IoT 安全性 - 概觀
保護整個物聯網中的資料和裝置。
什麼是 IoT 安全性?
物聯網 (IoT) 可為產業帶來極大的經濟機會並有助於刺激創新,適用領域包括:兒童保育到老年照護、醫療保健到能源、製造到運輸。適用於智慧空間的多樣化 IoT,從遠端監控、預測性維護和智慧空間,到連線產品及面向客戶的技術 (例如行動裝置應用程式),全部都可降低營運複雜度與成本,並加快上市速度。
由於技術專家和分析師未來預期將更廣泛地運用 IoT 裝置和應用程式,以及 IoT 領域相關裝置、服務和應用程式的持續發展,組織通常會渴望利用這些商務優勢。不過,由於 IoT 安全性顧慮是非常現實的問題,因此許多公司在追尋 IoT 解決方案的優勢上仍相對保守。IoT 部署使得全球企業面臨前所未有的安全性、隱私權和相容性挑戰。
傳統資訊網路安全性以軟體及實作方式為中心,IoT 安全性則因網路與真實世界的融合而格外複雜。IoT 領域中的多種營運和維護案例需要有端對端裝置連線,才能讓使用者和服務進行互動、登入、疑難排解、傳送或接受裝置資料。假如公司想要利用預測性維護等 IoT 功效,就必須先了解應遵守哪些 IoT 安全性標準,因為營運技術 (OT) 至關重要,無法承受發生外洩、災害和其他威脅的風險。
IoT 相關安全性內容為何?
人們可能會因為 IoT 裝置看起來很小或功能太侷限,而似乎沒什麼危險性,但真正的風險在於實際連線到網路時,一般用途的電腦可能會遭到攻擊者入侵,而衍生 IoT 安全性範圍以外的問題。即便是最普通的裝置,若在網際網路上遭到入侵,情況可能會變得很危險。無論是暗中入侵視訊嬰兒監視器,還是中斷救援醫療設備服務等等,都有可能會發生。一旦攻擊者取得控制權,他們就能竊取資料、中斷服務傳遞,或利用電腦犯下任何其他網路犯罪。入侵 IoT 基礎結構的攻擊所造成的危害,不僅包括資料外洩和不可靠的作業,還包括實際損害設施,最糟的情況下,甚至會對操作或仰賴這些設施的人員造成人身傷害。
安全性更強的 IoT 基礎結構必須採取端對端方法,使用適當的 IoT 技術和通訊協定,才能保護員工、客戶、重要營運技術與商業投資。經驗豐富的 IoT 網路安全性公司建議採用三管齊下的方法來保護資料、裝置和連線:
- 保護裝置佈建。
- 保護裝置與雲端之間的連線。
- 保護處理中和儲存的雲端資料。
IoT 裝置安全性還有其他哪些考量?
IoT 安全性方面的顧慮也與下列因素相關:
裝置異質性或區隔
許多公司會運用大量不同的裝置,這些裝置會執行不同的軟體、使用不同的晶片,甚至可能使用不同的連線方式。這就是所謂的裝置異質性,而這會對所有不同連線裝置的更新與控制帶來挑戰。如果組織採用生產 IoT 部署,所有不同裝置都會產生複雜性,但目前已推出可簡化這項程序的軟體解決方案。
連線到重要的營運技術
許多企業都想要利用連線所帶來的商務優勢,卻承受不起設施遭到攻擊和失去連線所造成的營收虧損風險,即使短短幾天也不行。好消息是,目前已有值得信賴的 IoT 網路安全性公司提供軟體解決方案來協助防禦攻擊。
舊裝置的安全性挑戰
有些裝置在 IoT 存在、甚至在連線之前,便已設計完成。這些裝置從未經過任何「強化」,也就是發現弱點並加以排除或降低風險的程序。許多其他舊版裝置由於價位較低,或原本設計就未設想到特定 IoT 安全性,因此即使製造商立意良善,這些裝置也缺乏 IoT 網路安全性功能。
IoT 攻擊如何發生?
由於這種全新 IoT 連線涵蓋的受攻擊面很大,人們通常不甚熟悉,IoT 裝置和應用程式又可能含有大量的個人、營運和公司資料,因此比起傳統資訊安全性需求,IoT 安全性專業人員必須講究更高度的機密性、完整性和可用性。
當然,IoT 網路安全性專業人員非常關心資料外洩和其他網路攻擊。但由於 IoT 弱點可能會造成生命威脅、人身危險或獲利營運歇業,因此他們更該關心如何保護連線、裝置強化、威脅監控、安全性態勢管理,以及保護雲端後端資料。
從威脅模型開始了解 IoT 網路安全性
許多 IoT 安全性公司使用威脅模型化與 Azure Digital Twins 這類程式來了解攻擊者可能如何危害系統,以確保有適當的措施可防止攻擊或降低風險。
IoT 網路安全性攻擊可能會威脅:
裝置異質性或區隔
程序:威脅可能針對在您控制之下的程序 (例如 Web 服務),也可能來自與系統互動但不在應用程式控制下的外部實體 (例如使用者和附屬摘要)。
連線到重要的營運技術
通訊 (也稱為資料流程):裝置間、裝置與現場閘道間,以及裝置與雲端閘道間的通訊路徑周遭威脅。
舊裝置的安全性挑戰
儲存體:暫存資料佇列、作業系統 (OS) 和映像儲存體的威脅。
IoT 攻擊可廣義分為五個不同領域:詐騙、竄改、資訊洩漏、阻斷服務和權限提高
以下是會對 IoT 基礎結構造成威脅的幾個範例。
詐騙、資訊洩漏
- 攻擊者可能會以匿名方式操控裝置的狀態。
- 攻擊者可能會對廣播進行攔截或部分覆寫,然後詐騙發送者 (通常稱為中間人攻擊或 MitM 攻擊)。
- 攻擊者可能會利用受限或特殊用途裝置的弱點。這些裝置通常會有通用型安全性措施 (例如密碼或 PIN 保護),或是仰賴網路共用金鑰保護。當裝置或網路共用的機密 (PIN、密碼、共用網路金鑰) 洩漏時,有心人士就可以控制裝置或觀察從裝置發出的資料。
資訊洩漏
- 攻擊者可能會竊聽廣播並在未經授權的情況下取得資訊,也可能會干擾廣播訊號並拒絕資訊散發。
- 攻擊者可能會對廣播進行攔截或部分覆寫,並傳送錯誤的資訊。
竄改
- 攻擊者可能會竄改任何實體裝置,從電池耗竭弱點或蓄電不足,到透過凍結裝置來降低熵而執行的亂數產生器 (RNG) 攻擊。
- 如果非法程式可以使用金鑰原料或保存金鑰原料的密碼編譯設備,攻擊者便可能部分取代或全部取代裝置上執行的軟體,而可能讓替代的軟體擅用裝置的真實身分識別。
資訊洩漏
拒絕服務
權限提高
如何評估 IoT 安全性?
透過 Microsoft 的電子書《評估您的 IoT 安全性》,了解如何處理公司面臨的新威脅和後果。
了解最有可能的威脅
考量與 IoT 基礎結構最相關的威脅,不論是網路或實體威脅皆包含在內。若要充分了解 IoT 的安全性,請檢查資料儲存體、雲端服務、作業系統、IoT 應用程式、各種網路技術、備份服務和監控,以及確保裝置運作正常的實體裝置、感應器和控制系統是否有任何威脅。
了解您的風險
檢閱您已發現的威脅後果,並決定公司最關注的重點。排列考量的優先順序,並排除與您商務案例無關的後果。
選擇評估策略
根據您已發現的獨特商務威脅和後果,選擇能夠提供最高價值並解決 IoT 安全性攻擊風險案例的安全性評估方法。
我可以採取哪些步驟來保護 IoT 部署?
簡化 IoT 安全性的複雜度
跨小組和基礎結構的整合可協調出一個全方位的方法,從實體裝置和感應器,到您雲端中的資料,都能獲得妥善處理。
專門為 IoT 安全性做好準備
在 IoT 安全性解決方案內,將資源受限的裝置、部署的地理位置分佈及裝置數目納入考量。
更聰明地進行安全性分析和補救
透過安全性態勢管理,監控所有連線到 IoT 解決方案的內容。根據嚴重性對建議進行堆疊順位,以決定優先需要修正的問題,進而降低風險。確認威脅監控功能就緒,以快速取得警示並解決 IoT 安全性威脅。
專注於客戶和商務資料保護
藉由追蹤接觸到 IoT 的所有連線資料存放區、系統管理員及其他服務,您可以確保 IoT 應用程式受到保護,IoT 的安全性亦有所保障。
使用 Azure 開始建置安全的 IoT 部署
仰賴備受信任的安全性方法
利用經過同類公司證實有效的多種 IoT 安全性解決方案,量身訂製以協助您保護跨雲端、裝置和企業的 IoT 部署。
部署從晶片到雲端的全方位 IoT 安全性
Azure Sphere 透過跨界 MCU、安全的 Windows IoT OS 和周全的雲端安全性服務,協助保護裝置,並提供端對端 IoT 安全性來因應新興威脅。
降低風險並進行補救
透過 Azure IoT Central 這個備受信任的保護措施,尋找能夠彈性因應特定風險狀態及部署案例的服務。
使用 Azure 探索 IoT 安全性解決方案
仰賴備受信任的安全性方法
透過無代理程式資產探索、弱點管理和威脅偵測,同時保護受控和非受控 IoT 及營運技術裝置。
Microsoft Sentinel
利用業界在主要公用雲端上的第一個雲端原生 SIEM 平台,縱觀整個企業的 IT、IoT 和營運技術安全性,並取得智慧型安全性分析。
Azure IoT Central
透過安全性態勢管理以及威脅監控和補救,降低風險。
Azure Sphere
透過全方位 IoT 安全性解決方案 (包括硬體、OS 和雲端元件),主動保護您的裝置。
Azure IoT Edge
確保您的裝置具有適當軟體,且只有經授權的邊緣裝置才能互相通訊。
Azure IoT 中樞
可在您的 IoT 應用程式及其所管理裝置之間進行高度安全且可靠的通訊。