如今,組織與物聯網設備相關的安全風險不能忽視。如果組織的大數據計劃包括物聯網設備,請按照以下四個步驟,減少安全漏洞。
2016年10月21日,Dyn公司遭遇了一系列分布式拒絕服務(DDoS)攻擊,這是由惡意軟件僵尸網絡Mirai造成的。一些知名的域名系統提供商的數百個主要網站都遭到攻擊,其中包括Netflix,Twitter和PayPal公司。惡意軟件在遭到黑客攻擊的網絡連接的攝像機和數字記錄器的幫助下通過系統感染并傳播。并且安全專家表示,他們對家庭電子和物聯網(IoT)新威脅十分關注。
大數據的領導者應該特別注意最近的攻擊行為,這就是為什么將物聯網融入分析項目,其安全需要成為頭等大事。
研究機構Gartner公司預計到2020年將部署260億個物聯網設備。這些物聯網設備和傳感器將連接到貨運集裝箱,設施報警,數據中心,HVAC環境監測設備,醫院手術室等,并且將期望企業對從這些設備收集的信息。
已經部署在現場的物聯網應用中,其中包括電氣和燃氣公用事業使用的智能電表。估計到2020年,全球將安裝超過9億部智能電表。亞洲正在向智能電網轉型,其次是歐洲和北美。安裝這些智能電表的成本超過1000億美元,但預計的財務效益將達到1600億美元。所以投資回報率(ROI)是存在的,但是企業還有什么需要擔心的呢?
而使用智能電表,這些數百萬計的具有物理暴露風險的設備,能夠從多個入口點植入軟件攻擊,其損害的程度將會更大,這種物聯網的暴露風險也適用于制造,物流和其他公司在企業邊緣操作物聯網設備,甚至到業務高度集中的公司,其中惡意軟件可能通過物聯網監控的HVAC或環境監控設備實施破壞。
2015年12月,烏克蘭135個變電站中有30個遭到網絡安全攻擊,電力中斷近6個小時。最初,黑客使用惡意軟件指示電力設施的工業控制計算機斷開變電站;然后,他們植入一個wiper病毒,使計算機不能操作。
2016年9月,大量的物聯網設備和約15萬個閉路電視攝像機成為了僵尸網絡的一部分,攻擊法國網絡托管公司的基礎設施,也影響了物聯網設備。在此期間,每秒1.1T數據攻擊該公司的網絡系統。
PenTestPartners公司總裁科恩·蒙羅表示:“我們之前曾經猜測過有人可能會惡意使用物聯網設備,但這個案例似乎是首個直接歸因于大量物聯網設備造成的大規模DDoS攻擊。”
2016年9月的“互聯網營銷”雜志中援引蒙羅的話說:“我們每周都會發現易受攻擊的物聯網設備,每個星期都有大量的設備被攻擊。近日,我們私下向供應商披露了一個物聯網設備的遠程代碼執行漏洞,這個漏洞存在于30多萬個設備中,這種遙控裝置可以用于觸發大量的請求,導致DoS攻擊,這還只是一種設備類型...因此,我們不認為物聯網所衍生DDoS的攻擊已經得到控制。”
可以采取什么樣的物聯網安全措施
那些使用或在其大數據計劃中使用物聯網技術的公司所面臨的一個問題是,目前尚未就如何在設備上實施物聯網中的安全性達成共識。這種缺乏共識是標準委員會解決的問題,而不是企業的IT部門解決。那么,如果企業正在使用或計劃使用物聯網,該怎么辦?應該遵循以下這些步驟。
首先,確定所有的物聯網所披露的黑客和違規行為,并編寫并制定計劃,定期監控它們。這種監測應該在兩個層面上進行:對設備進行定期物理檢查,并對基于網絡的系統對于這些設備進行持續的基于軟件的監測和記錄。并在任何時候檢測到來自設備的異常活動,則應該有一種方法來立即關閉該設備。
第二,如果企業計劃是在檢測到異常活動時立即關閉設備,還應該具有災難恢復和故障轉移過程,以便使自己的工廠和環境監控系統或任何其他物聯網應用程序可以繼續運行。
第三,企業應該與其責任保險提供商會面協商。在實施物聯網技術時,應該預計企業的預算中責任保險費的增加。企業的責任保險公司不希望看到因為數據泄露,妥協和損害導致成本上升。其保險公司可能有一個可以推薦的客戶的最佳實踐列表,可以幫助企業實現物聯網規劃,并提供應對策略。
最后但并非最不重要的,與企業的潛在物聯網供應商討論安全問題。他們的產品采用了哪些安全技術和最佳實踐?他們愿意提供什么樣安全保證和保護?在具有安全漏洞的情況下,他們提供什么級別的設備升級和支持?
利好消息
在大多數公司的大數據計劃中,物聯網仍然是一種新興技術。在企業評估物聯網最適合其運營和戰略之后,還應該對于安全,故障轉移,以及緩解有著周全的措施。因為大家知道,黑客將無處不在。
京公網安備 11010502049343號