在对 COVID-19 影响的分析中, 咨询公司麦肯锡计算出, 为了满足客户需求, 数字转型项目在短短几个月内加快了 7 年的速度. 这反过来又推动了物联网的增长. 今天, 随着企业从实验转向了解如何部署物联网, 我们看到物联网终于成熟.
设备安全被认为是需要克服的最大障碍
研究表明, 组织通过开展物联网项目获得多重收益, 包括进入新市场和推出新产品线以颠覆商业模式和市场. 然而, 虽然企业可以从物联网中获得可观的收益, 但采用也并非没有挑战. 同样, 在我们的研究中, 超过三分之一 (39%) 的受访者表示设备的安全性和环境是他们必须克服的最大障碍, 35% 的人表示设备入职和蜂窝连接已被证明是困难的.
那么为什么物联网安全问题如此严重呢?
首先, 每个连接的设备都代表企业的潜在突破点. 随着设备数量呈指数级增长, 这总是意味着需要管理更复杂的生态系统, 从而导致安全漏洞增加. 首先要确保组织对这些设备具有可见性 -- 在了解可能导致网络危险的原因之前, 您无法准确评估网络的潜在危险. 此外, 许多组织没有优先考虑物联网安全, 直到为时已晚才意识到风险. 此外, 大流行使威胁更加复杂和广泛.
我们以制造业为例. 他们的物联网环境的重大问题之一是, 即使是例行的安全维护也可能是繁重的. 遇到的典型安全问题包括对不安全接口的密码保护较弱, 物联网设备管理不善, 数据保护不足以及普遍缺乏定期补丁和更新 -- 尤其是在高度分散的环境中. 因此, 由于担心关闭生产环境, 所以在修补和软件更新方面采取了一种放任自流的方法, 优先考虑正常运行时间.
这是一种高风险的方法. 此外, 制造物联网环境不再安全隔离, 而是连接到企业和云网络, 为意图中断生产或窃取数据进行间谍活动的网络犯罪分子创造了一个巨大且有利可图的攻击面. 不幸的是, 受损的物联网设备可用于横向移动到企业网络中以访问和泄露机密数据.
安全被视为事后的想法
IDC 最近进行的一份报告显示, 急于部署新的数字技术往往没有适当的安全措施. 新物联网基础设施的安全性通常存在漏洞, 并且在保护可能连接到更开放环境的遗留系统方面存在漏洞.
此外, 2020 年 7 月发表的一项研究分析了超过 500 万个物联网, IoMT(医疗物联网)以及医疗保健, 零售, 制造和生命科学领域的非托管连接设备. 它揭示了一组不同的连接对象中的几个漏洞和风险, 并发现:
多达 15% 的设备未知或未经授权.
5% 到 19% 使用不受支持的旧操作系统.
49% 的 IT 团队猜测或修改了他们现有的 IT 解决方案以获得可见性.
51% 的人不知道他们的网络中有哪些类型的智能对象处于活动状态.
75% 的部署存在 VLAN 违规.
86% 的医疗保健部署包括十多种 FDA 召回的设备.
95% 的医疗保健网络将 Amazon Alexa 和 Echo 设备与医院监控设备集成在一起.
不可否认, 物联网安全很复杂, 但该领域的专业人士应该了解有效风险评估和缓解的最佳实践.
安全漏洞可能导致严重的财务, 声誉和品牌损害
大多数物联网产品的开发都考虑到了易用性和连接性. 它们在购买时可能是安全的, 但当黑客发现新的安全问题或错误时, 它们就会变得脆弱. 如果它们没有通过定期更新修复, 物联网设备会随着时间的推移而暴露. 由于网络攻击而失去连接或无法访问设备是一种日益严重的物联网威胁. 这些事件可能会造成财务破坏, 声誉破坏和品牌损害, 从而对组织的底线造成广泛的附带损失.
最终, 组织需要制定和执行一项战略来降低风险, 保护业务并建立对物联网计划的信心. 因此, 我们建议物联网设备开箱即用, 无需部署代理或其他硬件.
在当今需要可靠且无处不在的移动和远程设备连接的动态环境中, 对于在全球范围内和跨各种移动网络运营商 (MNO) 部署设备的组织而言, 确保运营弹性和业务连续性至关重要. 来自无代理设备安全平台 (例如 Armis) 的知识可实时提供精细的设备详细信息和行为洞察, 以触发更快, 更有效的安全事件检测和响应. 将其作为托管服务的一部分构建到物联网技术堆栈中对于确保物联网设备免受日益复杂的网络安全威胁至关重要.
安全设计
总之, 我们主张在设计过程的一开始就考虑安全性, 并尽早调动适当的专家知识. 评估, 测试和强化物联网解决方案的过程越晚, 就越难做好, 成本也越高. 更糟糕的是, 仅在发生违规行为后才发现关键弱点或应急计划不足的成本可能更高. 因此, 公司应该建立安全性并采用安全设计方法来正确保护其物联网设备, 并对当前和未来的计划充满信心.
好消息是, 86% 的受访者表示物联网是他们业务的优先事项, 49% 的受访者计划在未来几年内开展更多物联网项目. 事实上, 到 2026 年, 行业预测表明全球联网设备将超过 260 亿台. 这是一个巨大的机会, 但也带来了巨大的风险, 尤其是在网络威胁呈指数增长的情况下. 物联网设备的设计通常没有安全性, 已成为攻击者在发起攻击时使用的新威胁载体.
因此, 确保物联网设备安全并确保其持有的数据不会受到损害, 必须成为任何物联网计划取得成功的首要任务. 物联网安全不能事后考虑或附加. 必须从一开始就内置安全性, 并且应在整个生命周期内维护物联网设备的可靠基础设施.
来源: http://iot.51cto.com/art/202111/689376.htm