影响智能城市物联网基础设施的漏洞提供了一些缓解方法
根据Forrester Research的一份报告,全球智能城市物联网技术的安全安排处于令人沮丧的失修状态,该报告认为需要进行严重的改变以避免广泛的妥协。
许多错误与负责这些系统的人员缺乏了解以及未能遵循众所周知的安全最佳实践(如集中管理,网络可见性和限制攻击面)有关。
Merritt Maxim和Salvatore Schiano撰写的Forrester报告称,这些都是“让智慧城市安全可靠”的挑战。考虑到涉及互联网连接硬件的数量,智能城市的攻击面默认是巨大的。某些设备在某个地方可能容易受到攻击,并且由于设备在地理位置上分散,因此难以确保对它们的所有类型的访问。
更糟糕的是,一些遗留系统无法以安全的方式进行管理和更新。根据该报告,旧技术通常不包含实时更新,其漏洞可能非常严重。对某些类型设备的物理访问仍然是一个严峻的挑战。该报告给出了澳大利亚偏远地区污水处理厂的例子,这些污水处理厂遭到直接访问SCADA系统的承包商的破坏。
除了控制系统受损的风险之外,智能城市物联网的普遍不安全性使得它产生的大量数据高度怀疑。配置不当的设备可能会收集超出预期的信息,包括可能违反隐私法规的个人身份信息。此外,收集的数据被分析以收集关于诸如停车模式,水流量和电力使用之类的有用信息,并且不准确或受损的信息可能严重削弱智能城市技术对给定用户的价值。
报告称,“安全团队正在IT环境中逐渐成熟,需要进行数据清点,分类和流程映射,以及全面的风险和隐私影响评估,以推动适当的保护。” “在OT环境中,他们甚至落后了。”
然而,尽管物联网规划和实施在2017年和2018年之间翻了一番,但根据Forrester的数据,在安全方面的工作相对较少。该报告列出了2014年至2019年期间智能城市技术的13次网络攻击,其后果严重,包括广泛的停电,医院计算机上的勒索软件感染以及紧急服务中断。
根据Forrester的说法,仍然有前进的方向。仔细的日志监控可以让管理员及时了解网络上的正常情况和可疑情况。资产映射和集中控制平面功能应该使不良行为者更难以将恶意设备插入智能城市网络或控制安全性较低的项目。而智能警报 - 提供上下文信息的那种,区分“这个系统刚下雨并且连接不良”和“有人正在篡改这个系统” - 应该有助于城市在安全威胁出现时更加敏感。