■宋明成
由于基于物联网的基础设施规模庞大,企业需要将他们的安全计划提升到一个全新的水平,才能从物联网中获益。
物联网预计将在未来几年得到显著增长。根据研究机构Gartner公司的调查,2017年全球有84亿台物联网产品正在使用,比2016年增长31%,预计到2020年将达到204亿台。
这种增长是由于企业在增加洞察力、提高客户满意度和提高效率的承诺。随着采用物联网设备的传感器数据和基于全球互联网的云计算服务,利用这些优势成为可能。成功采用物联网技术的一个关键问题是,需要在整个生态系统中具备足够强大的安全机制,以减轻将物联网设备连接到互联网的安全风险。
考虑连接全球互联网的设备数量,以及这些设备将生成的数据,到2025年,物联网预计将拥有754.4亿台物联网设备。届时,全球将近四分之一数据(预计163泽字节数据)在实时创建,其中95%的数据将由物联网设备创建。
预计到2020年,物联网预计将产生惊人的经济影响,其市场规模高达8.9万亿美元。再加上迅速演变的网络威胁形势,很容易理解为什么许多专家对其风险十分关注,因为他们热衷于从物联网获得好处。
更糟糕的是,网络犯罪分子正在积极寻求新的和更阴险的方式来侵入各种设备,因为它们可以提供一个方便的门户,以获得更有价值的系统。如果家中的电器设备遭到网络犯罪分子的入侵,哪怕是不会对家庭安全构成威胁的电饭煲,也可能成为网络中更重要的入口,成为最严重的安全漏洞。
当然,工业物联网面临的风险要高得多。从全球制造行业到发电和配电基础设施,物联网设备可能会大大增加企业的运营风险。最近有关黑客侵入美国电厂控制系统的报道表明人们需要对此高度警惕。
幸运的是,网络安全仍然是涉足物联网和工业物联网企业的头等大事,或者考虑采取这种举措。研究公司451 Research最近进行的一项调查发现,在企业内部署物联网项目时,安全仍然是IT专业人员需要解决的主要问题。该公司在全球范围内对600多名IT决策者进行了在线调查,并通过深入的电话访谈对其调查研究进行了补充。
当被问及他们的组织考虑采用哪些技术或流程来实现当前或计划的物联网举措时,55%的受访者将物联网的安全性列为他们的首要任务。企业将安全能力视为选择商业物联网平台的首要原因,58%的受访者将其列为选择供应商合作伙伴的首选因素。
报告称,物联网部署的性质使得企业难以抵御网络威胁。随着工业设备越来越多地连接到互联网进行数据收集和分析,企业开始熟悉复杂的安全世界。
据451 Research公司分析师的分析,一些企业领导者一直对物联网的应用采取观望态度,因为他们认为风险对于潜在回报率来说依然过高。但对于那些开展物联网项目的企业来说,安全必须是重中之重。
为了确保物联网和工业物联网的强大安全性,根据IEEE在2017年报告中的建议,企业将会明智地实施若干最佳实践。
还有一个问题就是如何确保设备本身安全。某些设备或设施可能会在无人值守的情况下运行,不能受到频繁的安全保护?报告称,使这些设备防篡改是有利的,因为这种类型的端点强化可以帮助阻止潜在的入侵者获取数据。它也可能抵御黑客或其他网络犯罪分子的攻击。
作为一种最佳实践,安全端点强化可能意味着部署一种分层方法,要求攻击者绕过多重障碍,旨在保护设备及其数据免遭未经授权的访问和使用。企业应该保护已知的漏洞,如开放的TCP/UDP端口,开放的串行端口,开放的密码提示,web服务器、未加密的通信、无线连接等注入代码的位置。
另一个保护设备的办法是根据需要升级或部署安全补丁。但请记住,许多设备供应商在构建和销售设备时并不关注安全性。正如调查报告指出的那样,许多物联网设备被破坏后是不可修补的,因此无法保证安全。在投资的设备采用工业物联网之前,需要评估设备的安全功能,并确保供应商对设备进行彻底的安全测试。
当物联网设备试图连接到网络或服务时,要小心地管理物联网设备的身份验证,以确保信任是非常重要的。公钥基础设施(PKI)和数字证书为物联网设备身份和信任提供了安全基础。
除了设备之外,企业还需要确保他们用于物联网和工业物联网的网络安全。这包括使用强大的用户认证和访问控制机制,以确保只有授权用户才能访问网络和数据。
IEEE注意到,密码必须足够复杂以应对猜测和强力破解的方法。只要有可能,组织应该使用双因素身份验证(2FA),这需要用户输入密码,以及使用另一个验证因素,例如通过SMS文本消息生成的随机代码。
对于物联网应用程序,使用上下文感知身份验证(或自适应身份验证)是一个好主意。这包括使用上下文信息和机器学习算法在不影响用户体验的情况下不断地评估风险。
使用强大的加密来保护协议是另一个很好的网络安全措施。设备之间的任何通信都可能遭到黑客攻击,物联网和工业物联网都涉及各层使用的大量网络协议。使用网络层和传输层加密可以为基于网络的攻击设置多重障碍。
企业还需要保护物联网和工业物联网的数据。许多连接的物联网设备将存储和传输敏感的个人身份信息,这些数据需要得到强有力的保护。未能保护这些数据的企业可能不仅会面临不利的业务影响,还会受到监管处罚。应用程序和用户数据应在传输和空闲时加密。
良好的安全性也意味着拥有强大的安全运营政策,以及针对正在或将要参与物联网和工业物联网环境的任何人的全面培训计划。粒度审计跟踪、端点异常检测以及响应式取证安全能力也是确保检测到任何违规行为的关键要素,并且在蔓延之前采取有效且及时的补救措施。
这很可能看起来像网络安全协议常识,但许多组织缺乏有效实施这些措施的资源和纪律。鉴于这些高度连接的基础设施的范围和程度,组织需要将其安全计划提升到一个全新的水平,以便为获得物联网带来的好处做好准备。