我第一次接觸物聯(lián)網(wǎng)是在2016年。當時我們正致力于開發(fā)基于物聯(lián)網(wǎng)的血庫監(jiān)測解決方案。安全性已經(jīng)擺在桌面上，但我在與許多物聯(lián)網(wǎng)專家的交流中發(fā)現(xiàn)，當時對許多企業(yè)來說，安全并不是一個重要的優(yōu)先事項。在眾多分布式拒絕服務攻擊和幾代物聯(lián)網(wǎng)設備的出現(xiàn)之后，企業(yè)仍在努力解決物聯(lián)網(wǎng)安全問題。讓我們來看看為什么物聯(lián)網(wǎng)安全繼續(xù)對企業(yè)構成巨大挑戰(zhàn)，以及需要做些什么來解決這個問題。

物聯(lián)網(wǎng)設備面臨哪些安全挑戰(zhàn)

1、擴大面積

用戶通常是最重要的攻擊面，因為他們可能成為釣魚活動的目標，可能無意中或自愿共享憑證或其他敏感信息，或很容易被騙采取可能導致惡意軟件部署的操作。所有這些行為不僅會泄露數(shù)據(jù)和證書，還會引發(fā)攻擊，造成昂貴的成本，并將生產(chǎn)計劃或其他目標推遲數(shù)天、數(shù)月甚至數(shù)年。

設備的增加也意味著威脅面積的增加。此外，網(wǎng)絡或設備的錯誤配置也可能導致安全體系結構中的漏洞。

2、物聯(lián)網(wǎng)設備日益增多

聯(lián)網(wǎng)設備的數(shù)量每個月都在持續(xù)增長。根據(jù)訂閱數(shù)據(jù)源的不同，這個數(shù)字可能千差萬別。隨著每年新用例的增加，物聯(lián)網(wǎng)已經(jīng)深入到農(nóng)業(yè)、智能家居、交通、金融服務和制造業(yè)等領域。在過去幾年里，物聯(lián)網(wǎng)供應商的數(shù)量也呈指數(shù)增長。隨著傳統(tǒng)制造國家的制造商數(shù)量增加，以及其他國家新制造單位的增加，物聯(lián)網(wǎng)設備制造商的數(shù)量也出現(xiàn)了指數(shù)級增長。

隨著設備制造數(shù)量的增加，人們希望安全性會得到更多的關注，并且隨著新的、更高效的物聯(lián)網(wǎng)設備的到來，代際安全差距將得到解決。然而，我們看到的是在新設備的所有級別檢測到新的漏洞，以及尚未解決的漏洞，這種情況正在為黑客創(chuàng)造新的機會。

3、日益復雜的攻擊

物聯(lián)網(wǎng)設備和項目正在吸引APT群體的大量關注。物聯(lián)網(wǎng)與關鍵基礎設施項目的日益融合，以及物聯(lián)網(wǎng)在金融服務和其他關鍵領域的使用，可能是APT群體越來越多地跨垂直領域掃描物聯(lián)網(wǎng)設備的原因之一。根據(jù)某研究團隊的研究，物聯(lián)網(wǎng)項目在2022年4月的網(wǎng)絡攻擊增加了77%。這是有史以來最大的一次攻擊增長。復雜攻擊的數(shù)量在同月增加了133%。石油和天然氣以及制造業(yè)是受攻擊最多的行業(yè)。

4、監(jiān)管/合規(guī)監(jiān)管標準

企業(yè)可以采用很多標準來提高安全性。此外，OneM2M標準還使物聯(lián)網(wǎng)應用能夠基于一個通用的服務層，在各種分布式環(huán)境中發(fā)現(xiàn)和接口物聯(lián)網(wǎng)設備。它還規(guī)定了許多其他途徑來提高物聯(lián)網(wǎng)安全。

雖然大多數(shù)標準是自愿的，但監(jiān)管機構往往建議自愿遵守這些標準，以減輕風險和降低風險，這可能是許多跨部門的企業(yè)沒有遵守這些標準的原因之一。其中一些標準一旦采用，可以提高效率，促進網(wǎng)絡和資產(chǎn)透明度，從而轉化為提高生產(chǎn)力和投資的資本回報率。

這些只是物聯(lián)網(wǎng)安全仍然是企業(yè)面臨挑戰(zhàn)的部分原因。為了解決這些問題，企業(yè)將不得不擴大其整體安全措施。

以下是應對物聯(lián)網(wǎng)安全挑戰(zhàn)的7項措施：

● 在采購過程中嵌入安全要求，以覆蓋整個供應鏈。

● 應在每個項目的概念驗證級別測試安全要求。

● 應優(yōu)先考慮漏洞和補丁管理。

● 應經(jīng)常進行安全審計，并分析風險暴露和整體安全狀況，以找出差距和改進機會。

● 物聯(lián)網(wǎng)安全目標應該作為企業(yè)跨地點整體運營安全政策的一部分發(fā)布。

● 使用正確的威脅情報和成熟的實踐來改進威脅搜索。

●進行物聯(lián)網(wǎng)威脅評估來找出安全漏洞。