當(dāng)你部署的技術(shù)可被攻擊者用來殺人時，你最好確保其安全性。

多年來，網(wǎng)絡(luò)安全專家一直在強調(diào)各種聯(lián)網(wǎng)設(shè)備激增所帶來的威脅。

專家警告稱，IoT設(shè)備讓我們的生活變得便利，但如果不小心，IoT設(shè)備也可能終結(jié)我們。

prpl基金會是致力于下一代數(shù)據(jù)中心軟件和架構(gòu)的開源聯(lián)盟，該聯(lián)盟首席安全戰(zhàn)略師Cesare Garlati表示：“大多數(shù)這些IoT設(shè)備連接到或者直接控制物理對象，例如電梯或供暖系統(tǒng)。因此數(shù)據(jù)泄露事故不僅僅會導(dǎo)致數(shù)據(jù)丟失以及罰款，甚至可能導(dǎo)致涉及人員傷亡或者死亡的物理攻擊。”

潛在嚴重危害

從智能手機到聯(lián)網(wǎng)攝像頭、醫(yī)療植入裝置到工業(yè)控制器，各種各樣的設(shè)備都已經(jīng)被證明容易到攻擊，很多可能造成經(jīng)濟和物理破壞。

現(xiàn)在大量攻擊者都渴望獲得這種控制我們生活、企業(yè)和經(jīng)濟的能力--攻擊者希望控制我們以獲得贖金，網(wǎng)絡(luò)恐怖分子希望制造混亂，而國家行為者則旨在從事秘密網(wǎng)絡(luò)戰(zhàn)爭。

諾丁漢大學(xué)數(shù)字經(jīng)濟學(xué)教授兼Horizon研究機構(gòu)主管Derek McAuley表示，這種威脅并不擴張。“這對生命帶來巨大的威脅，這也是為什么國內(nèi)外安全服務(wù)正非常關(guān)注網(wǎng)絡(luò)防御的原因，”他表示，“隨著技術(shù)得到更廣泛部署，網(wǎng)絡(luò)攻擊可能消耗大量經(jīng)濟。我們曾經(jīng)考慮如何保護電廠、電源線等，但如果攻擊者控制了劍橋100英里范圍內(nèi)所有智能電表，這種危害就像引爆發(fā)電廠一樣。”

然而，研究人員的警告并沒有阻止企業(yè)部署IoT的步伐。IoT帶來顯著的成本和節(jié)能優(yōu)勢，工業(yè)自動化、更智能的城市以及更好的健康和安全，經(jīng)濟和社會因素往往會勝過安全因素。

深層安全隱患

網(wǎng)絡(luò)安全研究人員兼顧問John Walker表示：“我們快速部署這項技術(shù)，而沒有考慮更長期的深層安全隱患。安全人員通常是最后一個了解發(fā)生了什么的人，但其實在最開始就應(yīng)該考慮安全因素。”

“在我看來，幾乎沒有或者沒有適當(dāng)?shù)募夹g(shù)風(fēng)險評估以確保設(shè)備、代碼、數(shù)據(jù)和基礎(chǔ)設(shè)施得到充分保護。現(xiàn)在很多大型企業(yè)都存在不安全的系統(tǒng)和流程。”

但微軟對此仍然保持樂觀，微軟正致力于支持其客戶和合作伙伴的安全IoT部署。微軟公司國家安全官Stuart Aston稱：“不要過分夸大潛在安全風(fēng)險，否則人們會認為IoT安全太難以解決。但事實并不是這樣，關(guān)鍵是了解風(fēng)險并部署適當(dāng)?shù)木徑獯胧?rdquo;

微軟已經(jīng)制定了IoT安全最佳做法清單，其中強調(diào)了各個企業(yè)必須解決IoT系統(tǒng)生命周期中不同的安全問題，其生命周期包括：制造和集成、軟件開發(fā)、部署和運營。

沒有通用標(biāo)準(zhǔn)

對于客戶來說，目前的問題是很難確定其選擇的所有軟件、硬件和服務(wù)合作伙伴是否正在采取必要措施來維持有效安全性。雖然國際標(biāo)準(zhǔn)化組織(ISO)和國際電工委員會(IEC)等機構(gòu)正在這一領(lǐng)域做大量工作，但目前仍然沒有針對IoT安全的通用可證明的標(biāo)準(zhǔn)。Aston稱：“標(biāo)準(zhǔn)正在制定中，但簡短的回答是，如果你現(xiàn)在部署，你需要進行盡職調(diào)查。”

Synopsys公司關(guān)鍵系統(tǒng)安全全球總監(jiān)Mike Ahmadi表示：“對于任何部署IoT設(shè)備的人來說，至關(guān)重要的是要求供應(yīng)鏈提供其遵照完整的采購指南的證據(jù)，涉及特定的可測量的標(biāo)準(zhǔn)。”

“用戶需要供應(yīng)商提供這樣的證據(jù)，并在內(nèi)部檢查。不要相信產(chǎn)品供應(yīng)商的話，而應(yīng)該驗證他們告訴你的信息。讓他們提供證據(jù)，如果無法提供，則選擇其他供應(yīng)商。”

盡管微軟的IoT安全最佳做法指南是很高的標(biāo)準(zhǔn)，但網(wǎng)絡(luò)安全專家稱IT部門必須密切關(guān)注技術(shù)細節(jié)。諾丁漢大學(xué)的McAuley稱系統(tǒng)應(yīng)設(shè)計為讓設(shè)備盡可能在本地數(shù)據(jù)。

McAuley稱企業(yè)應(yīng)該部署更安全的網(wǎng)絡(luò)身份驗證，例如使用ID管理系統(tǒng)來確保用戶和設(shè)備的身份，而不是依靠SSID和密碼。

企業(yè)還應(yīng)該保持設(shè)備與網(wǎng)絡(luò)有效隔離，配置適當(dāng)?shù)姆阑饓σ?guī)則和網(wǎng)絡(luò)分段。McAuley說：“在我看來，所有設(shè)備最終都可能被攻擊，所以即使它們需要與互聯(lián)網(wǎng)連接，它們應(yīng)該只能與它們絕對需要的一兩個地方進行交互。”

他還表示當(dāng)數(shù)據(jù)存儲在服務(wù)器時也應(yīng)該被加密，“很多企業(yè)只會加密傳輸中的數(shù)據(jù)，這并不夠。”

Prpl基金會的Garlati補充說：“不要使用涉及云計算組件的設(shè)備，除非100%必要。”

你還應(yīng)該避免使用未考慮基本網(wǎng)絡(luò)安全的設(shè)備，“我會試圖尋找要求多因素身份驗證來更改配置的設(shè)備，”McAuley稱，“此外，設(shè)備不應(yīng)該使用默認用戶名和密碼--當(dāng)用戶首次開啟設(shè)備時，應(yīng)被要求設(shè)置安全的登錄憑證。”

請記住，雖然對IoT的攻擊帶來比傳統(tǒng)系統(tǒng)更大的威脅，但很多IoT安全最佳做法與我們多年來通過保護電腦和移動設(shè)備學(xué)到的最佳做法沒有什么不同。我們只需要確保這些最佳做法得到嚴格的部署。