為什麼實施物聯網安全非常困難
物聯網(IoT)正在通過一個由電子、軟體、感測器、執行器和連線性組成的龐大網路,越來越多地將物理世界和基於計算機的系統整合在一起。根據Statista的資料,物聯網這個龐然大物正以每年近20%的速度增長,到2020年有望達到8.9萬億美元。與此同時,四分之一的物聯網仍然致力於工業環境——工業物聯網(IIoT)。
不幸的是,隨著創新、效率和便利的新機會成倍增加,與IOT相關的漏洞和攻擊浮出水面被惡意行為者利用。而且由於網路攻擊利用了鏈條中最薄弱的環節,組織不能只是挑選要解決的物聯網漏洞——它們必須實時地處理所有這些漏洞。
現實情況是:物聯網安全是一項艱鉅的挑戰——涉及從難以實現標準的各個方面;難以觸及工業部件;以及如何在舊的“棕地”和新“綠地”物聯網系統和裝置之間無縫整合安全的艱難選擇。
有很多指導,但不夠實用
物聯網和工業物聯網的安全挑戰範圍從不安全的web和移動介面以及網路服務,到糟糕的加密、身份驗證和物理安全。特別是在工業環境中,組織意識到他們必須解決整個物聯網生態系統,包括:在工廠地板上執行的操作技術(OT);連線到物聯網雲平臺的新裝置;連線到業務系統的IT系統;新的裝置和感測器,以及介於兩者之間的一切。
美國國家標準與技術研究所(NIST)和國際自動化學會(ISA)等組織曾試圖通過釋出物聯網和工業物聯網網路安全標準來提供幫助,但這些指導方針非常複雜,難以理解,也難以實施,因為它們往往缺乏明確的實施建議。裝置製造商和整合商可以自行決定如何在其裝置所需的安全級別上實現適當的安全性、可靠性、彈性和私密性。通常情況下,這意味著標準沒有被實際應用,因為人們認為它們太複雜了。
例如,可信計算組的TPM 2.0標準提供了在微晶片和韌體中嵌入唯一金鑰的指導,以幫助證明物聯網裝置的身份,但該技術文件長達3000多頁。
這些挑戰使得業界對以IOT為中心的攻擊毫無準備。事實上,最近的一項調查發現,97%的受訪者認為,不安全的物聯網裝置對他們的組織會構成重大風險。
工業物聯網尤其重要,甚至更難獲得安全保障
從2010年的超級工廠病毒(Stuxnet),一直到2018年擴大的Triton式攻擊,工業系統已成為首要攻擊目標——這一事實尤其令人不安,也具有重大影響。雖然Target或Equifax的資料洩露可能是毀滅性的,會危及數百萬客戶的隱私和財務,但對關鍵基礎設施的網路攻擊可能造成無法估量的損害、操作故障,甚至是生命損失。
想想1979年的三裡島核事故和2010年英國石油公司深水地平線漏油事故;它們可能都是意外,但所涉及的控制系統故障與執行良好的網路攻擊很容易造成的故障型別相同。事實上,據稱2014年德國一家鋼廠發生的黑客攻擊,破壞了一座高爐,導致高爐發生故障,對高爐設施造成重大損害。
請記住,對於煉油廠和其他一些複雜的工業企業來說,緊急停產可能需要一年或更長時間才能恢復。這意味著收入損失,名譽受損,甚至可能破產。
不幸的是,工業物聯網安全特別難以實現。許多工業部件是很久以前製造的,設計成可以連續執行。這使得為安全而改造系統變得十分困難;一些工業控制系統已經存在了幾十年,每年的維護時間僅有4個小時。
保護物聯網安全的正確方法
企業越來越意識到,為了保護組織和維護運營,它們必須跨整個物聯網生態系統實現安全性——尤其是在工業環境中。
最大的挑戰是將安全性覆蓋到涉及舊裝置和遺留系統的“棕地”問題空間。與此同時,對於製造商來說,從一開始就確保正在開發的新“綠地”裝置的安全性至關重要。
協調連線到“棕地”和“綠地”系統的物聯網基礎設施的安全性說起來容易做起來難。在棕地方面,一些系統根本無法升級——這意味著你唯一的選擇是更換系統,或者找到一種方法在系統前面放置一個安全閘道器。其他棕地元素可以通過更強的身份驗證、更多的加密或更好的web、移動或物理安全性逐步升級。在綠地方面,在所有裝置和元件的開發和生產週期中,應儘早將安全性納入其設計。
最後,開發人員應該明白,即使一個全新的系統從工廠獲得了安全認證,如果它進入的環境沒有全面的安全性,那麼它的運營能力仍然可能受到影響。
在您自己的組織中實現更好的物聯網安全性
到目前為止,應該清楚的是,沒有一種萬能的解決方案,人們可以簡單地購買,然後輕輕一按開關就能開啟。相反,物聯網安全是必須用適合您組織及其漏洞的正確策略和行業夥伴關係來實現的。
無論您的具體實現方法是什麼,它都應該包括一個安全堆疊,該堆疊可以跨不同的端點環境處理需求。另外,確保您的安全解決方案足夠強大,能夠增強儲存、通訊和容器化應用程式的安全性。並確保任何工業裝置滿足美國NIST 800-63B AAL3的要求(最高階別的認證保證)。
最重要的是,您實現這些高階別安全性的能力不應該被大量複雜的標準和指導手冊所拖累。合適的行業合作伙伴可以將這種複雜性打包,以確保您獲得適當的安全性和遵從性——而不會淹沒在文件中。要求供應商提供全面的安全性,這種安全性仍然足夠簡單,易於理解和實現。
開發更強大的物聯網安全性已成為所有組織的主要關注點——尤其是那些處理關鍵基礎設施的組織。無論您是裝置製造商還是服務提供商,每個人都可以更好地瞭解現有物聯網安全領域,以及如何加強它。
來自 “ https://www.securityweek.com/why-its-so-hard-imple ”,原文連結:http://blog.itpub.net/31545812/viewspace-2565324/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 物聯網與共享經濟面臨的核心困難
- 物聯網路卡為什麼那麼火
- 物聯網是什麼意思?物聯網概念是什麼?
- 物聯網路卡為什麼那麼受歡迎
- 什麼是物聯網路卡?物聯網路卡的優點是什麼?
- 你知道為什麼物聯網需要LPWAN嗎?
- 為什麼資料庫調整大小如此困難?資料庫
- 物聯網路卡是什麼?
- 為什麼運營商玩不轉物聯網?
- 物聯網與工業物聯網:有什麼區別?
- “物聯網”與“聯網物”,到底有什麼差異?
- 物聯網安全
- 工業物聯網網路的實施戰略
- 分析|什麼是物聯網路卡
- 女生轉行學IT有什麼困難?
- 物聯網閘道器與物聯網平臺有什麼功能
- 物聯網安全分析
- 實施ERP的困難在於BPR(轉自計算機世界網 )計算機
- 中國為什麼能把一切東西搞成物聯網?
- 什麼是物聯網?—Vecloud微雲Cloud
- 什麼是物聯網?國內如何定義物聯網?—健永科技
- 又苦又累 為什麼遊戲主播做獨立遊戲會這麼困難?遊戲
- 為什麼物聯網可能需要一個全新的專用網路?
- 樂訊通雲通訊:什麼是物聯網路卡?物聯網路卡的優點是什麼?
- 部署機器學習非常困難,並將一直如此...機器學習
- 為什麼選擇Rust作為物聯網的程式語言? - Ash MoosaRust
- 什麼是工業物聯網?工業物聯網Web組態軟體Web
- 物聯網CEO們,未來三年,物聯網將發生什麼?
- 物聯網安全痛點
- 工業物聯網是什麼?工業物聯網有什麼作用?能在哪些行業應用?行業
- 實施IPD的收益、困難或風險及其應對措施(轉)
- 物聯網路卡是做什麼用的
- 什麼是數字孿生,為什麼數字孿生對物聯網很重要?
- 網路安全難學嗎?需要學什麼?
- 樂訊通雲通訊:物聯網路卡在物聯網中起到什麼作用
- 網際網路與物聯網有什麼區別?
- 物聯網安全創新聯合實驗室:2019物聯網終端安全白皮書(附下載)
- 為什麼區塊鏈(可能會)來到你身邊的物聯網區塊鏈