虽然在早期,威胁面仅限于企业IT设置,但在现代世界中,它变得更加广泛。在我们讨论IoT中的安全措施之前,让我们先看看围绕它的几个威胁向量。
物联网的常见威胁向量
威胁向量是网络犯罪分子可以访问您在网络中运行的核心系统的路径或手段。由于物联网中连接了如此多的设备,最常见的威胁媒介是:
没有物理界限
物联网设备超越了传统的网络边界,公开存在。限制访问设备的传统安全方法不再适用。这些设备可以在需要时转移到任何新位置,并且可以配置为访问网络。
弱配置的Wi-Fi和蓝牙
物联网中的Wi-Fi和蓝牙配置对数据泄漏构成了主要威胁。弱加密方法可能允许攻击者在网络中传输数据期间窃取凭据。此外,大多数情况下,密码不是为每台设备唯一设置的,如果只有一台设备受到威胁,就会为未经授权的访问整个网络留下空白。
设备的物理占有
这可能是攻击者获得对设备和工作负载的物理访问权的所有威胁向量中最糟糕的一种。通过这种访问,攻击者可以轻松访问设备内部及其内容,但使用BusPirate、Shikra或LogicAnalyzers等工具,他们也可以读取网络中流动的所有通信。通过物理拥有物联网设备,攻击者可以提取密码秘密、修改其程序或替换为他们控制下的其他设备。
物联网与IT
虽然物联网设备存在于Edge上,但IT基础设施位于云端。对物联网安全的一种妥协可能会导致攻击者通过上述任何物联网威胁媒介获得对核心IT网络的访问权限。下面提到一些现实生活中的事件。
通过HVAC定位数据泄露
Target是美国10大零售商之一,据报道,黑客窃取了4000万个信用卡号码,这是历史上最大的数据泄露事件之一。黑客窃取了第三方HVAC供应商的凭据,进入HVAC系统,然后获得了对企业网络的访问权限。
地铁PoS黑客攻击
有几起与PoS相关的安全漏洞报告。其中之一是价值1000万美元的SubwayPoS漏洞,其中至少有150个特许经营权成为目标。Barnes&Noble还发生了另一起类似的违规事件,其中63家商店的信用卡读卡器遭到入侵。
SamSam勒索软件
另一个著名的系统漏洞案例是通过SamSam勒索软件报告的,该软件于2018年袭击了美国科罗拉多州交通部和圣地亚哥港,并突然停止了他们的服务。
物联网法规
尽管物联网法规在许多地方都已到位,但它们不足以减轻攻击所涉及的风险。在遏制攻击方面,加利福尼亚州拥有“合理的安全级别”法规。同样,英国实施了唯一密码政策,公司必须向连接到国家IT基础设施的物联网设备提供明确的漏洞披露联系方式和定期安全更新。尽管这些行为准则受到许多安全评论员的欢迎,但对于谁来执行这些政策并不清楚。官员们补充说,他们正在努力了解如何通过现有的英国机构执行这些规定。
攻击者的战略发展速度要快得多,而这些法规每年或最多每半年实施一次。仅依靠监管政策很难跟上攻击者的安全性。
企业必须做什么
在实施上述法规的同时,企业必须为物联网设备制定自己的安全措施。
首先,他们必须清楚地识别物联网设备。这些设备中的每一个都必须具有可以很好管理的唯一标识。这是绝对重要的,并且构成了后来建立的许多安全措施的基础。
然后还需要通过固件、签名代码、固件合规性或工作负载合规性等措施来保护软件。所有这些措施都需要建立在身份层之上。
最后,公司必须拥有最顶层的合规性,以决定必须运行哪些版本的软件,或者必须在设备上运行的固件级别。
因此,总而言之,对于物联网设备的完整安全解决方案,身份管理应该是所有的核心,其次是固件和软件的管理,最后任何类型的合规性都需要建立在它之上。