在科技界,你很难在一周中没有听到所谓“物联网”这个词。物联网方面的进步已经改变了我们的生活,并将继续改变,因为越来越多的设备连接到物联网。物联网对组织和普通人群产生了巨大的影响,但是那些连接物联网设备的安全性又如何?安全性是极为重要的,但也有物联网周边安全的许多神话。以下你会发现关于顶级物联网安全的一些神话:
10.“微小的物联网设备没有能力做到真正强大的安全性。”
即使是上世纪80年代只有2K,初级8位的RAM芯片可以使用256位密钥长度实现椭圆曲线加密,并有效地使用2048位密钥长度进行RSA加密,这对于美国“秘密”级国家安全信息是足够强大的。这种加密每隔一小时使用的时间签名或验证数据,只使用一节AA电池这样的小电池的电量可以运行二十多年。
9.“安全性太过复杂,特别是在物联网。你永远不会赢。”
真正有效的安全绝不是只有一个单一的杀手锏。相反,正如挡风遮雨的的房子需要几面墙壁,屋顶和地板一样,有效物联网的安全性也需要一些重要因素组成:
· 良好的加密保护认证和潜在的保护数据的机密性
· 在允许该代码运行于任何配置的情况下,对任何和所有代码和配置进行加密验证。
· 通过安全专业的第三方安全运行,以应对任何代码漏洞
· 远程管理功能,包括更新和软件清单管理,遥测和策略管理的安全性灵活性
· 安全分析发现和打击复杂的对手
这些重要因素的组合简单而强大,足以抵御技能最好的攻击者。
8.“无法更新这些设备。”
很多设备都很难更新,但几乎没有一个是不可能的。工业系统平均部署了19年,在过去几十年中,汽车和医疗设备的设计同样如此。现在,我们看到工业设备供应商为了设备的完整性对其使用了十年以下的旧设备进行更新,而人们现在所看到的医疗设备、自动取款机、销售点的终端设备、零售亭,甚至连汽车也是如此。
7.“安全代价对于部署的数十亿设备来说太昂贵了。”
人们认为在规模、安全的代价往往只有连接装置,任何连接的设备超过了20美元,这似乎是完全负担得起,而安全风险大意鲁莽将会危及企业业务安全,当预防总是变化的风险时,有些代价有些太昂贵了。
6.“我们有airgaps,网关和网络隔离保护我们。”
几乎所有的系统都会以他们的创造者可能不知道的方式连接,但攻击者会具有相当创造性地找到。这已在军事、情报和关键基础设施系统被反复证明,去年,德国的一个钢铁厂高炉遭受攻击,破坏了其一个旨在保护操作网络免受攻击的网关。网关有助于减少风险,但不足以提供足够的保护。正如airgaps不得力,VLAN和其他逻辑分离更有效。对于高价值的系统,要从内部进行强化,而不要冒险依赖网关,airgaps和网络隔离。
5.“blockchain与PKI”
Blockchain是记录交易和一个大台账制度数字(和物理)对象,因为他们去进行这样的分类帐。不幸的是,大多数人忘记blockchains的台账水平,其核心停留在传统的加密操作水平,并以较低的基础与传统的加密操作,每个交易的签名库、密钥和证书。例如比特币,使用椭圆曲线加密和256位密钥的强度,如经常提倡的物联网系统有无风格分类相同的需求链。密钥管理是密码系统的一个软肋。这就是为什么价值十亿美元以上的物联网设备已经在使用世界上最成熟的密钥管理系统、证书颁发机构提供管理公钥基础设施(PKI)。更好的PKI使得blockchain分类水平更强。换句话说,blockchain可以更好地利用PKI。
4.“我们只需要供应商和标准团队更快来解决”
如今,供应商和标准团体正在取得进展,但这一过程需要时间。除非客户开始询问他们需要的安全类型,如上面提到的“成分”,设备供应商将继续销售设备,既没有安全保障,并且更加危险,而安全作为一个形容词,而不是真正衡量对手的指标。
3.“运行操作技术OPS队只需要从中吸取教训。”
IT供应商和工作人员在运营上的讨论,并没有良好的理由受到欢迎。操作限制因IT环境和后果远远不同,常有完全不同的时间尺度。无论是好是坏,OT侧很多技术在IT方面已经使用了多年。然而,直到IT供应商和工作人员了解其语言和文化,其他团队将不会对已被选中的并适合他们的环境的技术有任何信心。IT安全需要OTOPS团队管理太多的工具。选择正确的工具,并适当调整他们需要IT和OT之间的协作。
2.“我们的系统是如此的不起眼,没有人能把它们弄清楚,并造成损害。”
如今,钢铁厂、污水处理厂、电网、工厂、发电厂以及其他无数的系统已经被黑客入侵,而管理和技术人员幼稚的信念导致出现这样的结果。
1.“我可以独自做到这一点。”
历史和最近的头条新闻充斥着那些试图自己管理安全的企业的耻辱。没有任何一家企业,也没有任何一个供应商可以独自打败所有的攻击者。捍卫者需要团结起来,聘请专业人士,确保他们在硬件,软件和云计算,以及相关的和特定的垂直方面有良好的合作伙伴。