大多数物联网安全漏洞都是可以预防的,甚至可能是全部。看看任何引人注目的物联网攻击,都会发现一个已知的安全漏洞。
- 2019年的Ring智能摄像头漏洞?用户可以创建弱密码并跳过多因素身份验证。
- 2021年的Verkada监视服务攻击?该公司的系统中有太多的超级管理员角色,几乎确保了强大的凭据会泄露(事实确实如此)。
- 2016年臭名昭著的Mirai僵尸网络?它通过利用物联网设备的通用密码来工作。
一些常识性的政策可以阻止这三次袭击。
换句话说,如果开发物联网产品或管理其在现场的操作,那么安全最佳实践值得您花时间。毕竟,仅在2023年,物联网恶意软件攻击就激增了400%。不要让攻击者更容易攻破你的系统。
当然,物联网安全不是做一次就认为完成的任务。它需要在部署的整个生命周期中保持警惕。这种持续的安全监视称为漏洞管理,它是保证用户(和系统)安全的关键。
但是,如果物联网安全漏洞是可以预防的,那么究竟需要什么来防止它们呢?从物联网安全的这七个最佳实践开始,包括在设备的整个生命周期内处理漏洞管理的最简单方法。
物联网安全的7个优秀实践
我们知道:安全可能是昂贵的、耗时的,或者只是令人讨厌的。这就是为什么物联网供应商有时不能给予安全应有的关注。只要记住,一次灾难性的攻击可能会让你的公司付出远远超过任何安全投资的代价——包括你的品牌本身。
好消息是可以得到帮助。多年来,物联网行业已经提出了许多最佳实践,漏洞管理平台可以帮助将这些安全协议付诸实施。
所以不要被物联网安全吓倒,需要遵循以下七条建议。
1.确保所有通信渠道安全
也许你的物联网设备会将数据发送到云端。它可以与其他设备交换数据。也许两者兼而有之。然而,无论数据到哪里,都必须保护该路径不被第三方拦截。
强化这些通道的方法是使用加密——但并不是所有的加密方法都足够强大,可以信任用户数据。寻找不同安全算法的最优组合,一个密码套件。避免坚持使用旧的、过时的安全协议的诱惑,即使更新需要更多的工作来与旧的设备和应用程序集成。
2.确保可靠的身份验证和授权
你的物联网系统需要一种方法来区分谁是谁;这就是身份验证,通常通过用户名和密码完成。系统还需要一种方法来确定给定的代理可以做什么;这就是授权,可以归结为权限。
通过要求用户使用第二设备、生物识别技术、基于位置/时间的标识符、一次性密码或其他方法设置多因素身份验证(MFA)来加强身份验证。
通过在物联网管理平台中实施基于角色的访问控制(RBAC)来加强授权,并将管理员访问权限限制在最低限度的必要用户。
3.遵循安全编码实践
漏洞可能潜入你的设备固件、系统软件,或者两者兼而有之。如果攻击者访问您的源代码,他们可以找到漏洞加以利用。更糟糕的是,他们可以在你不知情的情况下修改源代码,构建后门,直到你发现时已经太晚了。因此,安全编码需要强有力的实践标准和安全的开发环境。
在使用库和框架进行构建之前,请确保它们是安全的。然后让您的代码进行持续的安全性测试。幸运的是,您可以自动化这个过程。使用固件分析平台在攻击者之前发现零日漏洞。
不幸的是,您需要担心的不仅仅是代码。大多数物联网系统也包含第三方组件。你不一定能阻止别人的弱点。我们列表中的下一项是您安全使用第三方组件的最佳选择。
4.保持所有组件更新
希望与合作的供应商也在物联网安全方面进行投资。他们不断地创建补丁和错误修复来堵塞他们产品的安全漏洞。
不过,除非你更新软件,否则这些保护措施将不起作用。所以一定要每次都这么做。除了使所有软件组件始终保持最新状态外,还要对所有固件更新进行加密,以确保恶意行为者不会在此过程中修改它们。
5.永远不要让默认密码靠近系统
不要发布带有默认密码的产品。不要让用户设置默认密码、常用密码或可重复使用的密码。攻击者喜欢可预测的密码,所以尽一切可能将它们排除在系统之外。
发送具有强、唯一密码的设备,然后在用户第一次使用时提示用户创建类似的强密码。
6.加密静态数据
还记得如何推荐对所有通信通道进行TLS数据加密的吗?还需要对不移动的数据进行加密。
也许将用户数据存储在设备上。可以把它存储在云端。也许甚至有自己的服务器,加密数据必须只使用强加密密钥,特别是在将数据存储在自己的硬件上时。
弱加密可以被破解,而离线攻击就更容易了。加密密钥可能是最后一道防线,因此请确保跟上密码学的发展,并了解最新的建议。
7.执行正在进行的漏洞管理计划
网络罪犯的特点是他们总是在创新。物联网供应商的工作是尽可能领先于网络攻击者。
这就是漏洞管理的作用。有几种方法可以做到这一点:
- 定期测试设备的零日漏洞。
- 创建软件物料清单(SBOM)以跟踪第三方组件。
- 运行漏洞披露程序(VDP)以获得安全社区的帮助。
- 实现一个有组织的系统,用于快速报告、评估和修复漏洞。
然而,有了正确的工具,漏洞管理就变得易于管理。这个工具被称为漏洞管理平台(VMP)。
也就是说,漏洞管理是一个深奥的话题,在这里只触及了表面。