應用

技術

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點新聞
企業(yè)注冊個人注冊登錄

物聯(lián)網(wǎng)安全性落后于技術發(fā)展將面臨風險

2019-03-05 09:16 企業(yè)網(wǎng)D1Net

導讀:盡管物聯(lián)設備市場迅速成熟,但直到現(xiàn)在,但安全性一直是人們事后才考慮的問題,為全球各地的黑客和網(wǎng)絡攻擊者創(chuàng)造了前所未有的機會。

如今,安全性通常落后于技術的采用速度,而很少有哪種技術像物聯(lián)網(wǎng)(IoT)一樣得到爆炸性增長。盡管物聯(lián)設備市場迅速成熟,但直到現(xiàn)在,但安全性一直是人們事后才考慮的問題,為全球各地的黑客和網(wǎng)絡攻擊者創(chuàng)造了前所未有的機會。

到了2019年,業(yè)界還沒有為物聯(lián)網(wǎng)設備建立一個新的、全面的安全模式,這反映了保護物聯(lián)網(wǎng)在軟件和設備安全融合中的地位所面臨的挑戰(zhàn)。獨特的威脅環(huán)境需要一種基于網(wǎng)絡和人工智能(AI)安全最新進展的新安全方法。

物聯(lián)網(wǎng)安全

面臨的風險

思科公司預測,到2020年,物聯(lián)網(wǎng)設備的數(shù)量將超過500億臺。與此同時,企業(yè)正加快在物聯(lián)網(wǎng)工具方面進行投資,將超過2670億美元。而在2017年,對于物聯(lián)網(wǎng)設備的攻擊增加了600%,反映出安全漏洞和目標價值的重要性。美國國家安全局發(fā)布了一份關于應對智能家電黑客的建議,2018年的黑帽和DEF CON會議也指出大量的物聯(lián)網(wǎng)設備遭遇攻擊。

物聯(lián)網(wǎng)設備的普及和缺乏全面的物聯(lián)網(wǎng)安全性給企業(yè)帶來了各種風險。

首先,單獨改變或中斷連接設備的性能可能構成災難性的破壞,甚至產(chǎn)生生死攸關的后果。Stuxnet的攻擊以破壞中東某國的核計劃而聞名,它導致多達1000臺濃縮鈾離心機發(fā)生故障,并最終失效。此外,還有針對一些國家的電網(wǎng)基礎設施進行的攻擊。而對汽車和起搏器等消費類設備的干擾使駕駛人員面臨風險。在企業(yè)內(nèi)部,篡改智能采礦、制造或農(nóng)業(yè)設備可能導致商品和設備造成數(shù)百萬美元的損失。勒索贖金和黑客行動的發(fā)展趨勢已經(jīng)擴大了潛在目標的范圍,使網(wǎng)絡攻擊者可以直接從漏洞中獲利。

除服務中斷外,物聯(lián)網(wǎng)系統(tǒng)還容易受到破壞,導致數(shù)據(jù)丟失。來自制造業(yè)和消費者傳感器的數(shù)據(jù)是一種寶貴的知識產(chǎn)權。消費者或企業(yè)設備丟失的數(shù)據(jù)可能構成侵犯隱私的行為,監(jiān)管專家預計,在未來幾年,由于物聯(lián)網(wǎng)攻擊而引發(fā)的法律案件將會瘋狂滋生。

從傳感器到云端跟蹤數(shù)據(jù)

物聯(lián)網(wǎng)威脅環(huán)境包括集中式和分散式系統(tǒng)的元素。典型的架構涉及大量傳感器收集數(shù)據(jù),然后對其進行整合和分析。實際上,可以將物聯(lián)網(wǎng)系統(tǒng)的漏洞分為兩類:傳感器的安全性和數(shù)據(jù)存儲庫的安全性。

物聯(lián)網(wǎng)設備在安全生命周期的所有階段(從預防、檢測到補救)都會產(chǎn)生責任。確保傳感器安全的挑戰(zhàn)始于準確的庫存。許多企業(yè)將很難評估所有正在使用的物聯(lián)網(wǎng)設備的安全狀況,從戰(zhàn)略性企業(yè)設備到區(qū)域辦事處的物聯(lián)網(wǎng)設備。許多物聯(lián)網(wǎng)設備缺乏筆記本電腦或智能手機上的基本安全功能。默認密碼、未修補的操作系統(tǒng)、網(wǎng)絡信任問題以及具有開放端口的未加密設備都是物聯(lián)網(wǎng)安全中常見的安全隱患。最后,物聯(lián)網(wǎng)設備可能不支持注冊它已被篡改的能力,從而限制了安全團隊檢測和響應網(wǎng)絡攻擊的能力。

物聯(lián)網(wǎng)本質上與云計算安全交織在一起。大多數(shù)傳感器的處理能力相對有限,并依靠云托管來分析數(shù)據(jù)。這些整合的存儲庫會在訪問控制,數(shù)據(jù)安全性和法規(guī)遵從性方面帶來風險。Gartner公司警告說,至少95%的云安全故障是客戶的錯誤,這意味著錯誤的安全設置將導致安全事故。對企業(yè)AWS S3存儲桶樣本的研究發(fā)現(xiàn),7%的公共訪問權限不受限制,35%的存儲桶并未加密。專門用于審計和自動化云安全配置的供應商的數(shù)億美元支出證明了這種攻擊手段的廣度。

利用物聯(lián)網(wǎng)的優(yōu)勢實現(xiàn)安全

由于大量數(shù)據(jù)和強大分析提供的商業(yè)機會,很多企業(yè)在沒有強大安全性的情況下投資物聯(lián)網(wǎng)。而物聯(lián)網(wǎng)安全解決方案必須依靠這些優(yōu)勢。

首先,物聯(lián)網(wǎng)安全從根本上要求基于網(wǎng)絡的實施。物聯(lián)網(wǎng)傳感器不支持智能手機可用的相同端點安全解決方案。傳統(tǒng)企業(yè)使用的設備數(shù)量龐大,使得設備級別的安全性變得不可行。網(wǎng)絡級別應用安全性使企業(yè)能夠在其物聯(lián)網(wǎng)產(chǎn)品組合中獲得整體可見性和執(zhí)行力。

其次,企業(yè)可以使用來自物聯(lián)網(wǎng)設備的大量數(shù)據(jù)來實現(xiàn)神經(jīng)網(wǎng)絡的行為安全性。目前用于物聯(lián)網(wǎng)的人工智能方法是簡單的統(tǒng)計偏差或異常檢測。他們可能會在大海撈針的查詢中找到需要的數(shù)據(jù),來自物聯(lián)網(wǎng)系統(tǒng)的大量流量允許訓練神經(jīng)網(wǎng)絡更準確地檢測惡意意圖,降低誤報率,并減輕警報疲勞。

迫使現(xiàn)有的企業(yè)安全方法進入物聯(lián)網(wǎng)系統(tǒng)是注定要失敗的。保護物聯(lián)網(wǎng)需要硬件和軟件的安全性組合,以應對連接設備和數(shù)據(jù)處理存儲庫的獨特風險和限制。通過為所使用的物聯(lián)網(wǎng)系統(tǒng)架構定制安全性,組織可以充分利用云計算和人工智能等技術帶來的所有好處。