2021年8月30日 星期一

‧ 物聯網安全如何影響零售商

 

How Internet of Things (IoT) helps retail business

物聯網 (IoT) 如何幫助零售業務





LPM


揭開風險和策略的神秘面紗


 
物聯網安全

物聯網 (IoT) 安全性越來越受到零售商的關注。「物聯網是當今市場上最大的趨勢之一,」Check Point 軟體技術產品經理 Itzik Feiglevitch,在 2021 年 5 月的 RSA 會議上表示。預計未來幾年將有大量設備添加到公司網路中。

伊齊克·費格列維奇
伊齊克·費格列維奇

雖然 Feiglevitch 說它們很棒 —— 它們提高了營運效率,並將公司帶入了數位世界 —— 但零售商還需要考慮到「所有這些物聯網設備,現在都是我們網路的一部分,它們帶來了很多安全風險。」

根據 Check Point 的研究,一家擁有 5,000 名員工的典型企業,可能擁有多達 20,000 台物聯網設備。「我知道這似乎是一個巨大的數字,但想想所有的 IP 電視、列印機、監控攝影機或建築物內的感測器、智慧電梯、智慧照明 —— 一切都連接到企業網路。」

物聯網在零售業中的應用

物聯網感測器越來越多地用於零售業以增強客戶體驗,例如智慧鏡子和數位看板;洞察客戶偏好和行為;以及忠誠度和促銷活動 —— 使用感測器來辨識客戶的時間和地點,以更好地提供幫助或獎勵。連接感測器正用於管理能源和檢測設備問題,尤其是在雜貨店、倉庫和商店中,以優化供應和履行,如 RFID 和智慧貨架。

根據 Grand View Research 的市場分析,2020 年全球零售物聯網價值為 319.9 億美元,預計從 2021 年到 2028 年將以 26% 的複合年成長率成長報告稱:「物聯網有望改造零售業,將傳統實體店轉變為先進的數位商店。」

物聯網市場增長

零售店互連設備數量的激增,和物聯網感測器價格的下降,預計將推動成長。「零售商對物聯網創新的承諾,正在促進連接設備的成長,包括 RFID 標籤和信標……智慧手機的普及,和行動應用 app 的使用,正在推動零售軟體部門的增長。」

有問題的是,許多物聯網設備是不受管理的。「它們連接到我們的網路,但我們無法控制這些設備、查看它們並定義這些設備,在我們的網路中,可以做什麼和不能做什麼,」Feiglevitch 說。「如果我們在我們的安全管理系統中,搜索這些設備,我們將找不到這些設備。」

反過來,大多數與公司連接的物聯網設備,都連接到更廣泛的網路 —— 例如,允許供應商提供更新。攻擊者可以使用標準掃描工具找到這些設備。「他們知道要尋找什麼,」Feiglevitch 說,並指出甚至有搜索工具可以幫助他們 —— 「物聯網駭客的谷歌,」他說。隨意的「Shodan」搜索將顯示,近 300,000 個連接到網路的監控攝影機。

Feiglevitch 警告說,一旦發現,連接到這些設備併入侵它們往往「非常容易」。它們通常沒有內置的物聯網安全性,運行在傳統操作系統上,默認密碼較弱,並且難以修補。「許多人沒有基本的安全能力,」他說。「當許多這些設備被開發出來時,沒有人考慮過這一點。」

透過訪問設備,駭客可以操縱它 —— 例如查看攝影機 —— 或使用它進行加密挖掘,或作為殭屍網路攻擊的機器人。由於連接不安全,它還可以為駭客提供進入網路的後門。「用戶可能不了解如何連接這些設備,」Feiglevitch 說。「他們使用了錯誤的協議,和不安全的應用程序,因此駭客可以通過這些設備進入網路。」

在開發測試中,研究人員發現有可能造成難以言狀的破壞,從接管整個智慧建築系統,到欺騙醫療設備,以提供錯誤劑量的藥物,雖然供應商通常會發布補丁,但 Feiglevitch 說這些通常不會得到實施。他警告說,傳統的、不安全的設備無處不在。

掌握物聯網安全

Check Point 的安全架構師 Justin Sowder 表示,有四個支柱可以解決 IoT 設備,對組織網路構成的風險。

  • 物聯網發現和風險分析。「找出哪些設備在那裡,有多少影子 IT 正在發生,並繪製出我們不知道的內容,這是第一部分,並儘可能準確地表示我們環境中的內容。」
  • 零信任分割。「進入某種零信任模型,我們將設備與網路的其餘部分,以及彼此隔離,」Sowder 說。
  • 物聯網安全威脅預防。「除了基本的防火牆預防之外,我們還想看看我們可以從威脅預防方面做些什麼,」Sowder 說。他補充說,組織需要研究如何讓設備保持其設計角色的功能,同時防止流量流向命令和控制伺服器等設備。
  • 檢測和響應。「現在我知道我的設備是什麼,現在我可以看到它們,我如何檢測這些事件,對它們做出響應,並讓合適的人參與進來,對這些事件採取正確的行動。」
賈斯汀·索德
賈斯汀·索德

在解決方案設計方面,Sowder 建議它應該包括三件事:物聯網發現引擎;一種提取資訊,並將其與安全協議聯繫起來的解決方案;以及執行安全策略的安全網關。

「這個流程應該完全自動化:從連接新設備或發現現有設備,到物聯網安全管理,將相關數據和標籤外推到你的安全策略,然後到執行點,」他說過。他說,它應該對用戶不可見,但安全領域的發現、保護和執行仍然應該發生。

他認為,自動化解決方案比緩慢、嚴厲的網路安全方法更可取,在這種方法中,所有新設備都被分配一張票,並經過審查和管理。「這只會鼓勵影子 IT,」他警告說。

隨著物聯網設備的激增,以及對與網路數據中心通信的現場設備,依賴程度越來越高,零售商對獲得對物聯網設備的控制,強大流程的需求只會越來越大。用於啟用 IoT 設備的基礎設施,超出了用戶和 IT 部門的控制範圍,這凸顯了這種風險。

什麼使獲得控制權的努力變得複雜?

研究顯示,一些組織未能準確定義,誰是負責評估和降低風險的領導者。專家建議零售組織可能需要考慮任命一名首席物聯網官,因為許多項目不屬於 CIO 和 IT 部門的領域。

「物聯網不是 IT 項目。這是一個使用 IT 的商業項目,」一位小組成員在 LiveWorx 技術會議的 IoT 會議上實體指出另一位同意,表示 IT 安全專業人員,應準備好與整個企業的其他部門(包括物理安全團隊)分擔物聯網安全責任。


沒有留言:

張貼留言