Max Burkhalter
接続された技術の急速な進化(その多くは「モノのインターネット」の傘に該当する)は、現代の企業にとって祝福と呪いの両方となっている。 環境センサー、人工知能プラットフォーム、機械学習機能は、業界全体の組織にさまざまな運用上の利点を提供してきましたが、組み込みのセキュリティの深刻な欠如は、サイバーセキュリティの実践に顕著な影響を与えています。
司法省のサイバーセキュリティユニットによると、IoTデバイスは特にハッキングや標的とされたマルウェアになりやすいという問題がある。 感染すると、IoT機器を使用して、プライベートネットワークの安定性とパフォーマンスを脅かす大規模なボットネット攻撃を開始することができます。 これらの脅威を相殺するために、あらゆる規模の企業は、IoT導入の固有のリスクにもっと注意を払い、脆弱なエンドポイントを保護するための新し
OWASPのハイライトIoTセキュリティ上の脅威
Open Web Application Security Project(OWASP)は、IoT統合に関連するセキュリティリスクをデバイスメーカー、企業、消費者が理解できるようにするために、2001年に立ち上げられました。 OWASPは、より良いサイバーセキュリティの意思決定を提唱するための継続的な取り組みの一環として、ユーザーに最大の影響を与えている10のIoT脆弱性を特定しました。:
- 弱い推測可能なパスワード:ほとんどのIoTデバイスには、製造元によって提供される事前設定された資格情報(ユーザー名とパスワード)が付属しています。 これらのデフォルトの資格情報は、多くの場合、一般に公開されており、ブルートフォース攻撃によって簡単に破られる可能性があります。 新しいIoTデバイスを確実に保護するには、IT管理者が新しいログイン条件を設定してから、ライブ環境に展開する必要があります。
- セキュリティで保護されていないネットワークサービス:IoTデバイスのコア機能の一つには、エンドポイントが安全なインターネット接続を介して 安全でないネットワークサービスがデバイス上で実行されている場合、機密データが侵害され、認証プロセスがバイパスされる可能性があります。
- 不健全なIoTエコシステム:IoTデバイスが集中管理プラットフォームやレガシーシステムと統合されている場合、ユーザーは知らず知らずのうちにアプリケーション層でセキュリティの脆弱性を導入する可能性があります。 これらには、侵害された認証制御、弱い暗号化プロトコル、最適化されていない入出力フィルタリングが含まれます。
- 非効率的な更新メカニズム:IoTデバイスが侵害されないようにするには、各エンドポイントが利用可能になるとすぐに、各エンドポイントにリアルタイムの更新を送信できるようにする必要があります。 信頼できる形式のファームウェア検証、パッチ配信、セキュリティ監視がなければ、IoTデバイスは、コードの脆弱性を伴う古いバージョンを実行している可
- プライバシー保護の欠如: IoTデバイスは、多くの場合、ハッカーが組み込みのセキュリティ機能と認証プロトコルをバイパスすることができれば、侵害される可能性があり、ユーザーの個人情報を収集し、保存します。 データストアやAPIインターフェイスを含む広範なIoTシステムは、適切に保護されていない限り、機密データを盗むために活用することもできます。
- 不適切なデータ転送とストレージ:ユーザーがITエコシステム内のデータを暗号化できない場合、最も堅牢なIoT機器でさえも悪用される可能性があります。 機密情報は、輸送中または処理中に収集時点で盗まれる可能性があります。 これは、相互接続されたIoTデバイスの艦隊を管理する際にアクセス制御が最優先事項とみなされる理由を説明しています。
その他の重要なIoTセキュリティ上の懸念
弱いIoTアーキテクチャと管理プロセスと並んで、接続された技術は、検出が困難なゼロデイ脆弱性を介して悪用される可能性もあります。 たとえば、JSOFのセキュリティ研究者は最近、1997年まで存在していたTCP/IP脆弱性(Ripple20という名前)のコレクションを発見しました。 ソフトウェア会社Treckによって開発された一般的なTCP/IPスタックライブラリに存在していたこれらの欠陥は、デバイスがインターネットに接続する方 Ripple20の脆弱性は、スマートホームデバイスやプリンタから産業用制御システムや電力網機器まで、幅広いIoT製品に影響を与えています。 JSOFはTreckやその他のサイバーセキュリティ専門家と緊密に協力してパッチをリリースしてきましたが、これらの脆弱性の影響は広く広範囲に及んでいます。
標的型マルウェアは、IoTデバイス事業者にとってさらに別の懸念事項であり、ハッカーは、接続された技術をより簡単に制御し、大規模なDDoS攻撃で使用するために大規模なボットネットに追加するために、既存のマルウェア株を変更してきたとZDNetの2019年の記事によると。 これらのタイプの複雑なサイバー攻撃は、頻度と範囲でのみ増加しています。 実際、Kaspersky Labsが所有および運営するハニーポットは、2019年上半期だけで1億500万件のIoTデバイス(276,000の一意のIPアドレスに起因)に対する攻撃を検出しました。 このような種類の標的とされた操作を軽減するために、セキュリティ研究者は、企業が脅威データフィードを使用して、悪意のある可能性のあるネットワー もちろん、この機能を統合するには、適切な接続ツールとデータ管理機能が必要です。
Perleは、あらゆる規模の企業がより機敏で安全なIoTエコシステムを作成するのに役立つ産業グレードのネットワーキングツールを提供しています。 当社のLTEルーターとゲートウェイは、位置ベースのサービスとリモート管理機能を大規模に統合することにより、高性能な接続ソリューションの展開をサポート
詳細については、お客様の成功事例をご覧ください。