欢迎访问ic37.com |
会员登录 免费注册
发布采购

物联网十大最有影响力的安全漏洞

日期:2021-1-13 标签:物联网 类别: 阅读:3614 (来源:互联网)

就物联网而言,我们看到了一些重大漏洞的暴露,比如6月的Ripple20和12月的Amnesia-33,它们暴露了用于物联网设备的数百万TCP/IP堆栈。这两家SECaaS提供商结合了深厚的网络安全技术、易于部署的SaaS安全解决方案以及规模经济的特点,为企业提供了强大的安全,其成本要低于内部替代方案。

就物联网而言,我们看到了一些重大漏洞的暴露,比如6月的Ripple20和12月的Amnesia-33,它们暴露了用于物联网设备的数百万TCP/IP堆栈。作为物联网的动脉系统,TCP/IP承载着作为其生命线的数据,这些漏洞再一次证明了为什么所有组织都需要一个快速对它们的物联网设备进行固件更新的计划——如果他们想要及时“止血”的话。

新的年度会议将给物联网安全带来什么?B0505LS-1W虽然我无法说我的水晶球足够透亮,但我想对2021年物联网安全发展做以下三个预测。

安全性即服务迅速进入了物联网市场。

就像FireEye和其他安全即服务(SECaaS)供应商最近的成功所证明的那样,各公司正在日益寻求外包它们本地部署、云和其他网络安全需求。这两家SECaaS提供商结合了深厚的网络安全技术、易于部署的SaaS安全解决方案以及规模经济的特点,为企业提供了强大的安全,其成本要低于内部替代方案。

如今,SECaaS供应商正在扩展他们的物联网市场,我预计到2021年,这一扩展速度会加快。企业在世界各地部署数百万的物联网设备,是网络罪犯的一个巨大目标,而企业缺乏物联网安全方面的专门技术,使得这些设备容易受到罪犯的攻击。我并不希望自己成为物联网安全专家,我希望公司越来越多地与SECaaS供应商合作,保护他们的物联网数据不受恶意行为者的攻击。

但是,在物联网安全这一新兴市场上,谁将主宰呢?SECaaS供应商是否会把他们的现有应用扩展到物联网上,为企业提供综合解决方案,以满足他们的安全需求?还有那些专门设计用于保护物联网数据的SECaaS应用程序的创业公司,将会是这个市场的领导者吗?关于这一点,只有时间可以证明。

企业会要求物联网解决方案供应商建立他们自己的安全系统

当越来越多的公司将物联网安全外包给SECaaS供应商时,他们现在也会开始要求(如果他们还没有这样做的话)物联网设备、网络连接、云和其他供应商不仅保证他们的解决方案是安全的,而且要证明他们是安全的。

具体地说,他们将只与深入了解物联网安全问题的人合作,将强大的安全功能集成到产品中,并不断更新这些产品的物联网解决方案提供商。

这些公司只与致力于安全性的物联网解决方案提供商合作,就可以部署它们的物联网安全计划,为它们提供深度防御,使它们能够避免由于数据泄漏或丢失而造成的物联网安全盔甲断裂。

为了履行他们的安全承诺,预计将有更多的公司要求其物联网解决方案供应商对下列问题作出明确回答:

在处理安全漏洞报告的过程中,你是如何保证透明度和反应性的?

你是否承担漏洞披露的责任?你是一个产品CVE(CNA)编号机构吗?

你有什么计划能及时地提供物联网设备安全更新,你会怎样帮助我们进行部署呢?

IOT黑客教给企业,他们必须把安全作为物联网部署的关键要求。归根结底,如果它们与不致力于安全的物联网解决方案提供商合作,它们就有可能使自己的物联网应用程序甚至整个IT环境受到复杂的网络犯罪的攻击。

回到物联网安全基础

过去一年来,很多人预计公司会部署新的基于AI的威胁情报和其他前沿安全技术来防御攻击。

不过,虽然这些新技术的确很有前景,但去年发生的大部分物联网黑客攻击都是由一些公司根本不遵循物联网安全的基本最佳实践所致。(来源物联之家)早在2018年,开放网络应用安全项目(OWASP)就发现了物联网十大最有影响力的安全漏洞,其中最大的是弱密码、可猜测密码和硬编码密码。紧跟其后的是缺乏安全更新机制,这会导致设备运行在老的、易受攻击的固件上。

在保护你的物联网数据方面,你不需要人工智能来创建强密码,更新设备固件,或者激活并使用物联网设备的内置防火墙——只需要确保你遵守物联网安全的基本最佳实践。

实现这些基本的最佳实践不仅能提高物联网应用的安全性,还能为降低运营成本提供机会。举例来说,一家确保设备固件安全的公司不久就会发现,通过无线固件更新,他们可以轻松保护自己的物联网设备免遭新的攻击,这使得他们省去了技术人员花费巨大的旅行——手工更新物联网设备。

或许我太过乐观了,但是我相信在过去的一年里,基本的物联网安全最佳实践能够解决很多问题,比如Ripple20和Amnesia-33。在2021年之前,公司将确保这些最佳实践得到全面实施,然后才能找到其他技术来应对更加罕见和复杂的攻击。