1. 장치 검색 및 관리

보이지 않는 것은 보호할 수 없습니다.

가장 오래된 보안 격언 중 하나입니다. 네트워크 및 장치 보안에 대해 생각하기 전에 정확히 무엇을 보호해야 하는지 아는 것이 중요합니다.

포트 스캐닝, 프로토콜 분석 및 기타 탐지 기술을 통해 기업 네트워크에 연결된 장치를 확인할 수 있습니다. Nmap, Shodan 및 Masscan과 같은 무료 도구를 사용할 수 있습니다. 상용 제품 및 서비스 발견, 식별 및 IoT 장치 관리.

일단 IoT 장치 발견되면 IoT 위험 평가를 수행하여 디바이스가 액세스할 수 있는 것과 액세스해야 하는 항목과 그 이유를 이해합니다. 각 장치의 관련 패치 관리 프로세스 및 수명 주기 정보와 함께 기업 자산 등록부에 승인된 장치를 나열합니다. 침투 테스트에도 연결된 장치를 포함해야 합니다. 원격 지우기 및 연결 비활성화와 같은 분실 또는 도난 장치를 관리하기 위한 정책 및 기능을 설정합니다.

취약한 연결 장치는 항상 명백한 위협이 아니며 종종 섀도우 IT 범주에 속합니다. 연결된 프린터, 스마트 냉장고 및 센서 기계에 추가되었습니다. Target POS 데이터 위반 사건을 기억하십니까? 누군가 회사의 연결된 HVAC 시스템에 대한 계약자의 로그인을 오용하여 발생했습니다. 디바이스 검색을 통해 모든 섀도우 IoT 디바이스를 인식합니다.

소비자 IoT 장치도 고려하십시오. 특히 COVID-19 팬데믹 상황에서 많은 직원이 원격으로 작업하고 있습니다. 기업 노트북과 동일한 네트워크에 연결된 스마트 스피커는 개인 정보 재앙을 만듭니다. 보안 인식 교육을 실시하여 사용자에게 IoT 장치에 대해 경고하고 문제가 되지 않도록 정책을 마련합니다.

2. 인증, 권한 부여 및 액세스 제어

정의에 따라 IoT 장치에는 인증 및 권한 부여에 도움이 되는 고유한 식별자가 있습니다. 어떤 장치가 네트워크에 연결되어 있는지 확인한 후 액세스하고 대화할 수 있는 장치를 결정하십시오. 그러나 처리해야 할 고유 ID가 수백 또는 수천 개인 경우 이 작업이 어려워 보일 수 있습니다.

에 작동 최소 권한 원칙 장치가 작업을 수행하는 데 필요한 항목만 보고 액세스할 수 있도록 합니다. 공장에서 설치된 암호와 함께 제공되는 모든 장치를 업데이트합니다. 강력한 암호는 IoT 위험을 방지하는 데 도움이 됩니다. 가능한 경우 XNUMX단계 또는 다단계 인증을 사용해야 합니다.

일반적으로 하드웨어 기반 신뢰 루트는 가장 강력한 IoT 보안 옵션으로 간주됩니다. 이들은 하드웨어에 직접 내장되고 장치에 내장됩니다. 신뢰할 수 있는 공개 키 인프라에서 발급된 디지털 인증서(PKI)도 사용할 수 있지만 일부 장치에서는 이를 처리할 수 없습니다. 이 경우 다른 경량 암호화 알고리즘을 사용할 수 있습니다. 자세한 내용은 아래에서 설명합니다.

생체 인식 및 블록체인과 같은 최신 기술을 사용하여 IoT 장치를 인증할 수도 있습니다. 복용 제로 트러스트 접근 방식 장치 및 액세스 권한을 제어하는 ​​효과적인 옵션이기도 합니다. 상업용 IoT 플랫폼은 장치를 관리하고 데이터, 다른 장치 및 네트워크 장치가 액세스할 수 있는 것을 제어하는 ​​기능도 제공합니다.

3. IoT 비밀번호

문제가 있는 암호는 인증, 권한 부여 및 액세스 제어와 관련이 있습니다. 2016년 가을 미라이(Mirai) 공격의 침투는 연결된 카메라와 공장 기본 암호 또는 하드코딩된 암호가 있는 기타 IoT 장치로 거슬러 올라갑니다. 사이버 범죄자들은 ​​이러한 장치와 알려진 자격 증명 목록(일부 계정에서는 60개의 사용자 이름/암호 조합만 있는 목록)을 사용하여 서버에 침투했습니다.

여기서 책임은 두 가지입니다. 기업과 최종 사용자는 기본 암호를 부지런히 업데이트해야 합니다. 비밀번호 정책 과 강력한 암호 또는 암호 문구 사용. 그러나 암호가 하드코딩된 경우에는 옵션이 아닙니다. 이것은 장치 제조업체가 책임을 져야 하는 부분입니다. 어떤 장치도 하드코딩된 비밀번호로 생성되어서는 안 됩니다.

[포함 된 콘텐츠]

4. 패치 및 업데이트

장치 업데이트 및 패치는 모든 보안 전략의 중요한 구성 요소입니다. 가장 큰 IoT 보안 문제 중 하나는 OS, 애플리케이션 및 통신 기술을 포함하여 오래된 소프트웨어 및 펌웨어를 사용하는 것입니다.

IoT 환경에는 몇 가지 고유한 패칭 및 업데이트 문제가 있습니다. 첫째, 일부 장치에 액세스할 수 없습니다. 만약 센서가 분산되어 있습니다. 수백 에이커의 농지에서 온도, 습도 및 수분을 감지합니까? 아니면 진동과 날씨를 모니터링하는 다리 위에 있다면 어떨까요?

둘째, 업데이트를 수행하기 위해 모든 장치를 장기간 오프라인으로 전환할 수 있는 것은 아닙니다. 중요한 제조 장비가 한 시간 또는 몇 시간 동안 오프라인 상태일 경우 산업 조직에 수백만 달러의 비용이 들 수 있다고 생각해 보십시오. 스마트 그리드 수백만 명의 사람들이 열이나 전기에 의존하고 있습니다.

다음으로 일부 IoT 장치에는 UI나 화면이 없고 일부는 업데이트를 허용하지 않는다는 사실을 추가합니다. 또는 장치가 업데이트를 수락하지만 업데이트의 무언가로 인해 장치가 손상되고 시스템 오류가 발생하면 어떻게 됩니까? 장치가 정상 작동이 확인된 상태로 롤백되는 방법은 무엇입니까?

공급업체도 패칭 문제를 일으킬 수 있습니다. 일부 장치는 수명이 다하여 제조업체에서 더 이상 지원하지 않을 수 있습니다. 마찬가지로 일부 공급업체는 무책임하고 취약성이 발견될 때 보안 업데이트를 릴리스하지 않아 고객이 잠재적인 보안 위반에 노출될 수 있습니다.

IoT 패칭 기능을 보장하려면 장치 검색의 일부로 각 IoT 장치를 자산 등록부에 입력하거나 입양 과정. 각 장치에서 실행되는 소프트웨어 및 하드웨어 버전을 포함하고 업데이트를 사용할 수 있고 설치되는 시기를 추적합니다. 또한 장치 수명이 다해 폐기해야 하는 시기를 추적합니다. 라이브 환경에서 레거시 장치를 사용하면 많은 취약점이 발생합니다.

가능하면 IoT 배포 전에 프로세스 패치 및 업데이트를 고려하십시오. 확실히하다 무선 업데이트 사용 가능하고 안전합니다. 또한 자동 업데이트 또는 정기적인 일정 중에서 결정하십시오. 각각 고유한 장점과 단점이 있습니다.

IoT 플랫폼을 현명하게 선택하십시오. 대부분은 자동화와 같은 패치 및 업데이트 프로세스를 용이하게 하는 기능을 포함하고 롤백 또는 재설정이 필요한 장치를 관리할 수 있습니다. 계속 주시하세요 Internet of Things 워킹 그룹을 위한 인터넷 엔지니어링 태스크 포스 소프트웨어 업데이트, IoT 펌웨어 업데이트 표준을 개발하고 있습니다.

5. IoT 공격

IoT 환경은 다수의 동일한 위협 DDoS 공격, 봇넷, 멀웨어 및 랜섬웨어를 포함한 다른 사이버 환경으로.

IoT DDoS 공격의 심각성을 완전히 이해하려면 2016년 Mirai 공격을 살펴보십시오. 이 공격은 처음에 마인크래프트 서버 호스트를 대상으로 했지만 악성코드는 결국 보안 저널리스트 브라이언 크렙스(Brian Krebs)의 웹사이트와 프랑스 웹 호스트 OVH를 공격했습니다. 한 달 후, 이 봇넷은 DNS 서비스 제공업체 Dyn을 표적으로 삼는 데 사용되어 Amazon, Netflix 및 Twitter를 비롯한 여러 유명 사이트의 다운타임을 초래했습니다.

안타깝게도 DDoS 공격을 막는 것은 거의 불가능합니다. 조직은 다음 조치를 취할 수 있습니다. 성공하지 못하게 막다, 하지만. DDoS 기능이 있는 침입 방지/탐지 시스템(IPSes/IDSes)을 사용하거나 네트워크에 도달하기 전에 DDoS 패킷을 탐지 및 필터링할 수 있는 ISP와 협력하십시오. 기타 기본 사항 준수 사이버 위생 방화벽, 맬웨어 방지, 엔드포인트 보안 플랫폼, EDR(엔드포인트 탐지 및 대응), 확장된 탐지 및 대응 소프트웨어 사용을 포함한 관행.

봇넷, 랜섬웨어 및 기타 IoT 공격을 방지하려면 장치 소프트웨어를 최신 상태로 유지하고 기본 암호를 변경하며 네트워크 트래픽을 모니터링하십시오. IoT 장치가 액세스할 수 있는 데이터 및 네트워크를 분할하고 방화벽을 사용하여 침입을 중지합니다. 또한 장치에서 불필요한 기능을 비활성화하고 장치 및 네트워크의 데이터를 정기적으로 백업하십시오. IoT 위험 평가는 잠재적인 위협과 그 영향을 판단하는 데 도움이 될 수도 있습니다.

6. 물리적 보안

IoT 장치는 사이버 보안 위협뿐만 아니라 물리적 보안 위협으로부터도 보호되어야 합니다. IoT 센서, 웨어러블 및 에지 장치를 포함한 IoT 하드웨어는 네트워크의 다른 부분보다 쉽게 ​​액세스할 수 있기 때문에 물리적 위협을 받는 물리적 손상, 변조 및 도난과 같은 하드코딩된 암호를 넘어선 것입니다.

보안되지 않은 장치는 물리적으로 침입한 경우 데이터를 유출하는 장치에 연결된 포트를 가질 수 있습니다. 스토리지 메커니즘이 제거되고 데이터가 도난당할 수도 있습니다. 이 물리적 액세스는 더 큰 네트워크에 대한 진입점이 될 수 있습니다.

물리적 보안 위험을 방지하려면 IoT 장치를 강화해야 합니다. 장치에 보안 내장, 적절한 액세스 제어를 보장하고, 기본 암호를 재설정하고, 데이터 및 연결을 암호화하고, 사용하지 않는 포트를 제거하거나 비활성화합니다. 또한 IoT 장치를 쉽게 분해하거나 구성 요소를 제거할 수 없는지 확인하십시오. 일부 시나리오에서는 디바이스를 변조 방지 케이스에 넣거나 물리적으로 변조한 후 디바이스를 사용할 수 없게 만들어야 합니다.

7. 암호화 및 데이터 보안

암호화는 데이터를 보호하는 가장 효과적인 방법으로 간주됩니다. 암호화는 개인 정보 위험을 방지하고 사용자, 회사, 고객 및 다른 사람이나 장치 간에 전송 중인 IoT 데이터의 무결성을 보호하는 핵심 메커니즘입니다. 또한 IoT 개인정보 보호를 보장하고 회사와 사용자 간의 신뢰를 구축하는 데 도움이 됩니다. 특히 임베디드 및 연결된 의료 기기와 같이 개인 식별 정보와 민감한 데이터가 작용할 때 그렇습니다. 암호화는 또한 공격자가 데이터를 조작하거나 위조하는 것을 방지합니다.

문제는 온도, 습도 또는 습기 데이터를 수집하는 작은 센서를 생각하는 많은 연결된 장치가 Advanced Encryption Standard와 같은 기존 암호화 알고리즘을 실행하는 데 필요한 전력, 처리 또는 메모리 리소스가 없기 때문에 가장 큰 IoT 보안 문제를 야기한다는 것입니다. (AES). 이러한 장치는 리소스가 제한된 장치의 크기, 전력 소비 및 처리 기능을 고려하여 보안은 높지만 계산은 낮은 알고리즘을 사용해야 합니다.

이것은 경량 암호화 암호가 들어오는 곳입니다. 타원 곡선 암호화예를 들어 Rivest-Shamir-Adleman과 동등한 보안을 제공하지만 더 작은 키 크기와 더 적은 처리가 필요한 작업을 제공하므로 저장 공간, 처리 능력 및 배터리 수명이 더 적은 장치에 이상적인 옵션입니다. 다른 경량 암호에는 경량 AES인 Clefia가 포함됩니다. 하드웨어 지향 스트림 암호인 Enocoro 그리고 점을 찍다, add-rotate-xor 암호.

전문가들은 또한 Transport Layer Security 또는 Datagram TLS와 같은 신뢰할 수 있는 보안 프로토콜을 사용할 것을 권장합니다.

PKI는 또 다른 검증된 보안 옵션. 제조 또는 기업 수준에서 장치에 내장할 수 있습니다. PKI는 공개 암호화 키의 배포 및 식별을 지원하여 사용자와 장치가 데이터를 안전하게 교환할 수 있도록 합니다. 장치에 고유 ID 및 디지털 인증서를 발급합니다.

암호화 외에도 적절한 암호화 키 수명 주기 관리 프로세스를 정의합니다.

8. 네트워크 보안

IoT 장치와 수집한 데이터를 보호하는 것도 중요하지만 해당 장치가 연결하는 네트워크를 무단 액세스 및 공격으로부터 안전하게 유지하는 것도 똑같이 중요합니다. IPSes/IDSes, 맬웨어 방지, 방화벽, 네트워크 탐지 및 대응 또는 EDR을 사용합니다.

또 다른 IoT 보안 모범 사례는 IoT 환경 세분화 나머지 네트워크에서. 오늘날 주요 IoT 보안 문제 중 하나는 IT 네트워크에 연결된 운영 기술(OT) 네트워크가 일반적으로 과거에는 위협으로 간주되지 않았다는 것입니다. OT 네트워크는 인터넷에 연결되지 않았고 때때로 해킹을 당했지만 IT 네트워크에 임박한 위협을 가하지는 않았습니다. 수십 년 된 레거시 OT 시스템은 종종 자체 독점 시스템을 실행하므로 일반적인 보안 메커니즘이 일상적인 점검 중에 문제를 간과할 수 있습니다. OT 장치 및 기계는 쉽고 비용 효율적으로 교체할 수 없기 때문에 조직은 이를 업데이트, 패치 및 보호해야 합니다. 너무 오래되어 더 이상 패치가 적용되지 않아 보안 팀의 과제가 될 수 있습니다.

을 통하여 네트워크 세분화, 조직은 서로 다른 네트워크 또는 네트워크의 일부를 서로 다른 영역에 배치하여 하위 네트워크를 만들 수 있습니다. 예를 들어 영업, 재무, 운영 등에 대해 각각 하나의 영역을 사용합니다. 각 영역에는 사용자, 장치 및 데이터를 기반으로 하는 고유한 맞춤형 보안 정책이 있습니다.

네트워크 분할에 대한 일반적인 불만은 효율성과 연결성을 방해한다는 것입니다. 사용 IoT 게이트웨이 이러한 문제를 완화할 수 있습니다. 장치와 네트워크 사이의 중개자 역할을 하는 보안 게이트웨이는 연결된 IoT 장치보다 처리 능력, 메모리 및 컴퓨팅 기능이 더 많습니다. 따라서 장치에 더 가까운 방화벽 및 맬웨어 방지와 같은 더 강력한 보안 조치를 구현하여 보안 위협이 네트워크로 전달되는 것을 방지할 수 있습니다.

[포함 된 콘텐츠]

맬웨어 방지, 방화벽, IPSes/IDS 및 네트워크 세분화 외에도 포트 보안을 보장하고 포트 포워딩을 비활성화하며 필요하지 않을 때 포트를 열지 않음으로써 IoT 위험을 방지합니다. 또한 승인되지 않은 IP 주소를 차단하십시오.

대역폭은 또 다른 일반적인 IoT 과제입니다. IoT 네트워크가 확장되고 더 많은 연결된 장치가 네트워크에 연결됨에 따라 비즈니스 연속성(BC) 문제가 발생합니다. 중요한 애플리케이션이 필요한 대역폭을 받지 못하면 생산성과 효율성이 저하됩니다. 애플리케이션 및 서비스의 고가용성을 보장하려면 대역폭을 추가하고 트래픽 관리 및 모니터링을 강화하는 것이 좋습니다. 이는 BC 문제를 완화할 뿐만 아니라 잠재적인 손실도 방지합니다. 프로젝트 계획 관점에서 용량 계획을 수행하고 향후 증가하는 대역폭 수요를 충족할 수 있도록 네트워크의 성장률을 관찰하십시오.

네트워크 보안에 대한 또 다른 고려 사항은 IoT 통신 프로토콜 사용. 특히 보안 기능과 관련하여 모든 프로토콜이 동일하게 생성되는 것은 아닙니다. Bluetooth 및 Bluetooth 저에너지에서 셀룰러, MQTT, Wi-Fi, Zigbee, Z-Wave에 이르기까지 프로토콜을 사용하기 전에 IoT 환경과 보안 요구 사항을 고려하십시오. 안전하지 않은 통신은 도청으로 이어질 수 있으며 중간자 공격.

9. 표준화 부족

표준은 업계와 학계에서 일반적으로 합의한 일련의 사양, 규칙 또는 프로세스입니다. 글로벌 표준은 IoT 환경이 원활하게 작동하는 데 필요한 제품 및 애플리케이션 간의 일관성과 호환성을 보장하는 데 도움이 됩니다.

IoT 산업은 보안 및 기타 측면에서 처음부터 표준화 부족으로 어려움을 겪었습니다. 하지만 상황이 변하고 있습니다. 정부와 표준 기관은 보안이 장치에 내장되도록 하기 위한 법률 및 규정을 발표하기 시작했습니다.

2018년 승인, 캘리포니아의 SB-327, "정보 프라이버시: 연결된 장치"는 제조업체가 장치에 "합리적인" 보안 기능을 갖추도록 요구합니다. 여기에는 각 장치에 대해 미리 프로그래밍된 고유한 암호와 처음 사용할 때 새 암호를 생성해야 하는 설정이 포함됩니다. 또한 2018년에는 영국 출판 “소비자 IoT 보안을 위한 실천 강령”이 이어졌습니다. 유럽 ​​통신 표준 협회의 기술 사양 103 645, 소비자 기기의 안전을 규제하는 표준, 2019. 미국의 2020 사물인터넷 사이버보안 개선법 NIST와 미국 예산관리국은 연방 정부에서 사용하는 IoT 장치의 보안 조치에 대한 지침과 표준을 개발하도록 요구했습니다.

기업은 정부, 소비자 등 새로운 표준을 따라잡아야 합니다. 이는 향후 IoT 장치 제조 및 보안 표준에 영향을 미칠 것입니다.

10. IoT 기술 격차

기술 격차는 모든 산업에 영향을 미쳤으며 IoT도 마찬가지입니다. IoT가 다른 산업과 차별화되는 한 가지는 새로운 분야라는 것입니다. 그것은 또한 IT와 OT의 융합즉, OT에 능통한 개인은 IT에 정통하지 않을 가능성이 높으며 그 반대의 경우도 마찬가지입니다. 또한 IoT는 단일 분야가 아닙니다. 많은 기술이 필요합니다 사이버 보안 및 UX 디자인에서 기계 학습 및 AI 지식, 애플리케이션 개발에 이르기까지 성공적인 IoT 전문가가 되기 위해.

IoT 관련 인증 연결된 환경에 대한 기본 지식을 제공하는 IoT 보안 관련 교육을 포함하여 교육이 등장했습니다.

기술 격차를 줄이는 것은 모든 산업 분야에서 어려운 일입니다. 사내 직원을 위한 교육 및 인증에 투자하는 것도 하나의 옵션입니다. IoT 관련 프로젝트를 위해 타사 및 컨설턴트를 고용하는 것도 또 다른 옵션이지만 수행해야 하는 프로젝트 수에 따라 비용이 많이 들 수 있습니다. 프로젝트를 완전히 아웃소싱할 수도 있습니다.

안전한 IoT 사용에 대해 최종 사용자를 교육하는 것도 중요합니다. 많은 사용자는 스마트 TV, 스피커 및 베이비 모니터와 같은 스마트 홈 장치가 자신과 직장에 가하는 보안 위협을 인식하지 못할 수 있습니다.