物联网(IoT)为组织和消费者提供了许多可能的好处——无数产品、设备和资产的前所未有的连通性,可以共享各种信息。物联网还提出了许多组织需要解决的潜在安全威胁。
Gartner研究主管Ruggero Contu表示:“毫无疑问,随着物联网设备部署的增长,风险水平也将增加。”。Contu说,仅仅通过增加联网点的数量,物联网将引入数千种新的威胁向量。
虽然IOT提供了巨大的机会,但在互联环境中,“安全风险呈指数增长,而攻击向量或表面在理论上是无限的”,战略分析公司系统研究和咨询公司的董事Laura DiDio说。
“此外,IT部门的负担更加繁重,”DiDio说。“他们有很多很多东西可以追踪。”端点或外围安全是很多人关注的焦点,DiDio说,这是有充分理由的,因为它是第一道防线,在全面正面攻击中首当其冲。
[关于公民社会组织:安全和物联网——我们是在重复历史吗?]
“话虽如此,这并不是物联网基础设施中唯一的薄弱环节,”DiDio说。事实上,根据Strategy Analytics 2016年的调查数据,在物联网环境中,所有事物以及越来越多的人都将相互连接,粗心的终端用户构成了其组织物联网网络的最大安全威胁。
毫不奇怪,物联网安全支出正在上升。Gartner在2016年4月的一份报告中表示,2016年全球在物联网安全方面的支出将达到3.48亿美元,比2015年的2.815亿美元增长24%。2018年,物联网安全方面的支出预计将达到5.47亿美元。
Gartner预测,随着技能的提高、组织变革和更具可扩展性的服务选项提高执行力,物联网安全市场支出将在2020年后以更快的速度增长。
该公司表示,随着消费者和企业开始越来越多地使用联网设备,这个市场正在增长。高德纳(Gartner)预测,今年全球将有64亿件联网产品投入使用,比2015年增长30%,到2018年将达到114亿件。
该公司预测,到2020年,超过25%的已识别的企业攻击将涉及物联网,尽管物联网将占IT安全预算的不到10%。
Gartner表示,由于物联网分配的预算有限,以及组织中早期物联网实施的分散方法,安全供应商将面临提供可用物联网安全功能的挑战。物联网安全工作预计将更多地关注设备及其数据的管理、分析和供应。Gartner预测,到2020年,超过一半的物联网实施将使用某种形式的基于云的安全服务。
未来几年,物联网很可能成为各组织网络安全的首要任务之一。2016年5月,卡内基梅隆大学软件工程研究所计算机应急准备小组(CERT)部门发布了一份报告,确定了10项面临风险的新兴技术,其中一些与物联网有关。
在“2016年新兴技术领域风险调查”研究中,CERT检查了互联家庭等领域的安全性,其中涉及家庭设备、电器和计算机的自动化。另一个领域是智能传感器,这是物联网的使能技术之一。
在当今日益互联的世界中,信息安全社区必须准备好应对新技术可能产生的漏洞,CERT部门的漏洞分析师Christopher King在一份报告中说博客.他说:“了解新兴科技的发展趋势,有助资讯保安专业人士、机构领导及其他对资讯保安有兴趣的人士找出进一步研究的领域。”
卡内基梅隆大学是物联网的早期开发者,并将安全作为优先事项。
该大学正在开发一个名为乔托(Giotto)的开放物联网平台,以文艺复兴时期富有创新精神的画家乔托命名。卡内基梅隆大学计算机人机交互研究小组负责人Jason Hong表示:“我们正在构建一个端到端堆栈,从硬件到中间件再到应用程序层,全面集成机器学习、隐私和安全,同时还关注用户体验。”计算机科学学院移动隐私安全实验室。
Hong说:“我们希望让人们能够实现物联网,这样他们就可以快速使用我们的一些传感器平台,演示感知事物的示例(例如窗户打开或有人敲门),并创建由这些感知动作触发的应用程序。”。
Hong说,物联网为改善日常生活提供了很多潜力,“但也对安全构成了新的风险。”“把物联网看作金字塔是有用的。在顶端,你会有一些设备,你会经常使用,有很多的计算能力,”如笔记本电脑,智能手机,手表和游戏机。
中间是几十种偶尔使用的设备,它们的计算量适中。这一层包括恒温器、电视、冰箱等。底部是数百种人们几乎不知道的设备,如暖通空调、徽章、植入式医疗设备、数字相框、电子锁等。
Hong说,顶层将得到很好的保护,因为生产这些产品的公司拥有大量的专业知识和经验,而且这些设备可以运行大量的安全软件。“然而,我们会在中层和底层看到很多问题,”他说。“许多制造商在软件方面的经验很少或根本没有,而且这些设备也无法保护自己。”
Hong说,物联网最大的威胁将是勒索软件。“如今的勒索软件攻击包括加密受害者的数据,并将其作为人质,直到他们付钱给你,”他说。“明天,物联网将提供一系列新的勒索软件攻击。脚本kids可能会把人们锁在门外或车外,从而惹恼他们。”他说,“匿名者”可能会篡改一家公司的暖通空调或照明设备,提高电费或激怒居住者,攻击者可能会试图闯入多辆自动驾驶汽车或医疗设备,把人当作人质。
卡内基梅隆大学的实验室正在研究乔托内部的几种安全措施。洪说,其中之一是如何利用接近性作为获取信息的一种方式。例如,如果你在一个房间里,你可能可以访问房间的一些传感器和服务,比如温度。如果你在房间外,你可能会得到降级或没有信息重申。
”我们也在研究如何区分公共数据和私人数据。“例如,在我们的大学,我们可能会在走廊指定传感器作为公共数据,任何与大学有关的人都可以看到和使用。但与私人办公室相关的数据和服务可能只有该办公室的居住者以及大楼管理员才能访问。”
此外,实验室正在研究Giotto的不同层如何支持不同的安全部分。洪说,例如,物理层需要让人们更容易理解传感器在那里,检查传感器正在收集什么数据,查看数据是如何使用的,以及了解谁可以看到这些数据。
“逻辑层和中间件层需要提供访问控制,作为人们可以访问的数据和服务的有用默认值,以及不需要博士学位就能理解的真正简单的控制,”Hong说。“应用层需要让普通开发人员更容易使用数据,同时也尊重人们的隐私。”
Hong说,企业IT非常重视终端安全,也就是在笔记本电脑、台式机和智能手机上安装安全软件。他说:“这只适用于顶级设备,但不适用于将构成中底层的数十亿设备。”“需要在网络安全方面取得重大进展,才能保护这类设备。”
Hong补充说,组织还需要在人工智能和大数据技术方面进行重大创新,以检测异常行为。“如今,我们几乎无法管理我们的台式机、笔记本电脑和云服务器的安全,而在家庭或企业网络中添加数千或数万台设备,将意味着我们将需要新的、自动化的方法来快速检测和应对攻击。”
Contu表示,总体而言,没有单一、同质的安全技术可以保护所有IT资产,包括物联网边缘处理、物联网平台中间件、后端系统和数据。他说:“需要一个多方面的安全方法来解决扩大的数字和物理风险。”
Contu说,在终端,可以使用不同的方法,从在芯片架构中嵌入安全功能到部署软件代理来执行不同的安全控制。网关将为复杂架构(如物联网生态系统)提供有价值的帮助,因为异构设备和iden难以确保安全tity简介。
Contu说:“将部署网关来协调和处理特定的物联网域,管理具有类似信任要求的特定设备集,因此可以使用通用信任模型的原则来塑造这些域。”。“信任模型联合允许不同域和使用不同信任模型的设备之间的互操作性。”
金融服务公司GE Capital Americas首席信息技术官兼IT风险主管James Beeson表示,物联网安全的关键技术可能是机器学习和人工智能。
Beeson说:“随着数以十亿计的设备连接到互联网,手动处理警报和/或未知资产和事件的数量将变得不可能。”。“这些技术需要能够处理大量数据并快速做出决策。”
DiDio说,甚至在考虑技术之前,组织就必须实施强有力的安全政策和程序。她说:“如果没有相应的政策或计划,你就会遇到真正的问题。”
然后,组织应该购买并安装适合他们业务的适当的安全工具和软件包。DiDio说:“它们必须跟上最新的补丁和修复程序。”“许多公司都遇到过问题,因为他们没有升级和应用补丁,发现他们的设备和应用程序完全开放,容易受到攻击。”
物联网环境中的安全不是静态的,而是一个不断变化的目标。DiDio说:“你必须不断地重新评估和监控你的安全和安全政策和程序,并执行它们,以跟上黑客构成的外部威胁和你自己员工构成的内部威胁——有意或无意的。”“企业永远无法宣告胜利。自满是你最大的敌人。”
这个故事“物联网将IT安全推向了边缘”,最初由方案 .