物聯網安全指南完整版

  • 人閱讀
  • 2022-09-06 00:00:00

  • 來源:千家網

  • 相關關鍵詞

據預測,到2025年,物聯網市場規(guī)模將達到1.5萬億美元。從長遠來看,這比2019年增長了600%,當時物聯網市場的規(guī)模為2500億美元。預計到2025年,將有250億臺設備成為物聯網網絡的一部分,其中智能手機占24%。物聯網革命的最大受益者是工業(yè)4.0。只有當我們能夠保護流經數十億物聯網連接的大量數據時,物聯網革命才能起飛。這就引出了我們關注的焦點——物聯網安全。

物聯網安全--開啟工業(yè)4.0的鑰匙物聯網安全涉及存儲、處理、收集、傳輸和處理數據的軟件、硬件和網絡的安全。無論是自動車庫門還是智能照明都是通過傳感器工作的。這些傳感器收集數據并將其發(fā)送到指揮中心,然后指揮中心處理并發(fā)送響應,這些數據需要得到保護,設備也需要安全保護,整個網絡都需要保護,這就是物聯網安全要解決的問題。它包括工具、策略和方法,以保護免受黑客的攻擊,這些黑客會不斷地回來尋找網絡中的漏洞。與基于設備的安全性不同,物聯網安全是基于云的。它是物聯網、大數據、云計算生態(tài)系統的基礎模塊。物聯網設備有助于生成和收集數據,而大數據平臺負責分析,而云計算系統存儲處理和處理與數據遷移相關的其他方面。物聯網安全確保在云和物聯網設備內發(fā)生的一切都得到很好的保護。工業(yè)4.0的命運掌握在物聯網安全的手中,而不僅僅是物聯網設備的互聯互通,為了應對物聯網安全挑戰(zhàn),在設計層面,采用安全設計架構是預防和緩解物聯網安全威脅和漏洞的最佳方式。沒有物聯網安全的網絡就像沒有屋頂的房子!在工業(yè)現場失去對100噸機器的控制會是什么感覺?如果地鐵信號系統失靈會發(fā)生什么?這甚至難以想象。電力分配、水管理、交通管理、智能家居等復雜系統和大量其他系統和設備通過物聯網設備相互連接,形成復雜的網絡。雖然物聯網連接的好處已經眾所皆知,但對這些復雜網絡的任何安全妥協都可能導致災難性事件。如果軍事網絡、核電站網絡或輸電網絡受到破壞,威脅可能是國家層面的。強大的物聯網安全對于保持世界運轉的復雜和敏感網絡至關重要。從網絡安全專家的觀點來看,網絡安全團隊需要應對許多物聯網安全挑戰(zhàn)。讓我們以智能汽車制造工廠為例。工廠的運作和能力突出了物聯網革命隨著時間的推移所提供的東西。另一方面,這家工廠是理解物聯網安全有多重要的典型案例。黑客一旦滲透進工廠的網絡,就能進入工廠內部運行的關鍵系統和流程。他們獲得對“權限升級”權限的控制只是時間問題。例如黑客可以修改制造單元或組裝單元的設置,從而危及數百人的生命。同樣,如果它們設法進入監(jiān)控數百個醫(yī)療設備,如人工心臟起搏器的醫(yī)療指揮控制系統,就有可能造成更大的人員傷亡。即使是像閉路電視、智能電視、智能冰箱等家用設備也不安全。這些設備被配置到家庭網絡,無需更改其默認憑據。這將整個網絡置于危險之中,并任由黑客擺布。確保網絡的所有端點安全是很重要的。在設備和云之間傳遞的數據應始終加密。即使在數據泄露期間,這也可以降低風險。了解物聯網安全框架大多數基于各種物聯網安全框架的指南嚴格依賴于通過云操作的協議和預定義策略。根據行業(yè)性質、收集的數據水平、數據處理等參數,企業(yè)符合當地法律要求的某些合規(guī)標準。雖然這有利于物聯網設備上的安全數據處理,但即使是制造商和消費者也應該認識到他們的做法。物聯網安全框架主要分布在三個層次:物理層:1.安全設計物聯網安全設計應嚴格執(zhí)行。開發(fā)團隊應該將“安全”特性與設備本身同等重要,并將其嵌入到SoC(芯片系統)中。這將最大限度地減少物聯網設備生命周期內的安全威脅。補丁和固件更新只能通過安全機制提供。2.訪問設備在任何時候,用戶訪問憑據都應該是機密和私有的。為了防止“暴力解鎖”和濫用登錄嘗試,應采取措施。全面的物聯網安全測試有助于降低物聯網安全風險。訪問敏感數據應該強制執(zhí)行MFA。3.檢測和防篡改機制制造商應確保在運輸和安裝過程中使用最少的工具不會篡改物聯網設備。如果需要,應該內置一個全面的檢測系統來提醒指揮控制。遵守某些安全認證可以幫助消費者在購買物聯網設備時做出更好的選擇。由于最近竊聽實例的增加,這一點至關重要,這通常通過預算物聯網設備執(zhí)行。4.保持消費者的知情權應始終將有關設備的實時、可讀和易于理解的信息傳達給用戶。特別是在數據被泄露的可能性很高的情況下,用戶可以立即修改密碼或采取其他預防措施來保護自己的賬戶。通信層:邊緣網絡:1.物聯網設備互連邊緣網絡通過有線或無線接口促進同一網絡上的多個物聯網設備之間的通信。它建立了互聯物聯網設備之間共享和處理數據所需的協議。這種通信途徑容易受到許多網絡攻擊。2.邊緣計算幫助預處理靠近源(物聯網設備)的數據。這提高了數據處理的容量和速度,實現了更多以行動為主導的結果。3.同質性跨設備大多數連接到網絡的設備通常不是來自單一的制造商。全球大多數物聯網設備制造商和開發(fā)人員選擇基本的身份驗證和安全協議,以限制設備之間和網絡連接期間的任何故障。這使得他們很容易成為黑客的目標。不僅設備和它存儲的數據被泄露,網絡上的每一個設備和網絡本身也被泄露。在此類網絡上建立同質的安全策略是減少物聯網安全漏洞的關鍵。核心網絡:1.將物聯網設備接入云端核心網絡是連接云與物聯網設備的關鍵通信通道,促進數據移動。黑客經常針對此途徑進入網絡。在先進而復雜的網絡攻擊面前,傳統的網絡安全方法已經遠遠落后。隨著精心策劃和復雜的網絡攻擊的發(fā)生,核心網絡路徑引發(fā)了眾多物聯網安全挑戰(zhàn)。2.端點和安全負擔是相對的隨著網絡中物聯網設備數量的增加,與網絡相關的物聯網安全風險比例不斷增加。盡管最佳的物聯網安全實踐和努力已經到位,但為了保護擁有成百上千個物聯網設備的網絡,持續(xù)的網絡監(jiān)控是必要的。處理層(云端):1.處理與大數據分析大部分的處理和數據分析都是在云端進行的。這是迄今為止保證物聯網設備所需功能的最關鍵的資產。物聯網設備將數據發(fā)送到云端進行進一步處理。通過分析數據,可以了解長期使用模式和其他關聯的用戶模式。應用、網絡管理平臺和數據存儲構成了云上的大部分資產。2.實現DevSecOpsDevSecOps是“開發(fā)-安全-操作”的縮寫這是對現有DevOps的提升,后者專注于開發(fā)和運營??紤]到開發(fā)模式和單個大型團隊在項目中工作,采用DevSecOps有助于從一開始就將更好的安全性嵌入到代碼和設備中。開發(fā)人員可以堅持安全編碼標準,采用電子集成驅動器安全插件,并跟蹤威脅建模。3.無數的端點確保單個物聯網設備產生的眾多端點的安全,并連接到云是一項困難的工作。并不是所有的連接都是安全的,這就需要持續(xù)監(jiān)控惡意軟件和其他機器人的存在。保護整個物聯網生態(tài)系統的安全性比必要性更強。它可以通過采用4點策略來實現,這有助于確保網絡系統、路徑和物聯網設備的安全:1.策略驅動的安全性保護物理設備、通信路徑和云主要依靠一組預定義的策略和協議或軟件來保護、檢測、緩解和恢復物聯網網絡。雖易于實現和部署,但需要不斷更新以應對新出現的威脅。2.防篡改和檢測●專注于保護物聯網生態(tài)系統的物理組件●處理物聯網設備、通信路徑和其他物理硬件●幾乎不可能越獄3.數據保護和保密●物聯網設備上的數據存儲和與云之間的數據傳輸需要加密?!駭祿撏ㄟ^CoAP和MQTT協議傳輸。4.IP安全與保護●互聯網協議安全是一套保護物聯網設備與云之間通信安全的協議?!裢ㄟ^這些協議,可以實現數據的加密、認證和敏感數據的保護?!裆矸蒡炞C標頭、密鑰交換和封裝安全負載是IPsec最常用的部署方式。物聯網安全常見問題及其修復黑客一直在想方設法讓網絡安全專家忙于開發(fā)更好的安全系統。雖然不能完全規(guī)避物聯網安全問題,但一個強大的過程一旦付諸實施,可以緩解和避免許多問題。在大多數情況下,黑客利用未關閉的端口、已知的漏洞、使用開源代碼構建的應用、糟糕的配置和人為錯誤來滲透網絡。有時,這些漏洞可能來自第三方設備、密碼錯誤和其他地方。在這里,我們列出了導致企業(yè)物聯網安全問題的最常見因素和需要采取的措施。1.弱密碼這確實是導致設備或網絡被黑的首要原因。弱密碼只會使網絡的安全性變得薄弱且易受攻擊。大多數消費者不會更改設備附帶的默認用戶名和密碼。當這些設備被接入網絡時,它們最終成為黑客進入網絡的通道。此外,黑客可以迅速接管整個系統。大多數勒索軟件攻擊都是由于由弱憑據提供的,而不是與加密有關。為了解決這個問題,每個企業(yè)都應該確保所有物聯網設備的憑證在連接到網絡之前就已更改。選擇字母數字和唯一的密碼組合以及啟用2FA/MFA等措施可以提高安全性,這降低了網絡攻擊成功的概率。2.不安全的用戶界面用戶界面被視為大多數網絡攻擊的另一個切入點。通常,開發(fā)人員會忽略用戶在將信息輸入系統/服務器時帶來的風險。在幾乎沒有加密的情況下,像移動、云、API、web、網絡路由器和其他接口可以為黑客進入網絡鋪平道路。在對現有網絡進行任何更改之前,網絡安全團隊應該評估現有網絡的每個組件的安全狀況。強大的加密和MFA是確保網絡安全的關鍵。在任何情況下,在進入網絡之前都必須進行身份驗證和用戶驗證。3.設備缺乏可視性大型零售空間、商業(yè)機構和工業(yè)生態(tài)系統在任何給定時間都有數十萬個物聯網設備連接在同一網絡上。通常情況下,我們找不到任何明確的設備連接網絡、加入和退出網絡、網絡安全態(tài)勢的日志。如果黑客設法通過不安全的閉路電視或暖通空調系統進入網絡,那么在確定滲透并采取適當措施時為時已晚。為了防止這種情況發(fā)生,應該建立一個強大的系統,提供每個設備的可見性和安全態(tài)勢。4.使用可移動媒體不是所有的蘋果都是紅色的,員工也是如此。如果員工或者一個聽從黑客組織指令的人,可以使用移動媒體將惡意軟件注入網絡。類似的事件也發(fā)生在特斯拉的一家制造廠。使用可移動媒體來修補系統和共享數據使整個網絡容易受到攻擊。企業(yè)可以完全禁止使用可移動媒體設備。如果這是一個小時的需要,那么應該在所有設備上全天候運行持續(xù)的反惡意軟件和反病毒掃描。應在可移動媒體上禁用自動運行功能,并且應加密數據。5.第三方設備大型辦公空間需要大量的設施,除了常規(guī)的工作設備。無論是電梯、升降機、暖通空調系統,還是照明。大多數提供這些服務的供應商都不知道黑客如何使用這些設備進入本地網絡。由于缺乏知識或其他限制,第三方供應商安裝的大多數系統都具有絕對零安全性。防止黑客利用安全性差的第三方設備,或系統的唯一方法是限制對這些供應商的遠程訪問。遠程訪問密鑰應該只在特定的時間段內生成,并且在期滿后必須重新生成。企業(yè)應強制供應商使用2FA登錄網絡。將企業(yè)網絡與物聯網設備網絡隔離是保護企業(yè)關鍵資產的關鍵步驟。6.物聯網技術的差距雖然物聯網革命仍近在咫尺,但物聯網攻擊已經悄悄溜進了窗外。除了從事網絡安全工作的員工之外,員工之間存在巨大的技能差距。大多數惡意軟件通過偽裝成誘人電子郵件發(fā)送的惡意鏈接下載到商業(yè)系統中。打開電子郵件后,惡意軟件文件會在后臺快速下載并執(zhí)行其命令。如果可以彌合員工之間的技能差距,則防止網絡攻擊變得更加容易。通過定期組織關于網絡安全的講座和定期發(fā)送物聯網安全最佳實踐,企業(yè)可以對其員工進行教育。這有助于在很大程度上防止員工點擊惡意電子郵件鏈接和插入可移動媒體設備。企業(yè)的首席執(zhí)行官應該把這視為保護數字資產的一項投資,而不是一項支出。物聯網安全威脅和解決方案大多數物聯網安全問題都可以通過培訓、學習和提高意識來避免。但這并不能阻止黑客發(fā)現漏洞。它可以是漏洞攻擊或DDoS攻擊,網絡安全團隊應該準備好有效的策略來對抗任何類型的網絡安全威脅。企業(yè)如何在現代世界中避免這些威脅在任何時候,建議對跨設備共享登錄憑證和其他信息采取零信任策略。1.通過僵尸網絡進行DDoS攻擊黑客們知道單個物聯網設備處理能力較低,但是,當數千個這樣的物聯網設備放在一起時,它們所匯集的能量是瘋狂的。黑客將惡意軟件注入物聯網設備,從而進一步復制該過程并感染更多物聯網設備。然后使用這些設備向目標服務器發(fā)送大量請求,導致其崩潰。任何人都很難實時區(qū)分真實的攻擊流量和DDoS攻擊流量。雖然無法阻止DDoS攻擊,但可以通過部署諸如Web應用程序防火墻等工具來緩解攻擊。它通過充當反向代理來保護目標服務器免受惡意流量的侵害。其他可用的解決方案是速率限制,也就是限制服務器可以接受的請求數量,和將所有流量路由到黑洞中并從系統中移除。IP欺騙是DDoS攻擊的另一種方式。這可以通過采用入口過濾加以限制。限制帶寬和硬件資源是防止DDoS攻擊的好方法。2.漏洞攻擊在某些情況下,黑客甚至在開發(fā)之前就發(fā)現了應用程序代碼中的漏洞。黑客利用這種情況,利用這些漏洞進入網絡并制造混亂。限制漏洞利用的幾種方法有避免開源代碼、嚴格的代碼測試、beta測試和企業(yè)外部專家的代碼審查。如果代碼已經被推送,開發(fā)團隊應該以黑客的心態(tài)尋找進入應用的方法。定期的漏洞掃描、輸入驗證、殺毒、部署WAF和定期的補丁管理可以幫助識別任何漏洞。3.勒索軟件攻擊超過90多個國家的GDP低于2022年預計的200億美元的勒索軟件攻擊成本。這一數據會讓安全經理和高管們夜不能寐,擔心他們數字資產的安全。黑客控制了關鍵數據、物聯網設備、安全系統、恒溫器,以及他們可以訪問的任何東西,并要求贖金。在收到付款后,他們可能會或可能不會放棄對資產的控制權。企業(yè)應隨時對其關鍵數據進行備份。當他們必須決定是否向黑客支付贖金時,這就派上了用場。在任何時候,企業(yè)、物聯網設備和支付網絡都應該分離。智能家居業(yè)主應該確保網絡上的所有端點都是安全的,并得到很好的保護。企業(yè)應該在網絡安全專家團隊的監(jiān)督下,不時進行徹底的勒索惡意軟件掃描。4.竊聽一個智能燈泡足以入侵網絡,物聯網設備是竊聽的絕佳選擇。黑客可以修改物聯網設備,并使用它們來記錄視聽。它是一個持續(xù)的威脅,遍及商業(yè)、政治,甚至個人的生活。工業(yè)和政治間諜活動可以破壞一個國家的GDP。僅從經過認證、品牌化、可靠且符合合規(guī)性的制造商處購買物聯網設備,應該持續(xù)監(jiān)控帶寬和其他資源。在安裝之前,應徹底檢查和測試設備是否存在任何錯誤或間諜電子設備。5.編輯個人資料佯裝熟人黑客們會花費數小時編制個人資料。他們會瀏覽目標的社交媒體資料、公司詳細信息、博客、聯系信息,以及他們能得到的一切信息。然后他們利用這些信息讓你相信他們認識你本人,并試圖實施攻擊。黑客非常有耐心,善于操縱。當收到聲稱認識您本人的人的電子郵件時,請務必要求他們提供他們的詳細信息以及身份證明,把企業(yè)郵件、私人郵件和與銀行相關的郵件分開,最好將個人筆記本電腦和工作筆記本電腦分開使用。物聯網安全標準無論是在當地的電子商店購買現成的產品,還是在亞馬遜上下單,都應該只購買經過認證的物聯網設備。在國際上,許多機構和貿易組織,包括政府和非政府組織都提出了一套協議,在將物聯網設備推向市場之前確保其安全。根據地理位置和當地法律,制造商和開發(fā)者可以根據所選擇的框架遵循網絡安全標準。主要的物聯網安全框架如下:ETSIEN303645:歐洲電信標準協會推薦了一套65個安全協議和實踐,針對參與基于消費者的物聯網設備制造和開發(fā)的組織。NIST物聯網安全框架:由美國國家標準與技術研究所開發(fā),NISTIR8259系列(適用于制造商),SP800-213系列(適用于聯邦機構)和EO14028(適用于消費級物聯網設備)指導物聯網設備的制造商和開發(fā)者建立更高的設備安全標準。美國聯邦貿易委員會:美國聯邦貿易委員會的目標是使制造商和開發(fā)者必須依法遵守政府法規(guī),這提高了全國物聯網設備的安全態(tài)勢。ENISA:歐盟網絡與信息安全框架機構,旨在為網絡空間即將到來的發(fā)展和舉措奠定基礎,并幫助在歐洲促進物聯網安全合規(guī)標準。安全物聯網設備生態(tài)系統的10項基本要求:● 沒有默認/常規(guī)密碼● 持續(xù)的軟件更新和安全補丁● 加密通信渠道● 最小化攻擊面● 強大的備份和彈性計劃● 100%設備可見性和管理● 用于企業(yè)和物聯網設備的獨立網絡● 采用零信任策略和2F身份驗證● 實現微營銷● 定期對整個系統進行漏洞掃描和檢查數以百萬計的企業(yè)正在意識到網絡安全威脅是真實存在的殘酷現實,他們的企業(yè)很可能成為下一個目標。近年來,物聯網安全和網絡安全領域投入了大量預算。這為一個快速增長的大市場打開了大門。預計在2022-2029年,物聯網安全市場將以21.2%的復合年增長率增長,到2029年達到591.6億美元。北美企業(yè)物聯網安全狀況北美企業(yè)占全球物聯網安全市場總規(guī)模的50%以上。隨著北美數以千計的企業(yè)為其全球客戶提供數字服務,網絡安全風險加大。根據物聯網安全市場報告,超過三分之二的美國公司在2020年支付了贖金以克服勒索軟件攻擊。平均而言,企業(yè)在2020年發(fā)生安全漏洞后的支出為840萬美元,比2006年的平均354萬美元增加了235%以上。與此同時,全球企業(yè)在發(fā)生安全漏洞后的平均成本為386萬美元。雖然這些物聯網安全統計數據可能很難理解,但它們描繪了北美,尤其是美國企業(yè)的真實狀況。超過65%的公司在其網絡上擁有的物聯網設備比計算機還多,這并不奇怪。此外,由于“分工”概念,物聯網技術差距在大公司中最為明顯。黑客組織主要針對服務行業(yè)、醫(yī)療保健、雜貨店、支付網關和其他行業(yè),這些行業(yè)的應用由大量用戶數據推動。暖通空調系統第三方服務提供商等接入主系統。這樣做是為了將運營成本降到最低,因為維護比培訓或雇用技術人員更便宜。第三方服務提供商端的安全故障可以為黑客進入主網鋪平道路。幾乎不少于20%的企業(yè)對其物聯網安全分期付款有信心。大多數企業(yè)的物聯網設備并沒有100%的可見性和管理能力。如果此類設施遭到入侵,至少需要數周甚至數月才能確定黑客的進入點。盡管有許多框架和指南可供物聯網設備制造商和開發(fā)人員使用,但仍有少數人遵循它們。這種不合規(guī)往往會降低產品在公開市場上的價格,從而吸引許多企業(yè)。為此,政府應該出臺嚴格的法規(guī),確保物聯網設備符合一定的行業(yè)標準。由于其在市場中的地位而增加了脆弱性的企業(yè),必須準備好強有力的“識別、防御、檢測、反應和恢復”。定期備份數據可以幫助應對勒索病毒攻擊?,F代網絡安全和物聯網解決方案中嵌入了人工智能和機器學習,以及自動警報隔離系統。

增加對物聯網安全管理工具和服務的預算分配是企業(yè)層面的一線希望。首席信息安全官應主動參與向公司的每位員工解釋安全狀況。首席信息安全官需要提出物聯網安全最佳實踐的時間表,以保持其企業(yè)的安全和安全。有數百家物聯網安全公司承諾提供全套網絡安全服務。在選擇物聯網安全供應商時,應該在深入研究該公司的經驗和團隊后做出決定。物聯網安全問題會阻礙物聯網革命嗎毫無疑問,網絡威脅的頻率、復雜性和性質每小時都在增加。但與此同時,安全研究人員正在開發(fā)強大的工具和技術來阻止這些威脅。通過遵循推薦的物聯網安全最佳實踐,可以避免大多數威脅。即使黑客侵入,一個強大的網絡安全系統也可以在短時間內減輕威脅,網絡可以在幾個小時內恢復。

極客網企業(yè)會員

免責聲明:本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網站出現的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后,將會依法盡快聯系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。

2022-09-06
物聯網安全指南完整版
物聯網安全涉及存儲、處理、收集、傳輸和處理數據的軟件、硬件和網絡的安全。無論是自動車庫門還是智能照明都是通過傳感器工作的。這些傳感器收集數據并將其發(fā)送到指揮中心,然后指揮中心處理并發(fā)送響應,這些數據需要得到保護,設備也需要安全保護,整個網絡都需要保護,這就是物聯網安全要解決的問題。它包括工具、策略和方法,以保護免受黑客的攻擊,這些黑客會不斷地回來尋找網絡中的漏洞。

長按掃碼 閱讀全文