根據ABI研究公司進行的一項研究,到2020年,全球將有超過400億臺設備連接到網絡中。這些設備產生的大量數據通過網絡進行傳輸。雖然企業IT系統駐留在云平臺中,但大部分物聯網基礎設施駐留在邊緣。邊緣設備和工作負載的數量比在數據中心可能發現的設備數量要高出幾個數量級,而且它們在本質上是非常分散的。
雖然在早期,網絡威脅主要針對企業IT設施,但在現代世界中,網絡威脅變得更加廣泛和頻繁。在討論物聯網采取安全措施之前,需要了解圍繞物聯網的一些網絡威脅向量。
物聯網的常見威脅向量
威脅向量是指網絡犯罪分子可以訪問企業在網絡中運行的核心系統的路徑或手段。物聯網中連接了大量的設備,最常見的一些威脅向量是:
(1)沒有物理邊界
物聯網設備超越了傳統的網絡邊界,并且更加開放。限制訪問設備的傳統安全方法不再適用。這些物聯網設備在需要時轉移到任何新位置,并且可以訪問網絡。
(2)弱配置的Wi-Fi和藍牙
物聯網中的Wi-Fi和藍牙配置對數據泄漏構成了主要威脅。弱加密方法可能允許網絡攻擊者在網絡中傳輸數據期間竊取憑據。此外在大多數情況下,采用密碼不是為每臺設備唯一設置的,如果只有一臺設備受到網絡攻擊和威脅,就會為未經授權的訪問留下空隙。
(3)物理訪問物聯網設備
網絡攻擊者獲得物聯網設備和工作負載的物理訪問權,這是所有威脅向量中最糟糕的一種。通過這種訪問,網絡攻擊者可以輕松獲得物聯網設備內部信息及其內容,而使用Bus Pirate、Shikra或Logic Analyzers等工具,他們也可以讀取網絡中的所有通信流。通過物理訪問,網絡攻擊者可以提取密碼、修改其程序或替換為他們控制的其他設備。
物聯網 vs. IT
雖然很多物聯網設備位于邊緣,但IT基礎設施位于云端。對物聯網安全的威脅可能會導致網絡攻擊者通過物聯網威脅向量獲得對核心IT網絡的訪問權限。以下是一些現實生活中發生的網絡攻擊事件。
(1)通過暖通空調(HVAC)系統進入網絡導致數據泄露
Target公司是美國10大零售商之一,根據媒體的報道,黑客竊取該公司4000萬個信用卡號碼,這是全球規模最大的數據泄露事件之一。黑客竊取了第三方HVAC供應商的憑證,進入HVAC系統,然后獲得了對企業網絡的訪問權限。
(2)Subway PoS遭遇黑客攻擊
目前有一些與PoS相關的安全漏洞報告。Subway PoS的漏洞導致1000萬美元損失,Subway 公司至少有150個特許經營店成為攻擊目標。美國圖書銷售商Barnes&Noble公司也發生了一起類似的黑客攻擊事件,其中63家商店的信用卡讀卡器遭到攻擊和破壞。
(3)SamSam勒索軟件
另一個著名的系統漏洞案例是SamSam勒索軟件進行的網絡攻擊,該軟件于2018年襲擊了美國科羅拉多州交通部和圣地亞哥港等管理部門,并突然中止了他們的服務。
物聯網法規
盡管一些國家和地區發布了一些物聯網法規,但它們不足以減輕網絡攻擊所涉及的風險。在遏制網絡攻擊方面,加利福尼亞州擁有合理的安全級別法規。同樣,英國實施了獨特密碼政策,企業必須為連接到當地IT基礎設施的物聯網設備提供明確的聯系方式以披露漏洞和定期進行安全更新。盡管這些法規準則受到許多安全評論員的歡迎,但對于誰將執行這些政策并不清楚。評論員補充說,他們正在努力了解如何通過現有的監管機構執行這些規定。
網絡攻擊者的戰略和措施更新速度要快得多,而這些法規可能每年或每半年發布或實施。因此僅依靠監管政策很難跟上網絡攻擊者實施的攻擊。
企業必須采取什么安全措施
在遵循上述法規的同時,企業必須為采用物聯網設備制定自己的安全措施。
首先,他們必須確定物聯網設備的安全性。使用的每一臺設備都必須具有可以很好管理的唯一標識。這是至關重要的,并且構成后來采用的許多安全措施的基礎。
然后,還需要通過固件、簽名代碼、固件合規性或工作負載合規性等措施來保護軟件。所有這些措施都需要建立在身份層之上。
最后,企業必須擁有最頂層的合規性,以決定必須運行哪些版本的軟件,或者必須在設備上運行的固件級別。
總而言之,對于物聯網設備的完整安全解決方案,身份管理應該是所有的核心,其次是固件和軟件的管理,最后需要在其上構建任何類型的合規性。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號