国产精品成人在线,久久免费福利视频,亚洲伊人成综合成人网

制定物聯網安全策略的四種方法

責任編輯：editor006

2015-03-25 14:27:20

摘自：TechTarget中國

前文我們介紹了企業的物聯網安全策略為什么總是遇到障礙，以及在制定物聯網安全策略時，需跳出防火墻去思考。企業應該考慮利用物聯網設備的限制通過白名單技術去改善安全架構，英特爾的Wigle說。

前文我們介紹了企業的物聯網安全策略為什么總是遇到障礙，以及在制定物聯網安全策略時，需跳出防火墻去思考。本文將繼續介紹制定物聯網安全策略的方法。

處理補丁缺口

隨著企業找到了新的辦法從連接設備來獲得商業價值，把那些從未想過要連接或更新的設備連上去這種想法是有誘惑的。英特爾安全負責物聯網安全解決方案的副總裁Lorie Wigle說：“物聯網部署往往包括一開始并未打算聯網的連接設備，因此對它們并沒有進行任何的安全設計。尤其是工業物聯網設備，往往將服役時間或可用時間長作為其最高的優先級。”

這意味著臨時修補是有問題甚至是不合適的。另一個安全方面的擔憂是物聯網服務器往往不是放在有訪問限制的機房里面，這意味著物理安全會是更大的隱患，因為攻擊者可隨便折騰這些機器，如插入USB棒或者按按按鈕什么的，這些都是IT無法控制的

改進安全評估

為了評估可能會暴露到外面的物聯網數據的敏感性，組織需要把流程演進得更加敏捷，Zach Supalla說。Zach Supalla是開源物聯網工具包提供商Spark IO的創始人兼CEO。物聯網設備制造了大量的數據，有些是敏感的，有些則不是。采取適當的安全舉措多少有點瑣碎，但是由于許多應用敏感度不高，最大的問題會是經理在開發產品時無法確定哪些東西要保證安全，哪些不需要。

從某些方面來說，現在新的物聯網能力由于其不為人知的是可以享受到安全的好處的。采用各種不同的規范、協議太多，以至于惡意黑客很難開發出可輕易攻擊大規模設備的惡意軟件。Keen IO的Kador說：“我們目前處在標準化前期階段，因此對于黑帽來說在這里浪費太多時間沒有太大的意義，只需聚焦于Windows的利用即可。不過一旦物聯網規范標準化工作有了進展，可以預期將會涌現出一波以這些規范為目標的漏洞利用潮。”

對于企業來說對現有的物聯網漏洞曝光制定清單也是個不錯的想法。Laconicly的Rios說大多數企業并未意識到在自己的環境中已經有了一些物聯網設備。智能環境孔子和能源管理極其常見。在任何一個企業園區里面都有著各種不同的傳感器為智能HVAC、照明能源和訪問控制系統提供信息。

Rios說他曾偶然發現幾間會議室的可用性設備上顯示著會議室對真實的企業的調度安排。許多人沒有意識到的是這些設備存在著可怕的不安全。企業架構師應該關心許多這些設備是通過Exchange服務器來獲取會議室可用性情況的，這意味著它們通常拿到了一組企業證書。

資源約束設備

物聯網安全的實施挑戰性還會更大，因為它利用的是極端資源約束型設備，Spark IO'的Supalla說。運行通用目的的操作系統如Windows或Linux的計算機建立與另一服務器的加密連接是沒有問題的。但是咖啡壺里面的微控制器對于同樣地加密棧就沒有同等的資源和訪問權，而且還可能無法獲得足夠額信息熵去生成真正的隨機數用于密鑰。這些問題都可以解決，但是它們需要深思熟慮的實施和專業知識。

企業也許會考慮利用可幫助確保連接設備存取API和企業系統最佳實踐的物聯網工具包。比方說，Spark IO可幫助工程師和組織開發那種底層基礎設施已經被照顧得很好的連接產品，這樣他就可以專注于應用本身。安全性和可伸縮性都已經內置，這樣這些就不會是工程師必須擔心的問題。

企業應該考慮利用物聯網設備的限制通過白名單技術去改善安全架構，英特爾的Wigle說。由于物聯網設備并非一般用途設備，可考慮確定哪些應用和代碼可在上面運行而不是持續更新那些不能上面運行的。比方說，英特爾安全有超過200位客戶為自己的產品建立了白名單及變更控制解決方案。

利用物聯網安全行動計劃

物聯網安全分析仍處于早期階段。企業可能可以考慮以下若干行業和政府行動計劃來改善物聯網安全：

云安全聯盟正在與若干安全專家一起工作為早期采用者定義物聯網安全指南。其他組織如OWASP、Builditsecure.ly、 WhiteScope以及 I am the Cavalry也開始為幫助組織建立安全物聯網做出重大貢獻。Open Interconnect Consortium有開源物聯網化平臺，也正在進行標準制定工作。Industrial Internet Consortium正在為公司提供安全指南。NIST正在致力于網絡物理系統的安全。思科最近為物聯網安全努力提供了一個“大挑戰”。英特爾安全也有一個開發者計劃，用來給其他公司延伸安全管理，計劃叫做安全創新聯盟，可允許將解決方案植入ePolicy Orchestrator。

Rapid7的Stanislav說：“目前物聯網創新最大的安全力度聚焦在固件、API及在這些設備上的軟件操作的標準化上面。這個萌芽中的物聯網時代實際上是技術的狂野西部，成千上萬的供應商幾乎在沒有分享什么技術DNA的情況下來制造設備。缺乏對物聯網設備制造的約束推動了創新，但是這一點最終必須得到改變寶能保證可持續性以及安全的成熟度。”

聯網安全策略 Kador