物联网(IOT)提供了组织和消费者,以前所未有的可以共享各种信息无数的产品,设备和资产连接的许多可能的好处。物联网也提出了一些潜在的安全威胁,企业需要解决的问题。
Gartner研究主管鲁盖罗•康图(Ruggero Contu)表示:“毫无疑问,随着物联网设备部署的增加,风险水平将会上升。”Contu说,通过增加联网点的数量,物联网将引入数千种新的威胁载体。
虽然物联网提供了巨大的机遇,但在互联的环境中,“安全风险呈指数级增长,攻击载体或表面理论上可能是无限的,”战略分析公司企业研究、系统研究和咨询总监劳拉·迪迪奥(Laura DiDio)说。
“此外,对IT部门的负担更加繁重,”迪迪奥说。“他们有很多,很多到轨道。”端点或周边安全是一个很大的关注,并有很好的理由的焦点,迪迪奥说,因为它是防御的第一线,并采取全正面进攻的主力。
[关于CSO:安全和物联网 - 被我们重复历史?]
“也就是说,它不是物联网基础设施中唯一的脆弱点,”DiDio说。事实上,根据Strategy Analytics 2016年的调查数据,在物联网环境中,每件事物和每一个人都将日益互连,粗心大意的终端用户构成了其组织物联网的最大安全威胁。
毫不奇怪,物联网安全方面的支出正在上升。Gartner公司在2016年4月报告称,物联网安全的全球支出将达到2016年的$ 348亿美元,从2015年的支出2.815亿$增长了24%。而在物联网的安全支出预计在2018年将达到亿$ 547
Gartner预测,随着技能提高、组织变革和更可伸缩的服务选项提高执行效率,物联网安全市场支出在2020年后将以更快的速度增长。
市场正在成长为消费者和企业在越来越大的数量使用连接的设备开始,该公司说。Gartner公司预测,那个6.4十亿连接东西将在全世界范围内使用,今年增长30%从2015年,并会在2018年达到11.4十亿。
该公司预测,到2020年,在企业识别的攻击的25%以上将涉及物联网,物联网虽然将占IT安全预算的不到10%。
Gartner说,由于物联网分配的预算有限,以及企业早期物联网实施的分散化方法,安全供应商将面临提供可用的物联网安全特性的挑战。确保物联网安全的努力将更多地集中在设备及其数据的管理、分析和供应上。Gartner预测,到2020年,超过一半的物联网实现将使用某种形式的云安全服务。
物联网很可能是未来几年企业网络安全的首要任务之一。2016年5月,卡耐基梅隆大学软件工程研究所计算机应急准备小组(CERT)发布了一份报告,确定了10项面临风险的新兴技术,其中一些与物联网有关。
在这项名为“2016新兴技术领域风险调查”的研究中,CERT检查了互联家庭等领域的安全,这涉及到家庭设备、家电和电脑的自动化。另一个领域是智能传感器,这是物联网的实现技术之一。
在当今互联互通日益紧密的世界,信息安全界必须做好准备,解决新技术可能带来的漏洞,Christopher King, CERT部门的漏洞分析师说博客。“在新兴技术发展趋势的理解可以帮助信息安全专业人员,组织领导,感兴趣的信息安全等领域的识别需要进一步研究,”他说。
卡耐基梅隆公司是物联网的早期开发者,并将安全作为优先事项。
该大学正在开放的物联网平台叫做乔托,创新的文艺复兴时期的画家的名字命名的。“我们正在构建一个终端到端到端堆栈,从硬件将中间件应用层,整个集成机器学习,隐私和安全性,还注重用户体验,”贾森香港,该研究小组的负责人at Carnegie Mellon’s Computer Human Interaction: Mobile Privacy Security Lab at the School of Computer Science.
洪说:“我们想让人们拥有‘盒子里的信息’,这样他们就可以快速使用我们的一些传感器平台,展示感知事物的例子(比如窗户打开或有人敲门),并创建由这些感知动作触发的应用程序。”
物联网提供了大量的用于改善日常生活的潜力“但也带来了新的各种风险,以安全的,”洪说。“它认为物联网作为一个金字塔是非常有用的。在顶部,你有,你会用到很多,并有大量的计算能力的少数设备“,如笔记本电脑,智能手机,手表和游戏机。
在中间有几十设备偶尔使用,并且具有中等的计算分量。该层将包括温控器,电视,冰箱等在底部是数百台设备,人们几乎没有意识到,如HVAC,徽章,植入式医疗设备,数码相框,电子锁等。
洪说,由于制造这些产品的公司拥有丰富的专业知识和经验,而且这些设备可以运行很多安全软件,因此这些顶级设备将得到很好的保护。他表示:“不过,我们会在中下层看到很多问题。”“许多制造商很少或根本没有软件经验,这些设备也无法起到多大保护自己的作用。”
物联网的最大威胁将是勒索,香说。“今天的勒索软件攻击涉及加密受害者的数据并保持人质,直到他们付钱给你,”他说。“明天,物联网提供了一系列新的勒索软件攻击。脚本小子会通过锁定他们走出房子或他们的汽车惹恼人“。匿名可能与公司的HVAC或照明不甘示弱,提高电费或刺激性的乘客,他说,攻击者可能会寻求打入多个自主车辆或医疗器械,持有人几乎人质,他说。
卡内基梅隆大学的实验室正在研究Giotto内部的几种安全理念。洪说,其中一个问题是如何利用邻近性作为一种获取资源的途径。例如,如果您在一个房间里,您可能能够访问该房间的一些传感器和服务,比如温度。如果你在房间外面,你可能会被降级或者得不到任何信息。
“我们也在研究如何区分公共和私人数据,”洪说。“例如,在我们的大学里,我们可能会在走廊里指定传感器作为公共数据,任何与大学有关的人都可以看到和使用。但私人办公室相关的数据和服务可能只有办公室的居住者和大楼经理才能访问。”
此外,该实验室正在研究不同层次的Giotto如何支持不同的安全部分。洪举例说,物理层需要让人们更容易了解传感器的存在,检查传感器正在收集什么数据,了解这些数据是如何使用的,以及了解谁能看到这些数据。
Hong说:“逻辑和中间件层需要提供访问控制,作为人们可以访问哪些数据和服务的有用默认设置,以及不需要博士学位就能理解的真正简单的控制。”“应用程序层需要让普通开发者更容易利用这些数据,同时也要尊重人们的隐私。”
Hong说,在企业IT中,非常重视终端安全,或者在笔记本电脑、台式电脑和智能手机上安装安全软件。他表示:“这只适用于顶级设备,但不适用于将构成中低端的数十亿台设备。”“网络安全需要取得重大进展,才能保护这类设备。”
组织还需要人工智能和大数据技术的重大创新来检测不寻常的行为,Hong补充道。“现在我们几乎无法管理我们的台式机、笔记本电脑和云服务器的安全,而在家庭或公司网络中增加成千上万的设备将意味着我们将需要新的自动化方法来快速检测和响应攻击。”
总体而言,没有单一的,同质的安全技术能够保护所有的IT资产,包括物联网边缘处理,物联网平台的中间件,后端系统和数据,Contu说。“一个多方位的安全的方针,地址扩展的数字和物理的风险,”他说。
在终端,可以使用不同的方法,从在芯片架构中嵌入安全特性到部署软件代理来执行不同的安全控制,Contu说。网关将在复杂的体系结构中提供有价值的帮助,如由于异构设备和身份配置文件而难以安全的物联网生态系统。
Contu说:“网关将被部署来对齐和处理特定的物联网域,管理具有类似信任需求的特定设备集,因此域可以使用公共信任模型的原则来形成。”信任模型的联合允许不同域和使用不同信任模型的设备之间的互操作性。
在物联网安全关键技术将可能是机器学习和人工智能詹姆斯比森,CISO说,在金融服务公司GE资本美洲IT风险的领导者。
比森说:“随着数以十亿计的额外设备接入互联网,手动处理警报和/或未知资产和事件的数量将变得不可能。”“这些技术需要能够处理大量数据并快速做出决定。”
即使考虑技术之前,企业必须实施强有力的安全策略和程序,迪迪奥说。“如果你没有一项政策或一个计划,你有真正的问题,”她说。
然后,组织应该购买并安装适合其业务的适当的安全工具和软件包。“他们必须跟上最新的补丁和修复程序,”DiDio说。“许多公司之所以遇到问题,是因为它们未能升级和应用补丁,并发现自己的设备和应用程序完全开放,容易受到攻击。”
在物联网环境中的安全是不是静态的,而是一个移动的目标。“你必须不断重新评估和监控您的安全和安全政策和程序,并执行他们跟上黑客和自己的员工,故意或不小心所带来的内部威胁带来的外部威胁,”迪迪奥说。“企业不能宣布胜利。自满是你最大的敌人“。
这篇文章,“物联网将IT安全推向边缘”,最初发表于方案 。