物聯網(iOT)安全

無論網絡安全管理員是否準備就緒“物聯網”（IoT）已經是企業的一部分。由於網絡技術的進步，對連接設備的控制已成為企業專業人員的積極威脅。

為了防止無數的網絡恐怖，安全團隊必須認識到利用物聯網的方式。該報告揭示了為什麼必須已經將保護物聯網列入議程的五個原因。在每個主題中，將闡述對更多網絡意識和監督的需求。五個不同的點中的每一個都有助於說明該空間的整體情況。

在這份完整的市場報告中，標題為“物聯網安全成為重點的5個原因”，  您將學到：

1. 為何物聯網是"新常態"，為什麼它可以被視為"易燃"空間
2. 安全原則應如何伴隨設備開發和管理
3. 行業變化的方式以及如何加強防禦

根據Gartner的數據，去年使用了84億個互聯“物”。儘管這些設備帶來了便利和便利，但它們也大大擴展了攻擊面。網絡罪犯已經開始研究可以為自己的目的操縱IoT，2018年以IoT為中心進行了多次攻擊。在2019年，無疑是時候開始更好地了解這些設備帶來的風險了。

請參閱相關內容：“ 實施基於風險的網絡安全框架 ”

在2019年網絡安全數字峰會期間，TraceSecurity的首席運營官Ryan Castle討論瞭如何理解家庭與企業之間模糊的界限。換句話說，“客戶和員工使用連接的設備有什麼風險？”

首先，Castle仔細研究了什麼是IoT –根據其定義可以連接到互聯網的非標準計算設備。那可能是通過傳感器，家用設備，智能家居設備和打印機。接下來，他解釋了在安全性和連接設備方面仍然存在的相同之處，以及使確定正確的安全策略更具挑戰性的差異。其中包括：

1. 使用壽命更長：物聯網設備的使用壽命往往比標準工作站和服務器更長。
2. 這些設備的安全補丁程序不太常見。
3. 通常情況下，嵌入式OS和專有軟件通常不進行修補，維護或嚴格檢查安全性。

那麼企業能做什麼？

通過安全的IoT端點緩解DDoS攻擊，了解和填補由IoT造成的安全漏洞，也是Castle討論的主題。最後，他通過讓與會者知道他們可以如何處理物聯網帶來的威脅來結束會議：

1. iOT盤點(知道自己所擁有的只是成功的一半)Take inventory (knowing what you have is half the battle)
2. 風險評估(Risk assessment)
3. 網段區分/實體隔離(Segmentation/segregation)
4. 密碼管理(Password management)
5. 安全配置(Secure configuration)
6. 滲透測試(Pen testing)
7. 事件反映計劃(Incident response plan)
8. 夥伴(Partne)

物聯網已成功從概念發展到商業部署

支持物聯網（IoT）的設備無處不在。每台具有連接能力的設備都可以自動通過網絡發送數據，而無需任何人工干預。這包括現代客運和商用車隊車輛，工業機器人技術，電池供電的傳感器以及其他幾種智能機器。物聯網不再是人們希望體驗的新技術。物聯網已得到積極部署並迅速發展。

隨著越來越多的設備進入市場，物聯網解決方案的研究預測也呈指數增長。商業智能公司（Business Intelligence）在2019年所做的一項研究預測，到2025年，將有640億台IoT設備投入使用。這一增長直接歸因於IoT為企業，醫療保健組織和工業系統（工業IoT或IIoT）帶來的優勢。此外，5G網絡的引入將為開發人員提供新的機會，以創建傳輸延遲幾乎為零的低功耗，高速通信設備。

然而，對該技術最成問題的擔憂是其安全性。眾所周知，物聯網設備極易遭受DDoS，欺騙，惡意軟件和隱私問題等網絡攻擊。監管機構，製造商和企業用戶對這項技術的安全性均負有同等責任。

請參閱相關內容：“ 了解物聯網帶來的威脅 ”

同時，滲透測試（通常稱為滲透測試）仍然是保證物聯網安全性的可用解決方案之一。滲透測試是入侵計算機系統，網絡或Web應用程序以尋找導致網絡攻擊的漏洞的過程。滲透測試仍然是由道德黑客執行的手動過程。因此，我們在這裡概述如何使用滲透測試及其所有優點和缺點，以提高物聯網安全性。

物聯網環境測試的好處

對於企業而言，物聯網的有用性僅在於其安全性。因此，對物聯網生態系統的所有要素進行全面的滲透測試將帶來各種優勢，包括：管理風險，檢測安全威脅，增強設備安全性並確保業務連續性。

此外，保護物聯網生態系統將有助於企業規避任何數據洩露，從而違反諸如GDPR之類的數據保護法律。此外，滲透測試過程的最終結果將有助於利益相關者和管理人員將來做出業務決策。此外，在物聯網設備上部署測試可能導致發現新的攻擊媒介和方法，從而增強物聯網安全性。

成功進行物聯網滲透測試所需的步驟

首先，物聯網生態系統需要三個組件才能正常運行，它們是：

• 事物(Thing)：無人駕駛汽車，照相機，傳感器等設備以及位於網絡邊緣的所有設備。
• 網關(Gateway)：這些是充當IoT設備和數據聚集點之間橋樑的材料。它可以是路由器，也可以是連接網絡上兩個或多個元素的任何設備。
• 雲數據中心(Internet)：這可以是私有云也可以是公共雲，是存儲和分析數據的地方。這是所有魔術發生的地方。

第二，滲透測試人員應該在五個級別上執行偵查過程，這些級別是：

• 硬件級別：應該通過反向工程和拆卸來研究邊緣設備和網關的硬件，芯片，存儲和傳感器，以識別它們上的任何顛覆漏洞。
• 網絡級：包括評估無線協議，例如Wi-Fi，藍牙，ZigBee和窄帶（NB）5G；加密協議，以及針對任何潛在漏洞的端到端身份驗證和授權。
• 固件級別：應該分析各種類型的操作系統，以搜索可能的漏洞，例如特權升級，緩衝區溢出和零時差漏洞。這可以通過檢查更新過程，檢查密碼原語和密碼存儲機制來完成。
• Web應用程序級別：以API為目標以查找可能導致未經授權訪問設備的任何SQL注入，XSS以及損壞的身份驗證和會話管理。
• 雲級別：必須對數據聚合點的操作系統和網絡基礎結構進行測試，以發現可能威脅數據隱私的任何問題。如果是公共雲，則雙方，供應商和最終用戶都應對其安全性負責。

完成偵查過程並收集所有基本信息後，滲透測試人員需要使用適當的工具開始攻擊所有組件。例如，滲透測試人員應在網絡級別上進行“中間人”攻擊，以檢查加密算法是否正確運行。

pentester應該採取的另一種情況是用蠻力攻擊來詢問用戶界面，並查看所使用的密碼是否足夠強。請注意，大多數物聯網設備都帶有製造商設置的默認密碼，這是設備容易被黑客入侵的原因之一。

這是滲透測試者通常執行的步驟的簡化說明。一切似乎都是合理而直接的，但是對物聯網環境進行透徹的測試並不像看起來那樣簡單。

Pentesting IoT環境的問題

物聯網生態系統的滲透測試由於多種原因（例如硬件，軟件和設備協議的多樣性）給安全團隊帶來了各種複雜的挑戰。通常，滲透測試人員會對已知的操作系統（例如Windows和Linux 64 / x86），網絡協議（UDP，TCP，FTP等）和硬件進行分析。對於物聯網，滲透測試人員有義務更多地了解其他架構，例如MIPS和SuperH，協議（ZigBee，BLE，NFC）和嵌入式工程。由於當今市場上的網絡安全短缺，很少有具有這種功能的測試人員被發現。

滲透測試人員很難攻擊嵌入式設備，因為大多數攻擊都需要完成用戶交互。由於其複雜性，手動測試IoT環境會花費時間，並且只會產生靜態結果（輸出包括PDF報告或Excel工作表），需要將其轉變為可行的見解。解決漏洞和製定業務決策將需要時間。

請參閱相關內容：“ 將網絡安全文化帶入企業中 ”

為成功，安全的物聯網部署做準備

通常，手動進行IoT滲透測試需要花費時間，並且需要耗費大量時間才能完成，但這使他們更接近於真正的網絡犯罪分子。另一方面，自動滲透測試可提供更高的效率和速度。選擇最佳的方法來滲透物聯網生態系統可能因組織而異。儘管如此，總體目標是通過使其更安全來增強企業物聯網的實用性。

已經有許多企業從物聯網（IoT）技術和設備中受益，但是正如貝恩公司（Bain＆Company）所說，“物聯網可以通過更好的網絡安全性而更快地增長。”事實上，他們的研究表明，客戶會為安全設備多支付22％的費用，併購買其中70％的費用。

請參閱相關內容：“ 物聯網的道德規範：工程師是否無法發表言論？”

同樣，根據福布斯對IoT預測和市場估計的匯總，Gartner預測，IoT端點安全解決方案的支出將從2016年的2.4億美元增加到2021年的6.31億美元，複合年增長率為21.38％。全球物聯網安全支出將從2016年的9.12億美元增長至2021年的3.1B，在預測期內達到27.87％的複合年增長率。

隨著許多IoT設備已經在企業中運營並且對安全的關注日益增加，美國國家標準技術研究院（NIST）發布了報告“ 管理物聯網（IoT）網絡安全和隱私風險的注意事項 ”，以幫助組織與傳統的IT設備相比，更加意識到它們已經在使用大量的IoT設備，以及它們如何影響網絡安全和隱私風險。

儘管該出版物的目的是幫助聯邦機構，但其他企業也可以從該報告中受益，以更好地了解和管理與其物聯網設備相關的網絡安全和隱私風險。NIST提出了三個高級風險緩解目標：

保護設備安全：

請避免使用設備進行傳導攻擊，包括參與針對的分佈式拒絕服務（DDoS）攻擊，其他組織，竊聽網絡流量或破壞其他設備在同一網段上。該目標適用於所有物聯網設備

S1：使用複雜的密碼，且定期更換密碼

S2：設備使用的網段與作業網段區隔

S3：iOT設備安全性(漏洞)查核，定期檢視其軟體或韌體之安全性更新

S4：定期檢查 log，確認有無異常登入、異常操作甚至是異常帳號等資訊

S5：定期檢查log，是否異常進出流量(如有防火牆可進行流量管制)

保護數據安全：

保護數據的機密性，完整性和/或可用性（包括個人身份信息[PII]）收集，存儲，處理

通過IoT設備或從IoT設備傳輸。此目標適用於每個物聯網設備，除了那些沒有任何資料需要保護的設備。

S1：數據資料(含PII)識別，並進行分類分級，進行適度控制

S2：資料存取限制，防竊取、變造。

S3：資料隱匿(非使用時鏡頭遮蔽)如家庭CCTV

在整個設備生命週期內保護個人隱私

保護受PII處理影響的個人隱私超出通過設備和數據安全保護管理的風險。此目標適用於

所有處理PII或直接或間接影響個人的物聯網設備。

根據該報告，“各組織應確保他們針對適當的風險緩解目標和領域，在整個IoT設備生命週期中應對網絡安全和隱私風險考慮因素和挑戰。”為此，提出了三點建議：

1. 了解IoT設備風險注意事項以及它們在適當的風險緩解區域中緩解IoT設備的網絡安全和隱私風險可能帶來的挑戰。
2. 調整組織政策和流程，以應對整個IoT設備生命週期中的網絡安全和降低隱私風險的挑戰。（該出版物列舉了許多可能遇到的挑戰的示例，但為每個組織提供了根據其自身的任務要求和特徵進行自定義的說明。）
3. 就像對實踐進行任何其他更改一樣，為組織的IoT設備實施更新的緩解實踐。

IDC物聯網與移動事業部副總裁Carrie MacGillivray表示：“物聯網市場正處於一個轉折點，項目正在從概念驗證轉變為商業部署。“組織在擴展項目規模時尋求擴大投資，以推動實現IoT解決方案所需的硬件，軟件，服務和連接性支出。”

我們只希望安全性能夠與企業採用保持同步。