保護(hù)物聯(lián)網(wǎng)設(shè)備的重要性

物聯(lián)網(wǎng)設(shè)備通常是執(zhí)行特定任務(wù)的小型工具或設(shè)備。因此,它們經(jīng)常被忽略,而且它們在企業(yè)的IT基礎(chǔ)結(jié)構(gòu)中的重要性很少被考慮到。然而,考慮到物聯(lián)網(wǎng)生態(tài)系統(tǒng)是一個廣泛而微弱的攻擊面,可能使企業(yè)機(jī)構(gòu)遭受嚴(yán)重的網(wǎng)絡(luò)攻擊,情況不應(yīng)如此。

物聯(lián)網(wǎng)秒級范圍

可以理解的是,開發(fā)物聯(lián)網(wǎng)設(shè)備的程序員只能能做這么多事情,讓這些互聯(lián)設(shè)備更安全。這些設(shè)備的處理能力、RAM和存儲有限,無法集成完整的安全解決方案。此外,在使用的眾多物聯(lián)網(wǎng)設(shè)備中,配備網(wǎng)絡(luò)安全應(yīng)用是非常低效的。預(yù)計(jì)到2025年,全球?qū)⒂薪?10億件物聯(lián)網(wǎng)設(shè)備。

不過,網(wǎng)絡(luò)安全團(tuán)隊(duì)總能找到方法來實(shí)施針對物聯(lián)網(wǎng)的安全措施,政府監(jiān)管機(jī)構(gòu)也能制定規(guī)則,最大限度地降低攻擊成功率。重要的是要認(rèn)識到物聯(lián)網(wǎng)的威脅有多嚴(yán)重,并尋找最好的方法來保護(hù)物聯(lián)網(wǎng)。

物聯(lián)網(wǎng)安全的重要性

由于企業(yè)和其他組織對物聯(lián)網(wǎng)的依賴日益增長,物聯(lián)網(wǎng)安全無疑是必不可少的。它們用于跟蹤資源使用情況、自動化數(shù)據(jù)收集、執(zhí)行人力資源功能、管理供應(yīng)鏈以及服務(wù)于各種其他目的。特別是,物聯(lián)網(wǎng)安全對于大型企業(yè)、工業(yè)組織、醫(yī)療設(shè)施和設(shè)備制造商至關(guān)重要。這些組織是2021年上半年上半年15億物聯(lián)網(wǎng)攻擊的首要目標(biāo)之一。

許多企業(yè)傾向于安裝并忘記這些設(shè)備,沒有意識到它們顯著擴(kuò)大了網(wǎng)絡(luò)攻擊的范圍,并導(dǎo)致更大的網(wǎng)絡(luò)風(fēng)險暴露。據(jù)一項(xiàng)研究顯示,只有不到25%的企業(yè)有信心充分保護(hù)其物聯(lián)網(wǎng)設(shè)備。

物聯(lián)網(wǎng)攻擊與其他類型的網(wǎng)絡(luò)攻擊并無太大區(qū)別。它們對企業(yè)造成重大損害。2021年的一項(xiàng)研究估計(jì),一次攻擊物聯(lián)網(wǎng)設(shè)備的成本約為30萬美元。然而,當(dāng)物聯(lián)網(wǎng)攻擊被用作訪問企業(yè)網(wǎng)絡(luò)、竊取數(shù)據(jù)或引入病毒、間諜軟件、勒索軟件和其他惡意軟件的方法時,實(shí)際成本可能接近其他網(wǎng)絡(luò)攻擊的總成本。

對物聯(lián)網(wǎng)威脅的重大響應(yīng)

物聯(lián)網(wǎng)安全有多重要?美國政府在這方面的行動可以成為一個很好的衡量標(biāo)準(zhǔn)。美國將物聯(lián)網(wǎng)攻擊視為一個主要問題,這一點(diǎn)從2020年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案的通過得到了證明,該法案旨在為聯(lián)邦政府擁有,或控制的物聯(lián)網(wǎng)設(shè)備制定最低安全標(biāo)準(zhǔn)。該法案承認(rèn)物聯(lián)網(wǎng)產(chǎn)品帶來的風(fēng)險,并提高了美國政府對物聯(lián)網(wǎng)安全的警惕。

此外,白宮最近公布了為聯(lián)網(wǎng)設(shè)備制造商、行業(yè)集團(tuán)和網(wǎng)絡(luò)設(shè)備零售商實(shí)施物聯(lián)網(wǎng)安全標(biāo)簽等計(jì)劃。該程序類似于能源之星標(biāo)簽系統(tǒng)。它為消費(fèi)者提供了有關(guān)其可用網(wǎng)絡(luò)設(shè)備安全性的有用信息。

歐盟也有類似的計(jì)劃。擬議的《歐盟網(wǎng)絡(luò)彈性法案》包括旨在提高智能和聯(lián)網(wǎng)設(shè)備安全性的部分。計(jì)劃中的法律將要求設(shè)備制造商提供持續(xù)的安全支持和更新。此外,它還要求設(shè)備制造商在購買前后向消費(fèi)者提供充分和準(zhǔn)確的安全信息。

英國也有一個類似的立法提案,稱為《產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案》,它建立在《消費(fèi)者物聯(lián)網(wǎng)安全實(shí)踐守則》中設(shè)定的最佳實(shí)踐的基礎(chǔ)上。該法律適用于設(shè)備制造商、進(jìn)口商和零售商。

開發(fā)人員如何提供幫助

旨在增強(qiáng)物聯(lián)網(wǎng)安全法律的通過是一個受歡迎的發(fā)展,因?yàn)樗仁刮锫?lián)網(wǎng)設(shè)備制造商分擔(dān)保持物聯(lián)網(wǎng)生態(tài)系統(tǒng)安全的責(zé)任。物聯(lián)網(wǎng)安全主要有三種方法,即網(wǎng)絡(luò)安全、嵌入式安全和固件安全。

第一種方法主要是用戶責(zé)任,而第二種和第三種方法是用戶和設(shè)備制造商之間的共同責(zé)任。嵌入式安全可以由設(shè)備制造商預(yù)先安裝,也可以由企業(yè)(用戶)自己的網(wǎng)絡(luò)安全和開發(fā)團(tuán)隊(duì)添加。設(shè)備制造商需要保證固件的安全,但用戶也有義務(wù)對其進(jìn)行漏洞掃描,并確定其已更新至最新版本。

然而,值得關(guān)注的是開發(fā)人員的作用,因?yàn)樗麄兇_實(shí)可以為更好的物聯(lián)網(wǎng)安全做出貢獻(xiàn)。除了確定固件的安全性之外,它們還可以幫助簡化與不同操作系統(tǒng)的設(shè)備集成,特別是考慮到網(wǎng)絡(luò)安全平臺可以整合來自不同安全控制的安全數(shù)據(jù)。此外,開發(fā)人員可以為物聯(lián)網(wǎng)設(shè)備開發(fā)輕量級應(yīng)用,以實(shí)現(xiàn)安全功能,特別是確保安全引導(dǎo)、訪問控制和固件更新管理。

在開發(fā)人員的幫助下,物聯(lián)網(wǎng)設(shè)備中的許多安全漏洞都可以得到解決。問題是,他們沒有被強(qiáng)迫把安全放在首位。許多設(shè)備制造商并不關(guān)注軟件驅(qū)動的安全性,而是專注于生產(chǎn)和銷售盡可能多的產(chǎn)品。一些無良的公司甚至要求他們的開發(fā)人員簡單地使用和稍微調(diào)整免費(fèi)的開源軟件。

到目前為止,許多關(guān)鍵的安全保護(hù)措施都缺失了。這些措施包括對設(shè)備和網(wǎng)絡(luò)的強(qiáng)身份認(rèn)證,以確保只有經(jīng)過授權(quán)的個人才能獲得數(shù)據(jù),以及對靜止和傳輸中的數(shù)據(jù)進(jìn)行加密,但有多少設(shè)備還沒有配備可以更新的固件,以應(yīng)對新出現(xiàn)和不斷發(fā)展的威脅。

這一問題的明顯證據(jù)是,所謂的智能設(shè)備和支持網(wǎng)絡(luò)的設(shè)備普遍存在,它們可以自動連接到最近的藍(lán)牙設(shè)備。而沒有安全意識的廉價“智能”和物聯(lián)網(wǎng)設(shè)備已經(jīng)充斥全球市場。

一些物聯(lián)網(wǎng)制造商,如戴爾、ARM、微軟和博世一直在合作創(chuàng)建物聯(lián)網(wǎng)平臺,使設(shè)備能夠使用通用語言,相互操作,并通過通用的數(shù)字認(rèn)證和加密系統(tǒng)實(shí)現(xiàn)安全。然而,大多數(shù)其他國家并沒有效仿。

結(jié)論

物聯(lián)網(wǎng)的安全問題不是一個容易解決的問題。它需要物聯(lián)網(wǎng)市場參與者之間的整體解決方案和協(xié)作。物聯(lián)網(wǎng)市場的企業(yè)需要接受設(shè)備安全的需求,并投資于體面的固件開發(fā)或謹(jǐn)慎的開源使用。

開發(fā)人員可以為設(shè)備制造商自由使用高質(zhì)量的開源物聯(lián)網(wǎng)框架,但這樣的努力不會說服制造商優(yōu)先考慮安全問題。幸運(yùn)的是,各國政府現(xiàn)在已經(jīng)認(rèn)識到物聯(lián)網(wǎng)的安全挑戰(zhàn),相關(guān)法律已經(jīng)在制定中。希望世界其他地區(qū)能更多地意識到物聯(lián)網(wǎng)的安全問題,并采取必要的解決方案。

-----------------------------------------------------------

峰會預(yù)告

近期,由千家網(wǎng)主辦的2022年第23屆中國國際建筑智能化峰會將正式拉開帷幕,本屆峰會主題為“數(shù)智賦能,碳索新未來”,屆時將攜手全球知名建筑智能化品牌及專家,共同分享AI、云計(jì)算、大數(shù)據(jù)、IoT、智慧城市、智能家居、智慧安防等熱點(diǎn)話題與最新技術(shù)應(yīng)用,并探討如何打造“更低碳、更安全、更穩(wěn)定、更開放”的行業(yè)生態(tài),助力“雙碳”目標(biāo)的實(shí)現(xiàn)。

歡迎建筑智能化行業(yè)同仁報名參會,分享交流!

報名方式

上海站(11月23日):https://www.huodongxing.com/event/3638582473900

北京站(11月25日):https://www.huodongxing.com/event/4638577546900

廣州站(12月08日):https://www.huodongxing.com/event/2638587914600

成都站(12月20日):https://www.huodongxing.com/event/5657854318600

西安站(12月22日):https://www.huodongxing.com/event/4638585444400

更多2022年峰會信息,詳見峰會官網(wǎng):http://summit.qianjia.com/

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2022-11-04
保護(hù)物聯(lián)網(wǎng)設(shè)備的重要性
由于企業(yè)和其他組織對物聯(lián)網(wǎng)的依賴日益增長,物聯(lián)網(wǎng)安全無疑是必不可少的。它們用于跟蹤資源使用情況、自動化數(shù)據(jù)收集、執(zhí)行人力資源功能、管理供應(yīng)鏈以及服務(wù)于各種其他目的。特別是,物聯(lián)網(wǎng)安全對于大型企業(yè)、工業(yè)組織、醫(yī)療設(shè)施和設(shè)備制造商至關(guān)重要。這些組織是2021年上半年上半年15億物聯(lián)網(wǎng)攻擊的首要目標(biāo)之一。

長按掃碼 閱讀全文