在大多数情况下,我试图对夸张持怀疑态度。因此,当网络安全专家告诉我,物联网安全是“滴答时间炸弹”时,我的最初反应不必担心即将到来的“安全启示录”。
但是我已经担心物联网的安全性。所以,我借此机会问Srini Vemula,全球产品管理负责人和安全专家Senecaglobal,当我们朝2020年奔向2020年时,真正的风险和估计204亿个连接的设备。
为什么物联网如此脆弱?
Senecaglobal
Srini Vemula,全球产品管理负责人兼安全专家,Senecaglobal
首先,我想知道为什么物联网如此脆弱。根据Vemula的说法“物联网软件和硬件的最小足迹削减了传统的恶意软件保护策略。另外,Vemula说,消费产品的买家(从儿童玩具到起搏器和汽车)都没有想到安全问题。他补充说,在更大范围内,“现在关联了电力,灌溉和防御等关键基础设施”,为数字混乱创造了多汁的目标,从犯罪团伙到流氓国家。
问题几乎不是理论上的。显然,物联网恶意软件已经感染了超过100万个组织。从勒索软件到黑客入侵医疗保健,制造业和媒体的所有事物已经付出了巨大的费用,导致了无数的诉讼。
最大的物联网安全问题
Vemula提出了一些已经发生的最大与物联网相关的安全问题:
- Mirai:去年,Mirai Botnet攻击通过利用工厂默认密码和硬编码密码来降低互联网的很大一部分。
- DDOS攻击2016年:在CCTV设备上运行的嵌入式实用程序在珠宝店中被黑客入侵。
- DDOS在安全记者网站上发动攻击:攻击者使用超过500,000个与互联网连接的摄像机产生了660 Gbps的交通,从而导致Akamai(为该站点提供保护的公司Akamai)在变得太成本太高以至于无法支付这一数量的流量时就放开了。
- Persirai Botnet:攻击了100,000多个IP连接的摄像头,使黑客访问了相机的互联网供稿。
尽管有这些例子,还有许多其他公司,许多公司仍然认为IoT安全是他们几年后需要担心的。毫不奇怪,Vemula认为这种方法是危险的自满。
企业如何提高其物联网安全性?
幸运的是,公司采取行动来减轻与物联网相关的风险永远不会太晚。Vemula分享了一些他说的行动,可以真正改变:
- 基于安全硬化平台构建设备。通过硬化,他意味着操作系统经过微调以确保安全。此外,他说:“物联网体系结构应大规模支持软件的修补。”
- 采用标准的物联网安全控制。Vemula提供NIST(800-53)举个例子。
- 确保IoT设备具有一个工作流程,可以启用并鼓励更改默认密码。正如Vemula所指出的那样,连接设备的买家不会自动认为:“哦!让我先确保这些!”因此,设计师必须使安全预防措施成为使用该产品的简单且预期的一部分。
- 订阅安全服务,并对野外的所有威胁报告采取行动。当物联网利用出现在现实世界中时,物联网用户和供应商立即应用补丁以最大程度地减少零日漏洞的危险至关重要。了解问题并且不做任何事情并不能使您更安全。
- 了解,在岩石固定安全性中建造可能与快速建造并保持产品负担得起。并非总是有可能快速,廉价地构建安全的产品和网络。鉴于此,企业必须根据给定设备的使用来智能优先考虑其安全资源,以使其安全性最大程度地提高。
最终,我不确定这些建议是否足以散布“滴答时间炸弹”并离开物联网“安全启示录”,但它们比什么都不做要好得多。