如今,快速發展的物聯網設備確實能夠在日常生活中為人們提供幫助,通過提供連接和智能服務,可以使人們的生活更輕松。然而,當人們進入這個新的技術階段時,必須集中精力提高所有新設備和支持應用的安全性,需要保護自己免受網絡安全威脅。
物聯網(IoT)繼續呈增長勢頭。根據近期的研究表明,從2014年到2020年物聯網設備的數量將以23.1%的年復合增長率增長,到2020年將達到510億臺。在未來3年內,連接到互聯網的設備數量是否達到這么高的水平還有待時間來證明,顯然,傳感器和小工具的增長是爆炸性的。問題是如果物聯網設備繼續快速發展,那么所有這些數據將如何保持保護、私有和安全?
消費者對于便捷,永遠在線和無處不在的訪問似乎是永不滿足。例如,當購物者忘記了雜貨清單時,現在可能通過冰箱的通知了解是否需要雞蛋或牛奶。這種類型的物聯網設備的能力增長高于人們的預期,而為了保持一切正常運行,增加了數據中心基礎設施,人員,流程和技術的壓力。可以看出,這些物聯網設備的新用途正在網絡上開辟了新端點,從而轉化為潛在的安全問題。在某些情況下,這些設備正在傳播信息,這為網絡犯罪分子尋找漏洞提供了主要目標。
為了保持這些平臺的安全性,首當其沖的責任將在于這些物聯網生產商,這些企業擔負著保護物聯網和虛擬基礎設施的責任,并保護物聯網平臺上的動態數據和信息的蓬勃發展。當許多人在考慮相關的安全風險時,大多數人并不知道這些廠商和技術只能解決其中的一部分問題。為確保物聯網數據安全,基礎設施,人員,以及流程也很重要。
與物聯網有關的風險有很多。事實上根據行業媒體的報道,2016年的網絡攻擊的數量達到9000萬次,這意味著每分鐘400次。隨著數據通過虛擬生態系統傳播時,其安全性必須超出設備本身。這意味著,保持信息和物理安全,以及部署合適的人員監控和主動測試安全性的過程對于維護安全的環境至關重要。因此,各級部門必須采取各種保護和控制措施,將安全性“最強”的數據中心與較弱或更加脆弱的數據中心設施和系統分開。
物聯網的技術保障
到物聯網管理系統和設備的網絡路由:到物聯網管理界面以及設備本身的路由可能會打開額外的安全漏洞。物聯網設備按定義進行通信;它們可以向管理系統推送數據,或者可以輪詢數據。API的開放端口都是惡意黑客查看協議運行并暴露弱點的機會。
(1)物聯網平臺的管理人員
在某些情況下,攻擊可能是發送給系統管理員請求的結果,該系統管理員意外點擊它,從而使黑客進入系統。
(2)更新物聯網設備固件
這可能聽起來很簡單,但檢查和更新固件可以讓企業比那些想要利用物聯網設備的人領先一步。如果物聯網設備存在可以利用的漏洞,生產制造商通常會在黑客訪問設備的環境之前識別并修復問題。
(3)默認密碼
默認密碼是物聯網設備不安全的區域。物聯網設備通常會帶有默認密碼,大多數人認為這是非威脅性的,這意味著那些不具有敏感的詳細信息(如家庭智能恒溫器)。然而,可能并不是這樣,因為這些設備可能有與物聯網管理平臺進行通信的一種方式。
(4)回到基礎
將設備放在網絡上的概念不一定是一個新的想法,開發人員多年來已經解決了這個設計挑戰。回想一下,軟件架構已經進化和改變。例如,回顧過去25年來人們看到的各種軟件體系結構,例如胖客戶端,客戶端服務器,瘦客戶機,以及服務器。回到人們用于其他平臺的基本安全原則,也適用于物聯網平臺。
咨詢企業的物聯網設備供應商:在許多情況下,這意味著企業需要詢問先前使用的平臺架構提出的所有問題,并對“漏洞”進行“測試”。這些包括:設備如何捕獲,存儲,以及傳輸數據?設備數據是否加密?設備上的數據是否被推送到物聯網的管理界面?
基礎設施+人員+流程
數據中心設施(如門禁,監控攝像頭和簽到表)的物理安全功能是至關重要的,但這些措施本身可能會受到影響。這就是為什么必須部署通過適當培訓的工作人員和控制措施來維護一個能夠支持所有這些平臺的安全數據中心的原因。所有數據中心員工必須每年進行安全意識培訓,以便能及時了解最新的威脅和潛在問題。
培訓人員必須超越那些管理數據中心的人員。重要的是讓訪問數據中心的每個人(從運營,IT,甚至銷售和營銷人員)了解這些安全風險及其對他們的意義。每個接觸數據中心的員工都有可能危及基礎設施,人員和流程。在物聯網平臺上培訓員工至關重要,這樣他們才能對技術方面有一個很好的理解,從而更好地了解他們應該尋找的東西。
這些揮之不去的威脅需要采取積極措施。人們將看到諸如ISO27001之類的信息安全標準變得越來越普遍,以確保不僅僅是工具,還有更多的信息。該認證是使整個企業參與安全和合規計劃的一個很好的例子,并確保進行額外的控制,以幫助測試其信息安全管理系統(ISMS)的整體有效性。
基礎設施,人員,流程和技術是可以加強存放物聯網數據的數據中心安全性的關鍵重點。但是讓人們不要忘記關于物聯網的其他一些風險因素。
物聯網正在改變人們對設備和應用程序的思考方式。它迫使越來越多的設備在公共網絡(即互聯網)上相互連接。將設備放在網絡上并不是一個新穎的概念,在許多情況下,如果在普通網絡接入大量輸入設備,這可能意味著為黑客大開門戶。這些設備中有許多是由公司和人員建立和管理的,他們把功能放在首位,而不是安全性。
企業需要采取積極主動的方式來處理物聯網安全,以確定他們有適當的控制和政策。政策是為了保護企業,幫助確保一切順利,并且“正常運行”,這樣數據中心內的客戶就可以放心地支持基礎設施、人員、流程和技術來支持這些平臺。安全處理程序,如事件響應、災難恢復和業務連續性計劃,應該是處理大量物聯網數據的業務的首要任務。
雖然這些新設備的設計使人們的工作和生活更加容易,但總是存在威脅,很多因素可能會導致物聯網設備成為黑客利用的工具。而這些只是在涉及物聯網安全風險時需要考慮的一些想法。