我们生活在一个高度互联的世界,目前已有超过100亿台联网的活跃物联网(IoT) 设备,预计到2030年它们的数量将增长到超过250亿台。它们在每个可以想象到哦的行业中都有所不同,复杂的医疗设备、下一代汽车技术、工业物联网硬件、以及加入了简单的物联网传感器和以消费者为中心的智能家居设备等等。
虽然更大的连通性将为技术创新者释放巨大潜力,但这也带来了越来越多的网络安全威胁。根据卡巴斯基的研究,在2021年上半年,针对物联网设备的攻击数量增加了一倍以上。恶意攻击者越来越多地瞄准固件,因为它一直是设备安全中最容易被忽视的一个方面。去年,微软指出83%的企业在两年间报告了一次固件攻击,这个比例高得惊人。
保护联网设备变得更加复杂
目前,我们高度互联的世界面临三个主要的安全障碍:日益增加的网络安全风险、网络安全专业知识的普遍匮乏,以及复杂、不断变化的全球监管格局。对于生态系统中的每个人——从芯片到云的各个层面的设备制造商、供应商、系统集成商和其他利益相关者来说,在降低网络安全风险的同时应对合规复杂性的任务变得异常艰巨。
在过去,企业交付的联网设备几乎没有足够的安全性,客户需要独自来处理风险。如今,仅仅及时将优质产品推向市场已经不够了,企业必须确保其产品的核心是安全的,这样他们才能在现代威胁环境中继续安全运营,在这种环境中,对固件的攻击是可预见和非常常见的。
在内部缺乏成熟的安全专业知识的情况下,许多企业都在寻求外部指导和最佳实践,以便能够迅速采取行动以满足更高的客户和监管要求。当然,企业总是可以使用工具来修复已识别的漏洞,然而,随着NIST研究表明,安全漏洞不断堆积,这种完全依赖响应式的方法肯定会赶不上那些使用主动式安全策略的团队。
是时候重新考虑网络安全问题了
鉴于攻击持续地呈指数级增长,企业必须抓住这一时刻,将其网络安全工作现代化,以便能够正确地保护自自身和客户。
过去,物联网安全常常因为企业需要加快上市速度和降低成本的名义被忽视,安全性至多是在开发结束时需要检查的一个小问题。现在,企业首先需要检查自身在开发互联产品时应用的流程及其治理,以确保从一开始就将安全性融入其中,而不仅仅是事后考虑,从而才能真正改变现状。
安全是一项持续的责任 有了坚实的核心将更容易
转向更积极主动的立场要求安全性不仅要保持一致,还要在产品开发和生命周期管理过程中进行全面考虑和实施。仅仅发布一个安全的产品已经不够了,将安全视为任何新产品的核心组成部分意味着企业必须拥有可持续和持久的安全方法,其中必须至少包括一些售后支持。
因此建议开发物联网产品的企业采取以下三个步骤来开始其网络安全方法的现代化进程:
满足现代工业期望。确认您企业的产品开发流程符合汽车、医疗保健、制造和消费行业的特定标准。
了解最新情况。在每个固件开发阶段跟踪和修复已知漏洞和0day漏洞,以始终如一地保持设备的安全状态。
实践和培养网络安全透明度。向合作伙伴、利益相关者和最终用户传达您产品的安全性,以帮助缓解安全顾虑。
对于物联网开发者来说,采用现代网络安全方法的好处数不胜数。安全可靠的企业更有可能成功实施商业战略、降低风险、保护品牌声誉、创造产品差异化和建立市场领导地位。另一方面,缺乏现代网络安全的公司现在面临着对其品牌、产品和利润的巨大且潜在的生存威胁时,什么都不做或仅仅遵循过去“足够好”的做法不再是现实的选择。
此外,加强物联网产品的安全性对于释放连接技术的巨大潜力至关重要。虽然物联网设备的数量用了10多年才达到100亿,但在下一个十年结束之前,这个数字将增加一倍以上,从而形成一个庞大的智能数据网络,具有弹性和无数令人不安的可利用点。现在采用主动安全策略最终将在保护数据及其用户方面产生重大深远的影响。