ACM通信
保护企业使用物联网
让我们来看看企业中潜在的物联网(IoT)设备连接问题,回顾物联网在企业中最常见的用途,并触及一些最大的物联网漏洞。我们还将讨论在使用物联网时保证物品安全的三种方法。最后,我们将制定一些关于在组织中可靠和安全使用物联网设备的关键建议,这将使您专注于确保企业的高效运行,而忘记安全问题。
物联网设备无处不在,包括在企业环境中。物联网给企业带来了巨大的好处:它提高了员工的生产力,使关键任务的业务流程运行得更流畅、更直观、更高效。
然而,这种技术使组织在许多方面更加脆弱。2021年,袭击者黑客攻击韦尔卡达,获得了超过15万个闭路电视摄像头的录像。这些录音本身就属于95名客户,被入侵的闭路电视摄像头让袭击者可以查看各种设施——监狱、学校、其他公司的大楼,甚至特斯拉汽车制造商。Verkada此前曾表示,它的系统“实际上坚不可摧”。然而,调查结果显示,长期以来应该引起怀疑的薄弱企业文化。这并不是唯一的黑客事件,因为最近已经有太多类似的事件了。
医疗机构物联网的脆弱性
医疗保健行业一直使用最先进的技术。医院和其他医疗机构通常会迅速引入新的技术创新。这将带来更好、更高效、更实惠的医疗保健。
但当谈到物联网推动的最新发展时,人们担心安全问题最终可能会超出医疗机构对患者自身的影响。
据估计,到2025年,全球物联网市场的总规模将增长到5340亿美元。目前,医疗保健行业约有6.46亿物联网设备。鉴于远程医疗在新冠肺炎时代的兴起,普华永道的2021年报告呼吁医疗机构“加强他们的网络安全努力”。
物联网攻击的后果可能是巨大的:
- 失去对服务的访问2020年11月,佛蒙特大学健康网络遭到网络攻击,导致化疗和乳房x光检查服务中断。
- 支付赎金:医院的平均医疗费用为430美元每个病人修复数据泄漏。
- 总成本2019年,利用物联网漏洞的网络攻击对医疗机构造成的平均损失达346,205美元。
在某些情况下,这些设备的脆弱性确实令人震惊。例如,为了说明使用物联网设备的风险,一一个女人黑进了自己的心脏起搏器.她接着表示,“我们需要让不同设备的制造商意识到,这是他们应该关注的事情。”
医疗物联网设备数量庞大,通常分为三大类:
- 可穿戴设备,任何使用过智能手表的人都很熟悉。现代技术走得更远:有新的超轻型可穿戴生物传感器可以监测病人的状况。
- 植入式设备:任何植入人体的装置。例如,智能起搏器、胰岛素泵和除颤器。
- 其他设备用于医疗机构,从温度计到智能笔,将患者数据输入医疗记录系统。
除了专门为医疗目的设计的设备外,大多数医院和其他医疗保健设施受益于其他组织也广泛应用的物联网设备:
- 智能办公设备:标签阅读器、摄像头和路由器。
- 智能建筑:电梯、暖气、通风、空调等系统
- 员工个人设备能接入医院网络的
物联网设备为医疗机构带来巨大价值。它们为患者提供了更多的自由,简化了治疗过程本身。它们还提供对医疗数据的持续监测和分析,如果没有这些技术,这是不可能的。此外,它们使医疗保健提供者能够即时访问最新的患者数据。
特别是自新冠肺炎疫情开始以来,物联网技术的使用多次证明其好处,包括帮助远程提供医疗服务。
然而,使用远程医疗、医疗应用和远程监控设备的人越多,就会有越多的系统渗透机会为网络犯罪分子提供,他们试图获取或启动患者的数据ransomware攻击.
对于任何一家公司来说,无论是否是医疗行业,网络上的每一台智能设备都会带来一定的风险。目前,世界上任何组织面临的挑战都是如何利用物联网技术最大化其运营效率,同时在理想情况下将所有可能的风险降至零。
物联网设备:风险因素
Verkada事件表明,物联网设备有一些固有的缺点。以下是这项技术造成高安全风险的一些主要原因:
- 缺乏标准化会造成设备之间的混乱。物联网设备缺乏标准化的接口和控制系统。因此,如果没有专门的物联网安全解决方案,几乎不可能制定统一的安全策略,更新软件,甚至设置强密码。
- 不像我们习惯使用的软件,如Windows或Android,物联网设备在设计时并没有考虑到安全性.它们通常不被服务或管理。
- 过时或不支持的代码体系结构、固件、软件。例如,超过一半的连接设备,如超声波和核磁共振机,运行在过时的操作系统上。因此,它们没有安全支持或其他修复程序可用。
- 每增加一台使用该网络的设备,就会增加攻击面。虽然在我们使用的大多数设备(手机、电脑)工作时,这个漏洞很容易控制,但在物联网设备的情况下,情况就没那么简单了。
- 另一方面,医疗设备缺乏网络安全认证,这是具有讽刺意味的,因为医疗设备安全是世界上最严格的监管领域之一。
- 大多数组织倾向于使用一堆不同的设备。这使得手动盘点每台设备并跟踪其运行情况几乎是不可能的。
正因为这些原因,黑客可以入侵任何机构的物联网设备并造成破坏:窃取客户或员工的个人数据、知识产权、控制网络以获取赎金。
重点是物联网技术开发人员基于功能和易用性来创建和销售这些技术。他们经常把产品推向市场,意图胜过竞争对手,而不考虑安全性。
起初,他们可能认为黑客不会对这些看似不起眼的设备感兴趣。但现在已经很清楚的是,勒索和出售进入公司系统的权限可以带来很多钱。这两种情况对大多数组织来说都是真正的噩梦。
让我们来看看一个典型的网络攻击模式,以及三种使物联网更安全的简单方法。
分析针对物联网设备的网络攻击
通常,黑客遵循一个标准方案:
步骤1。入侵物联网设备作为网络中最薄弱的环节。
步骤2。获取设备本身的任何数据,并拦截其与其他设备的通信。
步骤3。利用发现的漏洞转移到网络上的其他计算机和设备。
步骤4。窃取机密信息和/或攻击设备的关键功能。
如何排除风险传播?
由于物联网设备仍在继续使用,你需要知道如何安全地使用它们。有三个最好的方法来阻止黑客:
建立完整的可见性。只有当IT部门知道所有接入网络的设备时,才能开始采用网络安全的综合方法。许多组织一直依赖于手动设备更新和管理。例如,手动控制可以应用于传统的服务器和工作站,但无法跟上需要自动化解决方案进行完全控制的物联网设备。
减少漏洞数量。具有分析和补救的能力新的威胁实时是任何安全程序的支柱。大多数组织还使用系统补丁工具来简化他们的工作流程。然而,大多数物联网设备几乎不可能升级。因此,提供固件更新的解决方案成功的机会最大。
基于零信任方法分割网络。正如我们上面所看到的,横向传播允许黑客在渗透网络后,移动到某些设备,如邮件服务器,并获得或破坏受保护的信息。解决方案是搜索工具,简化网络分段,允许您隔离的基础上的安全区域零信任方法,并使其仅用于合法活动成为可能。
此外,世界各国政府正计划制定物联网网络安全立法。今天采取行动来降低风险将使组织在法律制定的新的物联网安全政策的背景下处于更好的地位。此外,除非能够适当地确保安全的网络环境,否则越来越多的隐私和遵从性标准可能会导致严重的后果。
物联网设备的最佳保护实践
以下是保护组织免受网络攻击的基本准则:
1.提高密码
大多数机构使用物联网设备默认设置的弱密码。这与懒惰无关;由于要管理的物联网设备数量庞大,修改密码往往非常困难。这类设备的界面通常不完全清晰或难以使用。最好的情况是,每个设备都应该有唯一的密码。这样,即使攻击者获得了一台设备的访问权,损害也会大大降低。
提示:在投资新的物联网设备时,确保您可以随时更改密码。
2.只要更新可用,就立即应用它们
物联网设备很快出现并被新版本取代,这束缚了更新开发人员的手脚。但是,某些设备支持软件或固件。随着物联网受到备受瞩目的网络攻击,这一问题变得至关重要,一些制造商已经开始优化并发布相关更新。
提示:在选择新的物联网设备时,确保制造商提供了可升级的系统。
3.迈向零信任
今天,许多组织开始采用零信任模式,基于“从不信任,总是验证”的原则。每个用户在被授予访问权限之前都要进行验证。该模型可以防止攻击者入侵网络时对相邻设备的攻击。网络分割是阻止不受信任的用户或攻击者在公司的网络中移动的另一种方法。
提示:在使用所有物联网设备时,请确保使用零信任模型。
朝着更好、更严格的标准迈进
大多数物联网设备都会产生安全漏洞,等待被利用,这已经不是什么秘密,但情况已经开始发生变化。例如,在2020年12月,美国通过了物联网网络安全改进法案,要求改进和严格物联网设备标准。这是防止这些设备构成严重威胁的重要一步。
然而,对于大多数公司来说,即使是这样的立法举措也姗姗来迟,因为它们已经在使用不受监管的创造者创造的物联网。显然,在购买新设备时,选择你可以信任的、以把安全放在首位而闻名的正确供应商是至关重要的。
此外,管理大量的物联网设备需要一个统一的系统,该系统提供对网络上所有连接设备的完全控制。如果有这样的设备,保护它们永远都不晚。
结论
物联网设备是迄今为止网络中最薄弱的元素之一(除了人类)。攻击面越大,连接到系统的设备越多,黑客入侵的机会就越多。关键在于,企业需要了解物联网的所有安全弱点,并做出保护企业数据的决策。
大卫Balaban是一名拥有超过17年恶意软件分析和杀毒软件评估经验的计算机安全研究员。他跑的MacSecurity.net而且Privacy-PC.com项目,呈现专家对当代信息安全问题的意见,包括社会工程、恶意软件、渗透测试、威胁情报、在线隐私和白帽黑客。
没有发现记录