信息技術(shù)在演進中,而安全未能保持同步。從汽車到工控系統(tǒng)再到冰箱,所有事物互聯(lián)起來,它們發(fā)送或接收著來自移動應(yīng)用與云服務(wù)的數(shù)據(jù),計算機技術(shù)的應(yīng)用在我們的日常生活中變得更為普遍。而我們需要整體安全方案來跟上成長中的物聯(lián)網(wǎng)(IoT)。
盡管一次針對智能調(diào)溫器的攻擊似乎微不足道,但涉及7千多萬客戶信息泄露的Target數(shù)據(jù)泄露事件,正是由于公司門店的加熱與通風(fēng)管理控制系統(tǒng)安全性較 差所致。而其他引人注目的物聯(lián)網(wǎng)攻擊也已浮出水面,從Carna嵌入式設(shè)備僵尸網(wǎng)絡(luò)與TRENDnet網(wǎng)絡(luò)攝像頭攻擊代碼,到Linux.Darlloz 蠕蟲,以及由Proofpoint發(fā)現(xiàn)的Thingsbot攻擊。Proofpoint是一家安全即服務(wù)(SaaS)提供商。
安全缺失
物聯(lián)網(wǎng)設(shè)備的多樣性急劇增加攻擊代碼及惡意軟件的攻擊面。HP安全研究的一份報告提供了10大消費者設(shè)備名單,并發(fā)現(xiàn)了數(shù)量驚人的漏洞(未進行傳輸加密、不安全的Web界面、授權(quán)與軟件防護問題)及隱私問題。
糟糕的物聯(lián)網(wǎng)安全主要由兩個問題導(dǎo)致:
· 新設(shè)備搶占市場意味著其設(shè)計階段未包含安全、或安全考慮存在嚴(yán)重局限性,或糟糕的實現(xiàn)。
· 制造或運輸?shù)阮I(lǐng)域的舊有嵌入式系統(tǒng),其開發(fā)者沒有考慮安全控制,因為這些系統(tǒng)最初是與IP網(wǎng)絡(luò)隔離的且采取了氣隙安全措施。隨著工業(yè)控制系統(tǒng)日益網(wǎng)絡(luò)化以及可遠(yuǎn)程管理,這些物理隔離正在快速消失。
HP研究表明,即使是已經(jīng)教育了20多年的基本安全原則,如使用強密碼,也沒有用于產(chǎn)品開發(fā)周期中。為改進物聯(lián)網(wǎng)安全,我們可以做什么?
新的安全模型和標(biāo)準(zhǔn)對物聯(lián)網(wǎng)防護至為關(guān)鍵。我們現(xiàn)有PC及智能手機的安全模型不適用物聯(lián)網(wǎng)設(shè)備。大多數(shù)物聯(lián)網(wǎng)設(shè)備處理和存儲能力有限。工業(yè)控制系統(tǒng)通常安 裝在關(guān)鍵的運營環(huán)境中。許多”智能”產(chǎn)品在消費者手中落入”安裝即忘記”的擱置狀態(tài)。我們現(xiàn)有的定期更新安全補丁、安裝和更新防病毒軟件以及配置主機防火 墻等安全模型,對這些類型的物聯(lián)網(wǎng)設(shè)備而言都不可行。
除了新的安全模型,新的標(biāo)準(zhǔn)對于確保物聯(lián)網(wǎng)設(shè)備的安全性及互操作性也至關(guān)重要。消費者物聯(lián)網(wǎng)市場監(jiān)管松散并且缺乏安保與安全標(biāo)準(zhǔn)。諸如醫(yī)藥、制造、汽車以 及運輸?shù)绕渌袌鲆延械陌脖Ec安全標(biāo)準(zhǔn)都必須更新,將物聯(lián)網(wǎng)設(shè)備補充進去。有幾個小組正在探索物聯(lián)網(wǎng)標(biāo)準(zhǔn),包括工業(yè)互聯(lián)網(wǎng)聯(lián)盟、Thread、 AllJoyn,以及開放互聯(lián)聯(lián)盟。開放互連聯(lián)盟由Broadcom、戴爾、英特爾和三星等企業(yè)創(chuàng)建于7月。未來哪項標(biāo)準(zhǔn)將占到上風(fēng)且最為廣泛使用將是有 趣的話題。
物聯(lián)網(wǎng)安全措施
在新的安全模型和標(biāo)準(zhǔn)出現(xiàn)之前,物聯(lián)網(wǎng)設(shè)備最低限度應(yīng)實施以下安全實踐:
使用安全開發(fā)實踐。OWASP物聯(lián)網(wǎng)Top 10提供了良好的安全控制基線。如強認(rèn)證與安全的Web界面等基本控制,原本應(yīng)可以解決HP Foritfy在消費者物聯(lián)網(wǎng)設(shè)備中識別到的眾多安全問題。
保護數(shù)據(jù)。物聯(lián)網(wǎng)領(lǐng)域,數(shù)據(jù)是移動的而網(wǎng)絡(luò)邊界是模糊的。為確保隱私,必須對靜止的和傳輸過程中的數(shù)據(jù)都加以保護。
披露對個人身份信息(PII)的處理機制。廠商應(yīng)該披露正收集和共享的PII,以及對它是如何進行保護的。
加密、加密還是加密。加密是物聯(lián)網(wǎng)安全的關(guān)鍵部件。當(dāng)數(shù)據(jù)遍歷于設(shè)備間、設(shè)備與移動應(yīng)用間以及移動應(yīng)用間或設(shè)備與諸如云這樣的其他網(wǎng)絡(luò)間時,必須對之加密。此外,對設(shè)備的軟件更新也應(yīng)該進行加密處理。
進行安全評估。IT安全人員應(yīng)該進行他們自己的產(chǎn)品安全評估,檢查設(shè)備、應(yīng)用及通信是否安全。
組織如何能改進物聯(lián)網(wǎng)安全?目前新的標(biāo)準(zhǔn)和安全模型以及安全設(shè)備尚在開發(fā)中,有這樣一些措施可供安全專家用于改進現(xiàn)有物聯(lián)網(wǎng)設(shè)備的安全:
· 風(fēng)險管理以及持續(xù)監(jiān)控戰(zhàn)略中應(yīng)包括物聯(lián)網(wǎng)設(shè)備
· 將用于網(wǎng)絡(luò)與移動設(shè)備的相同安全方法充分利用于保護物聯(lián)網(wǎng)設(shè)備
· 為那些由防火墻保護及入侵防御系統(tǒng)監(jiān)控的設(shè)備以及一個已劃分的網(wǎng)絡(luò),創(chuàng)建一份資產(chǎn)清單
· 通過更改默認(rèn)設(shè)置、創(chuàng)建強密碼,盡可能多的啟用端點安全
· 對新設(shè)備執(zhí)行主動掃描
· 為物聯(lián)網(wǎng)設(shè)備創(chuàng)建補丁策略
使用消費者物聯(lián)網(wǎng)設(shè)備的員工,應(yīng)該啟用可用的安全特性,如加密、更改默認(rèn)設(shè)置以及啟用強密碼。
企業(yè)應(yīng)該購買安全內(nèi)置的產(chǎn)品,包括那些對數(shù)據(jù)及軟件更新進行加密的產(chǎn)品。我們的計算需求正在發(fā)生變化,而安全必須是主動的而非被動的。盡管某些物聯(lián)網(wǎng)設(shè)備比較新奇,但許多設(shè)備對人、財產(chǎn)和資源的安全至關(guān)重要。一旦出現(xiàn)缺口,生命和安全處于風(fēng)險中,那就說什么都太晚了。
京公網(wǎng)安備 11010502049343號