文章发表于2025-05-27 09:33:12,归属【科技前沿】分类,已有57人阅读
物联网安全是一种网络安全策略,旨在保护物联网设备及其连接的网络免受网络攻击。物联网设备通常没有内置安全机制,而物联网安全之所以必要,是因为这些设备会通过互联网传输未加密的数据,并且在运行时不会被标准网络安全系统检测到,进而有助于防范数据泄露。
除了理解物联网安全的含义,了解企业在处理物联网安全问题时面临的诸多挑战也至关重要。物联网设备在设计之初并未考虑安全性,其持续增长的数量和多样化的通信渠道,增加了组织暴露于网络威胁的可能性。
遗憾的是,大多数物联网设备无法安装安全软件,甚至有些设备在出厂时可能就已携带恶意软件,一旦连接网络就会感染系统。这就是为何网络安全是物联网安全的首要任务。
许多网络安全解决方案无法检测到已连接的物联网设备,也无法显示哪些设备正在网络上通信。以下部分将探讨这些及其他主要的物联网安全挑战,包括:
1. 身份验证和授权薄弱。物联网设备通常依赖薄弱的身份验证和授权机制,这使其易受威胁。例如,许多设备使用默认密码,这让黑客更容易访问物联网设备及其通信网络。此外,连接到网络的 “流氓” 物联网设备(即未被检测到的设备)可能被用于窃取数据或发起攻击。
2. 缺乏加密。绝大多数物联网设备的网络流量未加密,这使得机密和个人数据易受勒索软件等恶意软件攻击,或面临其他形式的数据泄露或盗窃风险。这包括用于医疗成像和患者监测的物联网设备,以及安全摄像头和打印机等。
3. 固件和软件漏洞。物联网设备的开发周期短、价格低廉,这限制了开发和测试安全固件的预算。由于缺乏这种内置的物联网安全机制,物联网设备易受最基本形式的攻击。从固件、软件到第三方应用程序,数百万台设备都受到标准组件漏洞的影响。
此外,网络环境可能会受到易受攻击的 Web 应用程序和 IoT 设备软件的破坏。无论是新威胁还是旧恶意软件,缺乏物联网安全保护的情况下,各类漏洞都使物联网设备成为精明的恶意行为者发动网络攻击的理想目标。
4. 不安全的通信协议和渠道。物联网设备通常与其他设备连接到同一网络,这意味着对一台设备的攻击可能会扩散到其他设备。缺乏网络分段和对物联网设备通信方式的监督,使其更容易被拦截。例如,不久前,汽车行业在物联网设备中采用蓝牙技术,导致一系列数据泄露事件登上新闻头条。此外,超文本传输协议(HTTP)和应用程序接口(API)等协议都是物联网设备依赖的通信渠道,也可能被网络不法分子利用。
例如,2022 年,数百万辆智能汽车中的蓝牙数字锁因黑客利用蓝牙技术漏洞而可被远程解锁。同样,超文本传输协议(HTTP)和应用程序接口(API)等协议是物联网设备依赖的渠道,网络罪犯可能会利用这些渠道。
5. 设备补丁和更新困难。物联网制造商并不专注于在设备中构建物联网安全机制,以实现硬件防篡改和安全保护。许多物联网设备设计上不支持定期接收物联网安全更新,这使其易受攻击。由于缺乏内置的物联网安全机制,难以确保安全升级、提供固件更新和补丁以及执行动态测试。因此,组织有责任保护其物联网设备和网络环境免受网络威胁。
物联网安全挑战
随着越来越多设备接入网络 —— 从智能手表、智能电视到智能家居、智能汽车,再到不断发展的工业物联网,物联网的攻击面每天都在扩大。除了消费品,物联网传感器还广泛应用于医疗保健、制造业、供应链运营以及绿色农业、经济和国防领域。
新兴的物联网几乎涵盖任何连接互联网的设备或传感器 —— 从远洋驳船上的大型集装箱到手机的小型追踪器(如 Tile Tracker)。值得注意的是,IEEE 物联网技术预测显示,联网设备数量将从 2020 年的 87 亿台增长约 300%,到 2030 年超过 250 亿台。
鉴于安全风险对可用性、完整性和机密性的攻击面扩大,物联网安全对于组织保护其网络环境免受物联网设备带来的威胁至关重要。
如何满足物联网安全要求?
物联网和安全要求只能通过集成解决方案实现,该方案需在整个网络基础设施中提供可见性、分段和保护,例如采用整体安全架构方法。
物联网安全必须具备以下关键能力:
1. 识别:通过完整的网络可见性,安全解决方案可以对物联网设备进行身份验证和分类,构建风险档案并将其分配到物联网设备组。
2. 分段:一旦企业了解其物联网攻击面,即可根据设备的风险档案将物联网设备划分为策略驱动的组。
3. 保护:策略驱动的物联网设备组和内部网络分段支持基于基础设施内各节点活动的监控、检查和策略执行。
了解物联网安全要求
物联网安全要求支持针对特定业务、行业和网络环境的物联网安全策略。除了严格执行管理监督、定期打补丁和更新、强制使用强密码以及关注 Wi-Fi 安全外,还需考虑广泛的保护措施。
监控网络和设备行为以检测异常是一种最佳实践,可从物联网设备漏洞中检测恶意软件。另一种最佳实践是对物联网设备进行网络分段,使其连接到独立网络,隔离易受攻击的设备和威胁,防止恶意软件在企业内传播。应用零信任网络访问可提供额外的安全层。
由于许多物联网设备的配置能力有限,与其尝试保护物联网固件和软件,不如使用提供包括端点加密在内的多层保护的安全解决方案来保护物联网环境。
随着物联网与云的融合,可考虑使用另一层基于云的安全解决方案来保护技术,这些方案还可为边缘设备增加处理能力。
物联网设备使用从互联网协议、网络协议到蓝牙和其他通信协议等多种协议。了解设备使用的协议有助于降低安全风险。
依赖 GPS 进行关键操作的行业应监控其 GPS 连接设备的潜在安全问题,例如伪造或干扰的 GPS 信号。
1. 对物联网设备和系统进行风险评估。攻击者会利用员工的疏忽行为,针对未受企业监控的连接到企业网络的物联网设备发起攻击。了解连接到网络的每个设备的风险并监控其个体行为,是防范网络攻击的关键。
物联网安全的另一项基本要求是维护企业网络中联网设备的完整清单。寻找能够在几分钟内发现网络内所有物联网连接的解决方案应是首要任务。
2. 实施强大的身份验证和授权机制。身份验证是工程师在物联网部署中需考虑的最关键安全措施之一。IT 管理员可根据机制的延迟和数据要求,确定单向、双向或三向等物联网身份验证和授权类型中最适合组织的方案。
如上所述(如默认密码),大多数物联网设备的身份验证机制较差。在部署物联网设备时,与网站和 Web 应用类似,IT 管理员保护物联网设备的最佳方法之一是使用数字证书。物联网设备证书是物联网安全策略的组成部分。
3. 确保充分的加密和安全通信。加密的主要目的是保护存储在计算机系统中或通过互联网及其他计算机网络传输的数字数据的机密性。物联网加密在保护多种类型的物联网设备方面起着关键作用。通过加密物联网设备的数据通信,组织能够确保内容机密性、来源认证、数据完整性和发送方可追溯性。
加密是保护数据的有效方式,但必须仔细管理加密密钥,以确保数据在需要时既受保护又可访问。尽管物联网设备本身通常不是攻击目标,但缺乏内置安全机制使其成为传播恶意软件的诱人渠道,可能导致数据泄露。
数据加密不能替代其他信息保护控制措施,如物理访问控制、身份验证和授权或网络访问控制。数据加密是降低风险的一种方法,对敏感数据使用安全通信协议和渠道也是如此。
尽管物联网设备易于部署,但其通信协议必须具备在现有互联网基础设施上运行的处理能力、范围和可靠性(如物联网实施标准中的 Wi-Fi 802.11 a/b/g/n/ac 等)。
设计物联网网络时,功耗是一个重要考虑因素,低功耗无线网络最为理想。因此,针对物联网应用需求创建的通信协议通常分为两类:
(1)低功耗广域网(LPWAN)(2)无线个人区域网(WPAN)
4. 通过补丁保护固件和软件更新。与其他数字设备一样,物联网设备必须打补丁和更新,以防止威胁利用软件和固件中的漏洞。安装更新和修补漏洞对物联网安全以及运营技术(OT)至关重要。当设备无法打补丁或无法离线以防止被利用时,管理员可部署入侵防御系统(IPS)。
5. 与物联网安全专家合作进行有效风险管理。如果没有物联网检测服务和工具的帮助,管理网络中的物联网安全可能会让人不堪重负。这些工具可发现物联网设备、阻止恶意流量并实现虚拟补丁。检测基于本地(安装的)物联网设备库,该库会定期扩展和更新以应对最新威胁和漏洞。与 IPS 和网络访问控制一样,检测服务是有效风险管理的 IT 安全策略的组成部分。
哪些物联网设备类型最易受安全风险影响?
网络攻击通过网络扫描、远程代码执行和命令注入等策略利用未受保护的物联网设备。医疗行业因用于医学成像系统、患者监测系统和医疗设备网关的联网设备,在物联网安全问题中占比最高。另一个高风险领域包括常用的物联网设备,如安全摄像头和打印机。消费记录、IP 电话和能源管理设备也面临较高风险。
审视易受物联网安全漏洞影响的主要行业
许多行业在采用物联网的同时,面临着因物联网设备漏洞而暴露于网络威胁的更高风险。由于数据的敏感性(如医疗记录、自动驾驶汽车或知识产权),某些行业比其他行业更脆弱。
这些行业包括拥有复杂网络的大型组织、依赖工业运营技术(OT)的数字工厂和车间,以及使用医疗物联网(如联网扫描仪、监控工具、可穿戴设备和其他联网系统)进行患者护理的医疗保健机构。
物联网设备的设计并未满足关键行业的业务和监管要求。如果开发人员在物联网设备和软件中集成安全功能,将有助于保护敏感数据,并防止这些设备联网时被利用。