IoT 사이버 보안 개선법:그것이 의미하는 바는 무엇이며 어떻게 대비해야 합니까?

2017년 IoT 사이버 보안 개선법의 목표는 "연방 기관에서 구매한 인터넷 연결 장치 및 기타 목적에 대해 최소한의 사이버 보안 운영 표준을 제공하는 것"입니다.

제안된 법안에 따라 공급업체는 다음을 포함하여 정부 기관과 계약을 체결하기 전에 여러 요구 사항을 충족해야 합니다.

• 기기에 알려진 취약점 및 결함이 없어야 합니다.
• 기기는 정기적인 소프트웨어 업데이트를 받을 수 있어야 합니다.
• 기기에는 원격 관리, 업데이트 전달 또는 통신에 사용되는 고정 또는 하드 코딩된 자격 증명이 포함되어서는 안 됩니다.

그러나 민간 소유의 IoT 네트워크의 안전 및 경제적 영향을 고려할 때 이러한 규제는 정부 계약을 넘어서 확장될 가능성이 있습니다. 테드 코펠(Ted Koppel)은 미국 전력망에 대한 IoT 공격이 대규모 정전을 일으킬 수 있다고 경고했으며, 이스라엘의 연구원들이 도시의 사무실 블록에서 조명을 제어하기 위해 "스마트 전구"에 대한 공격을 시뮬레이션했을 때 이것이 단순한 경보가 아님을 보여주었습니다. .

기업의 경우 이러한 공격은 DNS 공급자 Dyn에 존재하는 위협이 될 수 있습니다. 비즈니스 비용의 8%를 차지할 수 있는 DDoS 공격을 경험했습니다. 따라서 더 많은 규제와 산업 표준을 기대할 수 있지만 조직은 시스템을 보호하기 위해 자체적인 사전 조치를 취해야 합니다.

<노스크립트>

모든 기업이 취해야 할 조치

네트워크 보안에 대한 표준 접근 방식(패치, 방화벽, 스파이웨어 탐지, 직원 교육 등)으로는 IoT 위협을 차단하기에 충분하지 않습니다. 소프트웨어 인프라와 원격으로 배포된 장치의 조합은 보안에 대한 새로운 사고 방식을 요구하는 새로운 차원의 보안을 추가합니다.

그러나 기업이 공격을 방지할 수 있을 뿐만 아니라 최신 법률을 준수하기 위해 취해야 하는 몇 가지 단계가 있습니다.

• 특정 영역/지역을 제어하는 ​​게이트웨이와 달리 각 개별 장치를 모니터링 및 관리할 수 있으므로 네트워크를 보다 효과적으로 제어할 수 있도록 각 개별 장치의 키를 암호화합니다.
• 특정 기능에 대한 암호화 키 파생물만 사용
• 기기가 손상되더라도 짧은 시간 동안만 해커가 사용할 수 있도록 키를 정기적으로 교체합니다.
• 시스템에 대한 가시성과 제어를 중앙 집중화하여 의심스러운 기기를 직접 격리하고 비활성화할 수 있습니다.
• 분석가 Patrick Moorhead는 하드웨어 기반 보안 또는 컴퓨터 시스템에 설치된 소프트웨어가 아닌 물리적 장치에 의해 생성된 보호를 활용합니다. 이 전술은 변경할 수 없기 때문에 소프트웨어보다 더 안전합니다. 맬웨어가 운영 체제 및 가상화 계층에 침투하는 것을 방지

IDC에 따르면 , IoT 투자는 2021년까지 총 1조 4000억 달러(1조 1700억 유로)가 될 것으로 예상됩니다. IoT 시스템은 이미 약 250억 개의 장치를 온라인으로 전환했습니다 , 그리고 Hewlett Packard에 따르면 연구에 따르면 70~80%는 암호화 및 충분한 암호 보호가 부족할 수 있습니다.

이들은 상상할 수 있는 최악의 사이버 공격 중 일부의 주요 표적이며 기업은 지금 조치를 취하여 이러한 공격을 보호해야 합니다. 그러나 기업은 올바른 접근 방식을 통해 매우 안전한 IoT 네트워크를 구축하여 IoT가 제공하는 엄청난 경제적 잠재력을 실현할 수 있습니다.

이 블로그의 작성자는 Helium의 CEO인 Amir Haleem입니다.