企業的物聯網安全策略總是遇到障礙?我們知道挑戰有多大,不過通過下面的步驟,你可以避免某些常見的錯誤。
開始利用物聯網時,企業架構師需要對自己的安全策略進行再思考。利用嵌入式系統連接性的能力有賴于企業基礎設施向一組范圍大得多的設備開放,而這些設備均有可能引入新的物聯網安全漏洞。
“許多很快就要部署的物聯網和應用不會采用安全發展態勢下的最佳實踐,讓可能導致敏感數據被攔截的漏洞有被利用的可能,” Brian Russell說。Brian Russell是全國性的安全、健康與工程信息安全解決方案公司Leidos的工程師,專攻信息安全解決方案,還領導了云南拳聯盟的安全物聯網行動計劃。“物聯網制造商開始獲得專業知識來確保整個產品生命周期的安全將變得非常重要。”
用于管理和使能各個階段的物聯網安全的工具仍非常的不成熟。物聯網安全咨詢公司Laconicly的創始人Billy Rios說:“我們甚至還沒有幫助我們完成簡單任務(如尋找我們所有在網設備在哪里,確保設備用戶賬號具備可靠密碼)的工具。這些設備上的軟件安全非常恐怖。”
硬編碼(后門)的證書,不安全的協議,弱驗證和數據完整性都是極其普遍的。取證真的非常困難。Rios解釋說,“大多數組織缺乏工具和專業知識去對這些設備進行事件和取證調查,所以這些設備在進行事件處理和取證調查時往往會被忽視。”
跳出防火墻去思考
一大挑戰是物聯網設備會徹底跳過防火墻建立與第三方服務的長期連接,有的甚至表面上都不為企業所知。安全服務咨詢公司Rapid7負責戰略服務的資深安全顧問Mark Stanislav說,“企業部署現成物聯網服務應考慮那些設備擁有的網絡訪問的層級,有多少數據進行傳輸,開發此設備的組織在信息安全方面的成熟度如何等。”
如果物聯網設備被盜用,大多數組織基本上不要指望能知道發生了什么,因為對物聯網軟件和硬件的內部工作機制的了解非常有限。大部分這些物聯網設備都能給可危害單臺設備的攻擊者提供很大的能力,然后再逐步滲透到整個網絡,如果網絡沒有正確保護或者分段的話。“數據,無論是視頻、音頻、環境或其他敏感信息,往往都可以通過受入侵物聯網設備盜取出去,可能還會為犯罪分子提供組織有價值的信息來利用,” Stanislav補充道。
保護物聯網最大的不同在于要跳出防火墻去思考,因為物聯網意味著與公共互聯網的連接。物聯網分析服務提供商Keen IO的聯合創始人兼CTO Daniel Kador說:“問題不是如何防止設備受入侵,這是肯定會的。而是當這種事情發生時如何去處置。”
京公網安備 11010502049343號