Trên mặt trận IoT, chúng tôi đã thấy việc tiết lộ các lỗ hổng quan trọng, chẳng hạn như Ripple20 vào tháng 6 và Amnesia-33vào tháng 12, điều đó làm lộ ra các ngăn xếp TCP / IP được sử dụng trong hàng triệu thiết bị IoT. Với TCP / IP đóng vai trò là hệ thống huyết mạch của IoT, mang dữ liệu là huyết mạch của nó, những lỗ hổng này một lần nữa chứng minh lý do tại sao tất cả các tổ chức cần có kế hoạch thực hiện nhanh chóng các bản cập nhật chương trình cơ sở trên các thiết bị IoT của họ.
Vì vậy, năm mới có thể mang lại điều gì về bảo mật IoT? Tôi không thể nói quả cầu pha lê của tôi trong suốt như pha lê, nhưng đây là ba dự đoán mà tôi sẵn sàng đưa ra về những phát triển bảo mật IoT vào năm 2021.
Bảo mật như một dịch vụ nhanh chóng mở rộng vào thị trường IoT
Các công ty đang ngày càng tìm cách thuê ngoài các nhu cầu an ninh mạng tại chỗ, đám mây và các nhu cầu khác của họ, như thành công gần đây của FireEye và các nhà cung cấp Bảo mật dưới dạng Dịch vụ (SECaaS) khác cho thấy. Các nhà cung cấp SECaaS này kết hợp các cấp độ chuyên môn sâu về an ninh mạng, dễ dàng triển khai các giải pháp bảo mật SaaS và tính kinh tế theo quy mô để cung cấp cho các công ty khả năng bảo mật mạnh mẽ với chi phí thấp hơn các giải pháp thay thế nội bộ.
Giờ đây, các nhà cung cấp SECaaS đang mở rộng sang thị trường IoT - và tôi hy vọng sự mở rộng này sẽ đạt được thành công vào năm 2021. Hàng triệu thiết bị IoT mà các công ty đã triển khai trên khắp thế giới là một mục tiêu lớn cho tội phạm mạng - và các công ty thiếu chuyên môn về bảo mật IoT thường làm cho các thiết bị này dễ dàng cho bọn tội phạm hack. Thay vì tự mình trở thành chuyên gia về bảo mật IoT, tôi hy vọng các công ty sẽ ngày càng hợp tác với các nhà cung cấp SECaaS, những người có thể giúp họ bảo vệ dữ liệu IoT của mình khỏi các tác nhân độc hại.
Tuy nhiên, một câu hỏi liên quan đến thị trường IoT SECaaS mới nổi này là, ai sẽ thống trị nó? Liệu nó có được thành lập các nhà cung cấp SECaaS mở rộng ứng dụng hiện có của họ cho IoT, cung cấp cho các công ty giải pháp toàn diện cho nhu cầu bảo mật của họ không? Hay các công ty khởi nghiệp với các ứng dụng SECaaS được thiết kế đặc biệt để bảo vệ dữ liệu IoT, ai mới là người dẫn đầu thị trường này? Về câu hỏi này, chỉ có thời gian mới trả lời được.
Các công ty sẽ yêu cầu các nhà cung cấp giải pháp IoT thiết lập các phương tiện bảo mật của họ
Trong khi nhiều công ty thuê ngoài bảo mật IoT cho các nhà cung cấp SECaaS, giờ đây họ cũng sẽ bắt đầu yêu cầu (nếu họ chưa có) rằng thiết bị IoT, kết nối, đám mây và các nhà cung cấp khác của họ không chỉ nói về việc cam kết đảm bảo các giải pháp của họ an toàn mà còn phải chứng minh điều đó.
Cụ thể, họ sẽ chỉ làm việc với các nhà cung cấp giải pháp IoT có hiểu biết sâu sắc về các vấn đề bảo mật IoT, đã tích hợp khả năng bảo mật mạnh mẽ vào sản phẩm và đang nỗ lực cập nhật liên tục khả năng bảo mật của các sản phẩm này.
Bằng cách chỉ hợp tác với các nhà cung cấp giải pháp IoT cam kết bảo mật, các công ty này sẽ tự định vị mình để triển khai một kế hoạch bảo mật IoT cung cấp cho họ khả năng phòng thủ chuyên sâu, cho phép họ tránh bị sứt mẻ trong lớp giáp bảo mật IoT của họ dẫn đến vi phạm hoặc mất dữ liệu.
Mong đợi nhiều công ty hơn yêu cầu các nhà cung cấp giải pháp IoT sao lưu cam kết bảo mật của họ với các câu trả lời rõ ràng cho các câu hỏi như:
- Bạn cam kết như thế nào về tính minh bạch và khả năng đáp ứng khi xử lý các báo cáo về lỗ hổng bảo mật?
- Bạn đã chịu trách nhiệm về việc tiết lộ lỗ hổng bảo mật bằng cách trở thành Cơ quan đánh số CVE (CNA) cho sản phẩm của mình chưa?
- Bạn có kế hoạch gì để cung cấp các bản cập nhật bảo mật thiết bị IoT kịp thời và bạn sẽ giúp tôi triển khai các bản cập nhật này như thế nào?
Các cuộc tấn công IoT đã dạy các công ty rằng họ phải tiếp cận bảo mật như một yêu cầu quan trọng cho việc triển khai IoT của họ. Rốt cuộc, nếu họ không hợp tác với các nhà cung cấp giải pháp IoT không cam kết bảo mật, họ có nguy cơ để lại không chỉ các ứng dụng IoT của mình mà còn toàn bộ môi trường CNTT của họ, sẵn sàng cho các cuộc tấn công từ tội phạm mạng tinh vi.
Quay lại kiến thức cơ bản về bảo mật IoT
Năm ngoái, nhiều người dự đoán rằng các công ty sẽ triển khai trí thông minh mối đe dọa mới do AI hỗ trợ và các công nghệ bảo mật tiên tiến hàng đầu khác để bảo vệ mình khỏi các cuộc tấn công.
Tuy nhiên, trong khi những công nghệ mới này có nhiều hứa hẹn, hầu hết các vụ hack IoT diễn ra trong năm qua đều do các công ty không tuân theo các phương pháp hay nhất về bảo mật IoT cơ bản . Trở lại năm 2018, Dự án Bảo mật Ứng dụng Web Mở (OWASP) đã xác định mười lỗ hổng bảo mật IoT có ảnh hưởng nhất hàng đầu và lỗ hổng dẫn đầu danh sách là mật khẩu yếu, dễ đoán hoặc được mã hóa cứng. Xếp sau vị trí thứ tư là thiếu cơ chế cập nhật an toàn, có thể dẫn đến thiết bị chạy trên phần sụn cũ, dễ bị tấn công ngay cả khi có sẵn các bản cập nhật mới, an toàn.
Tôi ước tôi có thể nói rằng mọi thứ đã thay đổi trong hai năm qua, nhưng tôi hy vọng khi OWASP cập nhật danh sách này tiếp theo, bạn sẽ thấy các lỗ hổng bảo mật tương tự trên đó. Khi nói đến việc bảo vệ dữ liệu IoT của bạn, bạn không cần AI để tạo mật khẩu mạnh, cập nhật chương trình cơ sở thiết bị hoặc kích hoạt và sử dụng tường lửa tích hợp trên thiết bị IoT của mình - bạn chỉ cần đảm bảo bạn đang tuân thủ các bảo mật IoT cơ bản thực hành tốt nhất.
Việc thực hiện các phương pháp hay nhất cơ bản này không chỉ giúp các ứng dụng IoT an toàn hơn mà còn có thể tiết lộ các cơ hội để giảm chi phí hoạt động. Ví dụ: một công ty đảm bảo rằng họ đang cập nhật chương trình cơ sở của các thiết bị của mình có khả năng nhanh chóng phát hiện ra rằng các bản cập nhật chương trình cơ sở qua mạng giúp họ dễ dàng bảo vệ thiết bị IoT của mình khỏi các cuộc tấn công mới, cho phép họ loại bỏ các chuyến đi tốn kém của kỹ thuật viên để cập nhật thủ công các thiết bị IoT với bảo mật và các nâng cấp khác.
Có lẽ tôi đang quá lạc quan, nhưng tôi tin rằng, đã thấy trong năm qua rằng các phương pháp hay nhất về bảo mật IoT cơ bản có thể giải quyết các lỗ hổng cấu hình cao như Ripple20 và Amnesia-33, vào năm 2021, các công ty sẽ đảm bảo rằng họ đã thực hiện đầy đủ các phương pháp hay nhất này - và chỉ sau đó tìm kiếm các công nghệ khác để giải quyết các cuộc tấn công hiếm hơn, tinh vi hơn.
