跟踪已经实施的解决方案的互联网,包括其漏洞,是在新出版的AT&T中的建议。
几乎所有(90%)的组织都不相信自己的IOT解决方案是安全的,AT&T表示它在2015年10月的调查中发现。
此后,AT&T已产生建议,说明“全包”风险评估必须由他们转向物联网实施时完成。建议是在最近的一个网络安全指南(PDF)旨在瞄准首席执行官。
主要建议是,公司表示,应从主要网络隔离IOT部署。换句话说,IOT数据和网络应该无法从“现有IT系统”中无法访问。这样,“攻击者在关键任务系统上推出更广泛的网络攻击的能力”,可以减少。AT&T是一个移动数据网络供应商。
公司应该尝试弄清楚每个物联盟部署带来的风险,AT&T相信。这些风险可能与数据或物理和运营资源有关,并且在最低限度的情况下,每个IOT设备都应该在它上面有某种安全性。
AT&T表示,三分之一的机构报告称,他们可能有5000多台设备连接在一起。
AT&T在建议中表示:“业务和技术领导者必须注意这种新技术的安全影响。”随着物联网设备被用于控制工厂运营和供应链等基础设施,挑战将进一步加剧。AT&T解释说,不仅仅是自己的设备需要正念。合作伙伴和客户的物联网也可能带来同样多的问题。事实上,AT&T在2015年的研究中发现,88%的受访者“对其商业伙伴的联网设备的安全性缺乏充分信心”。
“在许多组织中,在没有适当的安全措施的情况下正在部署IOT设备,”AT&T说。但是,这不是公司的错。制造中使用的大部分设备说,从来没有设计用于互联网。Telco引用了已成为互联网的车间设备的示例。缺乏安全性,即在寻找漏洞的黑客开辟了物联网。AT&T表示,它已经确定了458%的IOT设备漏洞扫描的增加。“
一个主要问题是,公司不知道他们有多少设备,或者他们要对多少设备负责。近一半的受访者表示,他们只是在“估计”数字。只有14%的公司有正式的审计。
手机公司认为,软件或固件修补功能应该是任何IOT设备的要求。所有网络连接的IOT都应该拥有它。该公司表示,系统重置和禁止默认,唯一密码也应包括在内。
另外,AT&T表示,不应该有任何可以利用的后门,或者与设备功能无关的“辅助服务”。
除了上述风险评估和IOT网络中的现有风险评估和分离在部署中,AT&T表示与其他利益相关者的沟通很重要。该报告的首席执行官旨在让每个业务部门了解安全的重要性;并为法律和监管原因定义“安全协议”。
虽然AT&T在安全业务中 - 以及数据网络业务 - 所以可能有望表现出对设备推动的安全性的热情,但该公司确实提出了一些可怕的例子的IOT黑客攻击值得注意的例子:2014年,德国的物联网攻击导致钢厂高炉无法关闭。
在2011年和2014年间,一名安全研究员被攻击到航空公司飞行娱乐系统,并能够向他在旅行的飞机上发送“爬升命令”。