五个“小”物联网安全风险远比它们看起来要大
尽管大流行导致物联网支出有所放缓,但预计到2021年将恢复两位数的增长率。作为数字化转型的一部分,许多企业正在投资物联网,利用物联网技术来创造更个性化、更吸引人的用户体验,并提高生产力。
然而,对物联网安全风险的担忧仍然是许多企业的首要任务。根据最近的一项调查显示,一半的参与组织表示,确保数据、网络和设备安全是成功采用物联网的最大挑战。
有很多不同的方式来审视物联网安全问题,例如,您可以查看最常见的攻击类型,例如勒索软件。或者,您可以关注如何更好地使用物联网安全技术来保护您的企业和客户。
在本文,我们将采用另一种方式。我们正在关注经常被公司忽视的五个“小事情”,这些可能被忽视的小事情实际上是您需要关注的严重物联网安全风险。
五个“小”物联网安全风险比您想象的还要大
安全测试不充分
未能对您的物联网设备、应用程序和网络进行适当的安全测试可能会造成严重后果。如果漏洞得不到解决,攻击者很容易获得对您的网络和数据的访问权限。
漏洞会导致巨额罚款,更不用说修复漏洞的相关成本了。额外的经济损失可能会影响您数年之久,因为您会失去大量客户。漏洞实际上成为了您的“品牌”——当某人想到您公司时,首先想到的就是这件事。
确保您不会发生这种情况的最好方法是从一开始就专注于安全性。
物联网安全必须是设计和开发过程中不可或缺的一部分。即使在部署之后,安全也必须保持优先地位。物联网设备、应用和网络应在产品生命周期的所有阶段进行安全漏洞测试。
确保物联网安全测试的全面性,并解决所有级别的安全问题也很重要,其中包括:
▲硬件物联网传感器、边缘设备、网关硬件、芯片、电路板
▲固件——软件更新、密码和密钥存储
▲网络—无线通信技术、加密、身份认证
▲网络应用程序——应用程序接口、身份验证和消息管理
▲云托管——操作系统、网络基础设施
攻击者只需要找到一扇门就可以进入您的网络,不管有多小,例如,攻击者通过鱼缸进入赌场网络。物联网系统中的每一个部件和组件都很重要,值得进行全面彻底的安全测试,以确保一切不会受到攻击。
不定期更新
在许多情况下,可以通过安装简单的更新或补丁来避免安全漏洞。
一项调查发现,有27%的组织报告说他们因未修补漏洞而遭到攻击,这证明了许多个人和组织仍然没有做好适当的工作来及时更新安全补丁。当涉及到单个物联网设备时,尤其如此。
我们许多人在工作中使用个人设备,并将这些设备连接到公司网络。如果我们不及时更新设备上的最新补丁,攻击者就可以获得机密信息。
对于较小的,看似微不足道的物联网传感器也是如此,这些传感器可能在工厂车间或偏远的农业环境中收集数据。这些较小的物联网系统组件在维护时应给予同等的“尊重”。
可用的修补程序和更新应尽快安装,这是确保攻击者无法通过一扇较小门进入大型网络的最佳方法。
依赖默认密码
虽然我们都知道应该更改物联网设备上的默认密码,但我们中的许多人并未在物联网安全方面采取这一简单(但很重要)步骤。Mirai僵尸网络和Mirai的Satori变种就是攻击者利用默认用户名和密码进行破坏的典型例子。
物联网设备的开发人员可以帮助用户免受默认密码攻击。最常见的方法是在制造过程中为每个设备生成唯一的用户名和密码组合。由于所有设备的用户名和密码不再相同,即使用户不更改设备的默认登录信息,也能得到更好的保护。
但是在安全性方面,组织不能依赖物联网设备制造商。收到设备后,应立即更改默认登录凭据。多因素身份验证是提高物联网安全性的最好方法,需要用户采取多个步骤进行登录。
数据加密不足
当然,连接到网络的物联网组件有可能会被打开或关闭。但是,通常情况下,在任何给定的时间,至少有一部分组件正在收集数据、存储这些数据,并将所有或部分数据发送到云中进行处理和存储。
在过去的几年里,数据隐私已成为热门话题,诸如通用数据保护法规(GDPR)、加利福尼亚在线隐私保护法(CalOPPA)和最新的加利福尼亚消费者隐私法(CCPA)等法规迫使许多公司采取额外措施来保护数据安全。(来源物联之家网)其他规定,例如支付卡行业数据安全标准(PCI-DSS)和HIPAA,则要求公司在处理财务或个人机密信息时采取一定的预防措施。
在与客户合作时,无论客户是否受到某些法规的约束,我们始终高度重视数据隐私。客户希望他们的数据是安全的。即使是看似微不足道的公司数据也有可能给竞争对手或黑客带来可乘之机。
当涉及到保护物联网数据时,物联网系统中的所有数据都应该加密,无论是在静态还是在传输过程中。与多因素身份验证类似,加密会增加您的项目总成本,因为它需要更多的计算能力,但是,这绝对值得投资。
忽视远程员工
长期以来,远程工作一直在增加,并且在受大流行影响的世界中,远程工作的数量创下了历史纪录。据预测,即使大流行平息下来,远程工作的趋势仍将继续。
我们所有人都需要意识到远程工作人员对安全的影响。自疫情爆发以来,攻击企图有所增加,包括黑客攻击和数据泄露。
随着越来越多的员工在家工作,您将需要重新评估远程工作的策略,以确保设备安全,攻击者无法访问公司网络。您可以采取以下几个步骤来确保远程工作环境不会使您的企业更容易受到攻击:
▲员工应该清点家中的所有智能设备,包括其存储的数据类型
▲在所有家庭智能设备上使用双因素身份验证
▲禁用设备上不必要的功能
▲执行工作电话会议时,禁用虚拟助手设备上的麦克风和摄像头
您需要向员工强调采取这些措施以确保公司网络安全的重要性。网络安全策略应概述物联网安全的重要性以及每个员工必须采取的步骤。
远程工作物联网安全性的其他技巧包括:
▲确保员工只能通过安全连接访问公司网络。应始终使用虚拟专用网络(VPN)来保护存储在公司笔记本电脑和机器上的信息。
▲提示员工定期更改密码,并创建强有力的唯一密码。
▲利用加密软件保护员工设备上的数据。
▲需要在所有用于远程工作的员工设备上安装最新的防火墙、防病毒软件和反恶意软件。
▲使公司能够在设备丢失或被盗时远程擦除设备上的数据。
忽视这些“较小”的物联网安全问题可能很有诱惑力,但事实表明,它们会严重影响网络和数据的安全性(以及声誉)。我们强烈建议所有组织投入必要的时间和资源,以确保所有这些物联网安全风险得到妥善解决,这样您就可以确信贵公司正在尽一切可能防范物联网攻击。