越来越多的连网设备使组织面临更多的安全风险。尽管如此,近乎一半的IT和安全决策者表示,在企业网络中部署物联网设备时,网络安全是事后的想法。
根据IoT Analytics报告,到2025年,已安装的物联网设备数量将从现在的约70亿增加到210亿台以上。由于存在更多漏洞,因此数据泄露的机会也将相应增多。
为了降低物联网设备带来的额外安全风险,请实施以下措施。
物联网设备风险
物联网设备尤其危险,因为它们通常位于数字世界和物理世界的交汇处,因此,入侵物联网设备会带来危险的现实后果。黑客攻击基础设施的例子包括破坏发电站、水处理厂、炼油厂、铁路等。
物联网设备的主要风险后果是:
- 失去客户信任,导致声誉、销售损失
- 由勒索软件造成的经济损失
- 在火灾、爆炸或生产设施中断后恢复正常运行的财务成本
- 业务连续性的长期缺失导致破产
- 因违反数据隐私条例而被监管机构处罚
通过受损物联网设备引发的数据泄露的最新示例包括:
- 赌场数据泄露。通过Wi-Fi连接的水族馆智能温度计,黑客进入赌场网络,检索有关高价值客户的数据,然后通过温度传感器将数据发送到云中。
- Equifax被黑客窃取了近半美国人(约1.43亿)的信用信息数据。这次黑客攻击之所以成功,是因为Apache Struts漏洞已经存在了几个月,但Equifax未能及时修复。
- Mirai恶意软件将易受攻击的Linux 物联网设备招募到僵尸网络中,然后发布导致多个网站崩溃的大型DDoS攻击。恶意软件搜索仍使用出厂默认用户名和密码的物联网设备,然后为其所用。
- 德克萨斯州达拉斯市156个紧急警报在午夜响起。这次黑客通过无线电控制系统发送了一条假警报指令。
- 一家经营物联网智能家居设备管理平台的中国公司。安全研究团队发现了一个与该公司智能家居产品相关的开放式数据库。该数据库中包含超过20亿条日志,记录了包括用户名、电子邮件地址、密码、精确定位在内的所有内容。只要数据库保持打开状态,每天可用的数据量就会不断增加。
商业物联网设备的好处在于,通过它们收集的数据,可以提高业务绩效以及产品和服务的能力。
物联网设备的快速增长之所以发生,是因为其使组织可以轻松获得以下数据:
- 组织流程的运行状况和性能,示例包括供应链、分销或制造。
- 产品在用户手中的有效性,例如使用频率、停机或即将出现的问题。
- 内部系统的性能,例如吞吐量、崩溃、常见错误或数据质量。
降低因物联网设备受损而导致的数据泄露或设施损坏风险的管理措施包括:
- 不要等到数据泄露事件发生后才采取措施。
- 扩大安全专业人员(CSO/CISO)的职责范围,将移动和物联网应用的安全包含在内。
- 为安全专业人员提供足够的资源来执行计算基础架构的日志记录、监控和报告任务。
- 避免对开发团队施加过大的压力以快速发布应用程序。这种压力会导致安全功能开发和测试不足。
- 加强流程和系统以跟踪和管理物联网设备。
降低因物联网设备受损而导致的数据泄露或设施损坏风险的技术措施包括:
- 快速修补所有设备,因为软件供应商提供此类修补程序。恶意软件创建者会跟踪软件供应商的补丁公告,因为这些公告描述了恶意软件创建者可以利用的漏洞。WannaCry勒索软件攻击就是一个很好例子。
- 通过使用最新的防病毒和防恶意软件功能来防御恶意活动。
- 使用强身份验证进行操作。
- 更改所有出厂默认的用户名和密码。这些凭证广为人知,因为所有物联网设备都附带有这些凭证,以便于设置。
- 摒弃“如果它没有坏,就不要修复它”的态度,这种态度会让漏洞持续存在。
- 保护物联网设备免受未经授权的物理访问。
- 不要购买缺乏修补功能的物联网设备。
- 关闭远程登录端口。