04月14日 綜合消息:目前,隨著物聯網(IoT)的發展,從手機和汽車到冰箱和燈開關,幾乎所有的電子設備都可以連接到互聯網。現在連接到互聯網的設備數量正在迅速增長,預計到2020年,這個數字將達到500億。
但是,雖然物聯網看起來很有創意而且很方便,但這種趨勢也帶來了安全風險,企業和消費者都將不可避免地要面對這些風險。具有操作系統的聯網設備都可能受到攻擊,所以這些設備可能會成為攻擊者入侵企業的后門。
以下,我們將討論物聯網的發展情況,并探討企業應該如何應對物聯網設備帶來的安全風險。
什么是IoT?為什么它越來越受歡迎?
IoT的概念正在迅速遍及整個社會,它幾乎可以改善每個人的生活和每個企業的運作。這給企業創造了巨大的機會來開發新的服務和產品,從而為其客戶提供更多的便利,并提高他們的滿意度。
而在用戶方面,谷歌公司最近宣布正在與主流汽車制造商(奧迪、通用汽車和本田)合作,將連接Android的汽車推向市場。目前,谷歌公司正在 開發一款新的Android平臺,用以連接汽車到互聯網。可能不久以后,汽車車主將能夠從計算機或者智能手機鎖定或者解鎖其車輛、啟動發動機甚至監控車輛 性能。
除了給個人用戶帶來的這些好處,IoT設備還能夠給企業帶來巨大優勢,企業移動管理就是一個很好的例子。想象一下,快遞到企業的每個包裹附帶內 置RFID芯片,該芯片可以連接到企業的網絡,并關聯到相關物流系統。或者在醫療環境,檢查室的每臺儀器都連接到網絡,并傳輸傳感器收集的病人數據。在養 殖業方面也有優勢,試想一下,對每個動物進行數字化跟蹤,以監視其位置、健康情況和行為。IoT的潛能是無限的,可連接到互聯網的設備數量也是無限的。
但是,在IoT帶來優勢的同時,也帶來了很多風險。連接到互聯網的任何設備都有嵌入式操作系統部署在其固件中,由于嵌入式操作系統通常沒有將安 全性作為首要考慮因素,所以幾乎所有這種操作系統都存在漏洞,針對Android設備的惡意軟件數量就是最好的例子。類似威脅也可能在IoT設備間傳播。
企業和用戶必須準備好應對IoT的諸多風險問題。下面列出了物聯網領域將面對的七個風險問題,并提出了可以幫助企業應對這些風險的建議。
1.破壞性攻擊和拒絕服務攻擊
為了避免潛在的運行故障和企業服務中斷,企業的重點工作是確保IoT設備的持續可用性。即使是增加新終端到網絡這樣看似簡單的過程(特別是采用 機器對機器通信的自動設備,例如幫助運行電站或建立環境控制的設備),企業都必須關注針對這些部署在遠程位置的設備的物理攻擊。這將要求企業加強物理安全 以防止對安全外圍之外的設備的未經授權訪問。
破壞性網絡攻擊(例如拒絕服務攻擊)可能為企業帶來嚴重后果。如果數千臺IoT設備試圖訪問企業網站或者數據feed,而發現其不可用時,企業曾經滿意的客戶將會感到不滿,這會導致企業收入損失、客戶不滿,還可能影響企業在市場的聲譽。
IoT面臨的很多挑戰與攜帶自己設備到工作場所趨勢的挑戰很類似。管理丟失或被盜設備的功能(無論是遠程擦除還是至少禁用其連接)對于處理受攻 擊IoT設備是關鍵因素。部署這種企業戰略將能夠幫助減小企業數據落入壞人之手后的風險。其他管理BYOD的政策也會有所幫助。
2.了解漏洞的復雜性
去年,一個未知攻擊者利用了流行的聯網嬰兒監視器中的已知漏洞來窺探一個兩歲小孩。這個事件表明,IoT可能給企業和消費者帶來巨大的風險。另 一個更具戲劇性的例子是,想象一下,使用溫控器等簡單IoT設備來操作核電廠的溫度讀數。如果攻擊者攻擊了該設備,后果可能是災難性的。因此,了解這些復 雜儀表的漏洞所在及其構成的威脅嚴重性,是非常重要的工作。為了降低這種風險,任何涉及IoT設備的項目都必須在設計中考慮安全因素,并部署安全控制,以 及利用預先建立的基于角色的安全模型。由于這些設備可能涉及企業可能從未見過的硬件、平臺和軟件,漏洞的類型也可能也不同于企業先前面對的漏洞。企業絕對 不要低估IoT設備可能帶來的風險。
3.IOT漏洞管理
在IoT環境的另一大挑戰是,弄清楚如何快速修復IoT設備漏洞以及如何優先排序漏洞修復工作。
由于大多數IoT設備需要固件升級來修復漏洞,遠程完成修復工作將變得復雜。例如,如果打印機需要固件升級,IT部門不太可能像在服務器或桌面系統那樣快速地安裝補丁;升級自定義固件通常需要額外的時間和精力。
同樣具有挑戰性的是,如何處理IoT設備首次使用時提供的默認登錄憑證。通常情況下,無線接入點或打印機等設備會使用已知的管理員ID和密碼。 此外,設備可能提供一個內置web服務器,允許管理員遠程連接、登錄和管理設備。然而,這是一個巨大的漏洞,可能讓IoT設備落入攻擊者的手中。對于這個 問題,企業需要制定嚴格的調試過程,還需要創造一個開發環境來測試和掃描設備的初始配置,以發現其中的漏洞,并在設備轉移到生產環境之前解決這些問題。同 時,這還需要合規團隊來確認設備已經可用于生產環境,定期測試安全控制,并確保密切監測和控制對設備的任何更改,還有及時解決任何發現的操作漏洞。
4.確定和部署安全控制
在IT世界,冗余性是關鍵;如果一個產品故障了,另一個產品應該能夠接替它。分層安全概念的工作原理與之類似,但這取決于企業如何分層安全和冗 余性來管理IoT風險。例如,在醫療保健行業,醫療設備不僅可以監控病人的健康狀態,還能夠基于設備執行的分析來配藥。我們也不難想象到,如果這些設備遭 受攻擊,后果將多么嚴重。
企業所面臨的挑戰在于,對于這些新興的聯網設備,哪些位置需要安全控制,以及如何部署有效地控制。鑒于這些設備的多樣性,企業將需要進行自定義 風險評估,以發現有哪些風險以及如何控制這些風險,這種風險評估通常需要依賴于第三方的專業技術。這里一個有趣的例子是,前副總統Dick Cheney因擔心恐怖分子會入侵他體內植入的醫用心臟除顫器實施致命電擊,而關閉了該除顫器的遠程連接功能。遺憾的是,大多數企業無法讓這些設備離線。 在所有情況下,擁抱IoT趨勢的企業必須定義自己的信息安全控制來確保對IoT的可接受的充分的保護。隨著這種趨勢的日趨成熟,行業專業人士肯定會開發出 最佳做法。
5.滿足對安全分析功能的需求
對于連接到互聯網的各種新的Wi-Fi設備,企業將需要收集、匯總、處理和分析海量數據。雖然企業會在這些數據中發現新的商業機會,但這也意味著新的風險。
企業必須能夠識別IoT設備上的合法和惡意流量模式。例如,如果企業試圖下載看似合法的應用到其智能手機,而其實該應用包含惡意軟件,企業最好 部署可操作的威脅智能措施來發現這種威脅。最佳分析工具和算法不僅能夠檢測惡意活動,而且還能夠提高客戶的支持力度,以及改進提供給客戶的服務。
為了迎接這些挑戰,企業必須構建正確的工作和流程以提供足夠的安全分析功能。
6.模塊化硬件和軟件組件
在IoT的各個方面都應該考慮和部署安全性,從而更好地控制聯網設備的部件和模塊。企業還應該預計到,攻擊者會試圖破壞IoT設備的供應鏈,植 入惡意代碼和其他漏洞,并在設備部署在企業環境后利用它們發動攻擊。企業可能還有必要為IoT設備采用Forrester Zero Trust等安全模型。
如果可能的話,企業還應該隔離這些設備到其自身的網段或vLAN。此外,微內核或管理程序等技術可與嵌入式系統結合使用,以在安全泄露事故中隔離系統。
7.快速增加的帶寬需求
根據Palo Alto公司進行的一項研究顯示,在2011年11月和2012年5月之間,在該供應商監測的網絡中,網絡流量增加了700%,這主要歸功于流媒體、P2P應用和社交媒體。隨著越來越多的設備連接到互聯網,這一數字還將繼續增加。
然而,對互聯網的需求增加可能會提高業務連續性風險。如果關鍵應用不能獲得其所需的帶寬,消費者將獲得糟糕的體驗,員工工作效率會受到影響,企業盈利能力也可能會下降。
為了確保服務的高可用性,企業必須考慮增加帶寬以及提高流量管理和監控。這不僅將降低業務連續性風險,還可以防止潛在的損失。此外,從項目規劃的角度來看,企業需要進行容量規劃,并檢查網絡的增長速度,以確保滿足快速增長的帶寬要求。
物聯網給消費者以及企業帶來了巨大的潛力,但同時也帶來了風險。信息安全企業必須開始準備從保護個人電腦、服務器、移動設備和傳統IT基礎設 施,過渡到管理更廣泛的互連設備,包括可穿戴設備、傳感器和我們目前無法預見到的技術。企業安全團隊現在應該采取措施來研究最佳安全做法以保護這些新興設 備,并且,隨著這些設備進入企業網絡進行機器對機器通信、海量數據收集和很多其他用途,企業必須準備更新風險矩陣和安全政策。企業內增加的復雜性不容忽 視,同時,為了在日益互連的數字世界確保基本的機密性、完整性和可用性,威脅建模將是關鍵。
京公網安備 11010502049343號