2021年物联网安全趋势:2019冠状病毒病带来了长长的阴影

网络攻击 -  on-Ecommerce-Industy.jpg

在2020年,Covid-19留下了几块石头,以其对健康,社会,经济和技术本身的上层影响。

事情互联网(物联网)的安全也不例外。导致Covid-19疾病的新型冠状病毒将新的安全问题带到前面,这些问题通过2021年及以后地位。

随着许多活动变得远程、数字化和更加互联(如数字健康、视频会议和设施远程监控),威胁也变得普遍。许多物联网安全威胁只是扩大了攻击的表面区域,并将目标从集中位置(办公室)转移到网络边缘。

弗雷斯特研究公司(Forrester research)副总裁兼研究总监梅里特·马克西姆(Merritt Maxim)说:“我们看到了远程工作的推动,这无疑改变了威胁格局。”例如“试图通过更复杂的网络钓鱼攻击攻击用户”。用户(在家里)……(而且)不像在办公室时那么警惕,”他表示。“与新冠病毒相关的威胁将持续到今年,很可能是明年,在某些情况下,可能是永久性的。”

随着物联网设备的激增——到2025年可能会有大约215亿台设备——保护物联网环境和防止破坏变得更加关键。

一项极端网络调查显示,组织仍然非常容易受到基于物联网的攻击。这项调查调查了540名安全专家,发现84%的组织在其公司网络上安装了物联网设备。调查还显示,超过50%的机构除了默认密码之外没有维护必要的安全措施。

正如专家们所指出的那样,设备的激增给系统带来了更多的弱点。

接下来,我们将探讨2021年物联网安全的主要趋势,以及2019冠状病毒病(COVID-19)在未来一年将如何影响这些物联网安全趋势。

1.远程工作和其他边缘用例。2020年,由于员工被迫呆在家里,用户的家庭网络和设备成为更重要的攻击载体。IDC预计,到2022年,超过40%的企业云部署将包括边缘计算。

随着增殖的增殖增加了脆弱性。根据最近思科的思科调查报告“确保现在是什么以及下一步,”一半以上的受访者(52%)表示,移动设备现在“非常”或“非常”挑战措施。移动设备将网络的可靠性周边扩展到传统数据中心资产甚至云资源到网络的边缘。

德勤会计师事务所(Deloitte & Touche LLP)合伙人肖恩•皮斯利(Sean Peasley)表示:“随着物联网、云计算和5G技术的发展,攻击面已经显著扩大——(恶意攻击者)将试图利用最不具抵抗性的入口点。”

随着数字健康状况出现的其他漏洞与社会疏散要求变得更加普遍。

根据美国卫生和人类服务部,2020年上半年目睹了医疗保健网络安全漏洞的50%增加。这部分是因为遥控工作的增加,使企业网络暴露于无数家庭设备和网络可能缺乏企业同行的安全严谨。“家中的设备可能会受到损害,然后用来横向移动,然后通过遥控器的激增访问员工的远程数据,”Maxim表示。

实际上,根据最近的医疗保健信息和管理系统社会(HIMSS)调查,57%的受访者在前12个月内经历了电子邮件网络钓鱼攻击。通过网络钓鱼攻击,对于恶意演员使用欺诈性消息来提取密码或其他个人数据,然后进一步渗透系统是相对容易的。在某些情况下,网络钓鱼攻击已被用于渗透IT系统,然后交叉以违反IOT设备。

专家表示,随着远程工作越来越普遍,教育和培训至关重要。“听起来是cliché,但意识和培训比以往任何时候都重要,”他说。“(员工)需要尽可能投入和清醒,因为他们最终会帮助你避开攻击。”

2.新的物联网网络安全法案到目前为止,物联网领域一直存在着碎片化的问题,而且在供应商必须遵守的共同标准上缺乏共识。因此,设备使用了一系列不能互操作的协议,由于缺乏补丁和更新,这些协议往往容易受到攻击。

《物联网网络安全改进法案》于2020年12月签署成为法律,旨在解决美国的这一标准化问题。该法案为设备制造商制定了最低安全要求,并使用了美国国家标准与技术研究所(NIST)提供的标准,它将涵盖从开发到最终产品的设备。该法案还要求国土安全部每五年对该法案进行审查和重新审议,并在必要时进行修订。

专家表示,该法将收紧安全性,但它没有灵敏度。“法律并没有确保每个人都会遵守,但行动确实有所帮助,”德勤&触控LLP的合伙人肖恩·塞利说。“现在预计供应商将设计并建立适当的安全功能进入他们发展的产品。”

3.增加对关键任务基础架构的攻击。2019年末,在大流行前,西门子/波内蒙研究所(Siemens/Ponemon Institute)的一项研究发现,全球56%的天然气、风能、水和太阳能公用事业在过去一年里经历了至少一次网络攻击,导致关闭或运行数据丢失。越来越多的国家和民族通过诸如NotPetya、WannaCry、Stuxnet等破坏行为来定义网络安全格局。马克西姆说,虽然有些攻击是为了谋取经济利益,但民族国家行为者的许多入侵是为了破坏、欺骗或使目标措手不及。

Covid-19所需的远程工作以及扩展的安全漏洞以及关键基础架构。特别是随着操作变得更加偏远,它可能会增加这些违规机会 - 通常是因为工人没有内置于家庭网络和连接设备的适当安全性。

“它将继续,不幸的是,Covid可以是[国家行为者]用于扩散关于治疗,疫苗的缺陷的杠杆,”Maxim说。“任何时候[恶意演员]可以试图在社会中播种中断或混乱,他们将利用他们的优势。”

4.Ransomware攻击。与此同时,专家们注意,Ransomware具有目标应用程序和数据而不是IoT设备硬件。在2020年的第三季度,与年前半年相比,检查点研究报告报告报告的日常赎金软件攻击数量增加50%。

不过,从另一个角度来看,物联网设备可能比传统IT资产更能抵御勒索软件的攻击。

“这是连接器件没有像普遍存在的原因之一 - 它更难以通过货币化,”Maxim说。“从黑客努力的角度来看,它可能会给我提供用于身份盗窃或诈骗的数据,但它们可能更容易获得信用卡号码,而不是直接在您的设备之后进行。”

另一方面,对OT系统的破坏可能比传统勒索软件造成的破坏要危险得多。

“如果你可以使用信用卡,这是不好的,但这不会停止运营。已经发生的加班费事故对运营造成了毁灭性的影响。赌注增加了,”他说。

5.增加标准化。随着企业越来越依赖云、虚拟化和资产数字化来提高效率和成本竞争力,它们常常试图标准化系统。标准化通常对业务有好处。它允许公司更快地扩展产品,并使后端系统更容易地互操作。

然而,标准化的缺点是,系统缺陷更容易通过构建在普通构建块上的系统扩散开来。考虑一下Ripple20代码泄漏,它是由于经常使用带有bug的TCP/IP库而引起的。许多企业都使用了这段代码,使得与错误代码相关的漏洞传播得更广。

“标准化也向新漏洞打开了门。一旦这些标准是众所周知的,众所周知,糟糕的演员就会聪明地利用那些劣势,“Peasley说。但是,尽管如此,标准化可以转发业务目标 - 特别是对于云到边基基础设施,这需要Myriad系统彼此合作。

6.IT-OT收敛。IT(信息技术)涉及数据和应用,OT(操作技术)涉及收集信息的设备。因此,物联网技术是IT数据和OT操作的一部分。

“自然需要将它融合在一起,”Peasley说。“它将创造两者必要的一体化。”

peely指出,OT的风险是巨大的,足以迫使这两个竖井学科进一步合并。

“如果[恶意演员获取]访问信用卡,那就不好,但它不会停止[公司]业务,”Peasley说。“发生的OT事件对运营产生了毁灭性的影响。赌注增加了。“

专家指出,在疫情期间,IT和OT必然会更加紧密地联系在一起,因为许多公司限制了现场工作人员的数量,并默认采用更远程的监控和自动化。虽然这为社交距离、甚至对异常事件的自动响应提供了好处,但它也将易受攻击的OT系统(不总是更新或打补丁的系统)与更成熟的it系统合并。

马克西姆说:“大流行可能已经迫使更多的人员聚集在一起,因此(IT部门和加班部门)可能不得不将一些东西聚集在一起,因为人们的身体已经不在同一栋大楼里了。”“但这与OT不同。发电厂的燃气轮机与员工的个人电脑是不同的。它们提供不同的价值,具有不同的威胁特征。”

7.网络安全的AI。越来越多的公司开始使用人工智能来更好地识别和应对网络安全威胁。一项针对800多名从事网络安全工作的IT专业人士的调查显示,96%的受访者表示,他们在网络安全项目中使用了人工智能/ML工具。人工智能帮助安全专家自动识别异常行为,每天筛查数千或数百万个数据点。AI帮助IT专家建立策略,以识别恶意活动,并在入侵网络或其他系统之前自动隔离流量。随着时间的推移,人工智能驱动的工具还可以学习识别新的和以前无法预见的事件,其效率远远高于仅靠人类。

不过,人工智能也可以用于恶意行为,恶意行为者可以使用僵尸网络攻击或其他人工智能驱动的手段来攻击组织的漏洞。Forrester的格言称,恶意行为者可能会试图确定一家公司的人工智能驱动的阈值,以识别欺诈活动,然后故意将攻击保持在检测阈值以下。

“网络不是万灵药。人工智能并不意味着黑客不能利用它为自己谋利益,”马克西姆说。事实上,德勤的一份报告显示,56%的受访者表示,由于网络安全等新兴风险,他们的公司放缓了人工智能技术的采用。

8.最佳实践。专家认为,所有组织必须采用关键的最佳实践,以保持警惕,防止威胁行为者渗透公司系统以获取数据。一旦获得访问,它可能需要威胁演员少于一分钟即可激发系统。

最佳实践包括设计安全(预先将安全构建到您的设计架构中)、网络分割(将物联网设备与其他网络系统分离)和零信任策略(信任但验证策略,与策略相结合,为用户提供生产所需的最小访问量和多因素身份验证),专家说。

对于IOT,对于这些设备与其他IT系统分开至关重要,征集网络分割。

根据设计的安全性原则要求构建者在构建设备和系统时考虑安全性——考虑它们与其他系统的交互——而不是在事后才考虑安全性。“在产品生命周期的早期阶段,安全性现在是一个关键的业务需求。数据、应用基础设施、云计算都需要考虑。”Peasley说。

零信任采用“信任但验证”的方法,通常需要多种身份验证方法。

漏洞悬赏也是组织策略的一部分,公司会雇佣所谓的“白帽黑客”(white hat hacker),赶在恶意参与者之前发现系统和软件中的漏洞。

最后,在他们超越组织之前,员工需要接受新的威胁。

“听起来是cliché,但意识和培训比以往任何时候都重要,”他说。“(员工)需要尽可能投入和清醒,因为他们最终会帮助你避开攻击。”

请点击在这里查看原文。

戴安娜泰