图片13
由于物联网设备的风险越来越大,企业必须通过培训、渗透测试和设备维护程序来评估和加强他们的产品保护。
众所周知,物联网设备固有的网络安全风险已是众所周知。物联网可以让恶意攻击者进行网络攻击,并且可以入侵网络设备;网络攻击者可以摧毁基础设施,入侵网络;并且可以获得私密或敏感信息。很多运行在物联网设备上的嵌入式固件都不安全,非常容易受到攻击,这使得一些关键系统处于危险之中。
随著物联网设备的普及,风险越来越大。据研究机构预测,到2021年年底,全球物联网设备的使用数量有望达到250亿台。
应对物联网安全挑战需要采取两种方式。对于网络攻击,它必须从被保护产品(运行软件的安全代码)的角度出发(这些设备上的固件)。物联网安全策略也必须能够检测和响应,以防止攻击者利用漏洞进行的攻击。
预计设备安全改善。
尽管物联网的使用率在不断增加,但是围绕物联网的标准,遵从性要求和安全代码编写实践却并非如此。近来受到广泛关注的软件供应链攻击,将代码安全问题推上了舆论的风口浪尖,促使政府机关和企业发出命令,要求政府机构和企业购买并部署安全软件。这个关键的转变会对全球软件开发过程和生命周期产生直接的影响,尤其是当采购规模很大的时候。政府当局开始要求私营企业履行其在工业领域制定新的安全标准的义务,因此几乎所有设备制造商和软件公司都会受到直接影响。
在物联网方面,这些指令指示政府部门启动一个试验项目,以提高物联网设备的安全性,并确定物联网网络安全标准和消费者标签计划的安全软件开发实践。或许这正是私人企业需要调整他们的实践来适应这些标准的驱动力。
在政府机构与业界领导人积极协商后,决定何时才能执行命令,以及各种基础设施和制造商需要遵循的范围,制造商现在可以采取下列步骤来做好准备:
·实施对软件开发者进行代码安全方面的培训。
·收集并在社区中分享关于常见物联网漏洞的信息。
·调查网络安全社区,了解最常见的陷阱。
·使用自动工具进行代码分析,以确保事先没有扫描到潜在的漏洞,不会泄漏任何东西。
·让渗透测试团队找出开发周期遗漏的东西,但是要检查第三方渗透测试供应商。
理想化地说,对于使用物联网设备的用户来说,他们购买的产品符合标准和要求,但是要意识到渗透测试是必要的。
当今世界,无论操作环境如何,任何系统都不会被破坏。所以有必要使用渗透测试来发现这些漏洞。
经过安全认证后,并将其部署到企业的基础结构中,一定要使用扩展检测和响应、端点探测和响应或者其他安全运营中心解决方案来监测。因此,即便是受到攻击,也能有必要的可视性来判断设备是否在执行关于访问、查询、时间和IP地址可疑行为等操作。另外,这些探测和响应功能提供了物联网设备应该如何运行的信息,使得异常行为更容易被发现,同时也确保在这些设备受到网络攻击时提供保护。