率持續(xù)增長，但圍繞物聯(lián)網(wǎng)的標(biāo)準(zhǔn)、合規(guī)性要求和安全編碼實踐并沒有以同樣的速度發(fā)展。最近備受關(guān)注的軟件供應(yīng)鏈攻擊使安全編碼問題成為焦點，促使各國政府發(fā)布命令，要求政府部門和企業(yè)購買和部署安全軟件。這一關(guān)鍵性的轉(zhuǎn)變將對全球軟件開發(fā)過程和生命周期產(chǎn)生直接影響，特別是考慮到采購的巨大范圍時。幾乎所有設(shè)備制造商和軟件公司都將受到直接影響，因為政府部門開始要求私營部門履行義務(wù)，并在各行業(yè)領(lǐng)域建立新的安全標(biāo)準(zhǔn)。

 

針對物聯(lián)網(wǎng)，這些命令指示政府部門啟動試點計劃，以提高物聯(lián)網(wǎng)設(shè)備的安全能力，并確定物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和消費者標(biāo)簽計劃的安全軟件開發(fā)實踐。也許這正是私營部門需要調(diào)整其做法以符合這些標(biāo)準(zhǔn)的驅(qū)動力。根據(jù)Bitdefender公司的估計，在該公司通知的具有軟件漏洞證據(jù)的物聯(lián)網(wǎng)設(shè)備制造商中，只有不到30%的制造商做出了回應(yīng)或承認(rèn)了這些缺陷。此外，雖然大多數(shù)制造商最終會解決問題，但他們的反應(yīng)相對緩慢。

 

由于政府機(jī)構(gòu)積極與行業(yè)領(lǐng)袖進(jìn)行協(xié)商，以解決有關(guān)命令實施的確切時間以及各種基礎(chǔ)設(shè)施和制造商需要遵守的規(guī)模的問題，制造商現(xiàn)在可以采取以下一些措施做好準(zhǔn)備：

 

•強(qiáng)制要求軟件開發(fā)人員接受安全編碼培訓(xùn)。

•通過社區(qū)征集和共享有關(guān)常見物聯(lián)網(wǎng)漏洞的信息。

•通過檢查網(wǎng)絡(luò)安全社區(qū)來研究最常見的陷阱。

•使用自動化工具進(jìn)行代碼分析，確保在未預(yù)先掃描潛在漏洞的情況下，任何內(nèi)容都不會泄露。

•使用滲透測試團(tuán)隊查找開發(fā)周期中遺漏的任何內(nèi)容，但要審查第三方滲透測試提供商。

 

 

在理想情況下，對于物聯(lián)網(wǎng)設(shè)備的用戶來說，其購買的產(chǎn)品符合標(biāo)準(zhǔn)和要求，但要認(rèn)識到需要對設(shè)備進(jìn)行滲透測試。

 

如今，沒有哪一個系統(tǒng)不會受到損害，無論是在什么運(yùn)營環(huán)境中。因此利用滲透測試找到這些漏洞是很重要的。

 

一旦物聯(lián)網(wǎng)設(shè)備通過安全認(rèn)證并部署在企業(yè)的基礎(chǔ)設(shè)施中，務(wù)必使用擴(kuò)展檢測和響應(yīng)、端點檢測和響應(yīng)或其他安全運(yùn)營中心解決方案進(jìn)行監(jiān)控。這樣即使被攻擊，也會擁有所需的可見性，以確定設(shè)備是否正在執(zhí)行有關(guān)訪問、查詢、時間和IP地址的可疑行為方面不應(yīng)該做的事情。此外，這些檢測和響應(yīng)功能提供了物聯(lián)網(wǎng)設(shè)備應(yīng)該如何操作的信息，使異常行為更容易被發(fā)現(xiàn)，同時還確保在這些設(shè)備受到網(wǎng)絡(luò)攻擊時提供保護(hù)。

 

 

物聯(lián)網(wǎng)設(shè)備在消費者與工業(yè)或商業(yè)環(huán)境中的使用壽命差異很大。根據(jù)調(diào)查，物聯(lián)網(wǎng)設(shè)備在消費者環(huán)境中的平均使用壽命為3至5年，在商業(yè)環(huán)境中的平均使用壽命為7至10年。現(xiàn)實情況是，其中只有一小部分是具有受控更新機(jī)制的智能設(shè)備，因此預(yù)計任何內(nèi)置保護(hù)措施可能將在兩年內(nèi)過時。

 

即使產(chǎn)品開發(fā)生命周期中的標(biāo)準(zhǔn)尚未實施，也要假設(shè)其環(huán)境中的一切以及為保護(hù)它所做的一切都是有缺陷的。所以很重要的一點是，需要了解這些設(shè)備遭到破壞時會發(fā)生什么，以及會產(chǎn)生什么影響。雖然需要預(yù)測它是如何發(fā)生的，但更重要的是關(guān)注它是否發(fā)生。

 

 

•首先，對物聯(lián)網(wǎng)設(shè)備進(jìn)行優(yōu)先排序和隔離。隔離網(wǎng)絡(luò)上的設(shè)備將在發(fā)生網(wǎng)絡(luò)攻擊時最大限度地減少任何損害，并允許快速隔離。利用端點檢測和響應(yīng)技術(shù)或與提供端點檢測和響應(yīng)的服務(wù)提供商合作，仍然是在用戶或設(shè)備級別識別和補(bǔ)救潛在威脅的關(guān)鍵。

 

•制定解決設(shè)備維護(hù)問題的短期、中期和長期計劃。了解哪些設(shè)備(例如交換機(jī)和路由器)必須安裝最新的操作系統(tǒng)或軟件。了解更新到達(dá)設(shè)備有多容易或有多困難，如果存在漏洞，供應(yīng)商修復(fù)和發(fā)布軟件更新的速度有多快。

 

•確定供應(yīng)鏈攻擊的緩解措施。不僅要考慮這些設(shè)備的生產(chǎn)鏈，還要考慮該設(shè)備的環(huán)境和生態(tài)系統(tǒng)，尤其是在服務(wù)提供商級別。

 

在評估企業(yè)中物聯(lián)網(wǎng)設(shè)備的安全性時，準(zhǔn)備工作仍然是關(guān)鍵。通過了解如何確保安全的產(chǎn)品保護(hù)和利用滲透測試以及端點和網(wǎng)絡(luò)防御準(zhǔn)備措施，企業(yè)能夠更好地解決物聯(lián)網(wǎng)的安全問題。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。