物联网设备存在四种网络安全风险缓解及解决策略

今天，数据分析、自动化、连接性和远程监控已经取得了巨大的进步，并在现代文明的各个领域带来了创新。

物联网（IoT）彻底改变了人类日常活动的数字化。根据Gartner的预测数据库，我们预计到2022年将有大约140亿台设备接入互联网。随着更多设备的连接，它将改变我们做生意和使用资源的方式。

例如，监测农场的奶牛可以帮助农民获得健康报告，并计划更有效的喂养策略。此外，能够跟踪复杂工业机械的行为使组织能够预防事故并缩短维修停机时间。

关于物联网如何促进人类活动的例子很多。各种设备都可以从其环境中收集和共享信息。万物互联的世界将为大多数人类活动带来无限的机会。

在本博客中，我们将介绍物联网对这些不同行业的影响。

制造业

物联网实现了智能制造，提高了安全性，改善了性能和服务，并减少了时间和成本。它一直是工业4.0运动的推动力。在物联网的帮助下，高效的数据收集、增强的自动化和分析都是可能的。

有了各种各样的物联网设备，制造单位能够更有效、更准确地利用其工作流程。例如，公司正在使用放置在设备和设备中的物联网传感器跟踪资产、收集数据和执行分析。这些传感器监测设备的功能，以实现自动恢复，并缩短维修停机时间。据《大西洋月刊》统计，预计到2020年底，国际公司对物联网解决方案的投资将超过700亿美元。许多其他统计报告表明，物联网技术在制造业具有巨大潜力，制造业是过去几年受物联网影响最大的行业。

物联网在制造业很重要，因为它使操作自动化。智能工厂的操作技术包括可编程逻辑控制器、工业物联网设备（IIoT）、分布式控制系统、嵌入式系统等。

总的来说，这些系统会增加潜在网络威胁的风险。例如，网络安全和基础设施安全局（CISA）列出了1200多个OT系统相关漏洞。这些问题来自300多家原始设备制造商（原始设备制造商）。

这些网络威胁激增的根本原因是OT和IT等领域往往与安全战略不同步。

以下是构建完善的制造业网络安全方案的关键安全战略：

• 进行网络安全成熟度评估

网络安全评估模型提供了一条前进的道路，有助于组织更好地了解他们在这条道路上所处的位置。它有助于组织改善其网络安全工作，并与上级管理层沟通，以获得所需的支持。根据《福布斯》上发表的一篇文章，网络安全能力成熟度模型（C2M2）和美国国家标准与技术研究所网络安全框架（NIST-CSF）是众多推荐选择的模型中的两个，每个模型都提供了涵盖网络安全所有内容的更广泛方法。

• 根据风险概况确定操作的优先级

利用CSRF分析（网络安全风险框架）来识别风险对组织来说非常重要。有几种CSRF，例如OCTAVE，NIST，ISO等。组织可以按照不同的方法进行风险评估，其中最好的模型之一是由Radanlive等人创建的。旨在捕捉物联网网络风险。

• 内置安全性

考虑购买具有内置安全性的设备，防止网络攻击。在没有任何安全保证的情况下，有大量的设备可用。例如，灯泡的背面有一个基于星级的能效评级系统，它的内置安全措施应该有相同的等级系统。电子安全组织保险商实验室也为物联网设备引入了安全评级。

农业

物联网技术正在推动农业产业走向一场新的革命。它产生的信息包括土壤湿度、化学应用、牲畜健康等等。这些信息使农民能够实时跟踪农场经营情况，并在提高农场生产力和进行预防性维护方面做出更明智的决策。基于物联网的农业帮助全球农民提高生产力并最大限度地利用他们的资源。在物联网技术的帮助下，农业的进步将帮助农民使他们的生产与不断增长的粮食需求相匹配。

• 智能农业设备的网络安全：

农业行业中已经有大量不安全的物联网设备的集成。在大多数情况下，减轻网络安全风险并不是农民的首要利益。为了降低网络安全风险，每件联网的农业设备都必须经过认证程序。农业中使用的物联网设备与医疗保健和制造业等其他行业使用的设备没有区别，智能农业设备中的网络威胁同样危险。认证将阻止合同的障碍和侵犯隐私的行为。由于精准农业文化的广泛采用，农业中物联网设备的数量激增。农民和种植者被要求将重点转移到减轻可能的网络攻击上，而这从来不是他们的首要目标。

卫生保健

物联网通过在医院、家庭、办公室和旅行中提供医疗保健服务，消除了护理人员和患者面临的复杂性障碍。

在医疗保健行业，46%的受访者表示，音频设备和手机是提供更好医疗服务的最基本设备。根据研究，57%的护理人员利用视觉分析来提高个性化治疗和医疗服务的水平。例如，借助物联网解决方案，如实时远程健康监测设备、可穿戴智能药片、糖尿病管理系统等，监控患者健康状况和做出治疗决策变得更加容易和高效。从健康管理、智能手表到癌症后护理，物联网正在全方位影响医疗保健。

由于使用了先进的技术和设备，网络攻击的脆弱性和风险不断增加，这意味着医疗行业面临着许多网络风险，IBM列举了过去几年医疗行业所目睹的各种网络攻击。

以下是NIST（国家标准与技术研究所）针对物联网设备推荐的四种网络安全风险缓解策略：

1.对于医疗保健提供商而言，在设备的整个生命周期中保持IoT设备的准确库存非常重要。

2.医疗机构应投资于审查软件和固件，以发现漏洞。

3.为防止未经授权的访问，对物联网设备的使用或管理采取访问管理策略至关重要。

4.物联网设备需要持续监控，以跟踪潜在的安全事件和异常活动。

交通运输

物联网技术具有独特的定位，能够提供一套有助于运输业的解决方案。例如，通过基于物联网的安全解决方案，车辆可以传达任何即将发生的事故和恶劣天气条件。

美国交通部（USDOT）的目标是使用物联网安全解决方案将车祸减少80%。例如，物联网解决方案可以帮助跟踪当前路线中的传入流量延迟，并建议更好的路线。同时，车辆维护解决方案可以帮助实时跟踪车辆的健康状况，以确保其充分发挥作用。地理围栏有助于围绕特定兴趣点创建虚拟围栏和参数；它帮助物流经理接收发货更新。许多物联网解决方案有助于运输行业更高效、更准确地运行。

运输系统中的网络攻击和数据泄露可能导致更大的损失。因此，组织机构考虑在物联网智能交通生态系统中部署网络安全是非常重要的。在最近对该行业125家企业的调查中，64%的受访者表示，他们缓解网络安全风险的内部流程可能更强大，66%的人表示，可以采取更多措施防止数据处理不当。重要的是在设计过程的每个阶段更广泛地遵循“设计安全”原则，并在每个阶段实施新的解决方案、风险评估和缓解策略。

能源行业

物联网帮助能源行业利用绿色能源。与物联网相连的绿色能源设备，在很大程度上消除了人为干预。此外，能源供应商正在使用智能电表来跟踪有关绿色和不可再生能源使用情况的信息。这使得不可再生和绿色能源的生产和交付更加容易。

随着物联网在能源和公用事业行业的扩张，它增加了系统中网络攻击的风险。行业领袖将网络威胁视为行业的主要威胁之一。如果有1000个智能电表，那就是1000个入侵系统的潜在入口。第三方服务提供商的使用更是打开了大门。

行业可以采取的一些关键预防措施来防范物联网网络攻击

• 更改默认设置

一般来说，物联网设备带有默认设置，包括标准用户名、密码等。大多数时候，设备默认设置有利于黑客访问设备。对于黑客设备，黑客试图猜测默认名称、ID和设备内部设置，自定义设置并防止其被轻易猜到是很重要的。

• 使用双因素身份验证（2FA）保护密码

使用双因素身份验证来访问设备非常重要，因为它是一个额外的安全层。因为2FA过程要求用户提交OTP（一次性密码）以授权访问系统生成并以保密方式呈现给用户的设备。它保护系统不受未经授权的访问，并降低其易受网络攻击的脆弱性。建议使用数字、符号、大写字母和小写字母的唯一组合来设置强密码。

• 禁用UPnP功能

UPnP（通用即插即用）功能允许任何物联网设备与其他设备连接。例如，智能灯泡可以连接到基于语音命令的设备，如googlehome和Alexa。禁用UPnP功能非常重要，这样攻击者如果成功入侵一个设备，就无法访问其他系统。

• 定期更新设备

许多物联网设备制造商发布安全功能，以保护用户隐私免受网络攻击。用户需要定期更新设备，以保护他们的数据不受不断演变的网络攻击模式的影响，如果他们的设备有更新可用的话。

• 避免使用公共WiFi网络

如果您通过智能手机或其他设备远程管理物联网设备，建议您避免使用公共WiFi网络。为了避免使用公共WiFi网络可能造成的网络攻击漏洞，可以使用VPN。有VPN服务提供商为公众和家庭WiFi网络提供多种安全功能。
责任编辑:pj