惠普近的一項研究結果表明,大約有90%的設備都在收集某種形式的個人信息。這意味著用戶的隱私始終處于風險之中,威脅級別將隨物聯網(IoT)的發展而不斷增長。隨著人們安全意識的提高,現在正在采用安全的解決方案,但是識別常用部署架構中的漏洞仍然是一個關鍵問題。企業已開始考慮不僅保護其物聯網生態系統,還要保護其用戶。這種模式意味著企業可確保用戶數據端到端的安全性,以及通過提供物聯網安全即服務來開辟新的收入來源。
物聯網安全的影響和挑戰
近年來,針對物聯網生態系統的攻擊呈指數級增長。惡意軟件(如Mirai)已經證明,通過設備的默認用戶名、密碼或簡單的字典攻擊可以授予對數百萬設備的訪問權限。隨著智能家居設備發送超過600,000個惡意垃圾郵件和黑客遠程劫持汽車等表明,任何連接的設備都容易受到攻擊。
物聯網生態系統面臨的挑戰與傳統IT有很大的不同。僅僅了解攻擊方面的技術可能還不夠,應該了解使用這些設備來破壞整個網絡的作用范圍、目的和動機。這些設備的計算能力有限,因此無法始終運行強大的保護機制,如防病毒、雙因素身份驗證和密鑰證書交換。這些因素使得攻擊時更易瞄準用戶。由于大多數終端用戶缺乏安全意識,因此他們不會應用強密碼,也不會經常修補設備漏洞。而企業未必會定期調查其客戶網絡中部署的保持密碼策略和固件更新的設備,這從而為不良參與者開放了整個網絡。
由于物聯網設備通常是專門建造的,因此普遍的安全標準難以開發并且尚未在上得到通過。與典型的IT端點(如筆記本電腦、臺式機、平板電腦)不同,物聯網設備是在遠程環境中無人監督的情況下部署的,這意味著它們也容易受到物理篡改。
雖然固有安全性似乎是解決安全問題的理想方式,但這可能會使設備在沒有更新的情況下使用多年相同的協議,并且還增加了部署成本,因為“安全”芯片的成本在7美元到17美元之間。由于該設備本身的平均成本為10美元,因此固有安全性可能會大大增加總體成本。
使用物聯網安全的機會
傳統上,運營商在一個垂直渠道中為平板電腦提供物聯網連接。但是隨著IoT和M2M技術的引入,各種設備類型、模型和變體被引入到網絡中,其中大多數被約束并防止安全代理從內部運行。保護這些設備的理想方法是覆蓋無代理、不可知保護、以監控這些設備的入口和出口流量。
CSP能夠監視它們向這些設備提供連接的設備的行為,因為往返于這些設備的流量流經它們的網絡。這給電信公司提供了一個機會,不僅允許連接,而且向其用戶提供基本的安全服務作為增值服務,或者通過以下方式之一實現物聯網安全產品化。
組織為什么需要安全的物聯網?
從端點生成并在物聯網和IT網絡之間交換的信息量持續增長,但在物聯網部署中還沒有任何實質性標準可供遵循。雖然有許多組織共同努力建立新技術和新標準,但業界可能需要幾年時間才能采用或接受這些標準。由于在組織的網絡之外生成了數百萬個數據節點,因此應該以應有的重要性來處理這些信息、數據通道和端點。
物聯網的規模和保護不足的端點數量遠遠大于任何傳統的IT網絡,因此安全風險也高得多。考慮到物聯網設備已經在醫療保健、銀行業務和緊急服務等至關重要的部門進行應用,其安全性已不能被低估。
(本文由物聯網空間站編譯自:Securing the IoT: Problems, Solutions, and Next Steps)
