六大物聯網面對的安全挑戰
企業可以從物聯網 (IoT) 中獲得可觀的收益。但更多的物聯網設備與更複雜的物聯網生態系統也意味從邊緣到雲端的安全漏洞增加。可惜的是,許多公司仍然推遲採用物聯網網絡安全戰略,直到為時已晚才意識到物聯網安全風險。而在 COVID-19後疫情時代,將使資安威脅更加突出。
物聯網將面臨重大的挑戰
★ 弱密碼保護
★ 缺乏定期補丁和更新,更新機制薄弱
★ 不安全的接口
★ 數據保護不足
★ 物聯網設備管理不善
★ 物聯網技能差距
#1 弱密碼保護
駭客可猜測或編碼的驗證使駭客直接攻擊設備。當客戶使用默認密碼,攻擊者可能已經知道機器的密碼。
在安全保護下,應包括靈活、安全的默認設置 ,尤其是可選機制,如密碼複雜性、密碼過期、帳戶鎖定、OTP,強制用戶在設置設備時修改默認憑據。透過雙因素身份驗證、多因素身份驗證、生物特徵身份驗證或數字證書(使用公鑰基礎設施)以確保沒有人可未經授權訪問連接設備。
#2 缺乏定期補丁和更新,更新機制薄弱密碼保護
物聯網產品的開發考慮了易用性和連接性。 它們在購買時可能是安全的,但駭客發現新的安全問題或漏洞時將變得脆弱。若沒有定期更新修復,物聯網設備弱點將隨著時間的推移而暴露出來。製造商應加倍努力,需充分保護其設備內置的嵌入式軟體或硬體。當發現漏洞時,他們需向物聯網設備發布安全更新。其中包括唯一密碼、定期安全更新和漏洞披露。
#3 不安全的接口
所有物聯網設備均有處理與通信數據的功能。包含應用程式、服務和通信協定,而許多 IoT 漏洞源自不安全的接口。它們與 Web、應用程序 API、雲和移動接口相關,可能會危及設備及其數據。常見問題包括缺乏/或設備身份驗證和授權不足以及是否加密強/弱應用。
解決方案包括:
- 設備認證:用於保護連接設備與生成的數據訪問,僅限能證明他們知道授權人員和應用程序。
- 數字證書:使物聯網設備、計算機等,能夠將數據安全地傳輸給授權方。X509 證書是標準憑證格式,通常由受信任的證書頒發機構簽名。使我們能夠唯一地識別、驗證每個物聯網設備。
#4 數據保護不足(通信和存儲)
物聯網應用程序數據安全中,最常見的問題是不安全的通信與數據的存儲。若受到感染設備進行存取物聯網設備 進而存取機密數據,而讓資料的隱私性與安全性將面臨的重大挑戰。透過數據加密可防止未經授權訪問或盜竊時數據的可見性。通常用於保護動態數據,且越來越多用於保護靜態數據。數據的加密與解密,主要確保數據隱私與機密性能得到重大保護,並將數據被盜的風險降到最低。
#5 物聯網設備管理不善
2020 年 7 月發表的一項研究分析了醫療保健、零售、製造和生命科學領域中超過 500 萬個物聯網、IoMT(醫療物聯網)和非託管連接設備。此報告揭示了令人不安的事實和趨勢:
多達 15% 的設備是未知、未經授權。
- 5% 到 19% 的人使用不受支援的舊版操作系統。
- 49% 的 IT 團隊猜測或修改了他們現有的 IT 解決方案以獲得可見性。
- 51% 的人不知道他們的網絡中有哪些類型的智能對象處於活動狀態。
- 75% 的部署存在 VLAN 違規。
- 86% 的醫療保健部署包括十多個 FDA 召回的設備。
- 95% 的醫療保健網絡將 Amazon Alexa 和 Echo 設備與醫院監控設備集中混合。
#6 物聯網技能訓練差距
企業需要定期實施對於相關產品的培訓和技能計劃。團隊成員對於相關知識能力與準備越充分;您的物聯網系統越強大。