2018年物联网安全值得期待的三件事
一月份的“躲猫猫”物联网僵尸网络提醒了我们,这些复杂的攻击将继续出现,并阻碍我们的集体网络管理。
这些变化物联网的安全威胁今天的情况将反映出十年前PC和工作站威胁的效力和复杂性。在打过这场仗之后,至少可以从一个相当成功的模板中估计和计划进攻和防守的预期和比赛计划。
2018年,我们预计物联网将部署硬件支持的多因素认证,对物联网网络的更复杂的攻击,以及短期内对标准和认证的混淆。
通过硬件恢复安全事件的趋势
随着物联网设备上普遍存在的弱密码和访问控制导致越来越多的攻击,将转向将事件恢复作为物联网安全核心需求的设计系统。
产品设计师将开始问这样一个问题:“当这个设备遭到攻击时,我们如何确保它能够被禁用,以防止进一步的损坏,然后再被恢复?”预计,设计要求的出现这就要求在制造时实施关键的旋转机制。然而,在攻击的事件范围内,纯粹软件密钥旋转机制的存在仍然可以导致设备身份被欺骗,直到攻击被减轻。
设计师和工程师应该考虑采用多因素身份验证在他们的设备设计和使用硬件安全模块或其他硬件安全的安全元素,作为其身份和访问管理实现中的附加因素。
现有的漏洞将允许单事件损害最大有效载荷
隐藏' N寻求其他的攻击已经向我们表明,利用已经变得足够复杂,可以攻击各种部署类型的各种设备类型,而不再针对特定的产品、堆栈或环境。
因此,单一的攻击可以适应最大限度地提高其有效载荷,并比全面应用特定设备或特定堆栈的补丁和升级更快地传播。
我们预计至少会有一次大的攻击,造成前所未有的天文伤害。这种攻击将影响多个架构,并且单独造成的伤害比之前多次主要攻击的总和还要大。
我们怎么准备?2018年将是重新考虑设备上运行的开放端口和服务的好时机,并考虑采用基于云或控制器的配置接口,而不是直接在设备上运行管理服务。
关于安全标准的混乱还在继续
多项努力催生了各种认证和自我评估倡议;然而,除了特定的行业,如支付和医疗保健,在这之前都不希望看到采用模式的出现监管或者达到临界数量的买入,这两者都需要时间。
因此,到2018年底,安全认证和标准化方面的新努力不会产生广泛的积极影响。在此期间我们能做些什么呢?继续支持那些对你的应用最有意义的认证和标准——我们的声音越有思想,就会越早出现大规模的采用和监管。
储蓄物联网
由于成功地减少了pc、工作站和电话上的恶意软件,坦率地说,全世界所使用的设备都被认为是安全的。盲目信任通常归因于设备和它们所提供的数据——甚至是救生设备。不管有没有人注意到,我们正在进行一场成功的战斗,让物联网成为一个安全的地方。
所有IoT Agenda网络贡献者都对其帖子的内容和准确性负责。意见是作者的,不一定传达物联网议程的想法。