惠普近的一项研究结果表明,大约有90%的设备都在收集某种形式的个人信息。这意味着用户的隐私始终处于风险之中,威胁级别将随物联网(IoT)的发展而不断增长。随着人们安全意识的提高,现在正在采用安全的解决方案,但是识别常用部署架构中的漏洞仍然是一个关键问题。企业已开始考虑不仅保护其物联网生态系统,还要保护其用户。这种模式意味着企业可确保用户数据端到端的安全性,以及通过提供物联网安全即服务来开辟新的收入来源。
物联网安全的影响和挑战
近年来,针对物联网生态系统的攻击呈指数级增长。恶意软件(如Mirai)已经证明,通过设备的默认用户名、密码或简单的字典攻击可以授予对数百万设备的访问权限。随着智能家居设备发送超过600,000个恶意垃圾邮件和黑客远程劫持汽车等表明,任何连接的设备都容易受到攻击。
物联网生态系统面临的挑战与传统IT有很大的不同。仅仅了解攻击方面的技术可能还不够,应该了解使用这些设备来破坏整个网络的作用范围、目的和动机。这些设备的计算能力有限,因此无法始终运行强大的保护机制,如防病毒、双因素身份验证和密钥证书交换。这些因素使得攻击时更易瞄准用户。由于大多数终端用户缺乏安全意识,因此他们不会应用强密码,也不会经常修补设备漏洞。而企业未必会定期调查其客户网络中部署的保持密码策略和固件更新的设备,这从而为不良参与者开放了整个网络。
由于物联网设备通常是专门建造的,因此普遍的安全标准难以开发并且尚未在上得到通过。与典型的IT端点(如笔记本电脑、台式机、平板电脑)不同,物联网设备是在远程环境中无人监督的情况下部署的,这意味着它们也容易受到物理篡改。
虽然固有安全性似乎是解决安全问题的理想方式,但这可能会使设备在没有更新的情况下使用多年相同的协议,并且还增加了部署成本,因为“安全”芯片的成本在7美元到17美元之间。由于该设备本身的平均成本为10美元,因此固有安全性可能会大大增加总体成本。
使用物联网安全的机会
传统上,运营商在一个垂直渠道中为平板电脑提供物联网连接。但是随着IoT和M2M技术的引入,各种设备类型、模型和变体被引入到网络中,其中大多数被约束并防止安全代理从内部运行。保护这些设备的理想方法是覆盖无代理、不可知保护、以监控这些设备的入口和出口流量。
CSP能够监视它们向这些设备提供连接的设备的行为,因为往返于这些设备的流量流经它们的网络。这给电信公司提供了一个机会,不仅允许连接,而且向其用户提供基本的安全服务作为增值服务,或者通过以下方式之一实现物联网安全产品化。
组织为什么需要安全的物联网?
从端点生成并在物联网和IT网络之间交换的信息量持续增长,但在物联网部署中还没有任何实质性标准可供遵循。虽然有许多组织共同努力建立新技术和新标准,但业界可能需要几年时间才能采用或接受这些标准。由于在组织的网络之外生成了数百万个数据节点,因此应该以应有的重要性来处理这些信息、数据通道和端点。
物联网的规模和保护不足的端点数量远远大于任何传统的IT网络,因此安全风险也高得多。考虑到物联网设备已经在医疗保健、银行业务和紧急服务等至关重要的部门进行应用,其安全性已不能被低估。
(本文由物联网空间站编译自:Securing the IoT: Problems, Solutions, and Next Steps)