首页/博客 / IoT 媒体中的网络安全:为什么不全是坏消息
博客 IoT 趋势 技术洞察 应用 热门话题 认识我们的团队 订阅 搜索博客
白皮书:新兴医疗器械网络安全立法

IoT 媒体中的网络安全:为什么不全是坏消息

(根)
2024 年 2 月 28 日

如果您在当今IoT 这个巨大的生态圈中扮演任何角色,那么您就会看到这些文章。 工业蜂窝路由器面临风险,预示着《黑客新闻》的到来。 漏洞可能使数以千计的工业组织遭受远程攻击安全周刊》大声疾呼。最近,SC Media 又抨击说 某些路由器漏洞对关键基础设施构成黑客风险IoT 网络安全问题足以让网络管理员彻夜难眠,甚至有可能阻碍物联网的飞速发展。

不要责怪媒体。他们只是在做自己的工作。这种意识有助于打破长期以来认为网络安全IoT 漏洞是孤立或不常见的危险思维。如今,任何部署了联网设备的组织都不能高枕无忧地认为 "不会发生在我们身上"。我们必须承认,它绝对可能发生在世界任何地方的任何组织--甚至是金融机构,因为这些机构理应拥有最先进的网络安全协议和合规框架。

在IoT 和网络安全方面,每个企业都可以而且应该采取一些关键步骤,不仅要建立良好的安全卫生基础,还要确保企业管辖范围内的所有联网设备都能在新的关键漏洞出现时得到更新。

IoT 网络安全的关键概念

IoT 网络安全概念

让我们从IoT 网络安全的重要原则开始。您可能想知道IoT 中的网络安全是什么,有哪些例子?

如今,大多数人都知道,IoT ,即物联网,是一个用来描述庞大的联网设备宇宙的术语。这包括智能家居设备和智能楼宇,以及工业设备智能交通智能城市技术等。IoT 网络安全涉及各种策略和实践,以确保所有联网和无线设备(包括路由器、网关、嵌入式通信模块以及集成这些联网技术的所有设备)的设计或编程能够阻止网络攻击。 

例如,如果部署在公司办公室或行驶中的公共汽车或火车上的蜂窝路由器在接收外部数据时不需要验证,那么 "坏人 "就可以利用这种缺乏安全性的情况发送改变该设备功能的数据。 

以下是IoT 网络安全的一些关键概念,可帮助企业制定安全计划,保护企业数据:

  • 所有联网设备都可能被黑客攻击。这是因为网络犯罪分子,甚至是犯了错误的内部操作人员,都可以利用设备之间相互通信的事实。密码薄弱、软件漏洞、缺乏更新、社会工程学策略(如网络钓鱼或社交媒体诈骗)、不安全的网络连接、有风险的默认配置、恶意软件,以及用户缺乏对这些问题的认识,都可能导致联网设备被入侵。
  • 网络安全没有单一的责任方,需要全村的共同努力.从制造商到最终用户,产业链上的每个人都在设备安全方面发挥着作用。
    • 制造商必须从一开始就建立安全机制,并提供在产品生命周期内维护安全的方法。
    • 网络管理员必须通过对所有用户的身份验证、角色适当的访问和密码实践,建立和加强安全实践。
    • 最终用户必须遵守所有网络安全要求并使用安全密码。
    • 公司必须创建一个安全公会或 "devsecops"(开发人员安全运营)团队,在整个企业中培养安全大使,围绕信息安全开展用户意识培训。
    • 重要的是要培养企业安全思维,让安全实践更接近开发和运营的边缘,因为它不再是一个单一的职能团队。
  • 网络威胁不断演变,因此安全措施必须灵活。黑客富有创造力,技术娴熟,新威胁层出不穷,这就意味着你必须有一套方法来主动监控和管理设备。设备制造商(OEM)和网络管理员必须构建和部署能够在发现新威胁时进行远程更新的设备。

支持IoT 网络安全的行业资源 

远程设备管理概念

好消息是,有一个庞大的网络安全专家社区,以及大量可用的工具和功能,可以帮助组织实施最佳实践、监控漏洞并快速做出反应。

了解 CVE、CWE'S、MITRE ATT&CK Framework 和 OWASP TOP 10 等漏洞和对抗框架非常重要。 

CVE(常见漏洞和暴露)、CWE(常见弱点枚举)、MITRE ATTA&CK(对抗性战术技巧和常识)框架和 OWASP(开放式 Web 应用程序安全项目)前 10 名都是网络安全领域的表亲,但它们的目的不同。

  • CVEs 是由非营利组织 MITRE 公司管理的信息安全漏洞和硬件或软件暴露的公开动态字典。这些都是已知的风险,每个组织都可以而且应该加以解决。CVEs 突出了软件和系统中的已知漏洞,暴露了可能被恶意行为者利用的潜在弱点。认真对待这些漏洞可确保采取积极措施来减少这些漏洞,从而降低网络攻击和数据泄露的风险。此外,CVE 还能促进安全专业人员之间的信息共享和协作,从而开发出有效的补丁和更新。忽视 CVE 可能会导致严重后果,包括经济损失、声誉受损以及个人和组织的隐私和安全受损。
  • CWE 是一份由社区驱动的常见软件缺陷列表。它对软件安全弱点进行了非常全面的分类,使开发人员能够在软件开发生命周期内识别和降低风险。
  • MITRE ATT&CK Framework 是一个国际通用的知识库矩阵,可深入了解攻击者或高级持续威胁组织 (APT) 在网络入侵过程中使用的战术、技术和程序 (TTP)。它为理解和分类对抗行为提供指导,使组织能够测试已知的攻击路径并做好准备。
  • OWASP Top 10 是一份不断发展的最关键网络应用程序安全风险列表,如代码注入、跨站脚本 (xss) 和验证失效等。OWASP Top 10 提供了有价值的信息,可帮助开发人员改善物联网远程管理系统等网络应用程序的安全状况。

这些框架共同帮助企业理解、优先处理和减轻风险,并已集成到当今的许多安全技术堆栈中。

 

关键IoT 设备安全最佳实践

网络安全印刷电路板概念

在不断发展的IoT 网络安全环境中,似乎没有任何希望建立足够的安全保护措施。毕竟,黑客一直在智取世界上最聪明的公司,不是吗?

我们还有更多好消息。有一些重要的网络安全步骤,这些做法超越了网络威胁不断变化的本质。

  1. 要求获得访问所有设备的许可和凭证。有一篇媒体文章指出了这个问题。这一最佳实践理所当然地应适用于所有设备。访问网络上的任何设备都必须有凭证;重要的是,这些凭证不得作为默认设置提供。如前所述,网络安全的责任属于每一个人。
  2. 采用多层次安全方法,避免任何单点故障。密码和身份验证非常重要。但为了解决其他访问途径,企业应部署具有内置安全措施的设备,如安全启动、受保护端口和配置监控。要讨论的问题还有很多。如果您希望与 Digi 代表合作以满足贵组织的需求,请联系我们
  3. 部署具有在设备生命周期内主动更新能力的设备。这一关键步骤要求能够在发现新的 CVE 时执行安全的无线更新。无论您部署的是带有嵌入式连接模块的设备(如医疗设备、IoT 可穿戴设备、电动汽车充电站或农业设备),还是部署的是蜂窝路由器和网关(如运输系统、交通管理、制造自动化或企业网络),您都需要远程监控和管理功能,以监控威胁,自动修复配置更改等威胁,并定期部署固件更新。同样,Digi 代表可以帮助您确定正确的方法
  4. 建立物理设备安全。可访问企业基础设施的设备应存放在上锁的柜子里。物理IoT 设备安全对于防止未经授权的访问和篡改至关重要。强大的物理安全措施,如防篡改封条、安全外壳和强大的验证机制,有助于防止物理攻击和篡改企图。物理安全还包括在运输、存储和安装过程中保护设备。通过确保IoT 设备的物理完整性,企业可以最大限度地降低数据泄露的风险,维护敏感信息的隐私,并保障其IoT 生态系统的整体功能和可靠性。
  5. 在整个组织内持续开展教育.人类是容易犯错的动物,这意味着地球上使用联网设备的每个人都需要定期提醒自己在设备安全方面所扮演的角色。
    • 教会团队如何识别社交工程威胁。
    • 发送有关网络钓鱼企图的提醒信息。
    • 提醒员工不要让未佩戴证件的访客跟随自己进入安全的办公楼。
  6. 与集成最佳安全实践以及监控和管理服务的整体解决方案供应商合作.换句话说,不要只是购买设备和部署它们。与能够主动管理设备的解决方案供应商合作。这可能包括一些安全开发和生产测试的最佳实践,以确保保密性、完整性和可用性。
    • 静态分析,是软件开发中使用的一种在不执行代码的情况下检查代码的方法,有助于发现与代码库相关的变量和漏洞的缺陷。
    • 动态分析,是软件开发中用于检查代码运行时的一种方法,可在测试或生产过程中进行,以发现导致安全漏洞和意外行为的意外行为。
    • 开放源代码依赖性分析,这是软件开发中使用的一种方法,用于检查软件中使用的开放源代码库和组件,以识别 CVE 和 CWE 等安全漏洞或许可问题。
    • 支持软件开发的基础架构扫描,包括 IaaS、容器、服务器,以确保您的构建环境没有任何恶意软件或恶意代码进入固件构建软件的入口。
    • 渗透测试是一种评估系统、网络或应用程序安全状况的方法,由网络安全人员在内部或通过五项测试公司在外部进行。
    • Bug Bounty 是第三方供应商,支持对系统、网络或应用程序进行持续测试,对 Bugbounty 上的研究人员的有效发现给予奖励。
    • 远程管理系统可帮助实现 FOTA(空中固件),以确保现场设备有办法为机群打补丁,从而始终处于漏洞生命周期的顶端。

获取我们的技术简介

了解 FIPS 140-2 和 Digi 设备的安全性

下载 PDF

Digi 如何支持您的IoT 网络安全目标

当然,我们会在这里分享我们的故事,以及 Digi 作为IoT 解决方案供应商的与众不同之处。Digi 开发互联系统已有近四十年的历史,我们围绕网络安全集成、监控和管理建立了众多流程和团队。

Digi TrustFence® 是我们安全集成的最前沿,它是一个安全框架,可为我们的设备提供多个安全点。例如,我们的蜂窝路由器集成了这一框架,以确保这些设备具有开箱即用的内置安全性,以及在部署和最终使用时支持进一步安全集成的功能。

连接的IoT 系统由Digi Remote Manager

Digi Remote Manager® 是我们的远程监控和管理平台,可提供监控、自动管理,以检测和补救未经授权的配置更改,并能通过点击几个按钮远程管理和更新数十台、数百台或数千台设备。

对于Digi ConnectCore®(我们的嵌入式系统模块、工具和服务生态系统),我们提供Digi ConnectCore 安全服务,用于部署产品生命周期内的安全管理,以及Digi ConnectCore 云服务,用于持续的设备监控和维护。我们的Digi XBee® 设备早已集成了执行空中固件更新的功能。

此外,Digi 还拥有一支开发安全团队,负责监控安全行业趋势和新出现的漏洞,以主动管理我们的设备,并与客户进行透明的沟通。

虽然 "一劳永逸 "并不是当今网络安全的适当方法,但IoT 生态圈中的组织可以做很多事情来制定严格的安全政策和程序,并确保他们有能力积极主动地对设备进行终身维护。Digi 可以提供帮助!

下一步工作

标签

Digi Remote Manager 企业 安全
获取我们的白皮书
了解如何在不牺牲安全性的情况下加速设备设计