2020年終于過(guò)去了!在網(wǎng)絡(luò)安全方面，每個(gè)人都擔(dān)心惡意行為者篡改選舉數(shù)據(jù)，但他們似乎更專(zhuān)注于(或至少成功地)對(duì)醫(yī)院進(jìn)行勒索軟件攻擊。

[[374172]]

在物聯(lián)網(wǎng)方面，我們看到了重大漏洞的披露，例如6月份的Ripple20和12月份的Amnesia-33，這些漏洞暴露了數(shù)百萬(wàn)臺(tái)物聯(lián)網(wǎng)設(shè)備中使用的TCP / IP堆棧。TCP/IP作為物聯(lián)網(wǎng)的動(dòng)脈系統(tǒng)，承載著作為其生命線(xiàn)的數(shù)據(jù)，這些漏洞再次證明了為什么所有組織都需要一個(gè)計(jì)劃來(lái)快速對(duì)其物聯(lián)網(wǎng)設(shè)備執(zhí)行固件更新——如果他們想從這些漏洞中及時(shí)“止血”的話(huà)。

那么，在物聯(lián)網(wǎng)安全方面，新的一年會(huì)帶來(lái)什么?我不能說(shuō)我的水晶球足夠透亮，但是我愿意就2021年的物聯(lián)網(wǎng)安全發(fā)展做出以下三個(gè)預(yù)測(cè)。

安全即服務(wù)迅速進(jìn)入物聯(lián)網(wǎng)市場(chǎng)

正如FireEye和其他安全即服務(wù)(SECaaS)提供商最近取得的成功所表明的那樣，公司越來(lái)越多地尋求將其本地部署、云和其他網(wǎng)絡(luò)安全需求外包出去。這些SECaaS提供商將深厚的網(wǎng)絡(luò)安全專(zhuān)業(yè)知識(shí)、易于部署的SaaS安全解決方案和規(guī)模經(jīng)濟(jì)相結(jié)合，以比內(nèi)部替代方案更低的成本為公司提供強(qiáng)大的安全性。

現(xiàn)在，SECaaS供應(yīng)商正在向物聯(lián)網(wǎng)市場(chǎng)擴(kuò)張——我預(yù)計(jì)這種擴(kuò)張將在2021年加速。全球公司部署的數(shù)以百萬(wàn)計(jì)的物聯(lián)網(wǎng)設(shè)備是網(wǎng)絡(luò)犯罪分子的巨大目標(biāo)，而公司缺乏物聯(lián)網(wǎng)安全專(zhuān)業(yè)知識(shí)往往使這些設(shè)備容易被犯罪分子攻擊。與其自己成為物聯(lián)網(wǎng)安全專(zhuān)家，我希望公司越來(lái)越多地與SECaaS提供商合作，以保護(hù)其物聯(lián)網(wǎng)數(shù)據(jù)免受惡意行為者的攻擊。

然而，關(guān)于這個(gè)新興的物聯(lián)網(wǎng)安全市場(chǎng)，一個(gè)問(wèn)題是，誰(shuí)將主導(dǎo)它?SECaaS提供商是否會(huì)將其現(xiàn)有應(yīng)用擴(kuò)展到物聯(lián)網(wǎng)，為公司提供滿(mǎn)足其安全需求的全面解決方案?或者是專(zhuān)門(mén)為保護(hù)物聯(lián)網(wǎng)數(shù)據(jù)而設(shè)計(jì)的SECaaS應(yīng)用的初創(chuàng)企業(yè)，誰(shuí)會(huì)是這個(gè)市場(chǎng)的領(lǐng)導(dǎo)者?在這個(gè)問(wèn)題上，只有時(shí)間能證明一切。

公司將要求物聯(lián)網(wǎng)解決方案提供商建立自己的安全保障體系

雖然越來(lái)越多的公司將物聯(lián)網(wǎng)安全外包給SECaaS提供商，但他們現(xiàn)在也將開(kāi)始要求(如果他們還沒(méi)有這樣做的話(huà))其物聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)連接、云和其他提供商不僅要承諾讓他們的解決方案安全，而且還要證明這一點(diǎn)。

具體來(lái)說(shuō)，他們將只與對(duì)物聯(lián)網(wǎng)安全問(wèn)題有深刻理解、將強(qiáng)大的安全功能集成到產(chǎn)品中，并正在不斷更新這些產(chǎn)品的物聯(lián)網(wǎng)解決方案提供商合作。

通過(guò)僅與致力于安全性的物聯(lián)網(wǎng)解決方案提供商合作，這些公司將能夠部署其物聯(lián)網(wǎng)安全計(jì)劃，為其提供深度防御，使他們能夠避免物聯(lián)網(wǎng)安全盔甲出現(xiàn)裂縫，導(dǎo)致數(shù)據(jù)泄露或丟失。

預(yù)計(jì)會(huì)有更多公司要求其物聯(lián)網(wǎng)解決方案供應(yīng)商對(duì)以下問(wèn)題給出明確的答案，以此來(lái)兌現(xiàn)他們的安全承諾：

• 可以展示您在處理安全漏洞報(bào)告時(shí)如何致力于透明度和響應(yīng)能力?
• 您是否通過(guò)成為產(chǎn)品的CVE編號(hào)機(jī)構(gòu)(CNA)來(lái)承擔(dān)漏洞披露責(zé)任?
• 您有什么計(jì)劃來(lái)提供及時(shí)的物聯(lián)網(wǎng)設(shè)備安全更新，您將如何幫助我們部署這些更新?

物聯(lián)網(wǎng)黑客教會(huì)公司，他們必須將安全性作為物聯(lián)網(wǎng)部署的關(guān)鍵要求。畢竟，如果他們與不致力于安全的物聯(lián)網(wǎng)解決方案提供商合作，則他們會(huì)使其物聯(lián)網(wǎng)應(yīng)用程序乃至整個(gè)IT環(huán)境面臨遭受復(fù)雜網(wǎng)絡(luò)罪犯攻擊的風(fēng)險(xiǎn)。

物聯(lián)網(wǎng)安全基礎(chǔ)的回歸

去年，許多人預(yù)測(cè)，公司將部署新的基于AI的威脅情報(bào)和其他前沿安全技術(shù)，以保護(hù)自己免受攻擊。

然而，盡管這些新技術(shù)確實(shí)有希望，但過(guò)去一年發(fā)生的大多數(shù)物聯(lián)網(wǎng)黑客攻擊都是由于公司根本沒(méi)有遵循基本的物聯(lián)網(wǎng)安全最佳實(shí)踐造成的。(來(lái)源物聯(lián)之家)早在2018年，開(kāi)放式網(wǎng)絡(luò)應(yīng)用安全項(xiàng)目(OWASP)就確定了十大最具影響力的物聯(lián)網(wǎng)安全漏洞，其中最大的漏洞是弱密碼、可猜測(cè)密碼或硬編碼密碼。緊隨其后的是缺乏安全更新機(jī)制，這可能導(dǎo)致設(shè)備運(yùn)行在舊的、易受攻擊的固件上。

說(shuō)到保護(hù)您的物聯(lián)網(wǎng)數(shù)據(jù)，您無(wú)需人工智能即可創(chuàng)建強(qiáng)密碼、更新設(shè)備固件或激活并使用物聯(lián)網(wǎng)設(shè)備的內(nèi)置防火墻——只需要確保您遵循基本的物聯(lián)網(wǎng)安全最佳實(shí)踐。

實(shí)施這些基本的最佳實(shí)踐不僅可以提高物聯(lián)網(wǎng)應(yīng)用的安全性，而且還可以帶來(lái)降低運(yùn)營(yíng)成本的機(jī)會(huì)。例如，一家確保更新其設(shè)備固件的公司可能會(huì)很快發(fā)現(xiàn)，通過(guò)無(wú)線(xiàn)固件更新，他們可以很容易地保護(hù)自己的物聯(lián)網(wǎng)設(shè)備免受新的攻擊，從而使他們消除了技術(shù)人員的昂貴差旅——手動(dòng)更新物聯(lián)網(wǎng)設(shè)備。

也許我過(guò)于樂(lè)觀(guān)了，但我相信，在過(guò)去一年里，基本的物聯(lián)網(wǎng)安全最佳實(shí)踐可以解決諸如Ripple20和Amnesia-33之類(lèi)備受關(guān)注的漏洞。到2021年，公司將確保已完全實(shí)施這些最佳實(shí)踐，然后，再尋找其他技術(shù)來(lái)應(yīng)對(duì)更罕見(jiàn)、更復(fù)雜的攻擊。