物联网和工业物联网的安全挑战范围从不安全的web和移动接口以及网络服务,到糟糕的加密、身份验证和物理安全。特别是在工业环境中,组织意识到他们必须解决整个物联网生态系统,包括:在工厂地板上运行的操作技术(OT);连接到物联网云平台的新设备;连接到业务系统的IT系统;新的设备和传感器,以及介于两者之间的一切。
美国国家标准与技术研究所(NIST)和国际自动化学会(ISA)等组织曾试图通过发布物联网和工业物联网网络安全标准来提供帮助,但这些指导方针非常复杂,难以理解,也难以实施,因为它们往往缺乏明确的实施建议。设备制造商和集成商可以自行决定如何在其设备所需的安全级别上实现适当的安全性、可靠性、弹性和私密性。通常情况下,这意味着标准没有被实际应用,因为人们认为它们太复杂了。
例如,可信计算组的TPM 2.0标准提供了在微芯片和固件中嵌入唯一密钥的指导,以帮助证明物联网设备的身份,但该技术文档长达3000多页。
这些挑战使得业界对以IOT为中心的攻击毫无准备。事实上,最近的一项调查发现,97%的受访者认为,不安全的物联网设备对他们的组织会构成重大风险。
